Zum Inhalt springen

Mit datenschutzrechtlichen Leitplanken durch die Krise

Das Datenschutzrecht verlangt auch in der Coronakrise ausbalancierte und abgewogene Lösungen. Die Ausgestaltung der Corona-App ist insofern beispielhaft. Von Prof. Dr. Moritz Hennemann

Die Corona-Pandemie betrifft uns alle – in einer Weise, die wir bisher nicht kannten. In der neuen Reihe „Passauer Universitäts-Perspektiven“ beziehen Forscherinnen und Forscher der Universität Passau in losen Abständen aus ihrer Disziplin heraus Position zu aktuellen Entwicklungen. 

Der Datenschutz hat es nicht immer leicht. Die Datenschutz-Grundverordnung hat in diesem Sinne dem Datenschutz einen zweischneidigen „Dienst“ erwiesen. Einerseits hat die seit 2018 geltende Verordnung dem Datenschutz stärkere Aufmerksamkeit verschaffen können. Andererseits sind gerade die häufig abstrakten Regelungen der Datenschutz-Grundverordnung nicht ohne Kritik geblieben. Mal als „Gold-Standard“ gepriesen, so etwa durch den ehemaligen Grünen-Europaabgeordneten Jan Philipp Albrecht, mal als „größte Katastrophe des 21. Jahrhunderts“ verdammt, so der Informationsrechtler Thomas Hoeren. Dabei ist die Datenschutz-Grundverordnung zumindest auf einer Metaebene äußerst erfolgreich. Die Verordnung besteht im „Wettbewerb der Rechtsordnungen“, denn das Modell der Europäischen Union findet Nachahmer weltweit.

Unbestritten ist zudem, dass das Datenschutzrecht einen im Ausgangspunkt zustimmungswürdigen, stark individualschützenden Grundansatz verfolgt. Die "betroffene Person" ist Dreh- und Angelpunkt des Normregimes, wodurch die Verordnung eine starke deutsche Handschrift trägt. Denn Deutschland darf cum grano salis als Pionier des Datenschutzrechts betrachtet werden. Der deutsche Diskurs ist dabei auch durch historische Negativerfahrungen mit staatlicher Datenverarbeitung geprägt. Die "restlose Erfassung" (Aly/Roth) zur Zeit des Nationalsozialismus ist abschreckendes und warnendes Beispiel zugleich. Diese – zu Recht – ausgeprägte Sensibilität gegenüber staatlicher Datenverarbeitung ist etwa bei der Volkszählung 1983 besonders deutlich geworden.

Das Wissen um einen potenziellen Missbrauch von personenbezogenen Daten ist damit Teil der DNA des (deutschen) Datenschutzes. 

Prof. Dr. Moritz Hennemann, Universität Passau

Es gilt ein "Wehret den Anfängen!" in mehrfacher Hinsicht: Zunächst in Bezug auf das Bewusstsein um staatliche Machtakkumulation, darüber hinaus auch rechtstechnisch, denn das Datenschutzrecht setzt bereits beim Beginn jedweder Verarbeitung personenbezogener Daten an. Es ist auch und gerade im Sinne eines freiheitlichen Staates und einer offenen Zivilgesellschaft unabdingbar, dass einer „Durchleuchtung“ der Bürger/innen durch den Staat deutlich entgegengetreten wird. Der allwissende Staat ist eine Dystopie. Das "Recht auf informationelle Selbstbestimmung" bringt zum Ausdruck, dass die Verarbeitung personenbezogener Daten zuvörderst eine "positive Entscheidung" der betroffenen Person bedingt. Sonstige Verarbeitungen bedürfen der weiteren, überindividuellen Rechtfertigung. Der datenschutzrechtliche Diskurs im Zuge der Coronakrise hat dies einmal mehr deutlich gemacht.

Portraitfoto von Prof. Dr. Moritz Hennemann

Prof. Dr. Moritz Hennemann

forscht zu Entwicklungen des Datenschutzrechts weltweit

Welche Regulierungsmodelle für digitale Interaktionen sollten wir im 21. Jahrhundert verfolgen?

Welche Regulierungsmodelle für digitale Interaktionen sollten wir im 21. Jahrhundert verfolgen?

Prof. Dr. Moritz Hennemann ist seit 2020 Inhaber des Lehrstuhls für Europäisches und Internationales Informations- und Datenrecht sowie Leiter der Forschungsstelle für Rechtsfragen der Digitalisierung an der Juristischen Fakultät Passau. Schwerpunkt seiner Forschung bilden die globale Entwicklung des Daten- und Datenschutzrechts sowie der Rechts- und Ordnungsrahmen der Digitalwirtschaft.

Sind Datenschutz oder Gesundheit absolute Werte?

Die öffentliche Debatte zu Beginn der Coronakrise erfolgte teilweise mit verengtem Blick. Manche riefen die Verhinderung schwerwiegender Gesundheitsgefahren  als quasi-absolute Handlungsmaxime aus. Dies ist in Ansehung der ungewissen Prognosen zur Ausbreitung des COVID 19-Virus mehr als verständlich. So redlich und so wichtig der Schutz der individuellen und der öffentlichen Gesundheit ist, so wenig eignet sich dieser Wert allerdings in einer freiheitlichen Gesellschaft zur Verabsolutierung. Kein grundrechtlicher Wert außer der unantastbaren Menschenwürde ist im modernen Verfassungsstaat absolut. Der Gesundheitsschutz steht deswegen nicht per se über anderen Grundrechtspositionen. Ebenso wenig gilt dieses allerdings für den Datenschutz. Kollidierende Grundrechtsposition sind vielmehr miteinander abzuwägen und in einen schonenden Ausgleich zu bringen. Hierfür ist eine eingehende Analyse der Interessenkollisionen erforderlich. Diese Parameter sind die Richtschnur für die Beurteilung des Datenschutzes in der Coronakrise. In diesem Sinne kann die Abwägung in unterschiedlichen Fällen, auch und gerade in einer solchen außergewöhnlichen Krise, mal zugunsten, mal zuungunsten des Gesundheitsschutzes ausfallen.

Zwischen Tracing und Datenspende

Vor allem die datenschutzkonforme Ausgestaltung verschiedener Apps zur Bekämpfung der Krise hat viel Aufmerksamkeit erfahren. Die unterschiedlichen Anwendungen müssen allerdings klar auseinandergehalten werden. So zielt etwa die freiwillige Corona-Datenspende-App des Robert Koch-Instituts auf flächendeckende Erkenntnisse zur Ausbreitung des Virus und damit verbundener Symptome. Daneben sind vielfältige weitere Anwendungen denkbar, etwa zur allgemeinen Überwachung der Bevölkerungsmobilität, zur Durchsetzung einer Quarantäne oder zur zielgerichteten Information einzelner Nutzer/innen aufgrund vorheriger Kontakte mit anderen Nutzer/innen. Im öffentlichen Fokus stehen insbesondere die letztgenannten Tracing-Apps. Solche Apps gibt es inzwischen weltweit, allerdings sind diese unterschiedlich konzipiert: Die verschiedenen Ansätze speichern unterschiedliche Daten für unterschiedliche Zeiträume und nutzen unterschiedliche Quellen. Die wohl überwiegende Anzahl der Länder setzt auf eine Bluetooth-basierte Lösung. Dabei werden standardmäßig zwischen in Bluetooth-Reichweite befindlichen Geräten Nutzer-IDs wechselseitig übermittelt – mit einem unterschiedlichen Grad der (De-)Zentralität. Damit ist die technische Funktionalität angesprochen, ob und inwieweit die jeweiligen Nutzer-IDs auf einem zentralen Server zusammengeführt werden. Bei einer dezentralen Lösung findet nach einer Meldung durch eine Person ein Kontakt-Abgleich nur auf dem Smartphone anderer Personen statt. Deutschland hat seit Mitte Juni eine dezentrale open source-Lösung eingeführt.

Die deutsche Lösung ist damit so datenschutzfreundlich wie möglich ausgestaltet. Von einer laufenden, gar zentralen Erfassung der Standortdaten, dem Erstellen von detaillierten Bewegungsprofilen zu Einzelpersonen oder noch weitergehenden überwachungsstaatlichen Funktionalitäten ist die deutsche Lösung zu Recht sehr weit entfernt. Vorschnelle Vorwürfe, es solle eine Überwachungsarchitektur durch die Hintertür errichtet werden, sind gerade in Zeiten allfälliger kruder Verschwörungstheorien deutlich zurückzuweisen. Dies gilt vor allem auch, weil die deutsche App auf Freiwilligkeit basiert. Im internationalen Vergleich ist dies – wenig überraschend – keine Selbstverständlichkeit. Manche Lösungen sind zumindest für Deutschland datenschutzrechtlich kaum vorstellbar. So wird berichtet, dass in Polen – für den Fall einer Quarantäne – die betroffenen Personen nicht nur verpflichtet sind, eine entsprechende App zu nutzen, sondern auch mehrmals pro Tag ein Selfie mit inkludierten Standortdaten zum Beweis des häuslichen Aufenthalts zu übermitteln. In Südkorea werden unabhängig von einer App Überwachungskameras, GPS-Daten und Kreditkartentransaktionen ausgewertet sowie Nutzer/innen über die konkreten Aufenthaltsorte Infizierter unterrichtet. In China werden anscheinend ebenso ausdifferenzierte Bewegungsmuster erstellt und systematisch Gesundheitsdaten abgefragt.

Bewährt sich das Datenschutzrecht in der Coronakrise?

Jedwede rechtmäßige Verarbeitung von personenbezogenen Daten muss sich nach dem Datenschutzrecht auf einen so genannten Erlaubnistatbestand stützen können. Klassischer Erlaubnistatbestand ist die datenschutzrechtliche Einwilligung. Eine solche muss freiwillig und in informierter Weise in Bezug auf einen bestimmten Zweck der Datenverarbeitung abgegeben werden, bei der Verarbeitung von Gesundheitsdaten sogar „ausdrücklich“ erfolgen. Auf eine Einwilligung stützt sich auch die deutsche Lösung. Dies ist zunächst zur Akzeptanz einer entsprechenden App durch die Bürger/innen in Deutschland verständlich. Eine Einwilligung dürfte zudem auch die rechtssicherste Variante darstellen. Denn einerseits ist trotz der dezentralen Verarbeitung das Datenschutzrecht wohl anwendbar, zum anderen ist zweifelhaft, ob eine sonstige gesetzliche Grundlage für die App derzeit besteht. In diesem Sinne kann festgestellt werden, dass das Datenschutzrecht der Bekämpfung der Krise zwar rechtliche Grenzen zieht. Es gilt kein „anything goes“ mit Blick auf die Einwilligung sowie im Lichte der den Mitgliedsstaaten eröffneten sonstigen Abweichungsmöglichkeiten zugunsten der Gesundheit aber auch kein "nothing goes".

Zurück zu den Wurzeln?

Vor diesem Hintergrund beurteilt sich auch die Datenschutzrechtskonformität der deutschen Corona-App nach allgemeinen Kriterien. Hierzu zählt vor allem die „Freiwilligkeit“ einer diesbezüglichen Einwilligung. Die Freiwilligkeit umfasst gerade nicht nur die Abwesenheit von Zwang, sondern auch „weichere Formen“ des Drucks. Ein über eine staatliche Verpflichtung hinausgehender Druck ist in vielfältiger Hinsicht denkbar. Besonders sensibel wäre der Fall, falls die Nutzung der App an mittelbare Erleichterungen geknüpft wird. So wurde teilweise gefordert, dass die Nutzung der App Voraussetzung für das Aufsuchen von Restaurants, Theater und sonstigen Einrichtungen – und damit zu einem wesentlichen Teil des öffentlichen Lebens – sein sollte. Es wird zudem befürchtet, es könnte zu einem Druck in weiteren Konstellationen kommen, etwa wenn ein Arbeitgeber zum Schutz der jeweils anderen Arbeitnehmer eine Nutzung anweist oder „wünscht“. Diese Befürchtung ist keineswegs unbesehen von der Hand zu weisen. Zum Zwecke der „Absicherung“ einer „echten“ Freiwilligkeit wird deswegen verständlicherweise eine mindestens klarstellende Regelung seitens des Gesetzgebers gefordert. Mit einer solchen „Absicherung“ würde die manchmal aus dem Blick verschwundene Wurzel des Datenschutzes unterstrichen. Dies kann im Sinne einer privatautonomen Entscheidung des Individuums nur begrüßt werden.

Wenn auch der Anlass mehr als unerfreulich ist, so ist doch festzustellen, dass die breite Öffentlichkeit in den vergangenen Monaten einen vielfältigen Diskurs zum Datenschutz geführt hat. Eine solch gesamtgesellschaftliche Aufmerksamkeit ist dem Datenschutz auch zukünftig mehr als zu wünschen – gerade und unabhängig davon, ob man den Datenschutz als zu enges Korsett oder als zumindest in Deutschland funktionierendes „Bollwerk“ gegen zu datenintensive Apps oder überwachungsstaatliche Funktionalitäten begreift.

Haben Sie Fragen oder Anregungen zu dem Beitrag? Sind Sie Wissenschaftlerin oder Wissenschaftler der Universität Passau und möchten sich aus Ihrer Disziplin heraus äußern? Schreiben Sie uns: perspektiven@uni-passau.de