Corona-App, DSGVO und Co.

Datenschutz in der COVID-19-Krise

11.03.2021
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Die Diskussion um die Corona-App verdeutlicht die rechtlichen Herausforderungen der COVID-19-Krise. Wir beantworten die wichtigsten Fragen zum Datenschutz in Zusammenhang mit SARS-CoV-2, der Luca-App und Sormas.
Die Coronavirus-Krise stellt den Datenschutz in Unternehmen vor Herausforderungen.
Die Coronavirus-Krise stellt den Datenschutz in Unternehmen vor Herausforderungen.
Foto: Wetzkaz Graphics - shutterstock.com

Die stetig steigende Zahl der Coronavirus-Infektionen erfordert geeignete Präventions- und Abwehrmaßnahmen der Unternehmen, um Arbeitnehmer, Kunden, Geschäftspartner und Besucher zu schützen. Dabei werden oftmals sensible Gesundheitsdaten, etwa in Form von Fiebermessdaten oder ausgefüllten Fragebögen, verarbeitet und übermittelt. Das stellt Unternehmen vor die schwierige Herausforderung, einen Ausgleich zwischen den Rechten der betroffenen Personen auf Privatsphäre und der Gesundheit anderer Personen herzustellen. Wo liegt hier die Grenze des datenschutzrechtlich Zulässigen?

Die einzelnen Behörden vertreten durchaus unterschiedliche Positionen. Wir wollen daher nachfolgend eine Übersicht über die Rechtsgrundlagen und von den Behörden veröffentlichten Empfehlungen geben. Dabei wird auf typische Fragen eingegangen, mit denen sich Unternehmen bei der Bewältigung der Herausforderungen durch COVID-19 konfrontiert sehen. Die Übersicht ersetzt jedoch nicht die im Einzelfall erforderliche individuelle Überprüfung der Rechtmäßigkeit der Verwendung und Verbreitung personenbezogener Daten.

Wir empfehlen zudem, als in Deutschland tätiges Unternehmen, sich an den Äußerungen der deutschen Aufsichtsbehörden zu orientieren. Auch wenn andere europäische Datenschutzinstitutionen womöglich pragmatischere und weniger strenge Ansichten vertreten, sind zunächst die Einschätzungen der nationalen Behörden maßgeblich. Die nachfolgenden Fragen und Antworten fußen deshalb überwiegend auf der Einschätzung deutscher Datenschutzbehörden.

COVID-19-Schutzmaßnahmen - ein Datenschutzproblem?

Gemäß Artikel 9 der Datenschutzgrundverordnung (DSGVO) werden Gesundheitsdaten oder andere Informationen über eine Viruserkrankung als "besonders sensible Daten" eingestuft. Es ist danach grundsätzlich untersagt, sensible persönliche Daten zu verarbeiten, außer in jenen Fällen, in denen das Gesetz die Verarbeitung ausdrücklich gestattet. Als Rechtfertigung für verschiedene Maßnahmen zur Eindämmung des Coronavirus kommen, neben der Einwilligung nach Artikel 9 Absatz 2 lit. a DSGVO, insbesondere auch lit. b, c und g in Betracht. Im Allgemeinen sollten die Ausnahmetatbestände von Artikel 9 Absatz 2 DSGVO aber auch in der gegenwärtigen Situation auf Grund ihres Ausnahmecharakters restriktiv ausgelegt und nicht als Freibrief für weitreichende Eingriffe in die Privatsphäre verstanden werden.

Eine Verarbeitung sensibler Gesundheitsdaten kann beispielsweise im Arbeitsverhältnis erlaubt sein, wenn dies gemäß Artikel 9 Absatz 2 lit. b DSGVO der Ausübung von Rechten und Pflichten aus dem Arbeits- und Sozialrecht dient. Dies dürfte unter anderem auch die arbeitsrechtliche Fürsorgepflicht des Arbeitgebers für den jeweiligen Arbeitnehmer und dessen Kollegen erfassen. So kann es erlaubt sein, Daten zu verarbeiten, um Arbeitnehmer vor Infektionen zu schützen, Krankmeldungen und Entgeltfortzahlungen zu organisieren oder Arbeitnehmer über einen infizierten Kollegen zu informieren.

Den übrigen Ausnahmen von der Einwilligungserfordernis sollte jedoch mit Zurückhaltung begegnet werden. So gestattet Artikel 9 Absatz 2 lit. c DSGVO die Verarbeitung sensibler Daten zum Schutz lebenswichtiger Interessen. Dies gilt allerdings nur, wenn die betroffene Person außerstande ist, ihre Einwilligung zu erteilen, etwa bei einem bereits weit fortgeschrittenen oder schweren Krankheitsverlauf. Anderenfalls muss der Arbeitgeber versuchen, eine Einwilligung einzuholen.

Eine Verarbeitung sensibler personenbezogener Daten kann zudem nicht pauschal auf ein erhebliches öffentliches Interesse gemäß Artikel 9 Absatz 2 lit. g DSGVO gestützt werden. Zwar hatte der europäische Gesetzgeber bei der Verordnung durchaus im Blick, dass eine Pandemie auftreten könnte. Erwägungsgrund 46 legt beispielsweise nahe, dass sensible Daten durchaus verarbeitet werden dürfen, um eine Pandemie zu überwachen. Allerdings muss der nationale Gesetzgeber hierzu Bestimmungen erlassen, die die Zulässigkeit entsprechender Datenverarbeitungen konkretisieren. Der deutsche Gesetzgeber hat hiervon aber keinen eindeutigen Gebrauch gemacht, sodass bisher keine entsprechende Rechtsgrundlage vorliegt.

Coronavirus - was sagen die Datenschutzbehörden?

Die deutschen Datenschutzbehörden haben aufgrund der unklaren und komplizierten Rechtslage einen ersten Leitfaden für die Verarbeitung sensibler Daten von Unternehmen veröffentlicht. In einer Stellungnahme vom 13. März 2020 hat sich die Datenschutzkonferenz erstmalig dazu geäußert, wie mit dem Coronavirus und dazugehörigen Datenverarbeitungen umzugehen ist. Zudem haben weitere deutsche und europäische Aufsichtsbehörden Leitfäden, Handlungsempfehlungen und Anleitungen für den datenschutzrechtlichen Umgang mit dem Coronavirus zur Verfügung gestellt:

Neben konkreten arbeitsrechtlichen Fragestellungen könnten sich Unternehmen mit völlig neuen datenschutzrechtlichen Szenarien konfrontiert sehen. So sorgte die Meldung für Aufsehen, dass die Telekom anonymisierte Handydaten ihrer Kunden an das Robert-Koch-Institut weitergegeben habe. Diese Daten erlaubten es allerdings nur, grobe Bewegungsmuster nachzuverfolgen und nicht einzelne Personen zu tracken. Der gezielten Analyse von Standortdaten infizierter Personen wie in China oder Südkorea hatte der Bundesdatenschutzbeauftrage bereits im Vorhinein eine Absage erteilt. Dies könne nur in besonderen Ausnahmefällen nach umfassender Aufklärung und mit Einwilligung des Betroffenen erfolgen.

Derzeit finden sich auch in Spezialgesetzen wie beispielsweise dem Infektionsschutzgesetz keine Rechtsgrundlagen, die eine "digitale Fußfessel" für infizierte Personen rechtfertigen könnten. Dennoch wird weiter darüber diskutiert, Handydaten zu nutzen, um Coronavirus einzudämmen.

Was ist die Corona-App?

Neben den datenschutzrechtlichen Bedenken beim Tracken der Bürger gibt es auch technische Hürden, denn Ortungsdaten sind nicht gleich Ortungsdaten. Sogenannte Funkzellendaten geben Auskunft über die ungefähre Distanz eines Mobiltelefons zum nächsten Funkmast. In Großstädten ermöglichen Funkzellendaten im besten Fall eine Ortung auf höchstens 50 Meter genau, in ländlichen Gebieten ist das Ergebnis noch deutlich ungenauer. Um Kontaktpersonen zu identifizieren, sind Funkzellendaten daher völlig ungeeignet. Die Satellitenortung hingegen erlaubt eine Standortbestimmung bis auf wenige Meter genau. Allerdings müssen Nutzer den Betriebssystemen Android und iOS ausdrücklich erlauben, auf den GPS-Chip zuzugreifen.

Als datenschutzfreundlichere Alternative wurde heute eine Corona-Warn-App nach dem Vorbild Singapurs veröffentlicht, die Handynutzer freiwillig auf ihren Mobiltelefonen installieren sollen. Dabei wird sich die geringe Reichweite der Bluetooth-Technologie zu nutze gemacht, um Informationen darüber zu erhalten, welche Personen sich in unmittelbarer Nähe zueinander aufgehalten haben. Die App generiert dazu in regelmäßigen Abständen eine temporäre ID, die anonymisiert und verschlüsselt auf dem jeweiligen Endgerät gespeichert wird. Wird bei einer Person das Coronavirus festgestellt, kann diese die gespeicherten Daten an eine zentrale Stelle senden, die wiederrum sämtliche Handys, die sich im relevanten Zeitraum in unmittelbare Nähe befunden haben, per Pushnachricht informiert und die Kontaktpersonen auffordert sich in Quarantäne zu begeben. Während des kompletten Vorgangs soll die Identität der Personen unbekannt bleiben. Da die Bürger die App freiwillig installieren müssen, steht und fällt ihr Erfolg mit der Akzeptanz durch die Bevölkerung.

Nachverfolgung 2.0 - Luca-App und Sormas

Bis Mitte November 2020 nutzten rund ein Viertel der Bevölkerung die Corona-Warn-App und sechs von zehn Infizierten leiteten die teilbaren Testergebnisse weiter. Die Bund-Länder-Konferenz diskutiert aktuell die verpflichtende Dokumentation zur Kontaktnachverfolgung auch in elektronischer Form. Die relevanten Informationen sollen danach direkt an die Behörden-Software "Sormas" weitergeleitet werden.

Sormas, das Surveillance, Outbreak Response Management and Analysis System, ist eine 2014 entwickelte App zum Ziel der Ebola-Bekämpfung. Sie umfasst ein System, das Krankheitskontrolle und Ausbruchsmanagement in Verbindung zueinander setzt und Stellen von der lokal, regionalen Ebene bis hin zur nationalen Ebene einbezieht und mit Echtzeitdaten beliefert. Mit Sormas soll eine bundeseinheitliche Lösung verwirklicht werden, für die nun ein System für die Digitalisierung der Kontaktnachverfolgung gemeinsam ausgewählt und vergeben werden soll.

Neben anderen privaten Apps bietet die Luca-App eine passende Umsetzung der angestrebten Lösung. Ihr prominenter Fürsprecher und Mitinitiator Rapper Smudo bezeichnet sie als einzigartig in Europa. Die Nutzer geben ihre Daten in die App ein, worauf sie einen Freischaltcode per SMS erhalten. Nach Freischaltung erstellt die App einen QR-Code, der im Schnitt alle zehn Sekunden wechselt. Das Betreten einer Veranstaltung wird über den Scan des QR-Codes festgestellt. Beim Verlassen der Veranstaltung ist kein erneuter Scan erforderlich, er wird automatisch mittels Geofencing festgestellt. Dafür reicht es aus, dass ein zuvor vordefinierter Raum verlassen wird. Die dabei generierten Daten werden dezentral verschlüsselt, aufgeteilt auf drei Stellen: Gesundheitsamt, Nutzer und Veranstalter.
Nur im Fall einer Infektion werden die Daten zusammengesetzt, um alle zur relevanten Zeit anwesenden Besucher zu kontaktieren. Zugleich erhalten die Gesundheitsämter erst dann automatischen Datenzugriff auf die Daten der jeweiligen anwesenden Personen.

Einem flächendeckenden Einsatz der Luca-App stehen ähnliche datenschutzrechtliche Bedenken gegenüber wie vormals der Corona-Warn-App. Anders als bei der amtlichen Corona-Warn-App lässt sich den datenschutzrechtlichen Bedenken nicht die Anonymisierung der Daten entgegenhalten, da die Nutzerdaten aufgenommen werden. Es bleibt der Verweis, dass auch ohne Luca-App eine Datenerfassung zumindest per Papier auf Veranstaltungen erfolgt und die anonymisierte Nachverfolgung zumindest nicht vollends erfolgreich gewesen ist. Eine abschließende Entwicklung ist noch nicht abzusehen. Derzeit stehen einem Testlauf für Luca die fortdauernden Schließungen von Gastronomie sowie Einzelhandel entgegen. Auch arbeiten die regionalen Gesundheitsämter häufig noch nicht mit Luca. Als erstes Bundesland hat Mecklenburg-Vorpommern eine Lizenz für die Verwendung von Luca erworben. Da die Bürger eine App freiwillig installieren müssen, steht und fällt ihr Erfolg erneut mit der Akzeptanz durch die Bevölkerung.

Können Arbeitgeber ihre Arbeitnehmer zur Nutzung der App verpflichten?

Für Arbeitgeber stellt sich ob der grundsätzlichen Freiwilligkeit der App-Nutzung insbesondere die Frage, ob Arbeitnehmer angewiesen werden können, die Tracing-App auf ihren Privat- und/oder Diensthandys zu installieren/zu nutzen. Hinsichtlich privater Handys ist die Antwort eindeutig: Eine entsprechende Anweisung muss vom Arbeitnehmer nicht beachtet werden. Das private Handy steht ausschließlich im Eigentum des Arbeitnehmers, einen so umfassenden Eingriff in seine Eigentums- und Persönlichkeitsrechte muss er nicht dulden. Zudem haben Arbeitnehmer in der Regel keine Pflicht gegenüber dem Arbeitgeber, ihre eigene Gesundheit und damit Arbeitskraft - z. B. durch die Nutzung der App - zu schützen.

Eine Anweisung der Installation/Nutzung auf dem Diensthandy hingegen ist nicht grundsätzlich ausgeschlossen. Denn hier spielt insbesondere auch der Gesundheitsschutz der Kollegen eine Rolle, der sowohl durch den Arbeitgeber als auch den Arbeitnehmer beachtet werden muss. Dennoch dürfte auch in diesen Fällen eine Weisung oft problematisch sein. In der Praxis nutzen viele Arbeitnehmer das Diensthandy auch privat oder führen es zumindest (zeitweise) privat mit sich, sodass sich hier erneut erhebliche Eingriffe in das Persönlichkeitsrecht ergeben können, die der Arbeitnehmer nicht hinnehmen muss.
Dies gilt insbesondere vor dem Hintergrund, dass oftmals gleich effektive, aber mildere Mittel zum Gesundheitsschutz zur Verfügung stehen, wie zum Beispiel Möglichkeiten zur Abstandswahrung (z. B. in Einzelbüros), Home-Office, Tragen von Schutzkleidung oder Ähnlichem. Lassen sich diese Maßnahmen nicht oder nur schwerlich effektiv umsetzen, kann in einzelnen Ausnahmefällen, zum Beispiel im Gesundheits- und Pflegebereich, eine Weisungsmöglichkeit des Arbeitgebers bestehen. Diese beschränkt sich dann jedoch grundsätzlichauf die Arbeitszeit bzw. Arbeitstätigkeit. Eine weitergehende Anweisung und Kontrolle hinsichtlich der Nutzung in der Freizeit eines Arbeitnehmers ist nicht möglich.

Lesetipp: Arbeitsrecht unterwegs und zu Hause - Das Homeoffice ist kein rechtsfreier Raum

In den meisten Fällen verbleibt daher nur der Appell an die Arbeitnehmer, die App freiwillig zu nutzen. Entscheidet sich der Arbeitgeber doch zur Anweisung, sollte diese stets genau geprüft und die Entscheidungsfindung entsprechend dokumentiert werden. Dabei müssen auch weitere arbeitsrechtliche Fragestellungen beachtet werden, z. B. ob ein vorhandener Betriebsrat einzubindenist.

Nicht zuletzt können sich weitere Probleme ergeben, wenn sich der Arbeitnehmer aufgrund einer Meldung seiner App in Selbst-Quarantäne begibt und dem Arbeitsplatz fernbleibt. Arbeitgeber sollten sich in diesen Fällen Gedanken über mögliche tatsächliche und arbeitsrechtliche Konsequenzen machen. So ist zum Beispiel noch unklar, ob der Arbeitnehmer überhaupt berechtigt ist, selbstständig über ein solches Fernbleiben zu entscheiden oder ob es erst einer Anordnung des Gesundheitsamtes bedarf. Ebenfalls offen ist, wie dann z. B. mit Lohn- und Entgeltfortzahlungen umgegangen werden muss.