Nachfragen von Karin Schuler
Ein wesentliches Argument aller Befürworter von Corona-Apps jeglicher Couleur ist das der Freiwilligkeit. Niemand soll gezwungen werden, seine Kontaktdaten sammeln zu müssen. Häufig werden Kritiker oder Zweifler mit dem Hinweis beschieden, dass es kein Datenschutzproblem gäbe, da ja jeder frei entscheiden könne, ob er sich die App herunterladen und aktivieren wolle oder nicht. Geradezu so, als wären damit alle Gefahren für die Persönlichkeitsrechte gebannt.
Für Datenschützer bemisst sich Freiwilligkeit daran, ob eine korrekte Einwilligung eingeholt wurde, bevor die Daten des oder der Betroffenen erhoben und verarbeitet werden. Nur wenn diese Einwilligung gesetzeskonform erteilt wurde, kann sich der Verarbeiter darauf als rechtliche Grundlage stützen.
Leider wurden bisher in keinem der Konzeptpapiere zu Corona-Apps zur wichtigen Frage der Gestaltung und den Umsetzungsmöglichkeiten einer Einwilligung Vorschläge gemacht oder konkrete Überlegungen angestellt.
Eine Einwilligung muss, so verlangt es die Datenschutzgrundverordnung (DSGVO) aus gutem Grund, freiwillig und in Kenntnis der Konsequenzen erfolgen. Dazu muss der verantwortliche Verarbeiter den Zweck und die Umstände der geplanten Verarbeitung verständlich erläutern. Sie ist so zu erteilen, dass der Akt der Einwilligung für beide Parteien (Verarbeiter und betroffene Person) jederzeit nachvollziehbar ist. Die Einwilligung ist außerdem nur rechtsgültig, wenn sie jederzeit mit Wirkung für die Zukunft zurückgezogen werden kann.
Erwägungsgrund 42 der DSGVO stellt außerdem klar, dass von einer freiwilligen Einwilligung nur dann auszugehen ist, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, ihre Einwilligung zu verweigern oder zurückzuziehen ohne Nachteile zu erleiden.
Freiwillig kann man eine Corona-App also nur nennen, wenn die genannten Bedingungen eingehalten werden.
Zunächst einmal: Wie soll ich als Nutzerin einer solchen App abschätzen können, welche Konsequenzen diese für mich hätte, wenn sich die verfügbaren Zweckbeschreibungen auf der Qualitätsstufe von Wunschdenken bewegen? Dass wir alle daran interessiert sind, Infektionsketten zu durchbrechen und das Infektionsgeschehen zu verlangsamen – davon darf man wohl ausgehen. Als alleinige Zweckbeschreibung für eine App, die personenbezogene Daten in großem Ausmaß sammelt, reicht diese „Überschrift“ jedoch nicht aus. Es fehlen Szenarien, die dem Nutzer, um dessen Zustimmung man ja wirbt, in verständlicher Weise erklären, wie die Information potenziell(!) gefährdeter Nahkontakte konkret wirken soll. Derzeit ist nicht einmal klar, wie Infektionskontakte (etwa durch eine Definition der Nähe und Dauer des Zusammentreffens) ermittelt werden und, ob es einen durch die Daten angeordneten Test geben muss oder eine vorsorgliche Quarantäne.
Die Verarbeitung kann man außerdem nur schlüssig erklären, wenn man darlegt, wer eigentlich der Verarbeiter (also die für die korrekte und missbrauchsfreie Handhabung der Daten verantwortliche Stelle) ist, welche Verarbeitungsschritte diese konkret mit den Daten beabsichtigt und welche Empfänger außerhalb dieser verantwortlichen Stelle zu welchen Zwecken Zugriff auf diese Daten erhalten. Eine Änderung der Festlegung zu Zweck und Datennutzung erst nach erfolgter Einwilligung widerspräche völlig dem Wesen und Zweck einer freiwilligen Zustimmung.
Besonders misstrauisch machen einen die unzähligen Versuche, durch die unzutreffende Behauptung von der „Anonymisierung“ die verarbeiteten Daten als nicht-personenbezogen hinzustellen und so den Datenschutzvorgaben zu entziehen.
Mit einer im datenschutzrechtlichen Sinne akzeptablen Information, die als Grundlage meiner Entscheidung zur Einwilligung dienen kann, müssten sich beispielsweise folgende Fragen beantworten lassen:
– Ist das Robert-Koch-Institut der Verarbeiter oder das Bundesgesundheitsministerium oder ein technischer Dienstleister (Apple, Google,…) oder teilen sich zwei Parteien die Verantwortung für die Verarbeitung? In letzterem Fall: Welche Teile der Verarbeitung verantwortet welcher der beiden Verantwortlichen; inwieweit liegt eine gemeinsame Verantwortung vor? Diese Fragen hängen eng mit der Frage zusammen, wem gegenüber ich eigentlich meine Einwilligung abgebe.
– Welche konkreten Verarbeitungen führt welcher Verantwortliche in welchem Umfang aus? Das bedeutet, dass eine transparente Darstellung stattfinden muss, welche Verarbeitungsschritte zum „Warnprozess“ gehören, welche „Nebenerkenntnisse“ evtl. durch statistische Auswertungen (z.B. durch das RKI) gewonnen werden sollen und, nicht zuletzt, welche Verarbeitungen auf der rein technischen Ebene stattfinden (z.B. Missbrauchsvorbeugung durch den technischen Dienstleister).
– Bei wem kann ich als Nutzer der App meine Rechte auf Auskunft, Berichtigung, Löschung und Schadenersatz geltend machen, wenn ich dies für erforderlich halte?
– Wo werden meine Daten abgelegt, wo sind sie für wen verfügbar und wie wird verhindert, dass nicht nach deren Erhebung eine Nutzungsänderung stattfindet? Der Umstand, dass Kommunen gerade „aus der Deckung“ kommen und lautstark fordern, sie wollten Zugriff nicht nur auf die Daten einer Corona-App, sondern diese solle auch noch mehr personenbezogene Daten sammeln, ist beängstigend.(vgl. Frankfurter Allgemeine Sonntagszeitung, 26.4.2020, „Streit über die App“) Dies bestätigt die Erfahrung von Datenschützern, dass Datenpools mit der Zeit weitere Begehrlichkeiten wecken. Mögen die Zwecke anfangs noch so sehr begrenzt werden: Eine Zweckbindung wird häufig im Nachhinein aufgelöst, wenn der politische Druck nur groß genug ist.
– Welcher Verantwortliche hat welche technischen und organisatorischen Schutzmaßnahmen ergriffen, um meine Daten vor Missbrauch zu schützen? Wie wird zum Beispiel verhindert, dass ein durch eine andere App kompromittiertes Smartphone Daten der Corona-App unberechtigt „abgreift“?
– Wie genau muss ich mich verhalten und was wird (mir) geschehen, wenn ich positiv getestet wurde oder wenn ich eine Warnung erhalte? Was passiert mir, wenn ich nach der dritten Warnung nicht mehr reagiere, weil ich bereits zweimal zuvor für zwei Wochen in Quarantäne gegangen bin ohne selbst positiv gewesen zu sein?
Und dann: Wie sollen sowohl die Einwilligung selbst als auch deren eventueller Widerruf rechtssicher dokumentiert und technisch umgesetzt werden? Wenn eine Einwilligung bestritten wird, muss die Beweislage klar sein. Der Verarbeiter muss nachweisen können, dass für alle erhobenen Daten eine Einwilligung bestand und, im Falle des Widerrufs, ab wann genau dieser Widerruf gilt und umzusetzen ist.
Ein Verarbeiter darf nicht davon ausgehen, dass eine Einwilligung ewig gilt. Vielmehr muss er einen Prozess vorsehen, um auf einen Widerruf rechtssicher reagieren zu können. Dem Nutzer einer Corona-App ist bereits in der umfassenden verständlichen Information (s.o.) zu erläutern, was im Falle eines Widerrufs an konkreten Maßnahmen, also die Löschung von Daten u.ä., geschieht.
Was passiert dann mit erhobenen Kontaktdaten auf dem eigenen Handy? Was mit den Installations- und Logdaten der App? Was mit den an zentrale Server übermittelten, pseudonymisierten Daten? Was mit an andere Empfänger übermittelten Daten für statistische Auswertungen?
Und schließlich: Wie wird die Wahlfreiheit garantiert, so dass auch bei Nichteinwilligung keine Nachteile entstehen? Dazu reicht es ganz offensichtlich nicht, nur eine im formalen Sinne korrekte Einwilligung einzuholen. Die Wahlfreiheit kann auch durch Umstände verloren gehen, die nicht in der App oder dem Einwilligungsmechanismus begründet sind. Stehen die betroffenen Personen bei ihrer Entscheidung unter Druck, kann die Datenverarbeitung nicht auf eine Einwilligung gestützt werden. Und dieser Druck wird derzeit spürbar stärker.
Oft wird im gleichen Atemzug mit der Betonung der Freiwilligkeit darauf hingewiesen, dass zur Wirksamkeit der App ein hoher Verbreitungsgrad von mindestens 60 % nötig sei. In paternalistischem Stile wird ermahnt, die Nutzung der App als Gelegenheit zu verantwortungsvollem Handeln zu begreifen. Wahlweise wird dabei an das soziale Gewissen oder die staatsbürgerliche Verantwortung appelliert. Jemand, der aus welchen Gründen auch immer, die App nicht nutzen möchte, muss nicht paranoid sein, um Vorwürfe seiner Umgebung zu befürchten, er oder sie sei unsozial und unverantwortlich.
Peter Schaar, der ehemalige Bundesdatenschutzbeauftragte, wurde von einer Radiomoderatorin öffentlich gefragt, ob ihm „Datenschutz wichtiger als Menschenleben“ sei. In eine ähnliche Richtung gehen viele Sprachmuster, die verharmlosend von „Datenspende“ reden oder von einem Beitrag zu einer großen gesellschaftlichen Aufgabe schwadronieren. Es handelt sich bei der App jedoch keineswegs um eine wohltätige Angelegenheit. Ich kann mich durchaus auch gesellschaftlich rücksichtsvoll verhalten, ohne über eine App meine Kontaktdaten verwalten zu lassen.
Fakt ist, dass öffentlich und in privaten Diskussionen der Aggressionslevel zunimmt, sobald man erkennen lässt, dass man eine solche App ablehnt. In dieser gesellschaftlichen Stimmung noch von Wahlfreiheit auszugehen, kann schnell zur Illusion werden.
Heribert Prantl hat seine Befürchtung in Szenarien beschrieben. Es bedarf keiner hellseherischen Fähigkeiten, um Forderungen kommen zu sehen, die App weitergehend zu nutzen: Spätestens dann, wenn Zutrittsmöglichkeiten zu Veranstaltungen, Läden, Parks, öffentlichen Bereichen und Einrichtungen von der Nutzung der App abhängig gemacht werden, kann von Freiwilligkeit gar keine Rede mehr sein.
Freiwillig darf man eine Corona-App demnach also kaum nennen, wenn wesentliche Bedingungen für die Erteilung einer wirksamen Einwilligung nicht eingehalten werden können.
Mehr zum Thema beim Netzwerk Datenschutzexpertise.

Über Gastautor:innen (*):

Unter der Kennung "Gastautor:innen" fassen wir die unterschiedlichsten Beiträge externer Quellen zusammen, die wir dankbar im Beueler-Extradienst (wieder-)veröffentlichen dürfen. Die Autor*innen, Quellen und ggf. Lizenzen sind, soweit bekannt, jeweils im Beitrag vermerkt und/oder verlinkt.