DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre.

Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)).

Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit Verfügbarkeit der Corona-Warn-App.

So fragen Arbeitgeber, ob sie Beschäftigten die Nutzung vorschreiben können. Während dies noch halbwegs vernünftig ohne gesetzliche Regelung eingeschränkt werden kann, ist dies in anderen Bereichen deutlich schwieriger. Es ist nur eine Frage der Zeit, bis ich beim Einlass in ein Restaurant, ins Kino, in ein Transportmittel etc. aufgefordert werde, den Status in meiner Corona-Warn-App vorzuzeigen.

Die Frage ist bei diesen Maßnahmen ohne ein entsprechendes Gesetz immer, ob dies zulässig ist oder nicht. Nachdem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zunächst in einer Pressemitteilung salopp darauf hinwies, dass so etwas natürlich nicht zulässig sei und er vor diesen Verwendungen warnte, zeigt sich doch bei näherer juristischer Betrachtung, dass in vielen Szenarien z.B. ein Einlass in ein Restaurant im Rahmen des Hausrechts sehr wohl davon abhängig gemacht werden könnte, ob der Gast die Corona-Warn-App nicht nur installiert, sondern auch aktiviert hat und den entsprechenden Status vorzeigt.

Und auch in den Unternehmen gehen heute die ersten E-Mails herum, in denen die Installation der Corona-Warn-App auf Firmenhandys verpflichtend gemacht wird. Wenn in diesen E-Mails zumindest nur die Installation (und nicht die Aktivierung) gefordert wird, ist das schon positiv. Die Richtung ist aber klar vorgegeben. Die ach-so-beworbene Freiwilligkeit der Nutzung schmilzt gerade wie Butter in der Mittagssonne Schleswig-Holsteins am heutigen Tage (ja, es ist heute hier sehr sommerlich).

Und so wird jetzt wohl auch dem letzten klar, dass ein Gesetz zum Einsatz und zur Verwendung der Corona-Warn-App und der hiermit generierten Daten eine gute Idee ist.

Aus scheinbarer Verzweiflung trudelt dann heute eine Pressemitteilung der Datenschutzkonferenz (DSK), also der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein.

Und der Inhalt ist schon ein bisschen „putzig“. Überschrieben ist die Pressemitteilung (PDF) mit dem Titel: „Datenschutzfreundliches Grundkonzept der Corona-Warn-App – Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!“

Da der Text kurz ist, zitiere ich diesen hier:

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Jetzt könnte man als Unternehmen natürlich mächtig Angst bekommen, wenn hier alle Aufsichtsbehörden der Republik meinen, dass man den Zugang zu Läden, Restaurants nicht vom Vorweisen der Corona-Warn-App abhängig machen dürfe.

Nur scheitern die Datenschutzaufsichtsbehörden hier schon selbst an einer substantiierten Argumentation. Der einzige Satz, aus dem sich die Begründung ergeben soll, dass diese Nutzung verboten sei, erwähnt, dass eine Pflicht zum Vorzeigen der Corona-Warn-App beim Einlass eine „zweckwidrige Verwendung“ darstelle, die mit dem Konzept der Freiwilligkeit nicht vereinbar wäre.

Das ist – mit Verlaub – nicht nur eine „wie-butter-in-der-schleswig-holsteinischen-sonne-dahinschmelzende Scheinargumentation, sondern, um es deutlich zu sagen: „Bullshit“

Bitte richtig verstehen: Ich halte es nicht für gut, wenn ich in Restaurants etc. meine Corona-Warn-App vorzeigen soll. Daher halte ich ein Gesetz, dass diese Szenarien reguliert, für dringend erforderlich.

Da es dieses Gesetz aber nicht gibt, ist hier m.E. Unternehmen kaum zu verwehren, ihr Hausrecht dahingehend wahrzunehmen, dass sie nur Leute einlassen, die die Installation und Aktivierung der App nachweisen und den Status vorzeigen können.

Eine zweckwidrige Verwendung liegt schon deswegen nicht vor, weil in dieser neuen Verarbeitungskonstellation ein Zweck gar nicht bzw. gerade neu durch die Einlassregulierung generiert wird.

Eine Zweckwidrigkeit, wie sie die Aufsichtsbehörden annehmen, liegt insoweit also schon nicht vor.

Und mit dem Konzept der Freiwilligkeit hat auch dies nichts zu tun. Das „Konzept der Freiwilligkeit“ der Corona-Warn-App ist im Verhältnis zwischen Betroffenen und den Unternehmen nicht unmittelbar relevant. Genau genommen noch nicht einmal mittelbar.

Letztlich brauchen die Unternehmen für die Datenverarbeitung in Form des Auslesens bzw. Erkennens von Daten aus der Corona-Warn-App der Besuchenden bzw. Gäste eine Rechtsgrundlage aus dem Datenschutzrecht. Und hier hat er nach Art. 6 Abs. 1 DSGVO ein Sammelsorium verschiedener Möglichkeiten, da diese Datenverarbeitung eben nicht gesetzlich reguliert ist. Genau genommen ließe sich sogar bei einem reinen Vorzeigen der Corona-Warn-App darüber trefflich streiten, ob die DSGVO überhaupt Anwendung findet. Denn ob hier ein „Dateisystem“ vorliegt, kann man bei dem Vorgang der Sichtung der App trefflich bestreiten.

Selbst wenn man in den Anwendungsbereich der DSGVO käme, fiele das Finden einer Rechtsgrundlage für die Verarbeitung dieser Daten im Kontext einer Einlasskontrolle durch Sichtung der Corona-Warn-App nicht unbedingt schwer.

So kann z.B. ein Restaurant über das Hausrecht in Verbindung mit dem Bewirtungsvertrag eine Sichtung der Corona-Warn-App über die Rechtsgrundlage des Vertrages regeln und sich dann auf Art. 6 Abs. 1 lit. b) DSGVO berufen. Solange die Daten aus der Corona-Warn-App nicht gespeichert werden, würde es auch Sicht der sog. AGB-Kontrolle nicht erkennbar sein, dass hierdurch die Gäste unangemessen benachteiligt würden. Auch überraschend wäre so eine Klausel nicht. Und eine Abweichung vom gesetzlichen Leitbild des Gesetzgebers hätten wir auch nicht. Denn der Einsatz der Corona-Warn-App ist eben (leider) derzeit nicht gesetzlich geregelt.

Auch in anderen Bereichen wie Sportvereinen, Ladengeschäften etc. dürfte das Finden einer geeigneten Rechtsgrundlage nicht unbedingt schwer fallen.

Die Pressemitteilung der DSK stellt somit einen Akt der Verzweiflung dar. Er schadet zumindest nicht. Und dass es ein Gesetz zur Verwendung der Corona-Warn-App nicht gibt, ist nicht Schuld der Aufsichtsbehörden. Gleichwohl wirkt die gesamte Pressemitteilung doch sehr unbeholfen. Sie hätten das vielleicht einfach sein lassen sollen. So lässt sich das in Fachkreisen schwerlich ernst nehmen.

Nachtrag: Die geschätzte Kirsten Bock hatte sich das schon in diesem Beitrag hier näher angesehen und ist skeptisch bzgl. der Zulässigkeit von Einlasskontrollen unter Nutzung der Corona-Warn-App. Insbesondere bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO komme ich allerdings zu einer deutlich anderen Gewichtung. Denn hier sind auch die Interessen von Dritten berücksichtigungsfähig. Aber der Punkt mit den „Gesundheitsdaten“ und der Anwendung von Art. 9 DSGVO ist ein gewichtiger Einwand.