Suche

Corona-Warn-App und Datenschutz: Ein Überblick

Die deutsche Corona-Warn-App wurde mittlerweile mehr als 16,4 Millionen Mal heruntergeladen. Die App soll dazu beitragen, Kontaktketten nachzuvollziehen und damit die Verbreitung von COVID-19 einzudämmen. Doch wie funktioniert die App? Wie lauten die Rechtsgrundlagen für die Datenverarbeitung und kann die teilweise fehlerhafte App verpflichtend werden?


von Valentin Konstant


© Raban Sidon


Funktionsweise der Corona-App


Die Warn-App des Robert-Koch-Instituts (RKI), die von SAP und Telekom gemeinschaftlich entwickelt wurde, ermittelt Kontakte zwischen Personen über Bluetooth. Dabei verwendet sie die energiesparendste und nur bei neueren Smartphones verfügbare Technologie: Bluetooth Low Energy. Hierbei erfasst die App – auf Grundlage einer von Google (Android) und Apple (IOS) bereitgestellten Software – Begegnungen, Zeiträume und Abstände.

Die App gibt dabei an im Umkreis befindliche Smartphones jeweils einen individuellen und zufällig erzeugten Code weiter. Dieser Code wird daraufhin dezentral auf den Empfänger-Smartphones gespeichert. Sobald ein Benutzer oder eine Benutzerin einen Test registriert und dieser positiv ausfällt, werden die Apps, welche Begegnungen aufgezeichnet haben, informiert. Danach errechnet die App anhand von Begegnungszeit und -abstand ein Risiko für diese.

Die aktuellen Rechtsgrundlagen und Probleme


Im Zuge dieses Prozesses verarbeitet die App drei Datenkategorien: Zugriffs-, Begegnungs- und Gesundheitsdaten.


Als Rechtsgrundlage für die Datenverarbeitung muss somit sowohl Art. 6, als auch Art. 9 der Datenschutzgrundverordnung (DSGVO) erfüllt sein. Art. 6 I 1 a DSGVO dabei für die Zugriffs- und Begegnungsdaten und Art. 9 II a DSGVO als Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Die Verarbeitung der Daten darf im Rahmen dieser Rechtsgrundlagen jeweils nur nach aktueller und fehlerfreier Einwilligung erfolgen. Widerruft ein Nutzer oder eine Nutzerin also die Einwilligung, dürfen dessen Daten nicht mehr verarbeitet werden.

Die App trifft insofern Kritik, als dass sie eben nur auf neueren Smartphones funktioniert und damit soziale Ungerechtigkeiten verschärft. So erscheint die App für manche als Konjunkturprogramm für Smartphone-Hersteller und Ausschlusskriterium für sozial Schwache. Darüber hinaus hat sich vor kurzem ein weiteres Problem offenbart: So wurde eine Risikoanalyse nur durchgeführt, wenn die App aktiv vom Nutzer geöffnet wurde und nicht (wie eigentlich vorgesehen) bereits im Hintergrund. Diesen Fehler hat das RKI jedoch bereits behoben.

Trotz der genannten Kritik hat die Bundesregierung über das RKI eine – wenn auch nicht ganz fehlerfreie – Möglichkeit gefunden, Daten zu schützen, gesetzliche Vorgaben zu erfüllen und trotz dessen eine funktionsfähige App im Zusammenspiel mit Programmierern, Datenschützern und Wissenschaftlern zu schaffen: Die App auf freiwilliger Basis.

Die App-Nutzung verpflichten?

Für die Verpflichtung, die App zu nutzen, bedarf es schon aus sicherheitspolitischen und grundrechtlichen Fragen eine Rechtsgrundlage. Insofern bedürfte es eines formellen Bundesgesetzes. Diese Hürde wäre noch relativ einfach zu nehmen.

Doch stünde so einer Verpflichtung die DSGVO in weitaus komplexerer Weise entgegen. Nach Art. 6 I 1 d DSGVO wäre die Verarbeitung der Zugriffs- und Begegnungsdaten zum Schutz lebenswichtiger Interessen erlaubt. Das ist auch jede epidemische Notlage. Der Begriff der „Epidemischen Notlage“ wird aber so verstanden, dass nur in extremen Ausnahmesituationen eine Datenverarbeitung zulässig ist. Von einer solchen kann aber niemand mehr ausgehen, nachdem sich das erste Infektionsgeschehen bereits beruhigt hat und die Ansteckungszahlen weitgehend unter Kontrolle sind.

Auch findet man in Art. 6 I 1 e DSGVO („Aufgaben im öffentlichen Interesse“) bei jetziger Gesetzeslage keine Möglichkeit zur verpflichtenden Nutzung der App. Hierzu wäre eine ausführliche und detaillierte Rechtsgrundlage im Sinne des Art. 6 III DSGVO notwendig. Einen Vorschlag hierfür gibt es zwar schon, aber ob und inwiefern dieser umsetzbar ist, ist besonders fraglich: Bereits jetzt lehnen verschiedene politische Richtungen – insbesondere aus dem rechten Spektrum - eine Verpflichtung vehement ab. Auch erscheint eine solche Maßnahme kaum notwendig, denn die bisherigen weniger in die Privatsphäre eingreifenden Maßnahmen zeigen Wirkung. Eine Verhältnismäßigkeit wäre folglich im verfassungsrechtlichen Sinne nicht gegeben.

Obendrein bietet sich keine Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Aus Art. 9 II c DSGVO ergibt sich, dass hier (also für eben jene Gesundheitsdaten) die Einwilligung stets vorrangig ist, solange ein Betroffener noch in der Lage ist einzuwilligen.

Ein wichtiger Bestandteil in einer Reihe von Maßnahmen


Die Corona-Warn-App ist ein wichtiger Bestandteil einer Reihe von Maßnahmen im Kampf gegen das Virus und dabei überraschend gelungen. Eine verpflichtende Nutzung erscheint hoch kompliziert und auch nicht notwendig, denn die Akzeptanz in der Bevölkerung hat schon jetzt dazu beigetragen, dass die App beinahe 17 Millionen Mal heruntergeladen wurde. Dieser Wert überschreitet – wenn man davon ausgeht, dass die App auf unterschiedliche Geräte heruntergeladen wurde – die für eine Funktionalität notwendigen 15 Prozent der Gesamtbevölkerung bereits bei weitem. Diese Akzeptanz darf jedoch nicht durch Fehler oder Pannen verspielt werden. Denn ansonsten ist die App mit Sicherheit bei vielen auch schnell wieder vom Smartphone gelöscht.