Michael Will/Tim Wybitul/Anke Zimmer-Helfrich

Die Corona-Warn-App - ein Allzweckwerkzeug?


 Michael Will, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht in Ansbach und Mitglied des Wissenschaftsbeirats der ZD, und RA Tim Wybitul, Partner bei Latham & Watkins in Frankfurt und Mitherausgeber der ZD, im Gespräch mit Anke Zimmer-Helfrich, Chefredakteurin der ZD.

 ZD 2020, 381   ZD-Interview mit Tim Wybitul und Michael Will zur Nutzung der RKI-App durch Arbeitgeber und andere

ZD: Die Corona-Warn-App des RKI ist seit Mitte Juni verfügbar, sie soll bereits in den ersten Wochen von mehr als 13 Mio. Nutzern installiert worden sein. Wieso gibt es immer noch Datenschutz-Diskussionen im Zusammenhang mit der App?

Will: Die Corona-Warn-App ist ein komplexes Projekt, an das sehr unterschiedliche Erwartungen geknüpft werden. In seinem Kernbereich, der Kontaktdatenerfassung und -unterrichtung im Infektionsfall, besteht nach meiner Wahrnehmung mittlerweile Konsens: Das Konzept der Freiwilligkeit ist datenschutzrechtlich tragfähig, selbst wenn bei Details wie etwa der Meldung von Infektionen über die Telefonhotline, falls das beteiligte Labor noch keine digitale Anbindung besitzt, noch Nachbesserungen angemahnt werden.

Wybitul: Die Corona-Warn-App ist in der Tat ein schönes Beispiel dafür, wie gut eine Abstimmung mit Datenschutzbehörden funktionieren kann. Besonders gut finde ich dabei, dass sich hier deutlich zeigt, dass die Behörden den Datenschutz sehr ernst nehmen. Dabei sind sie aber auch bereit, notwendige Abwägungen zwischen Datenschutz und Gesundheitsschutz vorzunehmen.

ZD: Die Corona-Warn-App möchte eine möglichst hohe Nutzerzahl erreichen. Was spricht dagegen, dass auch Arbeitgeber dieses Ziel unterstützen, indem sie Installation und Aktivierung der App anordnen?

Wybitul: In rechtlicher Hinsicht sind Arbeitgeber hier in einer schwierigen Situation. Zum einen müssen sie die personenbezogenen Daten ihrer Arbeitnehmer nach Maßgabe der DS-GVO, des BDSG und des Betriebsverfassungsrechts schützen. Auf der anderen Seite sind sie aber auch den Vorgaben des Arbeitsschutzes und des Infektionsschutzes unterworfen. Tun sie in Bezug auf den Schutz ihrer Arbeitnehmer vor Corona-Infektionen zu wenig, verstoßen sie gegen ihre Pflichten als Arbeitgeber. Zudem drohen Betriebsschließungen, Schadensersatzansprüche usw. Sofern es klare Vorgaben der zuständigen Gesundheitsbehörden gibt, kann man die Datenverarbeitung hierauf stützen, Art. 6 Abs. 1 lit. c DS-GVO. Zumeist ist das aber nicht der Fall. In Bezug auf private Mobiltelefone dürfte es für eine verbindliche Anordnung zur Nutzung einer App bereits am Direktionsrecht des Arbeitgebers fehlen. Aber auch bei Diensthandys gelten die Vorgaben des Datenschutzes. Zumal Betriebsräte in vielen Fällen ihre gesetzlichen Beteiligungsrechte geltend machen werden. Das kann aber auch ein Vorteil sein. In einer Reihe von Unternehmen wurden effektive Maßnahmen zum Schutz vor Ansteckungen datenschutzrechtlich durch Betriebsvereinbarungen zusätzlich abgesichert.

Will: Wenn wir uns die einzelnen Datenflüsse genauer ansehen, verbleibt nach meinem Eindruck sowohl eine tatsächliche als auch eine rechtliche Deckungslücke.

In der Phase der Kontaktdatensammlung, dem sog. Kontaktprotokoll, erfasst das Diensthandy des Beschäftigten neben dem Zeitpunkt der jeweiligen Begegnung und der Signalstärke zahllose pseudonyme IDs Dritter, um in einem Infektionsfall den Beschäftigten als gefährdet einstufen zu können. Datenschutzrechtlich Verantwortlicher hierfür ist der Arbeitgeber, er will ja ausdrücklich nicht nur eine Privatnutzung erlauben, sondern ordnet die dienstliche Nutzung der Warn-App an. Umgekehrt begründet der Arbeitgeber mit der Inbetriebnahme der App zahllose Übermittlungen solcher IDs aus dem Diensthandy des Beschäftigten an beliebige Dritte, zumindest aber an alle, die während der Arbeitszeit Kontakt mit Beschäftigten haben, also sämtliche Kunden und Vertragspartner.

Genauso wie für die Übermittlung der pseudonymen Kontakt-IDs seiner Beschäftigten mittels Bluetooth an die übrigen Warn-App-Nutzer, braucht der Arbeitgeber auch umgekehrt eine eigenständige Erlaubnis, um den Empfang der App-Kontaktdaten von Dritten auf den Dienstgeräten seiner Beschäftigten zu rechtfertigen. Das gelingt nur, wenn man dazu noch deren gegenüber dem RKI abgegebene Einwilligung heranzieht und unterstellt, dass diese Einwilligungen ohne Ansehung der jeweiligen Empfänger und ihrer möglichen Zwecke erfolgt seien - das aber steht im Widerspruch zu den Nutzungs- und Datenschutzbestimmungen der Warn-App.

ZD: Schauen wir uns Phase II, den Infektionsfall, an: zunächst als sog. Risikoermittlung beim Arbeitnehmer als Kontakt, dann als sog. Teilen des Testergebnisses eines infizierten Beschäftigten. Vielleicht verbleiben zumindest Teilfunktionen, die der Arbeitgeber nutzen kann?

Will: Für den Arbeitgeber gibt es am Ende keine hinreichend tragfähigen Ansätze, um alle Datenströme, die die beiden Funktionen der Warn-App auslösen, als ein Erfordernis zur Durchführung des Beschäftigungsverhältnisses oder mit anderen Rechtsgrundlagen zu legitimieren. Der BMAS-Arbeitsschutzstandard zu SARS-CoV-2 verlangt vom Arbeitgeber zwar einen Pandemie-Plan, der regelt, wie bei bestätigten Infektionen diejenigen Personen ermittelt und informiert werden, bei denen durch Kontakt mit der infizierten Person ebenfalls ein Infektionsrisiko besteht. Ebenso werden wir arbeitsrechtlich eine Pflicht des Beschäftigten anerkennen müssen, dem Arbeitgeber ein konkretes Infektionsrisiko mitzuteilen, also entweder coronaspezifische Erkrankungssymptome oder eben einen Kontakt zu einem bestätigten Infektionsfall in den letzten 14 Tagen. Selbst für Kunden, die Kontakt mit den Beschäftigten des Arbeitgebers haben, können solche wechselseitigen Unterrichtungspflichten gelten.

Alle diese Verpflichtungen mag die Warn-App zwar unter Teilaspekten unterstützen, selbst wenn sie nur wie eine verpflichtende Dienstkleidung zu 100% in der Dienstzeit aktiv genutzt wird. Andererseits fehlen wichtige Teilaspekte, z.B. dass überhaupt der Arbeitgeber selbst eine Mitteilung des Infektionsfalls erhält oder wie er den Prozess der Unterrichtung der übrigen Beschäftigten steuert und überwacht, um seiner Fürsorgepflicht gerecht zu werden. Die App ist damit aus Arbeitgebersicht vielleicht nützlich, aber sicher nicht notwendig, um seinen Arbeitgeberpflichten nachzukommen -- und das genügt so für eine Erforderlichkeit im datenschutzrechtlichen Sinne nicht.

Wybitul: Unabhängig von den datenschutzrechtlichen oder arbeitsrechtlichen Fragestellungen dürfte die verbindliche Durchsetzung der Nutzung von Tracing-Apps auch schon aus tatsächlichen Gründen schwierig werden. Wenn ein Beschäftigter nicht möchte, dass eine App seine Bewegungen und Kontakte kontrolliert, hat er viele Möglichkeiten, dies zu umgehen. Er könnte das Handy z.B. einfach nicht bei sich führen, es ganz abschalten oder für den Betrieb der App nötige Funktionen deaktivieren und in der Freizeit als Alternative schlicht ein anderes Gerät mit Prepaid-Karte nutzen.

Will: Das Konzept der Freiwilligkeit der App spiegelt am Ende auch das Konzept von gegenseitiger Solidarität wider, in dem für Drittinteressen wie die Anliegen des Betriebsschutzes kein Raum bleibt. Im Übrigen setzt das Konzept der gegenseitigen Freiwilligkeit der Corona-Warn-App nicht nur Arbeitgebern, sondern auch anderen Grenzen, die die Nutzung der App oder ihrer Funktionen für ihre Zwecke einsetzen möchten. Auch der Wirt oder sonstige Inhaber eines Publikumsbetriebs, der von seinen Gästen verlangt, die Risikoanzeige der Warn-App als eine Art "Infektionstest light" vorzuzeigen, überschreitet nicht nur im Datenschutzrecht seine Befugnisse.

ZD: Wäre es dann besser, die Corona-Warn-App auf eine gesetzliche Grundlage zu stützen, wie das schon vorgeschlagen wird?

Wybitul: Tatsächlich gibt es gute Argumente für, aber auch gegen eine gesetzliche Regelung. Zum einen haben diejenigen Stimmen durchaus Recht, die sagen, dass die geltenden Gesetze flexibel genug sind, um den angemessenen Einsatz entsprechender Datenverarbeitungen zum Infektionsschutz zu ermöglichen. Zum anderen zeigt aber schon die bisherige Diskussion deutlich, welch große Auslegungsspielräume es hier gibt. Und wenn es um den Gesundheitsschutz am Arbeitsplatz geht, geht diese Rechtsunsicherheit zu Lasten der Arbeitgeber, die nicht wissen, wie sie hier richtig handeln sollen. Eine klare und ausgewogene gesetzliche Regelung könnte zudem auch sicherstellen, dass Arbeitgeber nicht aus Furcht vor hohen Bußgeldern oder möglichen Schadensersatzansprüchen nach der DS-GVO zu wenig tun, um ihre Beschäftigten effektiv vor Corona zu schützen.

Will: Ich bleibe skeptisch. Die Analyse zeigt doch, dass die bestehenden Regelungen gewährleisten, dass die Warn-App allen ihr heute vorgegebenen Zielsetzungen gerecht wird. Für alleine dem Gesetzgeber vorbehaltene zusätzliche Absicherungen wie z.B. ein Beschlagnahmeverbot zur Verstärkung der Zweckbindung sehe ich derzeit keinen Anlass. Vielmehr sehe ich das Risiko, dass eine unionsrechtlich sicher begründbare gesetzliche Absicherung einen rechts- und gesundheitspolitischen Paradigmenwechsel befördern könnte. Am Ende könnte so die Warn-App mit zusätzlichen Zweckbestimmungen und Nutzerkreisen zu einem Allzweckwerkzeug des Infektionsschutzes ausgebaut werden, das dann doch Ideen wie dem allgemeinen Impfpass die Hintertür öffnet.

Wybitul: Trotzdem - wenn man das Für und Wider einer solchen gesetzlichen Regelung abwägt - sprechen die besseren Argumente meines Erachtens eher dafür, eine klare und ausgewogene gesetzliche Grundlage zu schaffen. Die derzeitige Pandemie ist eine Ausnahmesituation. Die bekommt man zwar zur Not auch mit den allgemeinen Regelungen der DS-GVO und des BDSG in den Griff. Das geht dann aber auf Kosten der Rechtssicherheit und der Vorhersehbarkeit. In der jetzigen Situation sind viele Unternehmen mit der Umsetzung der unterschiedlichen rechtlichen Anforderungen überfordert. Ich fände eine angemessene und handwerklich gut gestaltete Regelung daher durchaus sinnvoll. Allerdings bin ich auch nicht übermäßig optimistisch, dass es hierfür den notwendigen politischen Konsens geben wird.

ZD: Herr Wybitul, Sie sind in den kürzlich vom Bundesarbeitsminister Hubertus Heil initiierten Beirat Beschäftigtendatenschutz berufen worden. Neben Ihnen sind dort ja auch noch einige andere ausgewiesene Experten vertreten, darunter der BfDI. Wäre das nicht auch ein Thema für diesen Beirat Beschäftigtendatenschutz?

Wybitul: Ich glaube eher nicht. Wenn man sich dazu entschließen sollte, ein Gesetz zu schaffen, dass den Schutz vor Corona, den Datenschutz und sonstige relevante Belange abdeckt, müsste das schnell kommen. Im Beirat Beschäftigtendatenschutz prüfen wir derzeit die Zweckmäßigkeit einer gesonderten gesetzlichen Regelung zum Datenschutz am Arbeitsplatz. Für den Fall, dass wir ein solches Gesetz für zielführend halten, werden wir auch klare und praxisgerechte Empfehlungen für entsprechende Regelungen abgeben. Dies ist für Ende 2020 vorgesehen. Sofern es eine gesetzliche Regelung zum Schutz vor Corona geben sollte, kommt diese hoffentlich früher.

ZD: Herzlichen Dank für das Gespräch - und passen Sie bitte weiterhin gut auf sich auf!