13. Jun 2020, Alexander Roßnagel
Die Corona-Warn-App wird nun endlich am 16. Juni eingeführt. Jeder kann sie herunterladen und mit einem Smartphone nutzen, das das Betriebssystem IOS 13.5 oder Android 6 verwendet und Bluetooth-Kommunikation ermöglicht. Verantwortlich für die App wird das Robert-Koch-Institut (RKI) sein. Das gesamte System der Corona-Warn-App ist durchgängig nach Kriterien des Datenschutzes entworfen worden. Nun bedarf es dringend einer rechtlichen Grundlage, um die im System angelegten Datenschutz-Kriterien auch nachhaltig abzusichern.
Die App dient dem Zweck, Risiko-Kontakte zu erkennen und Infektionsketten nachzuverfolgen sowie potenziell Infizierte zu warnen und zu veranlassen, Isolierungsmaßnamen zu ergreifen. Sie ergänzt dadurch die Möglichkeiten der Gesundheitsämter. Diese werden erst tätig, wenn eine infizierte Person starke Symptome wie Husten oder Fieber bei sich erkannt, deswegen eine Arztpraxis aufgesucht und diese die Infektion dem Gesundheitsamt gemeldet hat. Dann kann dieses versuchen, den Kontakten der infizierten Person nachzuspüren. Gegenüber dieser analogen Verfolgung der Infektionsketten hat die App drei entscheidende Vorteile: Sie ist schneller, sie vergisst nichts und sie erfasst auch die „Dunkelziffer“.
Erfassung vor Auftreten der Symptome
Infizierte Menschen spüren erst nach 4 bis 5 Tagen die ersten Symptome, können aber zuvor schon andere Menschen anstecken. Vermutlich die Hälfte aller Infektionen erfolgt in diesem Zeitraum. Daher müssen auch alle die Menschen ihre Kontakte beschränken, die von dem Symptomträger in der präsymptomatischen Zeit angesteckt worden sein können, damit sie nicht ihrerseits vor dem Auftreten eigener Symptome andere Menschen infizieren. Ein besonders hohes Risiko, sich zu infizieren, haben die Menschen, die sich etwa 15 Minuten im Umkreis von etwa 1,5 bis 2 Metern um eine infizierte Person aufgehalten haben. Indem die App festhält, mit welchen Personen ein infizierter Mensch in den letzten Tagen solche Risikokontakte hatte, kann sie unmittelbar nach einem positiven Test der infizierten Person deren Kontaktpersonen warnen und veranlassen, sich in Quarantäne zu begeben, bevor sie andere Menschen angesteckt haben – oft Tage, bevor das Gesundheitsamt dies könnte.
Erfassung aller Risikokontakte – auch der vergessenen oder unbekannten
Das Gesundheitsamt kann mögliche Infektionsketten nur nachverfolgen, wenn die infizierte Person sich erinnern kann, mit wem sie in der letzten Woche einen Risikokontakt hatte. Dies ist aber oft unmöglich für Situationen mit vielen anonymen Beteiligten, wie im Zug, in der Straßenbahn, in einer Versammlung, einer Veranstaltung, im Kaufhaus, auf einer Demonstration oder einem anderen Superspreading-Ereignis (siehe Beitrag Superspreading – wie die Tracing-App eine neue Strategie unterstützen kann). Die App tauscht mit jeder Risikokontaktperson pseudonyme IDs aus, die eine Warnung aller sicherstellen.
Erfassung der „Dunkelziffer“ – auch der symptomlosen Infizierten
Dem Gesundheitsamt werden nur die Personen gemeldet, die wegen ihrer Symptome eine meldepflichtige Stelle aufgesucht haben und positiv getestet worden sind. Die meisten Infizierten haben keine oder nur leichte Symptome. Sie sind aber dennoch infektiös. Dadurch entsteht eine „Dunkelziffer“ von Infizierten, die dem Gesundheitsamt unbekannt sind. Sie liegt vermutlich um das Fünf- bis Zehnfache höher als die Zahl registrierter Fälle. Hat etwa eine Person auf einer Versammlung zehn andere Personen angesteckt, die sie nicht kennt, wird das Gesundheitsamt nur von den Personen erfahren, die wegen Symptomen eine Arztpraxis aufsuchen. Alle anderen infizierten und infektiösen Personen verbreiten das Virus „im Dunkeln“. Dagegen warnt die App alle Risikokontaktpersonen.
Aufgrund ihrer Vorteile hilft die App, die Pandemie zu bekämpfen. Neben anderen Maßnahmen wie Kontaktbegrenzungen und Schutzmasken und vor allem den Maßnahmen der Gesundheitsämter trägt sie dazu bei, Infektionen zu begrenzen und Lockerungen im Zusammenleben zu ermöglichen. Alle diese Argumente sprechen dafür, die App auf das eigene Smartphone herunterzuladen und sie zu nutzen. Ist sie aber auch datenschutzgerecht und schützt die Grundrechte ihrer Nutzenden? Diese Frage ist zu bejahen, wenn sie die wesentlichen Anforderungen des Datenschutzes (siehe Beitrag Kriterien für eine datenschutzgerechte Corona-App) erfüllt:
Die wichtigsten Datenschutzanforderungen sind also erfüllt. Die verbleibenden Risiken sind so gering, dass angesichts der Vorteile der App ihre Nutzung empfohlen werden kann.
Was noch fehlt, ist die gesetzliche Grundlage
Dennoch sind einige Nachbesserungen erforderlich, insbesondere hinsichtlich der gesetzlichen Absicherung der Datenschutzanforderungen und der Rahmensetzung einer sinnvollen Nutzung der App (siehe Beitrag Notwendige datenschutzgesetzliche Regelungen zur Einführung der Tracing-App). Die Datenverarbeitung benötigt eine gesetzliche Erlaubnis. Die Freiwilligkeit der Nutzung ersetzt keine datenschutzrechtliche Einwilligung (siehe Beitrag Bedürfen Corona-Tracing-Apps einer gesetzlichen Grundlage?). Um die Freiwilligkeit zu sichern, ist sicherzustellen, dass niemand rechtlich oder faktisch gezwungen werden darf, die App zu nutzen, um gravierende Nachteile zu vermeiden. Weiterhin ist der Zweck gesetzlich festzulegen. Die Verwendung der IDs für andere Zwecke ist ausdrücklich auszuschließen. Außerdem ist zu gewährleisten, dass die App nur temporäre und kryptografisch geschützte IDs erheben, speichern und abgleichen darf. Festzuhalten ist, dass das RKI nur IDs auf seinem Server speichern und zum Abruf anbieten darf, die Infizierte über ihre App dem RKI gemeldet haben. Ein Zugriff der Smartphone-Betriebssysteme auf die IDs ist gesetzlich zu untersagen. Gesetzliche Rahmenbedingen sind außerdem notwendig für die Folgen der App-Nutzung. So ist z.B. festzulegen, ob die App die Gewarnten dazu anhalten darf, sich testen zu lassen und sich in Quarantäne zu begeben, ob diese Warnung ausreicht, um sich wenigsten für drei Tage „krank“ melden zu können und wie diese Meldung ansonsten zur Rechtfertigung genutzt werden kann, bestimmte private oder öffentliche Pflichten wegen der selbst auferlegten Quarantäne zu vernachlässigen.
Das gesamte System der Corona-Warn-App ist durchgängig nach Kriterien des Datenschutzes entworfen und umgesetzt worden
Insgesamt ist festzuhalten, dass das gesamte System der Corona-Warn-App durchgängig nach Kriterien des Datenschutzes entworfen und umgesetzt worden ist. Das ist für solche großen gesellschaftsweiten IT-Systeme einmalig und beispielgebend. Die staatlichen Instanzen zeigen in diesem Fall, dass sie auch in einem mehrdimensionalen und hochkomplexen Interessengeflecht alle beteiligten Grundrechte schützen und den Interessenkonflikt nicht einseitig – etwa allein zugunsten staatlicher Gesundheitsfürsorge – auflösen. Durch eine ausgleichende Gestaltung der Informationstechnik ist es gelungen, Gesundheitsschutz und Datenschutz gemeinsam zu gewährleisten.
Prof. Dr. Alexander Roßnagel ist Senior-Professor für öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel und Sprecher des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten „Forum Privatheit“.