Besondere Zeiten erfordern besondere Maßnahmen. Eine dieser Maßnahmen war die Geburt der sog. „Corona-Kontaktlisten“ zur Nachverfolgung von Infektionsketten. Zuletzt gerieten die Listen stark in die Kritik. Waren die Daten ursprünglich für die Gesundheitsämter bestimmt, haben sie zuletzt auch bei den Strafverfolgungsbehörden Begehrlichkeiten geweckt. So wurde bekannt, dass die Polizei in einigen Bundesländern vereinzelt auf Kontaktlisten zugegriffen hat bzw. hatte, u.a. um Zeugen zu finden.
Zweckbindung der Kontaktlisten
Auch bei Auskünften bzw. Datenübermittlungen an die Polizei gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Keine Datenverarbeitung darf ohne Rechtsgrundlage vorgenommen werden. Zudem sieht Art. 5 Abs. 1 lit. b DSGVO einen eindeutigen Zweckbindungsgrundsatz vor. Ob dieser in Bezug auf die Kontaktlisten gewahrt wurde, darf hinterfragt werden. Die Weitergabe der Daten an die Strafverfolgungsbehörden wurde nicht wirklich transparent vermittelt. Im Gegenteil: Stimmen aus der Politik gaben frühzeitig zu verstehen, dass die Kontaktlisten einzig zur Nachverfolgung von Infektionsketten verwendet werden sollen. Auch die meisten Corona-Verordnungen haben allein diesen Zweck schriftlich festgehalten. So heißt es beispielsweise in Berlin und Baden-Württemberg eindeutig:
„[…] Die Anwesenheitsdokumentation darf ausschließlich zur infektionsschutzrechtlichen Kontaktnachverfolgung genutzt werden und muss folgende Daten enthalten […].“ (§ 3 Abs. 2 SARS-CoV-2-Infektionsschutzverordnung Berlin)
„[…] Die Daten sind auf Verlangen der nach Absatz 1 Satz 1 zuständigen Behörde zu übermitteln, sofern dies zur Nachverfolgung von möglichen Infektionswegen erforderlich ist. Eine anderweitige Verwendung ist unzulässig.“ (§ 6 Abs. 3 Corona-Verordnung – CoronaVO Baden-Württemberg)
Es stellt sich die Frage, ob und auf welcher datenschutzrechtlichen Grundlage die hierin enthaltenen Daten (durch Dritte) abgerufen und genutzt werden dürfen. Fest steht, die Daten der Kontaktlisten wurden in der Regel zu einem anderen Zweck erhoben (Nachverfolgung von Infektionsketten) als sie später (auch) verwendet wurden (Strafverfolgung).
Zweckänderung grundsätzlich möglich
Unter bestimmten Voraussetzungen kann der Grundsatz der Zweckbindung aufgebrochen werden und der polizeiliche Zugriff auf die Listen datenschutzkonform sein. Die Voraussetzung einer Zweckänderung ergeben sich aus Art. 6 Abs. 4 DSGVO. Demnach ist eine Vereinbarkeit zwischen den ursprünglichen und den neuen Zwecken zu prüfen (sog. Kompatibilitätsprüfung). Ferner sieht § 24 BDSG eine zulässige Zweckänderung der Datenverarbeitung durch nichtöffentliche Stellen vor, wenn sie zur Gefahrenabwehr oder zur Strafverfolgung erforderlich ist. Die Interessen der Betroffenen an dem Ausschluss der Verarbeitung dürfen hierbei jedoch nicht überwiegen.
Datenschutz durch die Doppeltür?
Es lohnt sich, die Konstellation anhand des sog. „Doppeltürmodells“ einmal genauer zu betrachten. Nach diesem vom Bundesverfassungsgericht entwickelten Modell müssen bei staatlichem Zugriff auf private Datensammlungen verschiedene Verarbeitungsphasen einzeln bewertet werden: Sowohl für die Übermittlung der Daten durch z.B. den Gastronom als auch für den Abruf der Daten durch (Polizei-)Behörden müssen einzelne Rechtsgrundlagen bestehen. Bildlich gesprochen muss nicht nur die Tür zur Übermittlung der Daten geöffnet werden, sondern auch die Tür zu deren Abfrage.
Datenübermittlung der Gastronomen an die Polizei (Tür 1)
In Hinblick auf die Corona-Kontaktdaten erfolgt im ersten Schritt eine Übermittlung durch den Gastronomen an die Polizei. Vorausgesetzt, die Kontaktlisten und die hierin enthaltenen Daten unterliegen dem Anwendungsbereich der DSGVO (dies kann durchaus diskutiert werden, denn die Daten in den Listen werden in der Regel weder automatisiert noch in einem Dateisystem gespeichert, vgl. Art. 2 Abs. 1 DSGVO), benötigen die Gastronomen als Verantwortliche für die Datenverarbeitung eine Rechtsgrundlage für die Übermittlung.
Die Verordnungen der einzelnen Bundesländer zur Bekämpfung des Coronavirus verpflichten Gastonomen, Kontaktlisten ihrer Gäste zum Zweck der Weiterleitung an Gesundheitsbehörden zu führen. Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. der jeweiligen Norm der einschlägigen Corona-Verordnung. Die Datenübermittlung an die Polizei zum Zweck der Strafverfolgung ist davon in der Regel nicht umfasst. Bei Vorliegen der Voraussetzungen der Zweckänderung nach Art. 6 Abs. 4 DSGVO bzw. § 24 Abs. 1 Nr. 1 BDSG ist eine Datenübermittlung an die Polizei aber datenschutzrechtlich möglich.
Datenabruf durch die Polizei (Tür 2)
Allein die Übermittlungsbefugnis des Gastronoms reicht im Doppeltürmodell nicht aus. Auf zweiter Ebene muss die Polizei durch eine Befugnisnorm auch zur spiegelbildlichen Abfrage der Daten befugt sein. Das Bundesverfassungsgericht hat hohe Anforderungen an die Qualität dieser Norm gestellt. Verlangt wird eine eindeutige Rechtsgrundlage:
„[…] Mit Rücksicht auf das Gebot der Normenklarheit, dem bei Eingriffen in das Recht auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis eine spezifische Funktion zukommt, bedarf es für den Datenabruf in Form eines unmittelbar an private Dritte gerichteten Auskunftsverlangens einer eindeutigen Rechtsgrundlage, die eine Auskunftsverpflichtung der Diensteanbieter eigenständig begründet. Erforderlich sind hinreichend qualifizierte Abrufregelungen, die über schlichte Datenerhebungsbefugnisse hinausgehen, und klar bestimmen, gegenüber welchen Behörden die Anbieter konkret zur Datenübermittlung verpflichtet sein sollen. […]” (BVerfG, Bestandsdatenauskunft II, Beschluss des Ersten Senats vom 27. Mai 2020, 1 BvR 1873/13, Rn. 196)
Rechtsgrundlagen der DSGVO scheiden hierbei von vornherein aus. Auf Datenverarbeitungen durch Strafverfolgungsbehörden ist die DSGVO nicht anwendbar (Siehe Art. 2 Abs. 2 lit. d DSGVO). Stattdessen ist die Richtline Justiz und Inneres (JI-RL 2016/680) anzuwenden. Diese wurde in den §§ 45 ff. BDSG im nationalen Recht umgesetzt und stellt zusammen mit weiteren Vorschriften (u.a. §§ 1-21 BDSG, bereichsspezifische Regelungen in der StPO) einen Normenkomplex dar, der auf Strafverfolgungsbehörden anzuwenden ist. Allerdings enthalten weder das BDSG noch das bereichsspezifische Datenschutzrecht (z.B. §§ 483 ff. StPO) Normen, die die Strafverfolgungsbehörden konkret ermächtigen, von Gastronomen die Herausgabe von Kontaktdaten der Gäste zu verlangen. Sämtliche Befugnisnormen zur Datenverarbeitung bilden andere Sachverhalte ab oder regeln nur allgemeine Befugnisse (z.B. § 3 BDSG, ggf. i.V.m. § 163 StPO). Den Anforderungen des Bundesverfassungsgerichts dürften diese Normen gerade nicht entsprechen.
Der Einzelfall entscheidet
Als Folge der Überlegungen zum Doppeltürmodell würde die Datenverarbeitung der Polizei auf dieser Ebene mangels einer tauglichen, speziellen und für den konkreten Fall geltenden Befugnisnorm unzulässig sein. Eine gerechte Lösung? Kritiker halten die starre Anwendung des Modells für unnötig und lebensfremd. Immerhin wurde das Doppeltürmodell im Bestandsdatenauskunfts-Urteil des Bundesverfassungsgerichts entwickelt. Gegenstand hier war ein Zugriff auf Telekommunikationsdaten, der im Vergleich zur Abfrage „einfacher“ Kontaktdaten viel sensibler eingestuft werden könnte und deshalb einen besonderen Schutz vor staatlichem Zugriff bedurfte. Aber gilt der gleiche Maßstab für Kontaktdaten auf Corona-Listen?
Der entwickelte Ansatz des Doppeltürmodells, dass nicht jeder staatliche Eingriff in Grundrechte auf allgemeine Generalklauseln gestützt werden darf, ist wichtig für einen funktionierenden Rechtsstaat. Je intensiver eine Maßnahme in die individuelle Selbstbestimmung der betroffenen Person eingreift, desto eher müssen eindeutige Rechtsgrundlagen das staatliche Handeln legitimieren können. Können in einem Umkehrschluss aber auch weniger risikoreiche Datenverarbeitungen ohne die Gedanken des Modells oder in abgeschwächter Form auskommen? Wie so oft entscheiden der Einzelfall und die Gerichte, welche Maßstäbe anzusetzen sind und wie diese rechtlich begründet werden können.
Fazit
Es bleibt festzuhalten, dass in besonderen Zeiten mit besonderen Maßnahmen auch besonders viel diskutiert wird. Durch bessere Kommunikation und transparentere Informationen im Vorfeld hätte in Bezug auf den Kontaktlistenzugriff viel Diskussionsstoff vermieden werden können. Für mehr Klarheit unter Gastronomen und Gästen könnte ein derzeit diskutiertes bundeseinheitliches Begleitgesetz sorgen. Zumindest sollte überlegt werden, einen Zugriff auf diese Daten nur auf Fälle von Straftaten mit zumindest erheblicher Bedeutung zu beschränken. Dies war in der Vergangenheit nicht immer der Fall.
Adressen für die Caritas – Wochenrückblick KW 34 | Artikel 91
22. August 2020 @ 14:15
[…] Datenschutz-Notizen fasst Maximilian Lindhammer kompakt zusammen, wie der aktuelle Stand bei der Verwendung von Corona-Kontaktlisten durch die Sicherheitsbehörden […]