Das Wichtigste in Kürze
- Die Corona-Warn-App ist da und soll von nun an erleichtern, Infektionsketten nachzuvollziehen.
- Hinter der App steckt ein komplexes System, das nicht nur die Identifikation und Benachrichtigung von Kontaktpersonen erleichtert, sondern auch den Datenschutz gewährleistet.
- Aus datenschutzrechtlicher Sicht haben die Entwickler der Corona-Warn-App sauber gearbeitet, auch wenn ein Feinschliff durchaus noch möglich ist.
In diesem Beitrag
- Was ist die Corona-Warn-App und wozu dient sie?
- Wie ist es bei der Corona-Warn-App um den Datenschutz bestellt?
- Ist die Nutzung der Corona-Warn-App freiwillig?
- Fazit: Der Datenschutz wurde mitgedacht, ein Feinschliff ist aber noch möglich
Mit der Corona-Warn-App sagt die Bundesregierung einer weiteren Ausbreitung des Coronavirus den Kampf an. Sie legt allen Bundesbürgern nahe, die App zu installieren, und so die Nachvollziehbarkeit von Infektionsketten zu erleichtern. Doch eine wichtige Frage steht dabei im Raum: Wie sieht es bei der App mit dem Schutz personenbezogener Daten aus? Die Antwort auf diese Frage erhalten Sie in diesem Beitrag.
Warum eine Corona-Warn-App?
Schon bevor sich erste Symptome zeigen, können mit dem Coronavirus Infizierte andere anstecken. Viele entwickeln sogar keinerlei Symptome, sodass sich das Virus leicht verbreiten kann. Umso wichtiger ist es, Infektionsketten nachvollziehen zu können – man spricht in diesem Zusammenhang vom sogenannten Contact Tracing. Es gilt also nicht nur in Erfahrung zu bringen, wer infiziert ist, sondern auch, wer Kontakt zu einer nachweislich infizierten Person hatte. Nur so lässt sich eine unkontrollierte Verbreitung des Coronavirus stoppen.
Welchen Zweck erfüllt die Corona-Warn-App?
Bislang wurden Kontaktpersonen primär manuell erfasst: Speziell geschultes Personal interviewt infizierte Personen und versucht herauszufinden, wer möglicherweise von dieser Person infiziert worden ist. Anschließend werden diese Personen kontaktiert und gewarnt. Dieses System stieß beim Coronavirus jedoch sehr schnell an seine Grenzen, da sich der Erreger anfangs zu schnell verbreitete. Aus diesem Grund haben die Bundesländer ab Mitte März strenge Einschränkungen des öffentlichen Lebens erlassen. Nur so konnte die Verbreitungsgeschwindigkeit des Coronavirus und der von ihm ausgelösten Krankheit COVID-19 drastisch reduziert werden.
Mittlerweile ist die Ausbreitung des Virus glücklicherweise soweit unter Kontrolle, dass die Einschränkungen wieder gelockert werden und sich das wirtschaftliche und soziale Leben wieder normalisiert. Allerdings besteht natürlich weiterhin das Risiko eines erneuten Ausbruchs. Deshalb hat sich mittlerweile auch die Bundesregierung entschieden, neue Technologien zur Nachverfolgung von Infektionsketten zu verwenden. So können die Behörden entlastet werden und vor allem schnellere Warnungen erfolgen. Vereinfacht gesagt sollen mit technischen Mitteln potenziell infizierte Personen automatisch identifiziert werden und im Infektionsfall benachrichtigt werden können. Genau das soll die neue Corona-Warn-App leisten.
Wer hat die Corona-Warn-App entwickelt?
Das Robert Koch-Institut hat die Corona-Warn-App im Auftrag der Bundesregierung von zwei großen DAX-Konzernen, der Deutschen Telekom und SAP, entwickeln lassen. Dabei orientierte man sich an Ländern, in denen eine solche Lösung bereits seit Monaten im Einsatz ist. Neben asiatischen Ländern waren in Europa Österreich, Georgien und Norwegen die Vorreiter.
Wie funktioniert die Corona-Warn-App?
Wie internationale Vorbilder setzt auch Deutschland auf eine Identifikation der Kontakte mittels Bluetooth-Abstandsmessungen. Hierfür wird die Corona-Warn-App für Android und iOS eingesetzt. Dass man sich ausgerechnet auf eine App festgelegt hat, liegt daran, dass bereits ein großer Teil der Bundesbevölkerung über Smartphones verfügt und diese auch regelmäßig mitführt. Die App muss lediglich heruntergeladen und aktiviert werden, anschließend ist sie bereits funktionsfähig.
Wie erkennt die App, dass Kontakt zu einem Infizierten bestand?
Um zuverlässig Kontaktpersonen ausfindig machen zu können und im Ernstfall über die Möglichkeit einer Infektion zu informieren, zugleich aber ihre personenbezogenen Daten zu schützen, wurde ein komplexer technischer Prozess implementiert:
- Auf Zufallsbasis generiert die App täglich um Mitternacht einen neuen kryptographischen Schlüssel für jeden einzelnen Nutzer.
- Aus diesem Schlüssel werden regelmäßig temporäre IDs erzeugt, die jeweils nur für ein paar Minuten verwendet werden. Das verhindert, dass Nutzer durch andere Apps getrackt werden können.
- Die temporären Schlüssel werden in regelmäßigen Abständen über Bluetooth LE (kurz für „Low Energy“) als sogenannter Broadcast ausgesendet. Das sind kleine Datenpakete, die die temporäre ID enthalten.
- Andere Smartphones, auf denen die Corona-Warn-App installiert ist, können diese Datenpakete empfangen.
- Durch die Signalstärke und die Anzahl der empfangenen Broadcasts kann jedes Gerät abschätzen, welchen Abstand ein anderes Gerät hatte und wie lange der Kontakt gedauert hat.
- Werden dabei relevante Schwellenwerte überschritten (derzeit 15 Minuten und unter zwei Meter), wird dasjenige Gerät, von dem ein Broadcast empfangen wurde, als relevanter Kontakt gespeichert.
- Wird nun ein App-Nutzer positiv auf das Coronavirus getestet, so wird diese Information der Corona-Warn-App zur Verfügung gestellt. Dafür muss das Ergebnis aber zuerst verifiziert werden: Entweder wird vor dem Coronatest ein spezieller QR-Code eingescannt, der eine automatische Benachrichtigung durch das testende Labor ermöglicht, oder die Verifikation erfolgt telefonisch über eine eigens eingerichtete Hotline.
- Im nächsten Schritt werden nach ausdrücklicher Zustimmung des Nutzers seine kryptographischen Schlüssel der letzten 14 Tage hochgeladen.
- Jeses Smartphone lädt in regelmäßigen Abständen alle kryptographischen Schlüssel von infizierten Personen herunter.
- Lokal wird nun geprüft, ob eine aus diesen Schlüsseln abgeleitete temporäre ID auf dem Gerät abgespeichert ist. Wenn ja, dann wird ein Infektionsrisiko berechnet.
- Übersteigt dieses Risiko eine bestimmte Schwelle, wird der Nutzer dieses Geräts gewarnt, dass er möglicherweise infiziert ist. Außerdem erhält er Informationen über weiter Schritte, insbesondere zur Meldung bei den Gesundheitsbehörden.
Wie werden die Daten gespeichert – zentral oder dezentral?
Die Speicherung relevanter Kontakte erfolgt lokal. Eine Auslesung der Informationen ist nicht möglich. Ebenso wenig können die temporären IDs einem anderen Gerät direkt zugeordnet werden.
Wo finde ich weitere Informationen zur App?
Genauere Infos gibt es auf der Homepage zur Corona-Warn-App, detaillierte technische Informationen gibt es auf GitHub.
Wie ist es bei der Corona-Warn-App um den Datenschutz bestellt?
Schon dieser aufwendige technische Prozess zeigt, dass der Schutz personenbezogener Daten bei der Entwicklung der App mit bedacht wurde. Dennoch sind Vorbehalte gegenüber der App durchaus üblich – für uns Anlass genug, uns einmal genauer aus Datenschutzgesichtspunkten mit der App zu beschäftigen.
Welche Rechtsgrundlage gilt für die Verarbeitung personenbezogener Daten durch die App?
Die Datenverarbeitung durch die App erfolgt ausschließlich auf der Rechtsgrundlage der ausdrücklichen Einwilligung des jeweiligen Nutzers nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO, Art 9 Abs. 2 lit. a) DSGVO.
Welche Daten werden von der App erhoben, gespeichert, verarbeitet?
Die Corona-Warn-App erhebt keine persönlichen Daten wie Name, Telefonnummer oder Adresse. Ebenso wird kein Standortverlauf mit GPS-Daten gespeichert. Lediglich die Erlaubnis für die Verwendung der von Android und iOS bereitgestellten Risiko-Ermittlungs-Schnittstelle wird benötigt. Diese ermöglicht ausschließlich das Versenden und Empfangen von Bluetooth LE Broadcasts.
Muss ich als Android-Nutzer meinen Standort freigeben?
Auf Android wird bei älteren Versionen die Berechtigung „Standort” für die App benötigt. Dies hat den Grund, dass Bluetooth LE theoretisch zur Standortbestimmung verwendet werden kann, weshalb Google für dessen Betrieb die Standortberechtigung benötigt. Die App greift jedoch zu keiner Zeit auf GPS-Daten zu.
Die Corona-Warn-App speichert lediglich die eigenen kryptographischen Schlüssel sowie die temporäre ID und einige Metadaten (Signalstärke, Zeit, ...) von empfangenen Broadcasts. Diese Daten sind alle pseudonymisiert, eine Rückführbarkeit auf eine bestimmte Person ist grundsätzlich nicht möglich.
Nur bei einer positiven Meldung kann der Nutzer nach expliziter Zustimmung und nach erfolgter Verifikation seine eigenen kryptographischen Schlüssel hochladen. Auch hier gilt: Diese können grundsätzlich nicht auf einen bestimmten Nutzer zurückgeführt werden.
Es gibt nur eine Ausnahme, bei der die Angabe einer Telefonnummer nötig ist – dann nämlich, wenn die Verifikation nicht per QR-Code sondern per Telefonhotline erfolgen soll. In diesem Fall wird die Nummer aber nicht dauerhaft gespeichert. Sie wird gelöscht, sobald sie nicht mehr benötigt wird. Darüber hinaus kann der Nutzer jederzeit alle gespeicherten Daten in der App löschen.
Ist die Corona-Warn-App datenschutzrechtlich in Ordnung?
Ja, die Corona-Warn-App ist unserer ersten Einschätzung nach datenschutzrechtlich in Ordnung. Dies bestätigen auch andere führende Datenschutzexperten wie der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI).
In welchen Datenschutzaspekten überzeugt die Corona-Warn-App?
Die App und die Datenschutzbedingungen erfüllen die Voraussetzung der DSGVO, insbesondere wurde datenschutzrechtlichen Prinzipien wie Transparenz, Datenminimierung, Speicherbegrenzung, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Genüge getan. Die Informationspflichten nach Art. 12 ff. DSGVO wurden unseres Erachtens in rechtmäßiger, präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfach verständlicher Sprache erfüllt.
Die nach Art. 35 DS-GVO notwendige Datenschutz-Folgeabschätzung (DSFA) wurde in detaillierter Art und Weise und rechtzeitig erfüllt. Zur Vermeidung von Interessenkonflikten war der behördliche Datenschutzbeauftragte des Verantwortlichen RKI in die Erstellung der Datenschutzfolgeabschätzung nicht unmittelbar eingebunden. Der BfDI als zuständige Aufsichtsbehörde war in beratender Funktion eingebunden. Die DSFA ist hier abrufbar.
Wer hat die App im Vorfeld geprüft?
Die App wurde unter anderem einer sicherheitstechnischen Untersuchung inklusive Datenschutzaspekte durch die TÜV Informationstechnik GmbH (TÜViT) unterzogen, bei denen insbesondere der Verarbeitung von Gesundheitsdaten durch die App Rechnung getragen wurde. TÜViT kam dabei zu einem positiven Ergebnis: Die App werde „stabil und sicher laufen, ohne die Anwender auszuspionieren“, betonte der Geschäftsführer des TÜVit gegenüber der Nachrichtenagentur dpa. Laut TÜViT habe man keine versteckten Tracking-Technologien gefunden. Auch die Nutzerdaten werden ausreichend vor unbefugtem Zugriff geschützt. Da der Quellcode der Corona-Warn-App und der dazugehörigen Serverinfrastruktur Open Source ist, konnten auch viele interessierte Softwareentwickler und Sicherheitsexperten Einblick nehmen. Dabei sind bisher keine gravierenden Schwachstellen gefunden worden.
In welchen Datenschutzaspekten überzeugt die Corona-Warn-App (noch) nicht?
Bei der Prüfung der Datenschutzerklärung der Corona-Warn App ergaben sich leichte Mängel in der Einbindung. Diese war, nach eingehender Möglichkeit der Kenntnisnahme durch den Nutzer bei dem ersten Start, anschließend nur noch mit mehr als den empfohlenen zwei Klicks erreichbar. Des Weiteren war die Datenschutzerklärung in der App zwar problemlos verfügbar, jedoch wird sie in den App Stores von Google und Apple nur als PDF-Datei zum Download bereitgestellt. Diese Punkte stehen dem Wortlaut („in leicht zugänglicher Form“) und Sinn der durch Art. 12 Abs. 1 S. 1 DS-GVO geforderten transparenten Information entgegen, stellen jedoch im Ergebnis keinen gravierenden Datenschutzverstoß dar.
Darüber hinaus wurde vom Bundesdatenschutzbeauftragten auch ein Medienbruch kritisiert. Grund für die Kritik ist, dass sich Nutzer bei Fragen und/oder Problemen mit der App eine Telefonhotline des RKI wenden müssen, ihre Fragen also nicht direkt über die App stellen können. Das hat auch mit Blick auf den Datenschutz Folgen: Nutzer müssen zur Problemlösung bei der Telefonhotline möglicherweise ihre Identität angeben. Die in der App gewährleistete vollständige pseudonyme Nutzung kann damit bei der Nutzung der Telefonhotline konterkariert werden. Die Datenverarbeitung im Rahmen einer möglichen Identifikation des Anrufers bei der Hotline muss natürlich durch geeignete Datenschutzbestimmungen für die Hotline gewährleistet werden.
Welche „Nebenwirkungen“ hat die Nutzung der App?
Datenschutzrechtlich problematisch ist durchaus auch, dass die Corona-Warn-App auf Android wie schon erläutert die Berechtigung zur Standortbestimmung für Bluetooth braucht. Daher muss der Standort immer aktiviert sein, was dazu führt, dass auch andere Apps mit der Berechtigung die Standortdaten verwenden können, um damit Bewegungsprofile zu erstellen. Dies ist problematisch bei Personen, die ihren Standort normalerweise deaktiviert haben. Wir empfehlen daher, allen Apps, die nicht unbedingt einen Zugriff auf den Standort brauchen, diesen in den Einstellungen zu entziehen. Diese Empfehlung sollte grundsätzlich umgesetzt werden, völlig unabhängig von der Installation und/oder Nutzung der Corona-Warn-App.
Ist die Nutzung der Corona-Warn-App freiwillig?
Ja. Die Nutzung der App ist absolut freiwillig. Die Sicherstellung einer freiwilligen Nutzung war eine mehrerer Kernempfehlungen der europäischen Kommission und des Europäischen Datenschutzausschusses hinsichtlich einer „gemeinsamen EU-Toolbox für den Einsatz von Technologie und Daten zur Bekämpfung der COVID-19-Krise und zum Ausweg aus dieser Krise”.
Auch die Bundesregierung und das für die Corona-Warn-App verantwortliche Robert Koch-Institut betonen durchweg die Freiwilligkeit der Nutzung. Auf die Freiwilligkeit der Nutzung der App wird in den Datenschutzbestimmungen, denen der Nutzer vor Aktivierung der App zustimmen muss, explizit und klar verständlich hingewiesen. Diverse politische Gruppen und Interessenvertreter haben zudem bereits mehrfach gefordert, die Freiwilligkeit der Nutzung gesetzlich zu regeln und zu sichern. Die Bundestagsfraktion der Grünen hat am 16.06.2020 den Entwurf eines „Gesetzes zur zivil-, arbeits- und dienstrechtlichen Sicherung der Freiwilligkeit der Nutzung und zur Zweckbindung mobiler elektronischer Anwendungen zur Nachverfolgung von Infektionsrisiken” in den Bundestag eingebracht.
Können Unternehmen ihre Mitarbeiter zu Nutzung der App zwingen?
Nach überwiegender Auffassung von Arbeitsrechtsexperten können Unternehmen Mitarbeiter und Mitarbeiterinnen nicht zur Installation und Nutzung der App zwingen. Auch das Direktionsrecht eines Arbeitgebers dürfte nicht so weit gehen, dass Installation und Nutzung auf Diensthandys rechtmäßig verpflichtend geregelt werden kann. Grund dafür ist, das Gesundheits- und Infektionsschutz auch durch mildere organisatorische und technische Mittel in der Verantwortung des Arbeitgebers erreichbar sein dürfte.
Eine Nutzungspflicht der App auf dem Diensthandy durch Arbeitgeberanweisung und/oder durch Betriebsvereinbarung bedarf der vorherigen Beteiligung des zuständigen Datenschutzbeauftragten und – sofern vorhanden – Mitbestimmung durch Betriebsrat bzw. Arbeitnehmervertretung nach § 87 Abs. 1 Nr. 1 BetrVG. Aufgrund der von allen Seiten gewollten Freiwilligkeit ist nicht davon auszugehen, dass Betriebsrat und/oder Arbeitnehmervertretungen der Einführung solcher Verpflichtungen zustimmen würden.
Gibt es auch Ausnahmefälle, in denen die Installation angeordnet werden darf?
Eine rechtmäßige Verpflichtung zur Nutzung der App auf beruflichen Mobiltelefonen durch Betriebsvereinbarung ist theoretisch allenfalls vorstellbar für Arbeitnehmergruppen, die im ständigen Kontakt zu Dritten wie Kunden stehen oder an Arbeitsplätzen arbeiten, bei denen die strikte Einhaltung des Mindestabstands schwierig ist. Dabei sind allerdings die Persönlichkeitsrechte der Mitarbeiter nach § 75 Abs. 2 BetrVG zu wahren, was eine rechtmäßige Umsetzung erheblich erschweren wird.
Arbeitgeber, die die Nutzung der App unterstützen möchten, sind natürlich berechtigt, die App automatisch auf allen Diensttelefonen zu installieren. Die Mitarbeiter müssen sie dann aber selbstständig und freiwillig aktivieren. In einem solchen Fall sind alle Mitarbeiterinnen und Mitarbeiter vorab ausdrücklich darüber zu informieren.
Dürfen Mitarbeiter die App freiwillig auf Ihrem Diensthandy installieren?
Häufig können Mitarbeiterinnen und Mitarbeiter auf Diensthandys technisch keine Installationen vornehmen oder solche Installationen sind Mitarbeiter und Mitarbeiterinnen aufgrund der IT-Sicherheitsrichtlinien des Unternehmens untersagt. Unternehmen sollten hier ihre Mitarbeiter und Mitarbeiterinnen vorab darüber aufklären, ob die Corona-Warn-App von diesen ausnahmsweise selbst installiert werden kann, wenn Beschäftigte dies wünschen.
Beschäftigte sollten zudem vor Installation Rücksprache mit ihren Vorgesetzten und/oder der zuständigen Abteilung halten, um nicht gegen geltende Arbeitsanweisungen wie IT-Sicherheitsrichtlinien zu verstoßen, was unter anderem empfindliche arbeitsrechtliche Konsequenzen nach sich ziehen könnte.
Können Betriebe von ihren Kunden die Nutzung der App voraussetzen?
Aufgrund der Privatautonomie und des Hausrechts können Gastronomiebetriebe und Geschäfte Eintritt, Bedienung und Aufenthalt von einer Nutzung der App abhängig machen. Allerdings dürfen diese auf keinen Fall ein Blick in die App und insbesondere Risikobewertungen verlangen. Der BfDI hat Geschäfte und ÖPNV bereits explizit davor gewarnt, dies zu tun.
Betriebe in der öffentlichen Hand oder solcher der Daseinsvorsorge oder mit gesetzlicher Beförderungspflicht (ÖPNV) dürfen eine Benutzung sicher nicht von der App-Nutzung abhängig machen. Eine Nutzungspflicht der App durch AGB-Regelung dürfte mit allergrößter Wahrscheinlichkeit unwirksam sein.
Fazit: Der Datenschutz wurde mitbedacht, ein Feinschliff ist aber noch möglich.
Die Corona-Warn-App stellt unserer Meinung nach eine gute Möglichkeit zur Eindämmung der Corona-Pandemie dar. Datenschutzrechtlich ist sehr sauber gearbeitet worden und wir sehen hier keine groben Mängel. Wäre das Robert-Koch-Institut unser Kunde, würden wir sie allerdings noch auf zwei kleine Dinge hinweisen:
- In der App benötigt man 3 Aktionen, um zur Datenschutzerklärung zu gelangen – diese sollte im Sinne des Art 12 DS-GVO leichter erreichbar sein und nicht mehr als zwei Aktionen zum Erreichen benötigen.
- Die Datenschutzerklärung ist im Store nur als PDF eingebunden – wir empfehlen hier, sie direkt als Text in die Beschreibung aufzunehmen.
Relevant für Unternehmen ist vor allem die Freiwilligkeit. Wir raten stark davon ab, Mitarbeiter zu einer Nutzung zu zwingen. Trotzdem sehen wir es als sehr wichtig an, dass Unternehmen Ihre Mitarbeiter über die Corona-Warn-App und ihre Vorteile informieren und eine Installation nahelegen. Im Endeffekt können sowohl Mitarbeiter als auch Unternehmen davon profitieren.