Bekämpfung der Epidemie mit den Mitteln des Rechtsstaats
Der Deutsche Anwaltverein begrüßt es ausdrücklich, dass entsprechend des gesetzlichen Auftrags des Infektionschutzgesetzes (IfSG) über die weitere Konzeption zur Reduktion der Neuinfektionen nachgedacht wird, um auf diesem Weg die durch die Länder auf unterschiedliche Weise vorgenommenen Einschränkungen der Grundrechte der Bürger so schnell wie möglich zurücknehmen zu können. Der Einsatz von technischen Mitteln bzw. die Einbindung von technikbasierten Prozessen könne in diesem Kontext Möglichkeiten bieten, die analogen Strategien überlegen seien.
Datensammlungen sind tiefgreifende Eingriffe in Betroffenenrechte
Die Erhebung und die Verarbeitung von Telekommunikationsverkehrsdaten bedürfen dabei laut DAV wie alle Eingriffe in Grundrechte einer klaren Rechtsgrundlage. Dabei müsse immer betont werden, dass die Erfassung von Verkehrs- und Standortdaten als Maßnahme der staatlichen Überwachung einen tiefgreifenden Eingriff für die Betroffenen darstelle, der zugleich eine sehr große Zahl von Personen betrifft. Das Bundesverfassungsgericht habe mehrfach betont, dass der Abruf und die unmittelbare Nutzung von Daten aus Telekommunikationsvorgängen nur dann verhältnismäßig ist, wenn er überragend wichtigen Aufgaben dient und wenn die Ausgestaltung der Datenspeicherung dem besonderen Gewicht des Eingriffs Rechnung trägt. Erforderlich seien hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes (vgl. dazu BVerfG NJW 2010, 833).
Enge Voraussetzungen bei Zugriff auf Verkehrs- und Standortdaten
Konsequent sei bei den für die Gefahrenabwehr und für die Strafverfolgung bestehenden Regelungen zum Zugriff auf die Verkehrs- und Standortdaten jeweils vorgesehen, so der DAV weiter, dass ein Zugriff auf diese Daten nur bei Straftaten, die auch im Einzelfall von erheblicher Bedeutung sind, in Betracht komme. Außerdem müsse dies für die Erforschung des Sachverhalts erforderlich sein und eine hohe Wahrscheinlichkeit eines Schadens für Leben, Gesundheit oder Freiheit einer Person oder zur Abwehr einer gemeinen Gefahr bestehen. Die Erreichung des Zwecks der Maßnahme müsse zudem auf andere Weise aussichtslos oder wesentlich erschwert sein.
Verfassungsrechtliche Grundsätze bei "Corona-App“ zu beachten
Mit Blick auf eine "Corona-App" vertritt der DAV die Auffassung, dass eine berechtigte Aussicht darauf besteht, dass die technische Kontaktverfolgung ein Mittel sein kann, Infektionsketten zu durchbrechen. Aus rechtlicher Sicht weist der DAV-Ausschuss für Gefahrenabwehr darauf hin, dass die Einführung einer "Corona-App“ sich an den vom Bundesverfassungsgericht entwickelten Grundsätzen zu orientieren habe. Aus diesem Grund sei auch der ursprünglich vorgesehene Reformvorschlag der Bundesregierung durch den DAV abgelehnt worden. Denn durch diesen wären (nur) Massendaten bei einer Behörde geschaffen worden, ohne dass ein erkennbarer Gewinn für die Vermeidung weiterer Infektionen entstanden wäre. Einem App-Modell, dass auf die Freiwilligkeit der Bürger setzt, stehe der Verband offen gegenüber.
App-Nutzung muss freiwillig sein
Einer Pflicht zur Nutzung der App steht der Ausschuss skeptisch gegenüber. Es dürfte kaum möglich sein, eine solche durchzusetzen und ihre Einhaltung zu kontrollieren, ohne massiv in das Recht auf informationelle Selbstbestimmung sowie ggf. das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme einzugreifen und zugleich an die Grenzen des Machbaren zu gelangen. Stattdessen werde eine grundrechtsschonende Variante der App befürwortet, die auf das Prinzip der Freiwilligkeit setze. Die Einschränkungen der Grundrechte dürften auch in Krisenzeiten nicht so weit gehen, dass sie de facto abgeschafft werden.
Corona-App: Voraussetzung für Datenverarbeitung
Für die Nutzung der App müssten rechtlich jedenfalls zwingend einige Voraussetzungen vorliegen und gewährleistet sein. So müsse sichergestellt werden, dass die App keine Daten auf dem Handy verarbeite, die nicht für die Kontaktverfolgung erforderlich seien. Ferner müssten die Daten, die zur Identifizierung notwendig seien, ausschließlich lokal gespeichert werden. Darüber hinaus müssten die Entwickler den Quellcode des Programms jedenfalls bestimmten Stellen gegenüber offenlegen, damit dieser durch eine unabhängige Stelle (z. B. CCC und BSI) auf seine Sicherheit hin überprüft werden kann. Außerdem müsste die App durch einen Sicherheitsanbieter laufend auf Sicherheitsrisiken evaluiert werden.
Freie Entscheidung zur Nutzung von Push-Nachrichten
Ob der Nutzer über seine eigene Infektion eine "push“-Nachricht schicke, müsse er aus Sicht des Anwaltvereins jederzeit frei entscheiden können. Mit der Installation der App dürfe kein Automatismus verbunden sein. Bei der Übersendung der Information einer eigenen Infektion sei sicherzustellen, dass keine Zeitstempel hinsichtlich der Kontakte übersandt werden (also wann der Nutzer Kontakt mit wem hatte). Wenn dies aus medizinischen Gründen gleichwohl notwendig sein sollte, müsse darauf geachtet werden, dass die Zeiträume der Zurückverfolgung auf das Notwendigste eingegrenzt werden.
Verwendungs- und Verwertungsverbot für staatliche Zwecke
Die durch die Nutzung der App entstandenen Daten müssen laut DAV einem Verwendungs- und Verwertungsverbot für staatliche Zwecke unterliegen. Das gelte vor allem für die im Rahmen der Pushnachricht seitens des Handyinhabers genutzte IP-Adresse zu Zwecken der Strafverfolgung. Andernfalls könnten übermittelte Daten dazu führen, dass sich hieraus ein Verstoß gegen die derzeit geltenden Kontaktverbote ablesen ließe, mit der Folge, dass ein Ermittlungsverfahren eingeleitet werden könnte.
Einhaltung der essentiellen Datenschutzvorkehrungen
Die entwickelte App sollte nach Ansicht des Ausschusses für Gefahrenabwehrrecht von dem Bundesbeauftragten für den Datenschutz und für die Informationsfreiheit auf die Einhaltung der essentiellen Datenschutzvorkehrungen – nach Möglichkeit noch vor Freischaltung der App – überprüft werden können. Dasselbe gilt für die Bewertung und den Ausschluss etwaiger Sicherheitsrisiken in technischer Hinsicht durch die Nutzung der Bluetooth-Technologie. Dies könnte durch das Bundesamt für Sicherheit in der Informationstechnik und durch den Chaos Computer Club als hierfür besonders qualifizierte Stellen erfolgen.