#CoronaWarnApp: Begleitgesetz Jetzt!

Nachdem die Bundesregierung, vielleicht zum ersten Mal in der Geschichte der Bundesrepublik dem Rat des CCC in einer wichtigen digitalpolitischen Entscheidung folgend, auf den „dezentralen Ansatz“[1] umgeschwenkt war, ging alles ganz schnell: SAP und Telekom zimmerten die App schnell zusammen – wegen der großen Transparenz des Entstehungsprozesses unter dem Applaus der Netz-/Nerdgemeinde.

Und dann: Ein Pflegedienst verpflichtet seine Mitarbeiterinnen zur Nutzung der App, auch in der Freizeit. „SKANDAL!!“ „Geht gar nicht!“ „In jedem Fall unzulässig. Unzulässig, verstößt ja gegen Freiwilligkeit“ – so konnte man vielerorts, in etwa, lesen (vgl. die Twittereinträge Mitte Juni von: Datenschutzkonferenz, Ulrich Kelber, Peter Schaar u. a.). Wie ist diese Aufregung zu verstehen? Ist sie gerechtfertigt? Ist das tatsächlich stets unzulässig, wenn Arbeitgeber – oder auch Club- oder Restaurantbetreiber, die den Zugang zu einer Lokalität von der Installation der App bzw. einem negativen Infektionsstatus abhängig machen? Bei näherer Betrachtung zeigt sich: nein – Dritte, wie Arbeitgeber oder Restaurantbetreiber, die auf die Bevölkerung bzw. auf die Nutzer der App einwirken, sind zwar ein (datenschutzrechtliches) Problem, aber in allererster Linie eines des RKI/der Bundesregierung.

Zur Erläuterung Folgendes: Die Weisung zur Nutzung der #CoronaWarnApp erfolgt im Arbeitsverhältnis. Die Zulässigkeit (und Wirksamkeit) der Weisung bemisst sich an § 315 BGB, § 106 GewO, also am geltenden Arbeits-, nicht Datenschutzrecht. Gemäß diesen Normen ist eine Weisung im Arbeitsverhältnis rechtmäßig, sofern und soweit sie unter Berücksichtigung aller wechselseitigen Interessen „billigem Ermessen“ entspricht, d. h. angemessen ist.[2] Der Arbeitgeber hat jedenfalls in dem Fall eines Pflegeheims, Krankenhauses, Pflegedienstes oder Hospizen sicher ein besonders schwerwiegendes Interesse daran, dass sich seine Mitarbeiter auf keinen Fall mit Covid19 infizieren – denn wenn dies passiert, befinden sich die Patienten in Gefahr, u. U. in akuter Lebensgefahr. Weiter: Mit App ist man besser geschützt als ohne. Die Erforderlichkeit der staatlichen „Maßnahme #CoronaWarnApp“ wäre also nur dann zu verneinen, wenn es andere Mittel gäbe, die den gleichen Effekt hätten, aber keine oder eine weniger umfangreiche Datenverarbeitung erforderten.

M. E. ein einfacher Fall der Abwägung: Wenn gilt: die App macht einen Unterschied in der Pandemiebekämpfung (1.) UND: Die Verantwortlichen in den Pflegeheimen und Krankenhäusern sind dazu da, Menschenleben zu retten (2.) Dann gilt m. E. auch, dass die Verantwortlichen die App-Nutzung „nach billigem Ermessen“ anordnen dürfen.

Zur weiteren Erläuterung nur: Die IT-Experten sagen uns, dass nur sehr unwahrscheinliche Angriffsszenarien gebildet werden können – Achtung Insider: @FAZ, @Jan Fleischhauer: wegen des dezentralen Ansatzes, den der CCC von Anfang an promotet hat. Ihr Neanderdigitaler! Zurück zum Thema: Es ist also eine Frage der Abwägung. Aber, und das ist vielen juristischen Laien oft nicht ausreichend klar, es gibt Abwägungen, die keine schwierigen Fälle der juristischen Argumentation bilden, d. h. Fälle, in denen es nur ein sinnvolles Abwägungsergebnis gibt. Das Grundrecht auf Leben und körperliche Unversehrtheit wiegt sehr schwer, auch oder gerade gegenüber dem Grundrecht auf Datenschutz/Grundrecht auf informationelle Selbstbestimmung. So weit so klar. Das Risiko für das Grundrecht auf Leben der zu Pflegenden ist in diesen Tagen – das sagen uns die medizinischen Experten, Stichwort „Risikogruppe“ – in großer (oder besser: stark erhöhter) Gefahr. Die Beeinträchtigung des Grundrechts auf Datenschutz ist – das sagt uns der CCC – gering. Die Abwägung, surprise surprise, geht zugunsten des Grundrechts auf Leben und körperliche Unversehrtheit aus. So weit so klar! 

Doch halt: hatte ich nicht gesagt, dass es ein datenschutzrechtliches Problem gibt? Ja, das gibt es. Es lautet:

Unfreiwilligkeit der Einwilligung = Unwirksamkeit der E. = Unrechtmäßigkeit der Datenverarbeitung

As simple as that. Und guess what: Es ist die Datenverarbeitung des RKI/der Bundesregierung, die da unrechtmäßig ist. Denn das RKI ist verantwortlich für die Datenverarbeitung, das lese ich jedenfalls in den Datenschutzhinweisen der App. Es mag zwar mit einigen argumentativen Verrenkungen möglich sein, den Arbeitgeber neben dem RKI als eigenständigen Verantwortlichen anzusehen.[3] Aber es wird argumentativ nicht gelingen, die App-Nutzung (auf Weisung des Arbeitgebers) der Verantwortlichkeit des RKI zu entziehen. Daten werden an das RKI gesendet und dort verarbeitet, egal warum die App installiert wurde. Voilà: ein riesengroßes Schlammassel, in dem die Un-/Rechtmäßigkeit der Datenverarbeitung auf Grundlage der App auf einmal von der Un-/Rechtmäßigkeit von arbeitgeberseitigen Weisungen (und anderen privatrechtlichen Befugnissen, etwa dem Hausrecht) abhängt!

Natürlich ist die Freiwilligkeit der Nutzung der App verloren, wenn der Arbeitgeber mich als Arbeitnehmer dazu anweist (vgl. § 26 Abs. 2 BDSG). Aber trotzdem muss die Geschäftsführerin, etwa die eines mobilen Pflegedienstes, das Risiko so weit wie möglich minimieren. Es kann damit in der derzeitigen Lage die Situation entstehen, dass die Anweisung zur Nutzung der App rechtmäßig ist, die Datenverarbeitung des RKI aber in gleichem Zuge unrechtmäßig wird. Die Freiwilligkeit und damit die Rechtsgrundlage der Datenverarbeitung des RKI ist derzeit nicht gewährleistet! Let’s face it, @UlrichKelber

Die erwähnte „derzeitige Lage“ ist aber nicht hoffnungslos. Sie kann durch ein sog. Begleitgesetz zur Corona-App sozusagen geheilt werden (das datenschutzrechtliche Problem der Bundesregierung (!) der kaputten Einwilligung erledigt sich damit von alleine; die Rechtsgrundlage ist dann nicht mehr die Einwilligung, Art. 6 Abs. 1 lit. a), sondern lit. c), die Erfüllung einer (begleit-)gesetzlichen Aufgabe des RKI. Die Datenverarbeitung aufgrund der App, die derzeit unter der Verantwortung der Bundesregierung rechtswidrig, weil oftmals unfreiwillig stattfindet, würde damit vollständig rechtmäßig erfolgen können. Vorschläge für das Gesetz und mögliche Inhalte gibt es bereits.[4] Die Vorteile eines Gesetzes lägen auf der Hand: die Beeinträchtigung der Freiwilligkeit der Nutzung im Privatrechtsverkehr könnte als-solche adressiert und in vernünftigem Ausmaß auch untersagt werden. Der Zweck der Datenverarbeitung – das „flatten the curve“ in Bezug auf Covid19 – könnte festgeschrieben und begrenzt werden, anderenfalls – auf „freiwilliger“ Basis auch im Zusammenhang mit der nächsten Grippewelle geändert werden.

Es gibt keinen guten Grund, ein Begleitgesetz nicht zu erlassen. Darum: Begleitgesetz jetzt!! Bitte


[1] https://www.ccc.de/de/updates/2020/corona-tracing-app-offener-brief-an-bundeskanzleramt-und-gesundheitsminister

[2] BGH: NJW-RR, Jahr 1992, S. 183.

[3] https://www.cr-online.de/blog/2020/05/14/keine-corona-app-dient-als-eintrittskarte/

[4] https://netzpolitik.org/2020/gruene-legen-gesetzentwurf-fuer-corona-warn-app-vor/

Categories:

4 Responses

  1. Wer sich bedenkenlos entziehen will, installiert die App und deaktiviert Bluetooth. Wie sollte ihm das nachgewiesen werden? Sturm im Wasserglas.

    • Hallo Herr Müller, ja, wie so oft beim Datenschutz. Wobei Ihre Intuition, dass ein mögliches Begleitgesetz in der Realität nichts ändern würde, ja gerade die Richtigkeit der Forderung nach einem Gesetz bestätigt. Denn natürlich würden mit einem Gesetz keine Polizisten Batteriestände und Updates auf Smartphones von Bürgern kontrollieren. Jedenfalls verstehe ich Sie so. Also alles in allem ein Thema, bei dem die Zeit zeigen wird, was das Beste gewesen wäre.

      Viele Grüße, PS

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.