Die Corona-Warn-App des Robert-Koch-Instituts (RKI) steht seit gestern zum Download bereit und wurde unter großer medialer Aufmerksamkeit von RKI, der Bundesregierung und den beteiligten Unternehmen vorgestellt. Sie ermöglicht eine dezentrale Kontaktnachverfolgung und soll so ein individuelles Infektionsrisiko für jede NutzerIn ermitteln, letztlich um Infektionsketten zu unterbrechen und so die Infektionsrate insgesamt niedrig zu halten. Die App-Nutzung ist dabei richtigerweise freiwillig und soll dies auch bleiben.

So sehr all dies positiv stimmt, ging dem Start der App eine lange und teils ideologisch anmutende Debatte über Datenschutz und Datensicherheit voran. Zuletzt kamen auch politische Forderungen auf, die App auf eine gesetzliche Grundlage zu stellen.¹Vgl. zu den diesbezüglichen Forderungen der Partei Bündnis 90/Die Grünen br.de v. 15.6.2020, abrufbar unter https://www.br.de/nachrichten/deutschland-welt/corona-app-bleibt-freiwillig-gruene-wollen-gesetz,S1zBxbW, zul. abgerufen am 16.6.2020. Das nun vorgestellte Ergebnis lässt dabei einerseits auf eine datenschutzrechtliche Ideallösung hoffen. Andererseits ist es auch zu bedauern, dass das grundsätzlich auch auf einen „free flow of data“ (Art. 1 Abs. 1 DS-GVO) angelegte Datenschutzrecht hier scheinbar eine derart große Hürde für die zeitnahe Verwirklichung des Projekts darstellte.

Denn mit dem in der Corona-Krise erfolgten Herunterfahren des öffentlichen Lebens sind zwangsläufig empfindliche und breitenwirksame Grundrechtseinschränkungen verbunden – ganz abgesehen von den wirtschaftlichen Auswirkungen. Zwar lässt sich nicht mit Sicherheit sagen, ob die neue App nun wirklich zu einer spürbaren Entspannung des Infektionsgeschehens und damit zu einer Lockerung beitragen kann. Doch geht man davon aus, dass sie zumindest einen wie auch immer zu gewichtenden Beitrag leistet, so ist zu berücksichtigen, dass die Verzögerungen nicht zuletzt zu Lasten anderer Grundrechtspositionen ging. Dabei ist sicher nicht nur potenziell das Recht auf körperliche Unversehrtheit betroffen, sondern genauso alle durch den „Shutdown“ eingeschränkten Freiheitsrechte.

Rechtlich stellen sich demnach viele neuartige Fragen nicht nur im Bereich des Datenschutzrechts im Mehrebenensystem, sondern auch hinsichtlich komplexer Grundrechtsabwägungen. Letztere müssen trotz der jetzt auf Freiwilligkeit basierenden Lösung insbesondere bei der Frage, ob die Verwendung einer App durch staatlichen Zwang herbeigeführt werden kann angestellt werden.

Die folgenden Ausführungen verstehen sich vor diesem Hintergrund als Beitrag zu einer Strukturierung und datenschutz- wie verfassungsrechtlichen Einordnung der Diskussion um die nun verfügbare Corona-Warn-App, mit der sich die Autoren bereits zuvor in einem früheren Stadium der Entwicklung beschäftigten.²Siehe Kühling/Schildbach, NJW 2020, 1545. Dies erfordert zunächst eine knappe Erläuterung der Funktionsweise (hierzu I.). Sodann erfolgt eine datenschutzrechtliche Bewertung einer solchen App, wobei auch der Frage nach der Sinnhaftigkeit der Einführung eines Corona-App-Gesetzes nachgegangen wird (hierzu II.). Zudem wird aufgezeigt, ob die Aufgabe der Freiwilligkeit zugunsten einer staatlichen Nutzungsverpflichtung grundrechtlich möglich wäre (hierzu III.). Ein Ausblick rundet den Beitrag ab und zeigt auf, in welchen weiteren Kontext der rechtlichen Bewältigung der Corona-Krise sich die datenschutzrechtliche Diskussion einfügt (hierzu IV.).

I. Funktionsweise der App

Die Corona-Warn-App fällt in die in anderen Ländern teilweise bereits genutzte Kategorie der sog. „Close-Contact“- oder „Contact-Tracing“-Apps. Die App nutzt die Bluetooth-Funktion der Endgeräte. Jeder App-NutzerIn werden wechselnde IDs zugeteilt. Kommen sich zwei Personen für einen gewissen Zeitraum nahe, wird die ID des jeweils anderen lokal auf den Geräten gespeichert.³Hierzu Buermeyer/Abeler/Bäcker, netzpolitik.org v. 29.3.2020, abrufbar unter https://netzpolitik.org/2020/corona-tracking-datenschutz-kein-notwendiger-widerspruch/, zul. abgerufen am 9.4.2020; siehe auch Schwartmann/Mühlenbeck, faz.net v. 6.4.2020, abrufbar unter https://www.faz.net/aktuell/gesellschaft/gesundheit/coronavirus/die-corona-app-und-der-datenschutz-16714214.html, zul. abgerufen am 9.4.2020. Wird eine Person positiv auf COVID-19 getestet, so kann sie nun über die App eine Meldung absetzen. Hierbei werden an einen zentralen Server Daten übertragen, die es ermöglichen alle App-NutzerInnen zu warnen, die mit der infizierten Person in Kontakt waren – jedoch ohne, dass die gewarnte Person über die App erfährt, welcher Kontakt infiziert ist.⁴Buermeyer/Abeler/Bäcker, netzpolitik.org v. 29.3.2020, abrufbar unter https://netzpolitik.org/2020/corona-tracking-datenschutz-kein-notwendiger-widerspruch/, zul. abgerufen am 9.4.2020; siehe auch Schwartmann/Mühlenbeck, faz.net v. 6.4.2020, abrufbar unter https://www.faz.net/aktuell/gesellschaft/gesundheit/coronavirus/die-corona-app-und-der-datenschutz-16714214.html, zul. abgerufen am 9.4.2020.

Dabei hat man sich entschieden, dass nur die eigenen wechselnden IDs, nicht aber die IDs der erfassten Kontakte übermittelt werden sollen.⁵Siehe hierzu RKI, Datenschutzerklärung Corona-Warn-App, abrufbar unter https://www.coronawarn.app/assets/documents/cwa-privacy-notice-de.pdf, zul. abgerufen am 16.6.2020. Die Rede ist von der „dezentralen“ Variante. Zum Schutz vor Falschmeldungen muss entweder ein QR-Code von einem Testlabor eingescannt werden oder aber eine Verifizierung per TeleTAN-Verfahren erfolgen.⁶Siehe hierzu die Website zur App, abrufbar unter https://www.coronawarn.app/de/, zul. abgerufen am 16.6.2020. Die Kontakte einer infizierten Person sollen sich sodann selbst isolieren und ggf. testen lassen.⁷Kritisch hierzu sowie grundsätzlich zur Verwendung der Bluetooth-Technologie Brink/Henning, netzpolitik.org v. 3.4.2020, abrufbar unter https://netzpolitik.org/2020/warum-freiwilliges-handy-tracking-nicht-funktioniert/, zul. abgerufen am 13.4.2020.

Ziel der Anwendung ist es, die Infektionsketten zu unterbrechen. Der Vorteil gegenüber der manuellen Kontaktnachverfolgung durch die Gesundheitsämter soll ein erheblicher Geschwindigkeitszuwachs und die Berücksichtigung unbekannter Personen im öffentlichen Raum sein. Schnelligkeit ist notwendig, da insbesondere (noch) symptomlose Erkrankte andere infizieren können. Geschützt wird dabei jedoch nicht jeder Verwender der App, sondern de facto erst die „dritte Generation“ in einer Infektionskette, also die infolge einer erhaltenen Warnung nicht mehr kontaktierten Personen. Der Erfolg der App dürfte im Wesentlichen davon abhängen, dass sie auch von einem Großteil der Bevölkerung genutzt wird.⁸Hierzu etwa Ferretti et al., Science 10.1126/science. abb6936 (2020), abrufbar unter https://science.sciencemag.org/content/early/2020/04/09/science.abb6936, zul. abgerufen am 13.4.2020; siehe auch Drosten, NDR v. 3.4.2020, abrufbar unter https://www.ndr.de/nachrichten/info/27-Coronavirus-Update-Handy-Apps-koennen-eine-Perspektive-bieten,podcastcoronavirus172.html#app, zul. abgerufen am 13.4.2020. Das nun gestartet Konzept basiert auf der Freiwilligkeit der NutzerInnen, wie dies etwa auch der Europäische Datenschutzausschuss (EDSA)⁹EDSA, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, adopted on 21 April 2020, Rn. 24. forderte. Doch auch ein „App-Zwang“ wurde zuweilen diskutiert¹⁰Klöckner/Koch/Neuerer, handelsblatt.com v. 10.4.2020, abrufbar unter https://www.handelsblatt.com/politik/deutschland/eindaemmung-der-pandemie-koalition-streitet-ueber-pflicht-zur-corona-app-nutzung/25731978.html?ticket=ST-2696854-b3yoGwruNvAIr4gL65vN-ap5, zul. abgerufen am 10.4.2020. und wird von manchen weiter befürchtet.¹¹Etwa Brink deutschlandfunkkultur.de v. 15.62020, abrufbar unter https://www.deutschlandfunkkultur.de/corona-app-kommt-staendige-pruefung-der-freiwilligkeit-ist.1008.de.html?dram:article_id=478621, zul. abgerufen am 16.6.2020.

II. Die Corona-Warn-App in der datenschutzrechtlichen Bewertung

Zumal für die App des RKI eine rechtssichere Umsetzung von essenzieller Bedeutung ist, gilt es nach der Frage der Anwendbarkeit des Datenschutzrechts (hierzu 1.) vor allem die nach der (ausreichenden) Rechtsgrundlage zu beantworten (hierzu 2.). Außerdem sollen sonstige datenschutzrechtliche Anforderungen an die App skizziert (hierzu 3.) sowie die Frage nach der Sinnhaftigkeit eines Corona-Warn-App-Gesetzes beantwortet werden (hierzu 4.).

1. Anwendbarkeit der DS-GVO: personenbezogene Daten?

Schwierigkeiten bereitet bereits die Beantwortung, ob und wenn ja, wann bei der Corona-Warn-App aus Sicht des RKI als Verantwortliche personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO vorliegen, also ob der Anwendungsbereich des Datenschutzrechts nach Art. 2 Abs. 1 DS-GVO eröffnet ist. Diese Frage ist trotz der klarstellenden Rechtsprechung des EuGH, dass von einem relativen Personenbezug auszugehen ist¹²EuGH, Rs. C-582/14, ECLI:EU:C:2016:779 – Breyer, m. Anm. Kühling/Klar, ZD 2017, 24 ff., im Einzelnen hoch umstritten.¹³Dazu bereits Kühling/Klar, NJW 2013, 3611.

So auch hier, denn eine Identifizierung einzelner Personen über den Inhalt der Daten ist ausgeschlossen, da lediglich die eigenen IDs der die Infektionsmeldung abgebenden NutzerIn übermittelt werden. Die zunächst auf jedem Handy erfassten Kontaktinformationen werden bei der zum Einsatz kommenden dezentralen Variante nicht an das RKI oder an Dritte übermittelt, so dass diese keine personenbezogenen Daten für das RKI darstellen können. Auch die Risikobewertung, also die Kontaktmeldung, findet lokal auf dem jeweiligen Endgerät statt. Es geht ausschließlich um das potenzielle Gesundheitsdatum der Infektionsmeldung.

Kann nun von Seiten des RKI als Verantwortliche sichergestellt werden, dass eine Nutzeridentifizierung bei der Infektionsmeldung über technische Gegebenheiten (IP-Adresse, Gerätekennung, etc.) ausgeschlossen ist, so liegen aus dessen Sicht möglicherweise tatsächlich anonyme Daten vor¹⁴Zu diesem Ergebnis kommt etwa der Wissenschaftliche Dienst des Bundestages, Einzelfragen zum Handy-Tracking in Deutschland im Zusammenhang mit der Corona-Pandemie, 22.4.2020, WD 3 – 3000 – 098/20, S. 11 f., 14, der jedoch schon auf der Sachverhaltsebene (S. 4) anonyme Daten als gegeben annimmt und die Identifizierbarkeit nicht näher prüft. Vielmehr unterliegt der Wissenschaftliche Dienst mit der Aussage, es lägen keine personenbezogenen Daten vor, da nur anonyme Daten verwendet werden, einem Zirkelschluss und verkennt, dass alle weiteren Ausführung zur Einwilligung oder zu Löschfristen hinfällig wären, würde diese Aussage zutreffen. – obgleich eine vorschnelle Ablehnung des Personenbezugs mit Vorsicht vorzunehmen ist.¹⁵So qualifizierte etwa der BayVGH eine Liste mit „gehashten“ Mailadressen als personenbezogene Daten, obwohl auch hier die Verantwortlichen de facto nicht wussten, welche natürliche Person sich hinter welchem Hashwert verbirgt, Beschl.v. 26.9.2018–5 CS 18.1157 = NVwZ 2019, 171. Aber selbst wenn die IDs für das RKI grundsätzlich anonym sein sollten, so besteht weiter die Möglichkeit, dass einzelne NutzerInnen andere identifizieren, die eine Infektionsmeldung abgegeben haben. Namentlich dann, wenn eine NutzerIn nur mit wenigen Personen in Kontakt steht und per Ausschlussprinzip weiß, wer erkrankt sein muss.

Dies führt zu der skurrilen Situation, dass das RKI zwar aus eigener Perspektive möglicherweise anonyme Daten übermittelt, damit aber jedenfalls in Einzelfällen aleatorisch bei den NutzerInnen personenbezogene (Gesundheits-)Daten generiert. Betrachtet man insoweit das Gesamtsystem der Datenverarbeitung, ist festzustellen, dass unter der Verantwortlichkeit des RKI teilweise personenbezogene Daten zirkulieren, die insofern auch hier den gesamten Datensatz „kontaminieren“. Es erschiene teleologisch wenig überzeugend, gerade das RKI, das über die Mittel und Zwecke der Datenverarbeitung entscheidet und das notwendige zentrale Element herstellt, aus dem Anwendungsbereich des Datenschutzrechts zu entlassen. Daher spricht vieles für die Anwendbarkeit der datenschutzrechtlichen Regelungen. Das gilt allerdings nicht mit dem Zeitpunkt des Beginns der App-Nutzung, sondern erst mit dem Absetzen einer Infektionsmeldung. Letztlich verbleibt gerade in dieser zentralen Frage jedoch eine erhebliche Rechtsunsicherheit.

2. Prinzipielle Zulässigkeit auf Basis der Freiwilligkeit

Als Rechtsgrundlage stützt sich die Corona-Warn-App auf die Einwilligung nach Art. 6 Abs. 1 lit. a bzw. nach Art. 9 Abs. 2 lit. a soweit Gesundheitsdaten betroffen sind, jeweils i.V.m. Art. 7  und Art. A Nr. 11 DS-GVO. Soweit also tatsächlich eine Verarbeitung personenbezogene Daten aus Sicht des RKI vorliegt, gilt: nur mit der (ausdrücklichen) Einwilligung der NutzerInnen, also bei tatsächlich sichergestellter Freiwilligkeit, ist dies rechtmäßig.

Gegen das Vorliegen der Freiwilligkeit werden zuweilen Bedenken geäußert. Zunächst wird ins Feldgeführt, dass die App nur ihre volle Wirksamkeit entfaltet, wenn sie von einem erheblichen Teil der Bevölkerung genutzt wird. Dies berge die Gefahr eines sozialen oder auch politischen Drucks auf die einwilligende Person. Das gelte umso mehr, wenn die freiwillige Lösung mit einer (impliziten) „Drohung“ der Politik mit einer Zwangs-App kombiniert wird für den Fall, dass nicht ausreichende Nutzerzahlen erreicht werden.¹⁶Hierzu etwa kritisch Brink/Henning,  netzpolitik.org v. 3.4.2020, abrufbar unter https://netzpolitik.org/2020/warum-freiwilliges-handy-tracking-nicht-funktioniert/, zul. abgerufen am 13.4.2020; a.A. Wissenschaftlicher Dienst des Bundestages, Einzelfragen zum Handy-Tracking in Deutschland im Zusammenhang mit der Corona-Pandemie, 22.4.2020, WD 3 – 3000 – 098/20, S. 6 f.

Sofern von staatlicher Seite jedoch keine positiven Anreize für individuelle Personen gesetzt werden (etwa teilweise Ausnahme von Beschränkungen – beispielsweise Restaurantbesuche, Reisen etc. – nur im Fall der nachweislichen Verwendung der App) können diese Aspekte keinesfalls genügen, um eine hinreichende Entscheidungsfreiheit des Einzelnen auszuschließen. So ist ja nicht ersichtlich, ob jemand die App verwendet oder nicht.

Des Weiteren stehen Bedenken angesichts der Befürchtung im Raum, private Dritte (Restaurantbetreiber, Mobilitätsanbieter usw.) könnten die App als Bedingung für ihre Dienstleistungen voraussetzen und so einen faktischen App-Zwang generieren. Sollte dies flächendeckend der Fall sein, so würde dies sicherlich eine Gefährdung der Freiwilligkeit darstellen. Dabei scheint es zumindest nicht gänzlich abwegig, dass einzelne private Dritte ein solches Vorgehen an den Tag legen, in der Hoffnung, damit Haftungsrisiken zu minimieren.

Doch es ist nicht ersichtlich, dass die private App-Pflicht wirklich zur Praxis wird – schlicht schon deshalb, weil die App-Nutzung allein für das Infektionsrisiko in einem Restaurant oder in einem Verkehrsmittel keinen unmittelbaren Vorteil bringt. Außerdem wäre die Durchführung einer privaten Verpflichtung zur App, jedenfalls soweit dabei personenbezogene Daten erhoben werden, mangels einschlägiger Rechtsgrundlage rechtswidrig. Ein Beispiel hierfür wäre ein Konzertveranstalter, der von seinen Kunden beim Ticketkauf einen Nachweis für die Verwendung der App fordert. Ein solcher privater Dritter könnte sich wegen des Koppelungsverbots nicht auf Einwilligungserklärungen seiner Kunden berufen. Auch ein App-Pflicht durch (wirksame) AGB scheint in der Umsetzung schwierig (siehe jedoch unter 4. die Klarstellungsmöglichkeiten de lege ferenda).

Im Ergebnis sprechen keine durchschlagenden Gründe gegen die Gewährleistung der Freiwilligkeit und bei unveränderter Ausgangslage ist die Corona-Warn-App mit Zulässigkeitstatbestand der Einwilligung rechtssicher aufgestellt. Anzumerken bleibt, dass die Einwilligung eigentlich erst bei dem Absenden der Infektionsmeldung notwendig wäre, da zuvor keine Datenverarbeitung durch das RKI stattfindet. Eine Vorverlagerung hin zur Installation der App ist jedoch schon aus pragmatischen Gründen sinnvoll und so auch umgesetzt worden. Beim Absenden der Infektionsmeldung wird in der aktuellen Ausgestaltung eine weitere Einwilligungserklären gefordert, was aus Rechtssicherheitsgesichtspunkten nachvollziehbar erscheint.  Zu dem Ergebnis der grundsätzlichen Zulässigkeit auf der Basis der Freiwilligkeit kommt auch der EDSA.¹⁷EDSA, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, adopted on 21 April 2020, Rn. 24 ff.

3. Sonstige datenschutzrechtliche Anforderungen

Neben der Sicherstellung der Zulässigkeit der Datenverarbeitung sind grundsätzlich die Rechte der betroffenen Personen nach den Art. 12 ff. DS-GVO zu wahren. Dies gilt i.S.d. Art. 11 DS-GVO freilich nur, soweit eine betroffene Person bereits identifiziert ist oder selbst die nötigen Informationen zur Identifizierung beitragen kann. Andernfalls muss die Verantwortliche keine zusätzlichen Daten verarbeiten, nur um bisher nicht identifizierte NutzerInnen zu identifizieren. Zudem greift die Zweckbindung, so dass eine Weitergabe von Daten auch an andere Behörden grundsätzlich ausscheidet. Ein wesentlicher Aspekt, der über die Datenschutzrechtskonformität der Anwendung mit entscheidet, ist zudem die Gewährleistung der Datensicherheit i.S.d. Art. 32 DS-GVO. Auch eine Datenschutz-Folgenabschätzung war nach Art. 35 DS-GVO durchzuführen.¹⁸Siehe RKI, Bericht zur Datenschutz-Folgenabschätzung für die Corona-Warn-App der Bundesrepublik Deutschland, abrufbar unter https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf, zul. aufgerufen am 16.6.2020; zur Pflicht hierzu vgl. EDSA, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, adopted on 21 April 2020, Rn. 39.

4. Notwendigkeit und Sinnhaftigkeit eines begleitenden Gesetzes

Flankierend dazu könnte der nationale Gesetzgeber künftig darüber hinaus i.R.d. Öffnungsklauseln noch ergänzende, das Datenschutzniveau steigernde Regelungen erlassen, ohne jedoch auf die Einwilligung zu verzichten. Denkbar wären etwa ein ausdrückliches Re-Identifizierungsverbot, eine zeitlich begrenzte Laufzeit der App, ein ausdrückliches Datenweitergabeverbot oder auch spezielle Straftatbestände für den Missbrauch dieser besonders sensiblen Daten (gegenüber den „Datentreuhändern“ beim RKI sowie potenziellen Angreifern von außen).¹⁹Zur Entwicklung entsprechender Anforderungen mit Blick auf die Sicherung der sog. Versorgungsdaten, siehe hierzu Kühling/Sackmann/Schildbach, Rechtsgutachten über den sozialdatenschutzrechtlichen Weiterentwicklungsbedarf im SGB V und SGB X im Hinblick auf Big-Data-Anwendungen, 2019, S. 85 ff., abrufbar unter https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/5_Publikationen/Gesundheit/Berichte/Rechtsgutachten-Big-Data.pdf, zul. abgerufen am 16.4.2020.

Auch eine Regelung zur Sicherstellung der Freiwilligkeit, die es privaten Dritten verbietet, die App zum Vertragsschluss und zum Betreten einer wie auch immer gearteten Lokalität vorauszusetzen, scheint nicht abwegig (hierzu bereits oben unter 2.). Rechtsgrundlage bliebe aber weiterhin die Einwilligung nach der DS-GVO. Dagegen würde ein grundsätzlich denkbarer nicht einwilligungsbasierter Ansatz, Zulässigkeitstatbestand und Freiwilligkeit in einem zu schaffenden Gesetz zu kombinieren,²⁰Diese Möglichkeit eröffnet der EDSA, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, adopted on 21 April 2020, Rn. 29. etwa im Rahmen einer „ausdrücklichen Zustimmung“ als eine Tatbestandsvoraussetzung von mehreren keinen nennenswerten Vorteil bringen.²¹Hierzu Sackmann, PinG 2019, 277.  Zwingend notwendig ist all dies damit nicht und würde – eine brauchbare Umsetzung vorausgesetzt – vielmehr nur ein Plus an Datenschutz und Rechtssicherheit darstellen.

III. Verpflichtende App-Lösung als Alternative?

Wesentlich intrikater ist dagegen die Beantwortung der Frage, ob die Corona-Warn-App künftig auch unter Verzicht auf Einwilligungen mit staatlichem Zwang durchgesetzt werden dürfte. Zunächst wäre dafür eine ausdrückliche gesetzliche Grundlage erforderlich, soweit personenbezogene Daten vorliegen, zumal nicht davon auszugehen ist, dass die allgemeine Bestimmung des § 22 Abs. 1 S. 1 Nr. 1 lit. c BDSG die vom BVerfG aufgestellten strengen Anforderungen an eine hinreichend präzise bereichsspezifische Regelung angesichts der vorliegend hohen Grundrechtseingriffsintensität erfüllt.²²Zum streng verstandenen Parlamentsvorbehalt bereits Kingreen/Kühling, JZ 2015, 213.

Dabei ließe die breite Öffnungsklausel des Art. 9 Abs. 2 lit. i DS-GVO eine solche nationale Regelung grundsätzlich zu.²³So zutreffend, auch mit Verweis auf Erwägungsgrund 54 S. 1 DS-GVO, Thüsing, faz.net v. 9.4.2020, abrufbar unter https://www.faz.net/aktuell/politik/staat-und-recht/was-juristen-und-datenschuetzer-ueber-die-corona-app-sagen-16718015.html, zul. abgerufen am 16.4.2020. Entscheidend ist jedoch, ob diese mit den Grundrechten in Einklang zu bringen wäre.²⁴In diese Richtung bereits Kugelmann, faz.net v. 9.4.2020, abrufbar unter https://www.faz.net/aktuell/politik/staat-und-recht/was-juristen-und-datenschuetzer-ueber-die-corona-app-sagen-16718015.html, zul. abgerufen am 16.4.2020. Letztlich ist dazu eine komplexe, multipolare Grundrechtsabwägung erforderlich, in der Gesundheits- wie Freiheits- und Privatsphäreinteressen der Gesamtbevölkerung im Sinne praktischer Konkordanz in Einklang zu bringen sind. Selbst wenn keine personenbezogenen Daten durch die Verantwortliche verarbeitet werden, läge mit dem Zwang zur App-Nutzung dennoch ein Grundrechtseingriff vor, und zwar jedenfalls in die allgemeine Handlungsfreiheit aus Art. 2 Abs. 1 GG.

Nicht durchgreifend ist dabei der Hinweis, dass die erzwungene digitale Kontaktnachverfolgung von der Eingriffsintensität kaum schwerer wiegt als die manuelle Variante, die bereits von den Gesundheitsämtern betrieben wird. Denn das verkennt die Breitenwirksamkeit einer verpflichtenden App sowie die Tatsache, dass die Angaben zu Kontakten gegenüber den Gesundheitsämtern bisher auch nur freiwillig, nämlich unter Mitwirkung der infizierten Personen, funktionieren kann.

Inwieweit die strengen Rechtsprechungslinien zur Vorratsdatenspeicherung im Telekommunikationsbereich²⁵Kühling/Klar/Sackmann, Datenschutzrecht, 4. Aufl. 2018, Rn. 83 ff., 154 ff. hier angesichts der Dezentralität der Datenverarbeitung übertragen werden können, ist zwar durchaus fraglich. Dennoch sollte klar sein, dass lediglich eine möglichst datensparsame, möglichst weit reichend pseudonymisierte und anonymisierte, vor allem aber datensichere Lösung überhaupt als verpflichtende Variante zur Diskussion stehen kann. Dann wären auch die Eingriffswirkungen, die mit Blick auf die Vielzahl der betroffenen Personen und der durchaus erheblichen Sensibilität der Daten grundsätzlich hoch ist, etwas abgeschwächt. Bei einer solchen Variante der App könnte theoretisch durchaus argumentiert werden, dass die obligatorische App-Nutzung als milderes Mittel gegenüber dem totalen „Shutdown“ mit Einschränkungen der Freizügigkeit und der Wirtschaftsgrundrechte als verfassungsrechtlich rechtfertigbar anzusehen ist²⁶So Thüsing, faz.net v. 9.4.2020, abrufbar unter https://www.faz.net/aktuell/politik/staat-und-recht/was-juristen-und-datenschuetzer-ueber-die-corona-app-sagen-16718015.html, zul. abgerufen am 16.4.2020; a.A. wohl der EDSA, Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, adopted on 21 April 2020, Rn. 24. – vorausgesetzt die App leistet tatsächlich einen messbaren Beitrag zu Pandemiebekämpfung. Denn Datenschutzgrundrechte sind keine „Super-Grundrechte“, die jede Einschränkung ausschließen.

Diese Abwägung ließe jedoch unbeachtet, welche scharfen Grundrechtseingriffe zur effektiven Durchführung und Umsetzung der App-Pflicht notwendig wären. Ganz davon abgesehen, dass manche Menschen kein Smartphone besitzen, müsste man gleichzeitig eine „Handy-Mitführungspflicht“ und ein „Bluetooth-Ausschalteverbot“ einführen und all dies auch tatsächlich kontrollieren. Anders als etwa bei einer leicht zu kontrollierenden Maskenpflicht verursacht also die Durchsetzung der Regel nochmals viel weiter gehende persönlichkeitsrechtliche Folgebeeinträchtigungen. Diese notwendigen „Folgezwangsmaßnahmen“ einer obligatorischen App sind es, die die verfassungsrechtliche Abwägung letztlich zuungunsten einer derartigen Maßnahme kippen lassen würde. Ohnehin klar ist dabei, dass eine verpflichtende Lösung nicht mit dem Grundsatz der Verhältnismäßigkeit in Einklang zu bringen ist, solange eine freiwillige App ähnlich effektiv ist.²⁷So zutreffend Schwartmann, faz.net v. 9.4.2020, abrufbar unter https://www.faz.net/aktuell/politik/staat-und-recht/was-juristen-und-datenschuetzer-ueber-die-corona-app-sagen-16718015.html, zul. abgerufen am 16.4.2020.

IV. Fazit und Ausblick

Die Corona-Warn-App ist nun nach langem Ringen um die Details der Ausgestaltung verfügbar und steht dabei datenschutzrechtlich mit der Entscheidung für die Einwilligung auf einem tragfähigen Gerüst. Die Einführung einer Pflicht zur Nutzung einer solchen App ließe sich dagegen wegen der zwangsläufig notwendigen tiefgreifenden Eingriffe zur effektiven Durchsetzung kaum grundrechtskonform verwirklichen.

Dass die Corona-Warn-App nun – allerdings mit gewisser Verspätung – auch in Deutschland ihren Teil zur Pandemiebekämpfung beitragen kann, wirft zunächst ein gutes Licht auf die „Krisenfestigkeit“ des europäischen Datenschutzrechts. Ohne dass (wohl noch zeitaufwändiger) neue gesetzliche Grundlagen geschaffen werden mussten, können die Verantwortlichen auf die DS-GVO zurückgreifen, um diese unter gesamtgesellschaftlicher Betrachtung sinnvolle Datenverarbeitung rechtskonform umzusetzen. Und dies geschieht so datensparsam und damit auch aus grundrechtlicher Perspektive in Bezug auf das Recht auf informationelle Selbstbestimmung so wenig eingriffsintensiv wie nur denkbar.

Doch wie bereits eingangs erwähnt, sollte bei aller Notwendigkeit eines hohen datenschutzrechtlichen Standards eines nicht außer Acht gelassen werden: Das Datenschutzgrundrecht ist ebenso wenig wie der Gesundheitsschutz ein „Supergrundrecht“, das alle Belastungen unterbindet, auch wenn sie spürbare Verbesserungen gegenläufiger Grundrechtspositionen mit sich bringen. Nun wurde viel Zeit und Mühe darauf verwendet, einen maximalen Datenschutz zu gewährleisten, was grundsätzlich zu begrüßen ist. Doch schon der Streit um die zentrale oder dezentrale Lösung bei der App hat zu Verzögerungen geführt.

Unser Nachbarland Frankreich folgt beispielsweise dem in Europa ebenfalls vertretenen Ansatz, der eine zentrale Speicherung vorsieht und der in Deutschland auf Widerstand stieß. Auch beim zentralen Ansatz wird aber eine weit reichende anonyme und auch datensichere Lösung angewandt. Sie ist datenschutzrechtlich gewiss gleichermaßen zulässig. Die Verzögerungen durch diesen teils ideologisch überfrachteten Grundsatzstreit – zentral oder dezentral – führten zu Verzögerungen beim Einsatz der App. Das führt wiederum zu einer Verlangsamung bei weiteren Öffnungsschritten – mit allen Konsequenzen für die dadurch betroffenen Grundrechtspositionen, sei es für die Wirtschaft, Schulen, Universitäten oder schlicht das soziale Miteinander.

Außerdem haben wir bei den nächsten Schritten der Wiederherstellung der Reisefreiheit innerhalb der Europäischen Union nun die Aufgabe vor uns, unterschiedliche App-Lösungen miteinander in Einklang zu bringen. Nur so können die Nachverfolgungsapps auch insoweit als Werkzeug gerade zur grenzüberschreitenden Durchbrechung von Infektionsketten in der EU eingesetzt werden. Denn auch mit der Wiederherstellung der Reisefreiheit wird ein wichtiger Beitrag zur Verwirklichung zentraler Grundrechtspositionen geleistet.

* Der Beitrag geht in weiten Teilen auf Erkenntnisse aus Kühling/Schildbach, NJW 2020, 1545 zurück, dort auch mit Ausführungen zu der älteren Corona-Datenspende-App des RKI.