Corona-Warn-App
Der Coronavirus SARS-CoV-2 besitzt nach aktueller wissenschaftlicher Erkenntnis die Eigenschaft, dass ein relevanter Anteil der Virusinfektionen über Personen erfolgt, die zum Zeitpunkt der Übertragung noch keine spürbaren Krankheitssymptome aufweisen. Folglich besteht das Ziel, im Rahmen einer Umgebungsuntersuchung von Infizierten mögliche Kontakte frühzeitig ausfindig zu machen, um auch dort geeignete Schutzmaßnahmen einzuleiten und die Ausbreitung des Virus einzudämmen.
Eine solche Umgebungsuntersuchung zur Rückverfolgung der Infektionsketten soll auch über eine sogenannte Corona-Warn-App erfolgen. Mit einer solchen App, die von möglichst vielen Bürgern genutzt werden soll, können Kontaktpersonen über eine erhöhte Infektionswahrscheinlichkeit informiert werden, falls diese sich im Nahbereich zu einer infizierten Person aufgehalten haben. Entscheidend hierbei sind neben dem Zeitpunkt insbesondere die Dauer des Kontakts sowie der Abstand zur infizierten Person.
Download der App
Die Corona-Warn-App ist in Deutschland seit dem 16. Juni 2020 verfügbar und kann für Smartphones auf Android- und iOS-Basis aus den jeweiligen App-Stores heruntergeladen werden. Download-Links finden sich auch unter https://www.coronawarn.app oder direkt in den App-Stores von Android oder Apple:
Datenschutz durch Technikgestaltung
Die Corona-Warn-App setzt einen sogenannten dezentralen Ansatz um, was bedeutet, dass die zufälligen Kontaktkennungen erst einmal ausschließlich auf den Smartphones der App-Nutzer gespeichert werden. Eine zentrale Speicherung auf einem Server findet nicht statt. Die Generierung der Zufallskennungen, die sich in kurzen Zeitintervallen ändern, erfolgt ebenfalls ausschließlich auf dem Smartphone des App-Nutzers. Erst wenn sich der Nutzer entscheidet, einen medizinisch bestätigten Fall einer Corona-Infektion mitzuteilen, werden die zufälligen Kontaktkennungen über einen Server an alle Nutzer der Corona-Warn-App übertragen. Auf den Smartphones der Corona-Warn-App-Nutzer wird dann lokal überprüft, ob ein Kontakt zu der infizierten Person verzeichnet ist.
App-Verantwortlicher
Der Betreiber der App ist das Robert-Koch-Institut (RKI), das auch die datenschutzrechtliche Verantwortung für die App trägt. Aus diesem Grund ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die zuständige Datenschutzaufsichtsbehörde für den Betrieb der Corona-Warn-App durch das RKI. Weitere Informationen hierzu finden sich auf der Webseite des BfDI.
Notification Exposure Framework
Die deutsche Corona-Warn-App setzt als Technik zur Feststellung, ob sich Smartphones in räumlicher Nähe zueinander befunden haben, die Funktechnologie "Bluetooth Low Energy (BLE)" ein. Da dies insbesondere aus technischen Gründen zwischen Smartphones unterschiedlicher Plattformen (Android und iOS) nicht trivial ist, haben die Firmen Google (Android) und Apple (iOS) deren Softwareplattform derart angepasst, dass das Kontakt-Tracing mittels BLE unterstützt wird. Auf die zufälligen Kontaktkennungen, die in einem gesicherten Bereich des Smartphones gespeichert werden, können auch nicht alle beliebigen Apps zugreifen, sondern ausschließlich speziell autorisierte Apps - im Augenblick ist das nur Corona-Warn-App des Robert-Koch-Instituts.
Open-Source-Anwendung
Die Corona-Warn-App steht als Open-Source-Projekt zur Verfügung, was bedeutet, dass der Programmier-Quellcode sowohl der Apps als auch der Server-Software von jedermann eingesehen werden kann. Dieser findet sich unter https://github.com/corona-warn-app.
Darf die Corona-Warn-App zur Zugangsvoraussetzung für bestimmte Orte gemacht werden?
Darf ein Arbeitgeber seine Beschäftigten verpflichten, die Corona-Warn-App auf ihren Smartphones zu nutzen?
Antwort: Nein, das ist datenschutzrechtlich unzulässig. Kein Beschäftigter darf verpflichtet werden, durchgängig seine Kontakte und seinen Gesundheitszustand erfassen zu lassen. Dies gilt umso mehr, als eine Erfassung überhaupt nur sinnvoll wäre, wenn sie auch während der Freizeit stattfinden würde. Ein solch massiver Eingriff in die Freiheit des Beschäftigten ist nicht zulässig, da dem Arbeitgeber zum Schutz seiner Beschäftigten mildere Mittel in der Form der allgemeinen Hygienemaßnahmen zur Verfügung stehen. Ein solches Vorgehen würde zudem die vom Anbieter der App, dem Robert-Koch-Institut, in seinen Nutzungsbedingungen festgelegte Freiwilligkeit der Nutzung der App unterlaufen.
Diese Rechtslage gilt für private Geräte der Beschäftigten wie für dienstlich bereitgestellte Geräte gleichermaßen.
Der Arbeitgeber kann die Nutzung der App im Übrigen auch nicht auf Basis einer Einwilligung der Beschäftigten verlangen. Die Einwilligung wäre aufgrund des Ungleichgewichts im Beschäftigungsverhältnis in aller Regel als nicht freiwillig und damit datenschutzrechtlich unwirksam anzusehen.
Als Datenschutzaufsichtsbehörden werden wir die Einhaltung dieser Vorgaben kontrollieren. Zuwiderhandlungen stellen einen grundlegenden Datenschutzverstoß dar, gegen den das Bayerische Landesamt für Datenschutzaufsicht auch mit der Verhängung von Geldbußen vorgehen wird.
Dürfen Ladengeschäfte, Supermärkte, Gastronomen, Beherbergungsbetriebe, Veranstalter etc. die Benutzung der Corona-Warn-App zur Zugangsvoraussetzung für ihre Räumlichkeiten machen?
Antwort: Nein, das wäre datenschutzrechtlich unzulässig. Der Zugang zu Räumlichkeiten und Leistungen, die grundsätzlich für jedermann offen stehen, darf nicht von der Nutzung der Corona-Warn-App abhängig gemacht werden. Geschäftsinhaber und andere, die die App als Mittel der Zugangskontrolle einsetzen, sind für diese Datenverarbeitung zu diesem Zweck (Zugangskontrolle) datenschutzrechtlich selbst als Verantwortliche einzustufen. Diese Nutzung ist nicht von der vom Nutzer durch seine Einwilligung bei Installation und Inbetriebnahme erteilten Einwilligung und im Übrigen auch nicht von den Nutzungsbedingungen der Coronavirus-Warn-App selbst umfasst. Für diese Zweckänderung bei der Nutzung der App als Instrument der Zugangskontrollen besteht auch keine andere hinreichende Rechtsgrundlage. Hinzu kommt, dass die von der App erzeugten Status-Daten keine ausreichenden Rückschlüsse auf eine Corona-Infektion geben und die Zugangskontrolle daher bereits keine geeignete Maßnahme darstellt, um berechtigte (geschäftliche) Interessen des Ladeninhabers, Gastronoms etc. zu wahren.
Auch eine (behauptete) Einwilligung des Kunden wäre für diese Fälle keine datenschutzrechtlich tragfähige Lösung, da es sich nicht um eine Situation echter Freiwilligkeit handeln würde.
Ein solches Vorgehen würde zudem die vom Anbieter der App, dem Robert-Koch-Institut, in seinen Nutzungsbedingungen festgelegte Freiwilligkeit der Nutzung der App unterlaufen.
Als Datenschutzaufsichtsbehörden werden wir die Einhaltung dieser Vorgaben kontrollieren. Zuwiderhandlungen stellen einen grundlegenden Datenschutzverstoß dar, gegen den das Bayerische Landesamt für Datenschutzaufsicht auch mit der Verhängung von Geldbußen vorgehen wird.
Corona Gastronomie
Informationen zur Verarbeitung personenbezogener Daten zur Kontaktverfolgung in der Gastronomie finden sich auf der Themenseite Corona Gastronomie.
Weitere Informationen
Weitere Informationen finden sich auf der offiziellen Webseite www.coronawarn.app der Firma SAP, die die App programmiert hat. Dort ist auch eine Seite mit häufig gestellten Fragen (FAQ) vorhanden.
Pressemitteilungen