Digitales „contact tracing“ durch die sogenannte Corona-App zur Nachverfolgung der Nahbereichskontakte Infizierter ist derzeit in aller Munde, stellt es sich doch als ein wichtiges Instrument für einen schrittweisen Ausstieg aus dem Lockdown zur Bekämpfung der Corona-Pandemie dar. Sowohl die EU-Kommission als auch die Bundesregierung und die Regierungen der Länder befürworten den Einsatz einer solchen Corona-App.
Mit dem Projekt Pan-European Privacy-Preserving Proximity Tracing, kurz PEPP-PT, existiert auch bereits ein europäisches Konzept für die Umsetzung einer solchen App in einer Art und Weise, die mit den Vorgaben der Datenschutzgrundverordnung vereinbar sein soll – u.a. deswegen, weil nur anonymisierte epidemiologisch relevante Kontakt-Daten und nicht etwa Bewegungsprofile verwendet würden und die Installation und Nutzung der App insgesamt freiwillig sei.
Der technischen Funktionsweise nach geht es bei einer derartigen App im Wesentlichen darum, dass von dem mit dieser App ausgestatteten Smartphone mit Hilfe der Bluetooth Technologie in bestimmten zeitlichen Abständen eine anonyme und regelmäßig wechselnde Kennung (sogenannte TempID) ausgesendet wird, die andere entsprechend ausgestattete Smartphones im näheren physischen Umfeld (unter zwei Meter) empfangen und lokal in verschlüsselter Form speichern. Wird bei einem Nutzer eine Corona-Infektion diagnostiziert, würde dieser gebeten, die lokal gespeicherten anonymen KontaktIDs aus dem relevanten Zeitraum der jeweils letzten 14 Tage seit der Infektion an einen zentralen Server – etwa beim Robert-Koch-Institut (RKI) – zu übertragen. Von diesem zentralen Server aus könnten über eine Push-Benachrichtigung sodann alle entsprechenden Smartphone-Besitzer kontaktiert und gebeten werden, einen Corona-Test durchzuführen und sich in Quarantäne zu begeben.
Wie aber ist es tatsächlich um die datenschutzrechtliche Zulässigkeit derartiger Corona-Apps zur Kontaktnachverfolgung bestellt?
Da immer wieder betont wird, dass die im Rahmen des o.g. Projektes geplante App nur anonymisierte Daten verarbeiten würde, könnte man zunächst auf die Idee kommen, die DSGVO für gar nicht anwendbar zu halten, da deren Anwendungsbereich nur im Falle der Verarbeitung personenbezogener Daten eröffnet ist. Tatsächlich wird man aber den Personenbezug der Kontaktdaten, die mit Hilfe des Abgleichs der o.g. TempIDs ermittelt werden, nach der äußerst weiten Definition der personenbezogenen Daten gem. Art. 4 Nr. 1 DSGVO erst einmal bejahen müssen. Denn sie werden auf einem elektronischen Gerät erzeugt und gespeichert, das über die Telefonnummer oder die IP- oder MAC-Adresse durch den Provider einer natürlichen Person zugeordnet werden kann, und weisen daher ihrerseits einen Personenbezug auf.
Demgemäß ist der Anwendungsbereich der DSGVO eröffnet. Als Rechtsgrundlage für die Datenverarbeitung durch die App in Betracht käme – angesichts der Freiwilligkeit der Nutzung – zunächst einmal die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO. Mit dem Herunterladen der App und sodann nochmals bei der Zustimmung zum Abgleich der Kontaktdaten nach der Positiv-Testung könnte die Einwilligung in die entsprechenden Datenverarbeitungsvorgänge verbunden werden. Doch daraus, dass die Nutzung der Corona-App freiwillig erfolgt in dem Sinne, dass niemand aufgrund behördlicher oder gesetzlicher Anordnung verpflichtet würde, die App zu nutzen, folgt nicht zwangsläufig, dass damit auch die in der DSGVO normierten Anforderungen an die Freiwilligkeit einer Einwilligung erfüllt sind. Denn dies setzt eine echte Wahlmöglichkeit voraus. Vergegenwärtigt man sich, dass die Nutzung der App ein wichtiger Baustein zur Ermöglichung der Aufhebung oder Lockerung der bisherigen Maßnahmen zur Eindämmung der Pandemie und damit zur Rückkehr in ein „normaleres“ Leben sein könnte, erscheint das Bestehen einer echten Wahlmöglichkeit aber zweifelhaft (das legt das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. in seiner am 14. April veröffentlichten Datenschutz-Folgenabschätzung für die Corona-App ausführlich dar).
Vielversprechender erscheint es, auf Artikel 6 Abs. 1 S. 1 lit. d DSGVO abzustellen, wonach die Datenverarbeitung erlaubt ist, wenn sie erforderlich ist, „um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“. Gemäß Erwägungsgrund 46 der DSGVO kann dazu auch eine „Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung“ gehören. Aufgrund des subsidiären Charakters dieses Erlaubnistatbestands – er soll nach dem Willen des Gesetzgebers nur herangezogen werden, wenn die Datenverarbeitung auf keine andere Grundlage gestützt werden kann – bestehen allerdings erhebliche Zweifel, ob er zur Rechtfertigung der Datenverarbeitung im Rahmen der Corona-App herangezogen werden kann.
Denn mit Art. 6 Abs. 1 S. 1 lit. e DSGVO, wonach die Datenverarbeitung rechtmäßig ist, wenn sie für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt, scheint eine andere Rechtsgrundlage durchaus zu existieren. Allerdings bedarf das öffentliche Interesse gem. Art. 6 Abs. 3 S. 1 lit. a und lit. b DSGVO einer gesetzlichen Konkretisierung im Unionsrecht oder im nationalen Recht – mit anderen Worten, nicht Art. 6 Abs. 1 lit. e DSGVO selbst ist die Ermächtigung zur Datenverarbeitung, sondern die jeweilige nationale oder unionsrechtliche Rechtsnorm, die die Aufgabe im öffentlichen Interesse und die zu deren Wahrnehmung erforderliche Datenverarbeitung definiert. Nun wird zwar die Warnung vor der Ansteckung mit einer infektiösen Krankheit und die Eindämmung einer Pandemie grundsätzlich vom Infektionsschutzgesetz erfasst, nicht jedoch konkret die Verarbeitung von personenbezogenen Daten durch den Einsatz einer App zur Ermittlung und Information über Kontakte mit einer infizierten Person. Dementsprechend besteht auch keine rechtliche Verpflichtung zum Einsatz einer solchen App im Sinne von Art. 6 Abs. 1 S. 1 lit. c DSGVO.
Fazit: Unproblematisch ist der Einsatz der viel beschworenen Corona-App datenschutzrechtlich de lege lata keineswegs. Sofern man nicht der Ansicht folgt, dass sich deren Betrieb auf Artikel 6 Abs. 1 S. 1 lit. d DSGVO (Schutz lebenswichtiger Interessen) stützen ließe, würde es nach geltendem Recht schon an einer ausreichenden Ermächtigungsgrundlage für die damit verbundenen Datenverarbeitung fehlen. Eine entsprechende Norm wäre vom Gesetzgeber erst noch zu schaffen.