Kategorien
Datenschutzrecht

Corona-Warn-App verpflichtet?

Die neue Corona-Warn-App kann ein wichtiger Baustein zur Bekämpfung der Pandemie werden. Doch niemand muss sie auf seinem Smartphone installieren. So jedenfalls die Bundesregierung. Ist dieses Freiwilligkeitsversprechen haltbar? Oder können Restaurant- und Ladenbesitzer das Betreten der Räumlichkeiten von der Installation der App abhängig machen? Dürfen Arbeitgeber ihren Angestellten die Nutzung des Programms vorschreiben?

Seit diesem Dienstag steht sie zum Download bereit: die offizielle deutsche Corona-Warn-App. Die Anwendung, für die sich das Robert-Koch-Institut verantwortlich zeichnet, ist von der Telekom und der SAP im Auftrag der Bundesregierung entwickelt worden. Lange sah es danach aus, als ließe sich eine Pandemie wirksam nur mit den bewährten Mitteln der Vergangenheit bekämpfen. Abschottung und Quarantäne gehören seit dem Mittelalter zum Standardrepertoire der Seuchenbekämpfung. Die Corona-Apps, die in vielen betroffenen Staaten in diesen Tagen veröffentlicht werden, stellen die erste echte Antwort des 21. Jahrhunderts auf diese Krise dar. Es wird sich zeigen, ob die Tracing-Technologie zur Eindämmung des Krankheitsgeschehens taugt. Die Erwartungen sind jedenfalls immens.

Deutsche Corona-Warn-App vorbildlich

Nach einigem Hin und Her, Kritik aus der Wissenschaft und mehreren Kurskorrekturen, kann sich die deutsche Corona-Warn-App sehen lassen. Die Anwendung ist transparent und datenschutzfreundlich ausgestaltet. So steht ihr gesamter Quellcode auf Github und kann dort von der Entwickler-Community auf Herz und Nieren überprüft werden. Verbesserungsvorschläge und Mitarbeit sind ausdrücklich erwünscht. Bei den Apps einiger anderer Staaten fällt die Bilanz weniger rosig aus. Amnesty International hat elf verschiedene Anwendungen untersucht und dabei eklatante Datenschutzverstöße festgestellt:

„Bahrain’s ‘BeAware Bahrain’, Kuwait’s ‘Shlonik’ and Norway’s ‘Smittestopp’ apps stood out as among the most alarming mass surveillance tools assessed by Amnesty, with all three actively carrying out live or near-live tracking of users’ locations by frequently uploading GPS coordinates to a central server.“

Amnesty International

Auf dem Rücken der Pandemiebekämpfung werden in vielen Ländern bewusst oder unbewusst Werkzeuge zur Totalüberwachung der eigenen Bevölkerung ausgerollt. Norwegen hat inzwischen die Reißleine gezogen und seine „Smittestopp“-App zurückgezogen.

Die Grenzen der Freiwilligkeit

Mit der Vorstellung der deutschen Corona-Warn-App ist immer wieder darauf verwiesen worden, dass ihre Nutzung freiwillig sei. Niemand werde gezwungen, diese App auf sein Smartphone zu laden. Soweit stimmt das auch. Kein Gesetz und keine Verordnung enthalten eine Verpflichtung zur Installation der Anwendung. Die Behörden wollen und können die Verbreitung der App nicht erzwingen. Zwar gibt es Vorschläge aus der Union, die Installation der Corona-Warn-App etwa mit Steuervergünstigungen oder einem früheren Zugang zu Kulturveranstaltungen zu belohnen und zu fördern. Doch diese Stimmen haben sich bislang nicht durchgesetzt.

Ganz so einfach ist das aber dennoch nicht mit der Freiwilligkeit. Neben dem Staat gibt es noch andere Akteure, die zumindest mittelbar eine Verpflichtung zur Installation der Corona-Warn-App durchdrücken könnten. In Zeiten der Pandemie ergreifen Unternehmen Schutzmaßnahmen für Kunden, Gäste und Mitarbeiter. Teilweise liegen ihnen behördliche Vorgaben, teilweise selbst ausgebrütete Ideen zu Grunde. Schritte zur Eindämmung von Corona sind wichtig. Aber was ist bei der Einbindung der Corona-Warn-App in das eigene „Hygiene-Konzept“ rechtlich zulässig? Schauen wir uns ein paar Beispiele an:

Darf ich einem Gast den Besuch meines Restaurants, meines Ladens oder meiner Veranstaltung untersagen, wenn er die Corona-Warn-App nicht installiert hat? Ist es erlaubt, das Betreten von dem Status in der Corona-Warn-App „Niedriges Risiko“ abhängig zu machen?

Grundsätzlich haben Unternehmen das Hausrecht in ihren eigenen Räumlichkeiten. Sie machen die Regeln, wer rein kommt und und wer nicht. Ein Unternehmen kann prinzipiell entscheiden, dass die installierte App als Eintrittskarte dienen soll. Das folgt auch aus der Privatautonomie. Die Datenschutzaufsichtsbehörden sehen das ganz anders:

„Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastrono-mie betrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden. Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen“

Datenschutzkonferenz

Das Argument der Aufsichtsbehörden geht so: wenn sich ein Unternehmen am Eingang zeigen lässt, dass ein Gast die App installiert hat, dann stellt das bereits eine Datenverarbeitung dar. Denn das Unternehmen hat die Information erhoben, dass ein – ihm ansonsten vielleicht unbekannter – Gast auf seinem Smartphone die geforderte Anwendung aufgespielt hat. Die Datenschutzgrundverordnung verlangt nun für jede Datenverarbeitung eine Rechtsgrundlage. Es gilt grundsätzlich ein Verbot mit sogenanntem Erlaubnisvorbehalt („alles ist verboten, außer es ist ausnahmsweise erlaubt“). Eine Rechtsgrundlage kann in einem Vertrag, in einer gesetzlichen Verpflichtung zur Datenverarbeitung oder in einer Einwilligung liegen. Dem Unternehmen fehlt aus Sicht der Datenschutzbehörde hier aber auf eine solche taugliche Rechtsgrundlage. Eine Einwilligung des Gastes, die er mit dem Vorzeigen seines Handys konkludent erteilt, ist es jedenfalls nicht. Denn Einwilligungen verlangen wiederum eine Freiwilligkeit und an einer solchen Freiwilligkeit fehlt es, sofern dem Besucher der Zutritt verwehrt wird, wenn er sein Smartphone eben nicht vorzeigt.  

Fast schon drohend bringt sich der Bundesdatenschutzbeauftragte in einer Pressemitteilung in Stellung:

 „Beim Umgang mit der App gibt es für den BfDI eine wichtige Grenze: Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. ‚Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!‘“

Bundesdatenschutzbeauftragter Ulrich Kelber

Um Ärger und mögliche Bußgeldverfahren zu vermeiden, sollten Restaurants, Veranstalter, Sportvereine, etc. die Vorgaben der Datenschutzaufsichtsbehörden berücksichtigen. Das wäre der Weg des geringsten Widerstands.

Rechtsdogmatisch ist die Position der Datenschutzbehörden aber weder nachvollziehbar, noch haltbar. Das bloße Vorzeigen der App auf dem Smartphone und das Anschauen durch einen Türsteher fällt nämlich überhaupt nicht in den Anwendungsbereich der DSGVO. Laut Art. 2 Abs. 1 DSGVO greift die DSGVO nur „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ Das Anschauen des Smartphones eines Gastes ist in diesem Sinne zwar eine nichtautomatisierte Verarbeitung. Aber die Netzhaut und das Gehirn des Einlassmitarbeiters sind keine Dateisysteme. Die DSGVO gilt vorliegend also gar nicht.

Das mag man als Mindermeinung abtun. In einem anderen Zusammenhang wurde diese Position aber selbst vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) vertreten. Dieser äußerte sich in seinem Tätigkeitsbericht 2019 zur Kontrolle von digitalen Fahrscheinen im Hamburger Nahverkehr. Fahrgäste, die ihr Ticket über die App der lokalen Verkehrsbetriebe erworben hatten (HVV-App), wurden vom Prüfdienst zum Vorzeigen des Smartphones aufgefordert. Für den HmbBfDI fällt das nicht in den Anwendungsbereich der DSGVO:

Ein aufsichtsbehördliches Einschreiten war allerdings aus seiner Sicht nicht veranlasst, schon weil die Sichtkontrolle des Handy-Tickets durch Kontrolleurinnen und Kontrolleuren der HVV-Mitgliedsunternehmen nicht der DSGVO unterfällt. Diese regelt nämlich nur die (ganz oder teilweise) automatisierte Datenverarbeitung (Art. 2 Abs. 1 Var. 1 und 3 DSGVO). Die nichtautomatisierte Verarbeitung ist nur umfasst, wenn personenbezogene Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Var. 3). Keiner dieser Fälle liegt bei der Kontrolle von Handy-Tickets vor.

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2019, S. 125

Auch weil die Anwendbarkeit der DSGVO zweifelhaft ist, wird aktuell ein Begleitgesetz zur Corona-Warn-App gefordert. Ein solches Gesetz bräuchte es tatsächlich, wenn man solche mittelbaren Zwangswirkungen durch die Privatwirtschaft ausschließen möchte. Nur wenn das explizit untersagt ist, können Unternehmen und Vereine das Betreten ihrer Räume nicht vom Vorzeigen der Corona-Warn-App abhängig machen.

Kann ein Arbeitgeber seine Mitarbeiter anweisen, die Corona-Warn-App auf den Privathandys oder den Diensthandys zu laden?

Das Direktionsrecht des Arbeitgebers geht nicht soweit, dass er Beschäftigte dazu verpflichten kann, eigene Hard- und Software für berufliche Zwecke zu verwenden. Daher kann er nicht fordern, dass Arbeitnehmer bestimmte Apps auf ihren privaten Endgeräten installieren. Der Arbeitgeber hat im Hinblick auf die eigenen Smartphones der Mitarbeiter auch keinerlei Kontrollrechte.

Selbst bei Diensthandys können Arbeitgeber ihren Beschäftigten keine Vorgaben machen. Werden dienstliche Smartphones ausgegeben und sind diese auch nur für den dienstlichen Gebrauch zugelassen, so kann der Arbeitgeber diese zwar mit der, für die Durchführung des Beschäftigungsverhältnisses erforderlichen Software bespielen. Die Corona-Warn-App ist jedoch gerade nicht erforderlich, damit ein Mitarbeiter seine Aufgaben erfüllen kann. Zudem kann man den Status und die Warnmeldungen der App als Gesundheitsdaten werten, so dass den Arbeitgeber ohnehin höhere Anforderungen an eine Rechtsgrundlage treffen würden, die er kaum erfüllen kann. Statt § 26 Abs. 1 BDSG wird dann der strengere § 26 Abs. 3 BDSG als Rechtsgrundlage zur Anwendung kommen. Die Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses wäre nur dann zulässig, „wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“ Diese Hürde kann man als Arbeitgeber kaum nehmen. Zu guter Letzt scheitert eine Verpflichtung der Corona-Warn-App auch an dem Umstand, dass die Anwendung 24 Stunden am Tag, also auch nach Feierabend Daten des Beschäftigten auf dem Diensthandy erfasst. Aus diesem Grund können Arbeitgeber den Mitarbeitern lediglich raten und empfehlen, die App zu nutzen, wenn sie ihren Einsatz im Unternehmen für wichtig halten.