Corona-Warn-App, ein Datenschutzüberblick

Die offizielle Corona-Warn-App des Bundes ist seit dem 16.06.2020 verfügbar. Diese und einige weitere Apps aus unterschiedlichen Quellen sind und waren in den letzten Monaten ein Thema im Datenschutz. Es gibt einige Bedenken über die Datenverarbeitung in den Apps, so besteht die Möglichkeit zur Erstellung von Benutzer- und Bewegungsprofilen, die Sammlung von Daten aus dem Smartphone und von Gesundheitsdaten.

Bei der Entwicklung, der Veröffentlichung und der Werbekampagne zur App ist der Datenschutz ein wichtiger Punkt. Laut Bund ist ein hohes Datenschutzniveau gewährleistet, eine Bewertung, die von Datenschutzexperten unterstützt wird. Da die App Open-Source ist, wurde sie bereits von Experten bewertet und weiterentwickelt, um Risiken zu minimieren. Laut Ulrich Kelber, Bundesdatenschutzbeauftragter, macht die App einen „soliden Eindruck.“

Konkret ist die erste Frage bei Datenverarbeitungen immer die Rechtsgrundlage. Hier ist unbestritten, dass die Rechtsgrundlage auf der Einwilligung der Betroffenen nach Art. 6, Abs. 1 DSGVO beruht. Die Nutzung der App ist auf freiwilliger Basis und hat keinen direkten Einfluss auf den Datenschutz der eigenen Daten. Es gibt weder eine Pflicht noch positive Anreize die App zu nutzen.

Laut Bund werden keine personenbezogenen Daten verarbeitet, weder die des Benutzers, noch die seiner Kontakte und insbesondere keine Gesundheitsdaten, selbst bei der Meldung (durch Benutzer selbst) des positiven Covid 19 Status. Die Daten werden ausschließlich anonymisiert verarbeitet, mit verschlüsselte IDs, die regelmäßig und im kurzen 15 Minuten-Takt erneuert werden. Die anonymisierten IDs werden 14 Tage lokal auf dem Smartphone gespeichert bevor sie gelöscht werden. Somit erfolgt keine Speicherung auf zentralisierten Servern des Betreibers. Auch Standortdaten werden nicht verarbeitet, da sich der Bund für eine Anwendung durch Bluetooth statt durch GPS entschieden hat. Die Erstellung von Bewegungsprofile ist somit ausgeschlossen. Beim erstmaligen Starten der App wird der Nutzer feststellen, dass er umfangreich über die Datenverarbeitung – Schritt für Schritt – aufgeklärt wird und jeweilige Einwilligung explizit erteilt werden muss. Aus datenschutzrechtlicher Sicht ist dies zu begrüßen. Dies schafft Vertrauen beim Benutzer und stärkt zudem seine Persönlichkeitsrechte.

Mit dieser App folgt Deutschland einigen weiteren Ländern, innerhalb und außerhalb der EU, die eine Corona-App eingesetzt haben. In Frankreich, beispielsweise, ist „StopCovid“ seit bereits zwei Wochen im Einsatz. Seitdem haben ca. 2% der französischen Bevölkerung die App heruntergeladen, weit unter der Untergrenze von 60% der Bevölkerung, die laut einer britischen Studie die besten Ergebnisse gewährleisten würden. Aber selbst in dieser Studie wurde geschätzt, dass eine geringere Benutzungsrate die Eindämmung der Pandemie unterstützt. Die französische Datenschutzaufsichtsbehörde (CNIL) hatte die App vor der Veröffentlichung beurteilt und als datenschutzkonform bewertet, da auch diese keine personenbezogenen Daten verarbeitet.

Update 22.06.2020: Eine Benutzung der App auf dienstlichen Smartphones ist aus diesen Gründen vorstellbar. Allerdings ist zwingend zu gewährleisten, dass die Benutzung durch die Mitarbeiter freiwillig und nicht verpflichtend ist, um die Einwilligung nach Art. 6 Abs. 1. lit. a) DSGVO als Rechtsgrundlage einzuhalten. Somit können Unternehmen Ihre Mitarbeiter nicht zur Nutzung der App auf dienstlichen Smartphones zwingen. Möglich ist aber ein Hinweis mit umfassender Aufklärung sowie ein Appell bzw. Bitte zur Benutzung.