Seit wenigen Tagen ist sie da: die Corona-Warn-App. Und mittlerweile wurde sie hierzulande weit über 11,8 Millionen Mal (Stand 23.6.2020 4:14 Uhr Quelle Tagesschau) heruntergeladen und auf den Mobiltelefonen installiert.

Alle am Projekt Beteiligten zeigen sich stolz und selbst diverse Datenschutzbeauftragte bewerten die App überraschend positiv, obgleich sie auch Gesundheitsdaten berührt und es noch nicht einmal ein passgenaues Gesetz für ihren Einsatz gibt. Gelobt wird in diesem Zusammenhang immer wieder die „Freiwilligkeit“ der Nutzung und die „Freiwilligkeit“ der Aktivierung der Funktionen wie auch der Mitteilung einer etwaigen positiv diagnostizierten Infektion mit dem Covid-19 Virus. Die App soll zukünftig eine wichtige, möglicherweise die wichtigste Rolle der Eindämmung und Bekämpfung des Coronavirus in Deutschland einnehmen und stützt sich maßgeblich auf die freiwillige Nutzung (Einwilligung).

Freiwilligkeit im Sinne des Datenschutzrechts

Wird die Einwilligung gem. Art. 7, 8 DSGVO als Rechtsgrundlage einer Datenverarbeitung herangezogen, hat der Verantwortliche einigen Anforderungen gerecht zu werden. Zuvörderst setzt die Einwilligung ein freiwilliges Handeln des Betroffenen voraus.

So heißt es im Erwägungsgrund 32 der DSGVO:

„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“

Aber wann ist ein freiwilliges Handeln gegeben?

Anknüpfungspunkt für diese Situation ist „eine freiwillige Willensbekundung“, die dann vorliegen soll, „wenn kein Druck oder Zwang (im Sinne von „freely given“) ausgeübt wurde, um die betroffene Person zu einer Einwilligung zu bewegen“ (Taeger, in: Taeger/Gabel, 3. Auflage 2019, DSGVO Art. 7 Rn. 79).

Der Erwägungsgrund 42 der DSGVO sollte dabei herangezogen werden und besagt:

„Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“

Eine Möglichkeit zur Bestimmung der Freiwilligkeit ist demnach eine negative Abgrenzung zu der Situation, das auf Seiten des Handelnden gewisse Nachteile erlitten werden, welche allerdings nicht näher konkretisiert werden.

Einige Rechtswissenschaftler gehen sogar einen Schritt weiter zurück und führen aus:

„Freiwilligkeit setzt zunächst die Selbstbestimmtheit der Handlung des Betroffenen voraus. Selbstbestimmtheit wiederum impliziert die Willensentschließungs- und die Handlungsfreiheit.[..] Freiwilligkeit ist zudem nur gegeben, wenn eine hinreichende Fähigkeit zur kognitiven Erfassung des Sachverhalts einschließlich der mit einer Einwilligung verbundenen Folgen sowie zur selbstbestimmten Willensbildung und -betätigung zu bejahen ist (Einwilligungsfähigkeit)“ (Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 DSGVO Rn. 48f).

Als Ausgangspunkt gilt demnach die Selbstbestimmtheit des Individuums.

Die Realität: Von der Arbeitswelt und dem Internet

Die Diskussion, ob und inwiefern tatsächlich die Freiwilligkeit beim Handelnden anzunehmen wäre, findet sich in der Praxis des Datenschutzrechts an diversen Stellen wieder.

Zumeist wird als erstes das Beschäftigungsverhältnis als Beispiel für diesen Konflikt genannt. Angesichts der Abhängigkeit des Angestellten zum Arbeitgeber wird schon von einigen Datenschützern per se die Freiwilligkeit einer Einwilligung abgelehnt. Hier werden Fälle aus der Arbeitswelt vorgetragen, bei denen Mitarbeiter am ersten Arbeitstag in die sog. Geburtstagsliste oder die Herstellung und Verarbeitung von sie betreffenden Fotos für die Webseite (schriftlich) einwilligen sollen – oder aber in die Verwendung des eigenen Fingerprint zur individuellen Authentifizierung am Firmen-Laptop. Sei es in Sorge um Repressalien, sei es der „Gruppenzwang“ durch die Kollegschaft oder sei es einfach eine gewisse Hörigkeit im Hinblick auf den Vorgesetzen – die Freiwilligkeit der Abgabe eines solchen Einverständnisses in derartige Verarbeitungsvorgänge wird in der Regel bezweifelt. All dies lässt sich mit einem „sozialen Abhängigkeitsverhältnis“ zusammenfassen.

Doch auch außerhalb der Arbeitswelt sind Zweifel denkbar. So bestehen auch in der Privatwirtschaft oftmals Bedenken hinsichtlich der Freiwilligkeit, wenn eine „asymmetrische Verhandlungsposition“ (Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 DSGVO Rn. 56) vorliegt. Das dürfte anzunehmen sein, wenn der Einzelne angesichts der Marktmacht des Vertragspartners sowie mangels alternativer Angebote quasi keine andere Wahl hat. Das faktische oder tatsächliche Monopol in einem bestimmten Markt führt zu einer derartigen Zwangslage.

Dabei ist dies längst Realität: Trotz oder gerade wegen der freien Marktwirtschaft werden diverse Wettbewerbsfelder immer mehr durch die Tech-Giganten aus den USA, allen voran Amazon, Google, Apple oder Facebook geprägt, was in der Folge zu einer Verknappung des Angebots führt. Indem nur noch einzelne Anbieter einen Zugang zu einem Inhalt oder einen Dienst anbieten, dabei andere Unternehmen verdrängt werden, konzentrieren sich die Dienstleistungen zunehmend bei den großen Anbietern. Man stelle sich vor, der gesamte Onlinehandel hierzulande würde nur noch über US-Riesen erfolgen, der aus einem einstigen Buchhändler hervorging und mittlerweile mit intelligenten Lautsprechern bis ins Wohn- und Schlafzimmer vorgedrungen ist. Oder aber es existiere nur noch ein einziges Betriebssystem für Smartphones oder den Computer.

Mithin können die Probleme noch viel naheliegender sein. Wer eine bestimmte News oder eine Webanwendung aufrufen möchte, während zunächst der alles überlagernden Cookie-Banner erscheint, klickt im wahren Leben schnell auf die farblich hervorgerufenen Schaltflächen zur Zustimmung zum Tracking und unterliegt damit dem sog. „cookie nudging“. Wieviel Platz bleibt hier noch für das freiwillige Agieren? Und darf der Seitenaufruf mit dem Einblenden von Werbebannern verknüpft werden?

Der Kreis schließt sich dann und zeigt die gesteigerte Notwendigkeit des Datenschutzrechts, wenn ein Arbeitgeber seinen Angestellten ein Firmen-Handy aushändigt mit der Anweisung, auf selbigen die Corona-Warn-App im „Interesse der Gesundheit aller Kollegen“ zu installieren bzw. zu verwenden. Andernfalls dürfe er nicht mehr zur Arbeit kommen. Doch ein derartiges Vorgehen soll nach Überlieferungen bereits stattgefunden haben – und wird bisweilen von Juristen noch unterstützt. Hingegen halten einige Datenschutz-Aufsichtsbehörden dieses Vorgehen für unzulässig.

Wenn in wenigen Tagen die Marke der 12 Millionen Downloads, also einer Abdeckung von 15 Prozent der Bevölkerung erreicht wird, und immer mehr die Corona-Warn-App nutzen, sei die Frage erlaubt: Wie verhält es sich eigentlich mit der Freiwilligkeit bei dem möglicherweise uns allen bald umgebenden sozialen Druck, der dann entsteht, wenn plötzlich „alle“ diese App nutzen (sollen!) und daran sogar Freundschaften zerbrechen? (Um Missverständnissen gleich vorzubeugen: ich habe mir die App aus freien Stücken heruntergeladen und bin von deren Nutzen überzeugt.) Das erinnert an die Schulfotoalben, wo auch kein Kind auf dem Gruppenfoto fehlen oder verpixelt sein soll.

Fazit

Trotz der offenkundigen Selbstbestimmtheit des Einzelnen im aktuellen Zeitalter lassen zahlreiche Konstellationen gewisse Zweifel an der Freiwilligkeit im Kontext einer Datenverarbeitung erkennen. Hier gilt es durch alternative Angebote und transparente Konzepte einen Ausgleich zwischen den Rechten des Betroffenen und dem Treiben des Verantwortlichen zu schaffen.