Rechtsgrundlagen für Anwendungen zum Contact-Tracing

Die Unzulänglichkeiten der Einwilligungserklärung als Rechtsgrundlage für derartige Datenverarbeitung war dabei bereits Gegenstand zahlreicher Artikel in denen auch die erheblichen Zweifel an der Freiwilligkeit einer Nutzung umfassend erörtert wurden. An dieser Stelle sollen dagegen andere mögliche Rechtsgrundlagen betrachten werden, die für die Implementierung einer derartigen Anwendung herangezogen werden können. Dabei ist zu beachten, dass für die Tracing-App sowohl eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, als auch, da auch Gesundheitsdaten und somit besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO Gegenstand der Verarbeitung sind, eine erweiterte Rechtmäßigkeitsvoraussetzung nach Art. 9 Abs. 2 DSGVO vorliegen muss.

Zunächst ist festzustellen, dass die Datenverarbeitung, mit der eine öffentliche Stelle Infektionswege zum Zwecke der Verhinderung weiterer Infektionen nachverfolgt und zu diesem Zweck personenbezogene Daten von natürlichen Personen verarbeitet als Gefahrenabwehr Teil der Eingriffsverwaltung zu sehen ist. Für derartige Eingriffe bedarf es einer gesetzlichen Grundlage, da das Verwaltungshandeln sonst wesentlichen verfassungsrechtlichen Grundsätzen entgegenlaufen würde.

In Art. 6 Abs. 1 Satz 1 lit. f DSGVO findet sich eine weitreichende Möglichkeit der Interessenabwägung. Danach ist eine Datenverarbeitung aus berechtigten Interessen dann zulässig, wenn entgegenstehende Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person nicht überwiegen. Diese Rechtsgrundlage scheidet für die geplante Anwendung allerdings schon deshalb aus, da sich öffentliche Stellen nach Art. 6 Abs. 1 Satz 2 DSGVO für die Erfüllung ihrer Aufgaben nicht auf sie berufen können. Ein Handeln außerhalb der jeweiligen Aufgaben kommt im Falle der Tracing-Anwendung aus den o.g. rechtsstaatlichen Erwägungen nicht in Frage.

Daneben könnte auch Art. 6 Abs. 1 Satz 1 lit. d DSGVO einschlägig sein. Die Rechtsgrundlage stellt auf Datenverarbeitungen ab, die zum Schutz lebenswichtiger Interessen der betroffenen oder anderen Personen erforderlich sind. In Satz 2 von Erwägungsgrund 46 hat der Verordnungsgeber deutlich gemacht, dass es sich um einen subsidiären Rechtfertigungsgrund handelt, der nur einschlägig sein soll, wenn sonst keine anderen Rechtsgrundlagen greifen. Darüber hinaus zeigt auch das Pendant dieser Rechtsgrundlage in Art. 9 Abs. 2 lit. c DSGVO, dass der Schutz lebenswichtiger Interessen einen unmittelbaren Bezug zur körperlichen Integrität und Gesundheit der betroffenen oder einer anderen Person aufweisen muss. Hierbei wird zwar keine Lebensgefahr gefordert, es kann sich aber systematisch nicht nur um eine mittelbare Maßnahme zur Abwendung einer Gesundheitsgefahr handeln. Dieser unmittelbare Bezug fehlt jedenfalls unter Berücksichtigung der konkreten technischen Möglichkeiten der Tracing-Anwendungen, da das Ausmaß des jeweiligen Kontakts nicht mit der notwendigen Sicherheit erkannt und daher auch das Risiko einer Infektion nicht hinreichend sicher auf Grundlage der erkannten Kontakte verhindert werden kann. Es besteht daher kein unmittelbarer und zwingender Zusammenhang zwischen dem Schutz der Gesundheit und körperlichen Integrität im Einzelfall und der durch die Anwendung zur Verfügung gestellten Funktionalität. Derartige „Vorfeldmaßnahmen“ können daher nicht auf den eher als „Eilrechtsgrundlage“ bzw. für Notfälle ausgestalteten Art. 9 Abs. 2 lit. c DSGVO gestützt werden. Auch die in § 22 BDSG befindlichen Rechtsgrundlagen (hier sei insbesondere auf Abs. 1 Nr. 1 lit. d, Abs. 2 Nr. 2 lit. a und b verwiesen) führen vor diesem Hintergrund zu keinem anderen Ergebnis, da die oben dargestellten Probleme auch auf sie zutreffen.

Als weitere Rechtsgrundlage kommt die Wahrnehmung von Aufgaben in öffentlichem Interesse oder in Ausübung öffentlicher Gewalt nach Art. 6 Abs. 1 Satz 1 lit. e DSGVO in Frage. Hierbei handelt es sich um die klassische Rechtsgrundlage für Datenverarbeitungen, die eine öffentliche Stelle (oder eine verantwortliche Stelle, die Beliehener öffentlicher Aufgaben ist) im Rahmen der ihr übertragenen Aufgaben tätigt. Als erweiterte Rechtmäßigkeitsvoraussetzungen aus Art. 9 Abs. 2 DSGVO kommen einerseits der speziellere Art. 9 Abs. 2 lit. i DSGVO in Frage, eine Norm die in Zusammenhang mit einer Rechtsgrundlage aus dem mitgliedsstaatlichen Recht oder Unionsrecht, für Datenverarbeitung im Zusammenhang mit „öffentlichen Gesundheit“ herangezogen werden kann, als auch der Art. 9 Abs. 2 lit. g DSGVO, der generell auf das Bestehen einer Rechtsgrundlage im Unionsrecht oder dem Recht des Mitgliedstaates für die Verarbeitung besonderer Kategorien personenbezogener Daten abstellt. Beide Normen setzen voraus, dass eine spezielle Aufgabenübertragung stattfindet und stellen erst mit dieser eine taugliche Rechtsgrundlage dar.

Im Ergebnis bleibt daher festzuhalten, dass Art. 6 Abs. 1 Satz 1 lit. e i.V.m. Art. 9 Abs. 2 lit. i DSGVO eine naheliegende Rechtsgrundlage für die im Zusammenhang mit Contact-Tracing anfallende Datenverarbeitung darstellen kann. Hierfür ist allerdings notwendig, dass der jeweils verantwortlichen Stelle eine Zuständigkeit für eben diese Tätigkeit durch eine entsprechende Rechtsnorm zugewiesen wird. Um den unionsrechtlichen Vorgaben zu genügen, insbesondere um das Datenschutzniveau nicht unangemessen stark abzuschneiden und sich so dem Vorwurf der Verletzung der europäischen Grundrechte auszusetzen, wird eine freiwillige Nutzung der Anwendung auch bei Einführung gesetzlichen Rechtsgrundlage für den Betrieb der Infrastruktur zu gewährleisten sein. Die damit verbundenen Probleme stellen sich umso mehr, wenn etwaige Lockerungen von Eindämmungsmaßnahmen an die Nutzung der Anwendung gekoppelt werden, da dann von einer freiwilligen Nutzung, unabhängig von der Rechtsgrundlage, vermutlich nicht mehr gesprochen werden kann.