Die Corona-Datenspende-App des Robert-Koch-Instituts

Geschrieben von Jan Steinbach, veröffentlicht am 30.06.2020

Neben der europäischen Institution „Pan European Privacy-Protecting Proximity Tracing”, kurz: PEPP-PT hat nun auch das Robert-Koch-Institut in Zusammenarbeit mit dem Bundesdatenschutzbeauftragten und dem E-Health-Unternehmen Thryve eine App entwickelt, die dem Kampf gegen das Corona-Virus dient. Unter Heranziehung verschiedenster Daten, die über sog. Fitnessarmbänder erhoben werden, sollen die bundesweite Verbreitung und Verteilung von Infektionen abgebildet werden.

Die aktuelle Diskussion

Anders als bei der Applikation des PEPP-PT verzichtet die App des RKI nicht auf die Verarbeitung auch insbesondere sensibler personenbezogener Daten. Zunächst wird der Nutzer über die Angabe der Postleitzahl lokalisiert. Zudem muss er Angaben zum Geschlecht, Alter, Größe und Gewicht machen. Das Fitnessarmband kann dann die aufgenommenen Vitaldaten (Puls, Schlafdaten, Körpertemperatur etc.) analysieren und einen Corona-Verdacht begründen. Im Anschluss werden die so gesammelten Daten vom RKI aufbereitet, sodass mittels einer Grafik die Verteilung der Infektionen visualisiert werden kann.

In Diskussion steht derweil vor allem eine freiwillige Nutzung der App, wobei Lothar Wieler – Präsident des RKI – ausdrücklich an die Nutzung appelliert und um eine Datenspende bittet, die gezielte Erkenntnisse über die Ausbreitung des Virus liefern kann. Tilman Kuban, Vorsitzender der Jungen Union hingegen fordert eine Widerspruchslösung: hiernach soll die App zunächst automatisch auf dem Smartphone der Bürger installiert werden, wobei der Nutzer der Installation anonym widersprechen kann. Betont werden hier insbesondere die Freiheiten, die man sich durch die Nutzung einer solchen App zurückholen könnte. Durch die höhere Transparenz könnten Kontaktverbote gelockert oder aufgehoben werden.

In juristischen Kreisen wird der Einsatz der App vor allem unter dem Aspekt der Erforderlichkeit diskutiert. Gegenüber einem umfassenden Kontaktverbot oder der kompletten Schließung von Gaststätten würde eine Auflage dergestalt, dass Restaurantbesuche nur mit einer entsprechenden Corona-App erlaubt sind das mildere Mittel darstellen. Durch eine datenschutzkonforme Ausgestaltung werde dem Recht auf informationelle Selbstbestimmung genüge getan. Folgerichtig werden hierbei auch die privat- und arbeitsrechtlichen Folgen bedacht, sodass es in erster Linie Sache des Gesetzgebers sei, einen entsprechenden normativen Rahmen zu schaffen. Berücksichtigt werden müssten beispielsweise diskriminierende Effekte, die von einer solchen Auflage gegenüber Älteren entstehen könnten.

Kritik aus verfassungsrechtlicher Sicht

Auf den ersten Blick erscheint der Grundgedanke plausibel: absolute Verbote, die die Freiheit des Einzelnen stark einschränken, könnten mit der App relativiert werden, sodass dem Einzelnen unterm Strich mehr Freiheit verbleibt. Eine rein quantitative Betrachtungsweise trifft jedoch nicht den Kern einer Diskussion über mögliche Freiheitsbeschränkungen. So wird im Rahmen der Grundrechte im Hinblick auf die Schutzrichtung seit Jellineks Statuslehre zwischen dem Grundrechten als Abwehrrechte, als Leistungsrechte und als Teilnahmerechte unterschieden (vgl. auch Alexy, Theorie der Grundrechte S. 229 ff.).  Während Kontaktverbote neben der allgemeinen Handlungsfreiheit auch die Versammlungsfreiheit als Teilnahmerecht beschränken, würde eine Corona-App insbesondere das Recht auf informationelle Selbstbestimmung als Abwehrrecht bescheiden. Darüber hinaus spielen auch Leistungsrechte dann eine Rolle, wenn es darum geht eine hinreichende medizinische Versorgung sicherzustellen, bei der die Gefahr besteht, dass der Staat keinen ausreichenden Schutz für das Leben nach Art. 2 Abs. 2 GG gewährleisten kann.

Richtig ist dann zwar, dass der Staat den Lebensschutz durch den flächendeckenden Einsatz sog. Corona-Apps mutmaßlich gleichwirksam gewährleisten kann, wie durch ein umfassendes Kontaktverbot. Erkauft wird die Freiheit zur gesellschaftlichen Teilhabe aber mit massiven Einschränkungen in die informationelle Selbstbestimmung und damit einhergehend einem nicht unbedeutenden Verlust an Privatheit des Einzelnen.  Während aber die Beschränkung von Partizipationsrechten transparent ist und durch die einfache Beseitigung des Verbots wieder vollumfänglich zur Geltung kommen kann, sind die Datenverarbeitungen im Rahmen einer Corona-App weder nachvollziehbar noch ist der Eingriff mit Beendigung der Maßnahme beendet. Ob die Daten entsprechend gelöscht werden, kann der einzelne nicht nachvollziehen. Zwar wäre es übereilt die abwehrrechtliche Dimension der Grundrechte per se höher zu gewichten als die partizipatorische. Im konkreten Fall geht mit der systematischen Kontrolle der Gesundheit der Bevölkerung aber eine Bio-Macht einher, die eine ernste Gefahr für den Rechtstaat bedeutet, wohingegen die Stilllegung des gesellschaftlichen und politischen Lebens für eine bestimmte Dauer eindeutig begrenzt ist und durch jeden überwacht werden kann. Ohne gesetzliche Bestimmung darüber, wie eine solche Applikation funktioniert, ist eine genau verfassungsrechtliche Bewertung aber kaum möglich.

Kritik aus politischer Sicht

Darüber hinaus sprechen die viele politischen Gründe, die gegen die Corona-Warn-App sprechen auch gegen die Datenspende-App. Zunächst kann es zu einem Gewöhnungseffekt kommen. Dabei handelt es sich im Wesentlichen um ein sog. Dammbruch-Argument: durch das Eröffnen einer Möglichkeit – sei es umfassendes Tracing oder das staatlich organisierte Nutzbarmachen von Gesundheitsdaten – wird eine Grenze überschritten. Hieraus kann sich die Gefahr entwickeln, dass man sich an solche Maßnahmen gewöhnt, sodass ein entsprechendes Vorgehen auch in anderen Bereichen Standard wird. Denkbar und teilweise schon Realität ist eine Einbindung der Datenspende in das Krankenkassensystem. Zwar gibt es berechtigte Kritik an dieser Argumentationsweise. Insbesondere erschöpft sich eine folgen- oder anwendungsorientierte Argumentation ohne empirisches Fundament in einer bloßen Behauptung. Dennoch verweist der Gewöhnungseffekt auf Gefahren, die im Einzelnen ernst zu nehmen sind.

Mit der Gewöhnung an eine bestimmte Situation einher geht regelmäßig die Verschiebung der sozialen Normalität. Denkbar ist damit auch, dass die normative Freiwilligkeit der Nutzung von der Faktizität eines sozialen Drucks überlagert wird. Die Erwartungshaltung der Gesellschaft oder einfach bestimmter Personengruppen (z.B. die des Arbeitgebers) kann sich dergestalt ändern, dass der Einzelne (oder Arbeitnehmer) dazu gedrängt wird, entsprechende Apps zu nutzen. Teilweise wird befürchtet, dass die Nichtnutzung sogar Mobbing oder Stigmatisierung auslösen könnte; etwa wenn die Nichtnutzung als unsolidarisch oder als asozial etikettiert wird.

Kritik aus datenschutzrechtlicher Sicht

Hinzu kommt, dass die Einführung der Apps auf freiwilliger Basis nicht nur gesellschaftliche Gefahren mit sich bringt, sondern auch normativ problematisch ist. Zunächst stellt sich die Frage, ob dem Einzelnen sein grundrechtlicher Schutz zur Disposition steht, der Verzicht seines Rechts auf informationelle Selbstbestimmung mithin zulässig ist, was für das deutsche Recht umstritten ist. Erschwerend hinzu kommt, dass der Inhalt des Rechts und dessen Bedeutung im konkreten Einzelfall in vielerlei Hinsicht vom europäischen Datenschutzrecht überlagert ist. So können Daten zwar aufgrund einer Einwilligung nach Art. 7 DSGVO verarbeitet werden. Dies entbindet denjenigen, der die Daten verarbeitet aber nicht davon, sich an die Datenschutzgrundsätze zu halten. Darüber hinaus muss die Einwilligung nach Art. 7 DSGVO freiwillig erfolgen, was nach EG 43 S. 1 DSGVO insbesondere dann nicht der Fall ist, wenn es sich bei den Verantwortlichen um eine Behörde handelt und daher ein „klares Ungleichgewicht“ besteht. Daraus wird zu Recht der Schluss gezogen, dass öffentliche Stellen Datenverarbeitungen grundsätzlich nicht über eine Einwilligung rechtfertigen können. Erforderlich ist vielmehr eine den rechtsstaatlichen Grundsätzen der Bestimmtheit gerecht werdende Gesetzesgrundlage, die eine verfassungsrechtliche Überprüfung überhaupt erst möglich macht. Von Vornherein auf eine Rechtsgrundlage zu verzichten und um eine „Datenspende“ zu bitten ist weit von dem entfernt, was man Gesetzmäßigkeit der Verwaltung nennt.

Datenschutzgerechte Lösung

Will der Staat dennoch nicht auf die Möglichkeiten verzichten, die er sich von einer Corona-Datenspende-App verspricht, muss er die Nutzung rechtlich regeln. Bereits jetzt ist Art. 6 Abs. 1 S. 1 lit. d) DSGVO eine grundsätzlich geeignete Rechtsgrundlage. So spricht EG 46 DSGVO ausdrücklich davon, ein lebenswichtiges Interesse auch in der Überwachung von Epidemien liegen kann. Indem EG 46 DSGVO ausdrücklich anerkennt, dass es eine enge Konnexität zwischen dem lebenswichtigen Interesse und dem öffentlichen Interesse nach Art. 6 Abs. 1 S. 1 lit. e) DSGVO gibt (vgl. Gola DS-GVO/Schulz, 2. Aufl. 2018, DS-GVO Art. 6  Rn. 45) – dessen sinnfälligstes Beispiel die Epidemie ist – wäre der Weg über Art. 6 Abs. 1 S. 1 lit. d) iVm. EG 46 iVm. Art. 6 Abs. 1 S. 1 lit. e) DSGVO auch kompetenziell der richtige Weg. Denn die Einwilligungslösung missachten nicht nur materiell den europäischen Gesetzgeber, sondern lässt auch die Frage offen, ob überhaupt eine nationalstaatliche Kompetenz zur Regelung des Falls vorliegt. Hingegen macht die hier aufgezeigte Lösung deutlich, dass der deutsche Gesetzgeber nach Art. 6 Abs. 3 iVm. EG 46 DSGVO sehr wohl berechtigt ist, den Risiken einer Epidemie mit den Mitteln der Verarbeitung personenbezogener Daten zu begegnen. Doch stellt Art. 6 Abs. 3 S. 1 DSGVO fest, dass für hierfür eine Rechtsgrundlage erforderlich ist. Dass in diesem Rahmen auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO verarbeiten werden dürfen, ergibt sich zumindest für die Bundesrepublik aus § 22 Abs. 1 Nr. 1 lit. c) BDSG. Hiernach ist eine Verarbeitung berechtigt, wenn sie aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erfolgt (vgl. Gola/Heckmann/Heckmann/Scheurer, 13. Aufl. 2019, BDSG § 22  Rn. 31). Im Rahmen der konkreten rechtlichen Ausgestaltung bleibt es dem Gesetzgeber wieder überlassen, ob und wie er der Freiwilligkeit in Bezug auf „Datenspenden“ Raum geben möchte.

Fazit

Es gibt viele Gründe eine Datenspende-App aus inhaltlichen Gründen abzulehnen. Eine definitive Beurteilung setzt jedoch voraus, dass gesetzlich bestimmt wird, wie eine solche App ausgestaltet ist, welche Grundrechte berührt wären und welche Rechtsschutzmittel es geben würde. Richtig kann sonach nur der Weg über eine gesetzliche Bestimmung sein, die das staatliche Handeln transparent und rechtlich beurteilbar macht und nicht unter dem Schleier der Freiwilligkeit den Anschein erweckt, jenseits des rechtlichen Relevanten zu stehen. Darüber hinaus ergibts sich dieses Erfordernis auch direkt aus der Datenschutzgrundverordnung, die als europäische Verordnung Verbindlichkeit auch für den deutschen Gesetzgeber hat. Sollte es zu der unregulierten Möglichkeit kommen, Gesundheitsdaten an den Staat zu „spenden“, ist dies ausdrücklich nicht zu empfehlen.