Die neue Corona-Warn-App – ist sie mit dem Datenschutz vereinbar?

Die neue „Corona-Warn-App“ steht nun zum Download bereit. Wurden alle Bedenken und Forderungen, die den Datenschutz betreffen, bei der Entwicklung berücksichtigt?

Wie funktioniert die Corona-Warn-App?

Mit der Entwicklung der „Corona-Warn-App“ wurde nach dem Ausstieg wichtiger Akteure und öffentlicher Kontroverse nicht das unter dem Kürzel „PEPP-PT“ bekannt gewordene Konsortium unter der Leitung von Chris Boos, sondern SAP und die Telekom unter Nutzung der von Google und Apple bereitgestellten Schnittstellen beauftragt. Erfreulicherweise geblieben ist aber der datenschutzfreundliche Ansatz, der beim „Tracing“ also der Registrierung von Kontakten zu anderen Nutzern dieser App, zur Anwendung kommt: Daten von Sozialkontakten werden ausschließlich dezentral, pseudonym und verschlüsselt auf dem eigenen Handy gespeichert.

Zudem ändern sich alle 10 bis 20 Minuten die Kennungen, die die Smartphones aussenden. Wie die Installation der App so ist auch die Meldung einer Erkrankung freiwillig. Und: Der Quellcode ist als Open-Source-Software vollständig überprüfbar. Dies gewährleistet einen hohen Grad an Anonymität und Konformität mit der DSGVO.

Trotz des sichtlichen Bemühens aller Akteure, dem Prinzip „Privacy by Design und by Default“ Genüge zu tun, begegnet der App weiterhin nicht nur Kritik im Detail. Vom „Freiwilligkeits-Schwindel“ ist die Rede (https://www.sueddeutsche.de/politik/tracing-app-corona-1.4932256), und dass die Corona-App als Eintrittskarte missbraucht werden könnte (https://digitalegesellschaft.de/2020/06/corona-app-kann-als-eintrittskarte-missbraucht-werden/). Menschenrechtsorganisationen, Oppositionsparteien und Vertreter eines strengen Datenschutzes bemängeln in Deutschland das Fehlen eines Begleitgesetzes, das den Einsatz der App regeln und die tatsächliche Freiwilligkeit absichern soll (https://netzpolitik.org/2020/grosse-missstaende-bei-internationalen-corona-tracing-apps/).

Was heißt hier freiwillig?

Auch der Bundesbeauftragte für den Datenschutz (BfDI), Ulrich Kelber, sprach sich schon früh auf Twitter gegen eine Zwangs-App aus: „Ich rate dringend von weiteren Überlegungen zu Pflichtinstallation, [...] weiterer Verwendung der Daten, Kombination mit anderen Daten etc. ab. Sonst muss die datenschutzrechtliche Prüfung das alles mit abwägen.“

Den Bedenken der Datenschützer wurde insoweit gefolgt: Eine Pflicht zur Installation ist staatlicherseits nicht vorgesehen. Rechtsgrundlage ist die freiwillige Einwilligung der einzelnen Nutzer. Dass keine Verifikation der Wirksamkeit einer Einwilligung Minderjähriger stattfindet, wird vom BfDI mit der Begründung, dass die App ansonsten nicht auf dieser Basis realisierbar wäre, offensichtlich hingenommen – ein interessantes Argument, sicherlich auch in anderen Fallkonstellationen.

Allerdings deutet sich bereits an, dass etwa Arbeitgeber oder Gastronomen das Mit-sich-Führen eines ausreichend aktuellen Smartphones mit installierter und aktivierter Corona-Warn-App zur Voraussetzung für den Zugang zu ihren Betrieben aus anderen rechtlichen Gründen machen könnten, etwa auf Grundlage ihres Hausrechts. Wer kein Smartphone mit installierter und aktivierter Warn-App vorzeigen kann, bekommt keinen Zutritt.

Selbst wenn die Installation der App auf dem eigenen Handy also selbst freiwillig ist, könnte sich somit schnell doch ein nicht unerheblicher, mindestens mittelbarer Zwang ergeben, der Verarbeitung seiner Kontakt- und Gesundheitsdaten in dieser Weise zuzustimmen. Damit aber stellt sich in der Tat nach der „Freiwilligkeit“ sehr drängend die Frage nach dem „Kopplungsverbot“ und seiner Reichweite.

Der Verweis der Bundesministerin der Justiz, dass es dennoch keiner gesetzlichen Regelung bedürfen würde, da alles Notwendige bereits von der DSGVO abgedeckt sei (https://www.zeit.de/politik/deutschland/2020-06/corona-app-christine-lambrecht-pflicht-gesetz-bundesjustizministerin-datenschutz), offenbart zwar, wie wenig die Politik ihre eigenen Datenschutzvorschriften durchdrungen hat, löst die dahinterliegenden, komplexen Rechtsfragen jedoch leider nicht auf: Anders als in datenschutzrechtlichen Diskussionen und von Aufsichtsbehörden behauptet wird, ist der Umfang des in Art. 7 Abs. 4 DSGVO vorgesehenen Kopplungsverbots oder sogar seine Existenz mindestens umstritten (vgl. etwa Engeler, Das überschätzte Koppelungsverbot – Die Bedeutung des Art. 7 Abs. 4 DS-GVO in Vertragsverhältnissen, ZD 2018, S. 55).

Datenschutzkonform, aber nicht unbedingt freiwillig

Soweit bislang überschaubar, ist die Corona-Warn-App weitgehend unter den Gesichtspunkten eines effektiven Datenschutzes konzipiert worden. „Privacy by Design“ und „Privacy by Default“ bedeutet jedoch nicht zwingend, dass die Nutzung dieser App tatsächlich „freiwillig“ erfolgt und ihr konkreter Einsatz zwingend grundrechtsfreundlich sein muss.

Der Datenschutz hat einen erheblichen Beitrag zur Verbesserung der App geleistet – alle Probleme und Risiken, die sich in Folge der Corona-Warn-App ergeben, kann er jedoch nicht lösen. Hier bleibt die Politik gefordert, mit gesetzlichen Regelungen die Freiheit der Bürger mit dem Anspruch der Allgemeinheit auf Schutz vor einem Wiederaufflammen der Pandemie in Einklang zu bringen und die konkrete Geeignetheit dieser App zu überprüfen. Nur so wird auch die Akzeptanz der Bevölkerung nachhaltig zu sichern sein.

Autor: Jan Mönikes, Rechtsanwalt