Rechtswidrige Polizeiermittlungen mit Daten aus der Luca-App
luca_CR_Marijan_Murat_dpa
© Marijan Murat / dpa
luca_CR_Marijan_Murat_dpa

Im Rahmen von Ermittlungen zu einem Sturz mit Todesfolge nach einem Gaststättenbesuch hat die Mainzer Polizei potentielle Zeugen ausfindig gemacht, indem sie missbräuchlich deren Daten aus der Luca-App abfragte. Die Betreiber der App kritisierten den Vorfall. Die Staatsanwaltschaft Mainz räumte zwischenzeitlich ein Fehlverhalten ein. Wir nehmen den Fall zum Anlass, einen Überblick über den datenschutzrechtlichen Status quo zu geben.

Gesundheitsamt forderte Gaststätte zur Datenfreigabe auf

Wie die Polizei Mainz in einer Pressemitteilung mitteilte, wurde in der Nacht von Montag, 29.11. auf Dienstag, 30.11.2021 ein 39-jähriger Mann aus Mainz bei einem Sturz schwer verletzt. Er verstarb am 10.12.2021 an den Verletzungen, ohne Angaben zu dem Sturzgeschehen machen zu können. Nach den Ermittlungen der Polizei bis Mitte Dezember befand sich der 39-Jährige am 30.11.2021 gegen 00:10 Uhr in der Mainzer Innenstadt vor einer Gaststätte. Die Umstände die zum Sturz führten, konnte sie nicht abschließend klären und suchte daher zunächst mittels der Pressemitteilung nach Zeugen des Geschehens. In der Folge wurde laut einem Bericht des SWR die verantwortliche Mitarbeiterin der Gaststätte zunächst von Beamten der Mainzer Kriminalpolizei und anschließend vom Mainzer Gesundheitsamt kontaktiert und zur Datenfreigabe aufgefordert worden. Dieser Bitte habe sie nachgegeben. Daraufhin habe die Staatsanwaltschaft 21 potentielle Zeugen ausfindig gemacht und kontaktiert.

Der Zweck heiligt nicht die Mittel

Um die entsprechenden Daten zu entschlüsseln, habe das Gesundheitsamt offenbar einen Infektionsfall in der Luca-App simuliert. Die Daten können laut Stellungnahme der App-Betreiber nämlich nur bereitgestellt werden, wenn Gesundheitsamt und Betrieb gleichzeitig ihr Einverständnis in einem Infektionsfall erteilen und ihre individuellen Schlüssel anwenden, um die Daten zu entschlüsseln. Während zu Beginn der Pandemie die Rechtslage zur Datenweitergabe noch nicht klar geregelt war, dürfen die nunmehr mittels der App erhobenen Daten gemäß § 28a Abs. 4 IfSG nur noch zum Zweck der Kontaktnachverfolgung verwendet werden. Eine Weitergabe der übermittelten Daten zu einem anderen Zweck ist ausgeschlossen. Insofern ist auch eine Datenabfrage zum Zweck der Zeugensuche oder Strafverfolgung rechtswidrig. Dies bestätigt auch die Landesregierung Rheinland-Pfalz auf ihrer eigenen Webseite. Dort heißt es in der Rubrik FAQ zur Luca-App, dass die anhand der Luca-App gewonnenen Daten nicht für "andere Zwecke [...] z.B. zur Strafverfolgung" verwendet werden dürfen. Schließlich schreibt auch § 3 Abs. 4 der aktuellen Corona-Bekämpfungsverordnung des Landes eine Einhaltung der datenschutzrechtlichen Bestimmungen vor.

Staatsanwaltschaft gelobt Besserung

In einer Stellungnahme, die dem SWR vorliegt, hat die Mainzer Staatsanwaltschaft inzwischen eingeräumt, dass es für die Aktion "keine hinreichende rechtliche Grundlage" gegeben hat. Gegenüber den Betroffenen drücke die Staatsanwaltschaft ihr Bedauern aus und bitte sie um Entschuldigung. Man habe bereits den behördlichen Datenschutzbeauftragten informiert und beabsichtige, auch den Landesdatenschutzbeauftragten zu unterrichten, heißt es weiter. Außerdem würden Mitarbeiterinnen und Mitarbeiter der Staatsanwaltschaft hinsichtlich der Rechtslage sensibilisiert. Diese Ankündigung wurde von der Betreiberin der Luca-App begrüßt. Von dem Vorfall hat sie nach eigener Angabe erst über die Medien erfahren. Fast täglich erreichten sie Anfragen von Polizei und Staatsanwaltschaft zu Daten aus der Luca-App, die jedoch alle abgelehnt würden, da auch die Betreiber aufgrund des Verschlüsselungskonzepts technisch keinen Zugriff auf die Daten hätten.

Immer wieder Fälle von Datenmissbrauch durch Polizei

Schon als es das Luca-System noch nicht gab, hatte die Polizei in mehreren Bundesländern auf personenbezogene Daten aus Corona-Gästelisten von Restaurants, Cafés und Hotels zugegriffen. Wie beispielsweise das Nachrichtenportal "heise online" berichtete, ließen sich mehrere sächsische Polizeireviere bereits am Anfang der Pandemie mehr als 7.200 Datensätze zum Zweck der Strafverfolgung übermitteln. Aus einem Bericht der "Süddeutschen Zeitung" geht hervor, dass auch die bayerische Polizei Mitte 2020 Corona-Daten angefordert hatte. Das bayerische Innenministerium rechtfertigte sein Verhalten zunächst damit, dass die Daten lediglich zur Verfolgung von Schwerstkriminalität verwendet worden seien. Dies habe nach Angabe der "Süddeutschen Zeitung" jedoch nicht gestimmt. Vielmehr seien die Listen auch bei Ermittlungen zu Kleinkriminalität genutzt worden.

Unklare Rechtslage sorgt für Misstrauen

Zu Beginn der Pandemie war die Rechtslage zur Datenweitergabe noch nicht klar geregelt. Grundsätzlich ist die Polizei verpflichtet, alle Beweismittel zu nutzen, die sie legal nutzen darf. Da eine entsprechende Zweckbindung erst mit Inkrafttreten von § 28a Abs. 4 IfSG im November 2020 ins Gesetz aufgenommen wurde, war die Übermittlung der Daten aus den Corona-Listen zu Beginn der Pandemie noch nicht rechtswidrig. Möglicherweise haben deshalb einige Menschen zwar ihre richtige E-Mail-Adresse, jedoch falsche personenbezogene Daten in die Listen eingetragen. Dieser kleine "Hack" ist spätestens seit der Pflicht zur digitalen Datenerfassung via App zwar nicht mehr möglich. Nichtsdestotrotz dürfte es gerade aus behördlicher Sicht und im Interesse einer lückenlosen Kontaktnachverfolgung nicht gerade zuträglich sein, wenn durch illegale Datenabfragen das Vertrauen der Nutzerinnen und Nutzer in die Luca-App bzw. in den staatlichen Umgang mit ebenjener geschwächt wird.

Redaktion beck-aktuell, 10. Januar 2022.