Corona-App, DSGVO und Co.

Datenschutz in der COVID-19-Krise

01.04.2020
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht. Während seiner Referendarsausbildung war er u. a. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) und in der Konzernrechtsabteilung eines führenden DAX-notierten Telekommunikationsunternehmens tätig. Im Jahr 2019 legte er erfolgreich das zweite Staatsexamen ab.
Die Diskussion um die Corona-App verdeutlicht die rechtlichen Herausforderungen der COVID-19-Krise. Wir beantworten die wichtigsten Fragen zum Datenschutz in Zusammenhang mit SARS-CoV-2.
Die Coronavirus-Krise stellt den Datenschutz in Unternehmen vor Herausforderungen.
Die Coronavirus-Krise stellt den Datenschutz in Unternehmen vor Herausforderungen.
Foto: Wetzkaz Graphics - shutterstock.com

Die stetig steigende Zahl der Coronavirus-Infektionen erfordert geeignete Präventions- und Abwehrmaßnahmen der Unternehmen, um Arbeitnehmer, Kunden, Geschäftspartner und Besucher zu schützen. Dabei werden oftmals sensible Gesundheitsdaten, etwa in Form von Fiebermessdaten oder ausgefüllten Fragebögen, verarbeitet und übermittelt. Das stellt Unternehmen vor die schwierige Herausforderung, einen Ausgleich zwischen den Rechten der betroffenen Personen auf Privatsphäre und der Gesundheit anderer Personen herzustellen. Wo liegt hier die Grenze des datenschutzrechtlich Zulässigen?

Die einzelnen Behörden vertreten durchaus unterschiedliche Positionen. Wir wollen daher nachfolgend eine Übersicht über die Rechtsgrundlagen und von den Behörden veröffentlichten Empfehlungen geben. Dabei wird auf typische Fragen eingegangen, mit denen sich Unternehmen bei der Bewältigung der Herausforderungen durch COVID-19 konfrontiert sehen. Die Übersicht ersetzt jedoch nicht die im Einzelfall erforderliche individuelle Überprüfung der Rechtmäßigkeit der Verwendung und Verbreitung personenbezogener Daten.

Wir empfehlen zudem, als in Deutschland tätiges Unternehmen, sich an den Äußerungen der deutschen Aufsichtsbehörden zu orientieren. Auch wenn andere europäische Datenschutzinstitutionen womöglich pragmatischere und weniger strenge Ansichten vertreten, sind zunächst die Einschätzungen der nationalen Behörden maßgeblich. Die nachfolgenden Fragen und Antworten fußen deshalb überwiegend auf der Einschätzung deutscher Datenschutzbehörden.

COVID-19-Schutzmaßnahmen - ein Datenschutzproblem?

Gemäß Artikel 9 der Datenschutzgrundverordnung (DSGVO) werden Gesundheitsdaten oder andere Informationen über eine Viruserkrankung als "besonders sensible Daten" eingestuft. Es ist danach grundsätzlich untersagt, sensible persönliche Daten zu verarbeiten, außer in jenen Fällen, in denen das Gesetz die Verarbeitung ausdrücklich gestattet. Als Rechtfertigung für verschiedene Maßnahmen zur Eindämmung des Coronavirus kommen, neben der Einwilligung nach Artikel 9 Absatz 2 lit. a DSGVO, insbesondere auch lit. b, c und g in Betracht. Im Allgemeinen sollten die Ausnahmetatbestände von Artikel 9 Absatz 2 DSGVO aber auch in der gegenwärtigen Situation auf Grund ihres Ausnahmecharakters restriktiv ausgelegt und nicht als Freibrief für weitreichende Eingriffe in die Privatsphäre verstanden werden.

Eine Verarbeitung sensibler Gesundheitsdaten kann beispielsweise im Arbeitsverhältnis erlaubt sein, wenn dies gemäß Artikel 9 Absatz 2 lit. b DSGVO der Ausübung von Rechten und Pflichten aus dem Arbeits- und Sozialrecht dient. Dies dürfte unter anderem auch die arbeitsrechtliche Fürsorgepflicht des Arbeitgebers für den jeweiligen Arbeitnehmer und dessen Kollegen erfassen. So kann es erlaubt sein, Daten zu verarbeiten, um Arbeitnehmer vor Infektionen zu schützen, Krankmeldungen und Entgeltfortzahlungen zu organisieren oder Arbeitnehmer über einen infizierten Kollegen zu informieren.

Den übrigen Ausnahmen von der Einwilligungserfordernis sollte jedoch mit Zurückhaltung begegnet werden. So gestattet Artikel 9 Absatz 2 lit. c DSGVO die Verarbeitung sensibler Daten zum Schutz lebenswichtiger Interessen. Dies gilt allerdings nur, wenn die betroffene Person außerstande ist, ihre Einwilligung zu erteilen, etwa bei einem bereits weit fortgeschrittenen oder schweren Krankheitsverlauf. Anderenfalls muss der Arbeitgeber versuchen, eine Einwilligung einzuholen.

Eine Verarbeitung sensibler personenbezogener Daten kann zudem nicht pauschal auf ein erhebliches öffentliches Interesse gemäß Artikel 9 Absatz 2 lit. g DSGVO gestützt werden. Zwar hatte der europäische Gesetzgeber bei der Verordnung durchaus im Blick, dass eine Pandemie auftreten könnte. Erwägungsgrund 46 legt beispielsweise nahe, dass sensible Daten durchaus verarbeitet werden dürfen, um eine Pandemie zu überwachen. Allerdings muss der nationale Gesetzgeber hierzu Bestimmungen erlassen, die die Zulässigkeit entsprechender Datenverarbeitungen konkretisieren. Der deutsche Gesetzgeber hat hiervon aber keinen eindeutigen Gebrauch gemacht, sodass bisher keine entsprechende Rechtsgrundlage vorliegt.

Coronavirus - was sagen die Datenschutzbehörden?

Die deutschen Datenschutzbehörden haben aufgrund der unklaren und komplizierten Rechtslage einen ersten Leitfaden für die Verarbeitung sensibler Daten von Unternehmen veröffentlicht. In einer Stellungnahme vom 13. März 2020 hat sich die Datenschutzkonferenz erstmalig dazu geäußert, wie mit dem Coronavirus und dazugehörigen Datenverarbeitungen umzugehen ist. Zudem haben weitere deutsche und europäische Aufsichtsbehörden Leitfäden, Handlungsempfehlungen und Anleitungen für den datenschutzrechtlichen Umgang mit dem Coronavirus zur Verfügung gestellt:

Neben konkreten arbeitsrechtlichen Fragestellungen könnten sich Unternehmen mit völlig neuen datenschutzrechtlichen Szenarien konfrontiert sehen. So sorgte die Meldung für Aufsehen, dass die Telekom anonymisierte Handydaten ihrer Kunden an das Robert-Koch-Institut weitergegeben habe. Diese Daten erlaubten es allerdings nur, grobe Bewegungsmuster nachzuverfolgen und nicht einzelne Personen zu tracken. Der gezielten Analyse von Standortdaten infizierter Personen wie in China oder Südkorea hatte der Bundesdatenschutzbeauftrage bereits im Vorhinein eine Absage erteilt. Dies könne nur in besonderen Ausnahmefällen nach umfassender Aufklärung und mit Einwilligung des Betroffenen erfolgen.

Derzeit finden sich auch in Spezialgesetzen wie beispielsweise dem Infektionsschutzgesetz keine Rechtsgrundlagen, die eine "digitale Fußfessel" für infizierte Personen rechtfertigen könnten. Dennoch wird weiter darüber diskutiert, Handydaten zu nutzen, um Coronavirus einzudämmen.

Was ist die Corona-App?

Neben den datenschutzrechtlichen Bedenken beim Tracken der Bürger gibt es auch technische Hürden, denn Ortungsdaten sind nicht gleich Ortungsdaten. Sogenannte Funkzellendaten geben Auskunft über die ungefähre Distanz eines Mobiltelefons zum nächsten Funkmast. In Großstädten ermöglichen Funkzellendaten im besten Fall eine Ortung auf höchstens 50 Meter genau, in ländlichen Gebieten ist das Ergebnis noch deutlich ungenauer. Um Kontaktpersonen zu identifizieren, sind Funkzellendaten daher völlig ungeeignet. Die Satellitenortung hingegen erlaubt eine Standortbestimmung bis auf wenige Meter genau. Allerdings müssen Nutzer den Betriebssystemen Android und iOS ausdrücklich erlauben, auf den GPS-Chip zuzugreifen.

Als datenschutzfreundliche Alternative wird nun eine Corona-App nach dem Vorbild Singapurs gehandelt. Handynutzer sollen sie freiwillig auf ihren Mobiltelefonen installieren. Die App nutzt die geringe Reichweite der Bluetooth-Technologie, um Informationen darüber zu erhalten, welche Personen sich in unmittelbarer Nähe zueinander aufgehalten haben. Sie generiert dazu in regelmäßigen Abständen eine temporäre ID, die anonymisiert und verschlüsselt auf dem jeweiligen Endgerät gespeichert wird. Erkrankt eine Person an COVID-19, kann diese die gespeicherten Daten an eine zentrale Stelle senden. Von dort aus sollen wiederrum sämtliche Handys, die sich im relevanten Zeitraum in unmittelbarer Nähe befunden haben, per Push-Nachricht informiert und die Kontaktpersonen auffordert werden, sich in Quarantäne zu begeben. Während des kompletten Vorgangs bleibt die Identität der Personen unbekannt.

Befürworter der Corona-App verweisen auf mehrere Vorteile: Zum einen nutze sie bestehende Technologien, wodurch sie schnell umgesetzt werden könne. Ferner sei dieser Ansatz nicht nur aus technischer und epidemiologischer Sicht der effizienteste, sondern auch durch seine sparsame Verwendung von Daten besonders grundrechtsfreundlich. Da die Bürger die App freiwillig installieren müssen, steht und fällt ihr Erfolg damit, wie die Bevölkerung die App akzeptiert. Für welchen Weg sich die Verantwortlichen letztlich entscheiden werden, ist noch offen. Gesundheitsminister Spahn hält es derweil trotz Kritik weiter für eine gangbare Lösung, Handydaten zu verwenden. Angesichts deutlich weniger eingriffsintensiver Möglichkeiten bleibt zu hoffen, dass die Regierung auch in Krisenzeiten nicht der Versuchung erliegt, über Gebühr in die Privatsphäre seiner Bürger einzugreifen.