WD 9 - 3000 - 103/20 (25. November 2020) © 2020 Deutscher Bundestag Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung de r Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Im Juni 2020 wurde in Deutschland die Corona-Warn-App vom Robert Koch-Institut (RKI) im Auftrag der Bundesregierung eingeführt, um die Ausbreitung des Coronavirus SARS-CoV-2 zu verringern. Die Nutzung der App ist freiwillig. Eine spezialgesetzliche Regelung ist in diesem Zusammenhang nicht geschaffen worden. In die Entwicklung eingebunden war der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BfDI)1, der das Verfahren kritisch begleitete . Der BfDI ist auch die zuständige Datenschutzaufsichtsbehörde für den Betrieb der Corona- Warn-App.2 Sowohl in der Fachliteratur als auch in der breiten Öffentlichkeit wurden Fragen zum Datenschutz und zum Ausmaß des damit verbundenen Eingriffs in die informationelle Selbstbestimmung nachdrücklich diskutiert.3 Ein wichtiger Punkt war die Frage nach dem Speicherort der Daten . Letztlich wurde der dezentralen statt der zentralen Speicherung der Nutzerdaten der Vorzug eingeräumt.4 Im Mai 2020 äußerte sich der BfDI gegenüber dem Bundesministerium für Gesundheit (BMG) ausführlich zur Frage, ob es einer gesetzlichen Regelung im Zusammenhang mit der Einführung 1 Der Internetauftritt des BfDI in englischer Sprache ist abrufbar unter: https://www.bfdi.bund.de/EN/Home/home_node.html;jsessionid =C6DD9B5D5199128C44A87C261180112D.2_cid344 (dieser sowie alle weiteren Links wurden zuletzt abgerufen am 25. November 2020). 2 Vgl. Artikel 55ff. Datenschutzgrundverordnung (DSGVO) sowie § 8ff. Bundesdatenschutzgesetz (BDSG). 3 Zur Fachdiskussion siehe Gesellschaft für Datenschutz und Datensicherheit e. V., Datenschutz und Corona. Corona-Warn-App (CWA) – Expertenbeiträge und Ansichten der Aufsichtsbehörden, zuletzt aktualisiert am 14. Juli 2020, abrufbar unter: https://www.gdd.de/datenschutz-und-corona/Datenspende %20Apps%20und%20Corona%20Tracing. Zu Pressemeldungen siehe Mayr, Anna/ Hegemann, Lisa/ Laaf, Meike, Corona-Warn-App: Endlich verbunden, in: Zeit Online, 17. Juni 2020, abrufbar unter: https://www.zeit.de/2020/26/corona-warn-app-entstehungsprozess-datenschutz/komplettansicht. 4 Corona-Warn-App: Regierung schwenkt auf dezentrale Lösung um, in: Deutsches Ärzteblatt, 27. April 2020, abrufbar unter: https://www.aerzteblatt.de/nachrichten/112308/Corona-Warn-App-Regierung-schwenkt-auf-dezentrale -Loesung-um. Wissenschaftliche Dienste Kurzinformation Zur Einbindung des Bundesbeauftragten für den Datenschutz bei der Einführung der Corona-Warn-App Kurzinformation Zur Einbindung des Bundesbeauftragten für den Datenschutz bei der Einführung der Corona-Warn- App Fachbereich WD 9 (Gesundheit, Familie, Senioren, Frauen und Jugend) Wissenschaftliche Dienste Seite 2 der Corona-Warn-App bedürfe. Eine Rechtsgrundlage sieht der BfDI in Artikel 9 Absatz 2 lit. a) in Verbindung mit Artikel 6 Absatz 1 lit. a) Datenschutzgrundverordnung (DSGVO) 5, also in der ausdrücklichen Einwilligung in die Verarbeitung der betreffenden personenbezogenen Daten. Einer weiteren gesetzlichen Grundlage bedürfe es daher nicht.6 Die Rechte der Betroffenen, insbesondere auf Auskunft, Löschung und Einschränkung der Verarbeitung ergäben sich im Wesentlichen unmittelbar aus der Datenschutzgrundverordnung sowie den allgemeinen staatlichen Gesetzen , aber auch aus den durch die Gerichte des Bundes und der Länder aufgestellten Vorgaben. 7 Im Mai 2020 bekräftigte der BfDI seine Auffassung, dass der Datenschutz nicht gegen eine Installation der Corona-Warn-App spreche. Zu befürworten sei, dass auch die Datenfolgenabschätzung8 öffentlich zugänglich sei. Kritisch sieht der BfDI den Medienbruch von der App zur telefonischen Hotline. Das Vorliegen eines positiven Testergebnisses, das nicht über die App abgerufen werden kann, weil das entsprechende Labor technisch dazu nicht in der Lage ist, kann nur mit einer teleTAN, die nach einem Verifizierungsverfahren mittels einer telefonischen Hotline erhältlich 5 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, abrufbar unter: https://eur-lex.europa.eu/legal-content /DE/TXT/HTML/?uri=CELEX:32016R0679. 6 Anderer Meinung dagegen z. B. Bock, Kirsten/ Kühne, Christian/ Mühlhoff, Rainer et. Al., Das Verfahren geht weit über „die App“ hinaus – Datenschutzfragen von Corona-Tracing-Apps. Einführung in Datenschutz-Folgenabschätzungen als Mittel, gesellschaftliche Implikationen zu diskutieren, 12. Oktober 2020, abrufbar unter: https://link.springer.com/article/10.1007/s00287-020-01313-z. Von anderer Seite werden Bedenken gegen die Freiwilligkeit der Einwilligung vorgebracht, da der gesellschaftliche Druck als hoch eingeschätzt werde (Köllmann , Thomas, Die Corona-Warn-App, Schnittstellen zwischen Datenschutz- und Arbeitsrecht, in: Neue Zeitschrift für Arbeitsrecht 2020, 831). Dem wiederum wird entgegen gehalten, allgemeine Zwangslagen wie sozialer Druck, seien dem Verantwortlichen nur schwer zurechenbar (Samardzic, Darko/ Becker, Thomas, Die Grenzen des Datenschutzes – Der beschränkte Schutz durch Freiwilligkeit und Einwilligung bei Corona -Apps, in: Europäische Zeitschrift für Wirtschaftsrecht 2020, 646). Köllmann verweist zudem auf Erwägungsgrund 43 DSGVO, wonach die Freiwilligkeit einer Einwilligung fraglich sein könne, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht bestehe, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handele und es deshalb unwahrscheinlich sei , dass die Einwilligung freiwillig gegeben werde. 7 BfDI, Schreiben an das BMG zu einer gesetzlichen Regelung einer "Corona App", 13. Mai 2020, abrufbar unter: https://www.bfdi.bund.de/DE/Infothek/Transparenz/Stellungnahmen/2020/Schreiben -an-BMG_Corona-App- Gesestz.html;jsessionid=F647AE15E11C88448DB1D476758D4971.1_cid319?cms_template QueryString=Corona+warn+app&cms_sortOrder=score+desc . 8 Nach Artikel 35 Absatz 3 DSGVO ist bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO eine Datenfolgenabschätzung vorzunehmen. Eine solche enthält nach Artikel 35 Absatz 7 DSGVO eine systematische Beschreibung der Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Zur Datenfolgenabschätzung siehe RKI, Corona-Warn-App, Bericht zur Datenschutz-Folgenabschätzung für die Corona-Warn-App der Bundesrepublik Deutschland, Öffentliche Version, 16. Oktober 2020, abrufbar unter: https://www.coronawarn .app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf. Kurzinformation Zur Einbindung des Bundesbeauftragten für den Datenschutz bei der Einführung der Corona-Warn- App Fachbereich WD 9 (Gesundheit, Familie, Senioren, Frauen und Jugend) Wissenschaftliche Dienste Seite 3 ist, in der App bestätigt werden. Bei über die App abgerufenen Ergebnissen ist die Meldung direkt in der App möglich.9 Der Weg über die telefonische Hotline, so der BfDI, könne nicht mit einer vollständig pseudonymen Nutzung der App über das automatisierte Verfahren mithalten: „Durch eingehende Beratung hat der BfDI die unangemessene Speicherung von personenbezogenen Daten aller Anrufer der Hotline abgewendet. Das Robert-Koch-Institut und das Gesundheitsministerium müssen nun so schnell wie möglich die notwendigen Voraussetzungen dafür schaffen , dass das automatisierte Verfahren von möglichst allen App-Anwendenden genutzt werden kann.“10 Zur Resonanz der Corona-Warn-App in der Bevölkerung fasst der BfDI zusammen: „Die frühzeitige Einbindung der Datenschutzaufsicht, Transparenz, die Freiwilligkeit der Nutzung und die datenschutzfreundliche Gestaltung der App haben entscheidend zu ihrer Akzeptanz und Verbreitung beigetragen.“11 *** 9 Zum Verfahren siehe RKI, Infektionsketten digital unterbrechen mit der Corona-Warn-App, Fragen zum Testergebnis , abrufbar unter: https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus /WarnApp/Warn_App.html. 10 BfDI, Datenschutz bei Corona-Warn-App ausreichend, 16. Juni 2020, abrufbar unter: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/12_Corona -Warn-App.html. 11 BfDI, Parlamentsbrief vom 7. September 2020, Datenschutz: Vertrauensmotor der Digitalisierung, Was die Corona-Warn-App lehrt, abrufbar unter: https://www.bfdi.bund.de/DE/Infothek/Transparenz/Parlamentsbrief/1- 2020.html.