Datenschutz-Blog der SDG

Empfehlungen zur Corona-Warn-App

23. Juni 2020 von Michael Gartner

Die offizielle Corona-Warn-App des Robert-Koch-Instituts (RKI) steht nun seit dem 16.06.2020 zum Download bereit. Die App soll dabei helfen, Infektionsketten frühzeitig zu erkennen und zu durchbrechen. Dabei hängt der Erfolg der App maßgeblich von der Anzahl ihrer Nutzer ab. Nachfolgend wollen wir Ihnen Hinweise und Empfehlungen aus datenschutzrechtlicher Sicht zum Umgang mit dieser App geben:

Datenschutzrechtliches Grundkonzept

Die Corona-Warn-App verarbeitet personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO. Nur so kann geprüft werden, welche Personen über eine mögliche Infektion zu benachrichtigen sind. Datenschutzrechtliches Grundkonzept der App ist nach dem Willen der Bundesregierung die freiwillige Nutzung der App und die freiwillige Information über eine Infektion. Die App wird durch das RKI auf Basis einer Einwilligung betrieben. Die Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. a., Art. 9 Abs. 2 lit. a) DSGVO. Dies setzt genau jene Freiwilligkeit zwingend voraus. Diesem Grundkonzept stehen Verpflichtungen zur Nutzung der App durch Arbeitgeber oder Zugangsbeschränkungen ohne aktivierte App z.B. in Gaststätten, Läden, etc. zunächst grundsätzlich entgegen.

Zulässigkeit einer Verpflichtung zur Nutzung der App?

Sinnvoll scheint es zunächst z.B. für Arbeitgeber, Einzelhändler und Gastronomen, bestimmte Personen zur Nutzung der App zu verpflichten, bspw. als Zugangskontrolle. Wie oben bereits dargestellt, muss der Einzelne die Nutzung der App jedoch grundsätzlich verweigern dürfen, sei es auf Grundlage des Datenschutzes oder des allgemeinen Persönlichkeitsrechts und der Privatsphäre. Für Unternehmen erscheint das Interesse am Einsatz der App dennoch nachvollziehbar, sei es zum Schutz der Mitarbeiter (Fürsorgepflicht) und Kunden, sowie der Gewährleistung der Aufrechterhaltung des Gewerbebetriebs. Nicht zuletzt auch, um keine negative Presse (Imageschaden) zu bekommen.

Das LDA Bayern hat sich hierzu jedoch deutlich positioniert und lehnt eine Verpflichtung kategorisch ab.

Laut Ansicht der Behörde stelle eine verpflichtende Nutzung der App einen massiven Eingriff in die Freiheit der Beschäftigten dar. In Form der allgemeinen Hygienemaßnahmen stünden dem Arbeitgeber demnach mildere Mittel zur Verfügung und zudem würde ansonsten das oben geschilderte Grundkonzept der Freiwilligkeit unterlaufen. Hinsichtlich der Zugangskontrollen fehle es an einer Rechtsgrundlage.

Zur Vermeidung von Bußgeldern (diese droht das BayLDA in seiner Veröffentlichung ausdrücklich an) raten wir deshalb aktuell an, die Stellungnahme zu beherzigen. Da es zur App selbst keine ausdrückliche, gesetzliche Regelung gibt, wird eine solche Nutzungspflicht aktuell kontrovers diskutiert und unterschiedlich bewertet. Nach unserer vermittelnden Auffassung besteht ein wesentlicher Unterschied, ob die Corona-Warn-App von Mitarbeitern auf einem privaten Endgerät (Kontrolle in der Freizeit) oder einem dienstlichen Endgerät (Kontrolle nur während der Arbeitszeit) installiert und vor allem genutzt werden soll. Dem Nutzer verbleibt ohnehin stets die Möglichkeit, die Bluetooth Schnittstelle situationsbedingt zu deaktivieren.

Im dienstlichen Bereich scheint es deshalb unserer Meinung nach nicht zwingend abwegig. Ob der Fürsorgepflicht des Arbeitgebers sprechen sogar gute Gründe für die Zulässigkeit einer Verpflichtung zur Nutzung auf dem Diensthandy bzw. Vorinstallation (z.B. per Mobile Device Management), solange die Mitarbeiter hierüber informiert werden und ihnen freigestellt wird, die App insbesondere in ihrer Freizeit zu deaktivieren (z.B. durch Ausschalten der Bluetooth-Funktion). Eine Verpflichtung zur Nutzung auf dem Privathandy ist nach unserer Einschätzung hingegen nicht zu rechtfertigen. Negative Konsequenzen wie Betretungsverbote der Betriebsstätten oder von Gaststätten und Einzelhändlern nach Sichtung der App dürfen nach unserer Einschätzung nicht gezogen werden. Bei der Information, ob eine Infektionswarnung vorliegt oder nicht, handelt es sich nach unserer Ansicht um ein Gesundheitsdatum, für dessen Verarbeitung keine Rechtsgrundlage vorliegt. Diese Auffassung vertritt auch das BayLDA in seiner oben genannten Stellungnahme.

Zusammenfassende Empfehlungen

  • Empfehlen Sie Ihren Mitarbeitern die Nutzung der Corona-Warn-App. Deren Erfolg hängt stark von der Anzahl der Nutzer ab.
  • Eine Verpflichtung zur Nutzung auf Privatgeräten muss unterbleiben. Wir halten dies für nicht zulässig und damit kontraproduktiv.
  • Eine Vorinstallation der App auf Diensthandys oder die Verpflichtung Ihrer Mitarbeiter hierzu, hält das BayLDA für unzulässig.
  • Eine Beschränkung des Zugangs nur für Kunden oder Mitarbeiter mit installierter App auf dem privaten Handy stellt eine Verarbeitung personenbezogener Daten gem. Art 4 Nr. 2 DSGVO dar und muss mangels Rechtsgrundlage unterbleiben. Letztlich besitzt ein solches Vorgehen wenig Aussagekraft. Es wird nur belegt, dass ein Kunde/ Gast/ Mitarbeiter die App installiert hat. Ob er diese aktiv nutzt (das setzt eingeschaltetes Bluetooth voraus), beweist dies nicht und minimiert damit auch nicht das Infektionsrisiko.

Weitere Informationen finden Sie unter