Die Eindämmung der Verbreitung von SARS-CoV-2 in Deutschland darf – leider – als gescheitert bezeichnet werden. Ein (mehr oder weniger hohes) Infektionsrisiko besteht in allen Teilen des Landes. Auch wenn sich die Ausbreitung an sich nicht verhindern lässt, so sind doch Bestrebungen, die Infektionsrate in Schach zu halten, wichtig und sinnvoll. Wie der Balanceakt zwischen komplettem Lockdown und sorgloser Freiheit, zwischen Gesundheitsschutz und Schutz der Wirtschaft zu schaffen ist, ist naturgemäß nicht leicht zu beantworten.
Nachverfolgung: Richtiges Ziel, falscher Weg?
Ein wichtiger Punkt ist sicherlich die Nachverfolgung von Infektionsketten und die Benachrichtigung der Kontaktpersonen von Infizierten, sodass diese ihrerseits vermeiden können, weitere Personen anzustecken. Problematisch sind vor allem die sogenannten „Superspreader“ – häufig symptomfrei Erkrankte, die besonders viele weitere Personen anstecken.[1] Um hier schnell einschreiten zu können, werden allerorts Corona-Kontaktlisten geführt; beim Besuch von Restaurants, Fitnessstudios, Friseursalons und vielen anderen Einrichtungen müssen die Kontaktdaten hinterlegt werden.
Dass der Bedarf für eine schnelle und unkomplizierte Erfassung von Besucher- und Besucherinnendaten durch die Pandemie verhältnismäßig plötzlich auftrat, darf keine Rechtfertigung für halbgare Lösungen sein. Wie aber können die Listen datenschutz- und allgemein rechtskonform geführt werden? Einen praktischen Leitfaden finden Sie in diesem Magazin auf Seite ###.
Das Problem liegt jedoch nicht allein in der Erfassung selbst.
Das Problem des Missbrauchs der Kontaktlisten
Wie leicht die einmal erhobenen Kontaktdaten in falsche Hände geraten können, zeigte sich zuletzt durch eine Aktion des Chaos Computer Clubs (CCC), der Ende August öffentlich machte, wie leicht die Daten aus einer weit verbreiteten Gastronomie-Software abgreifbar waren, die zur Verwaltung von Reservierungen, Bestellungen und eben auch Corona-Kontaktlisten genutzt wird. Die CCC-Hackerinnen und -Hacker konnten auf über 87.000 Corona-Datensätze und knapp fünf Millionen Datensätze von Reservierungen zugreifen, die teilweise über ein Jahrzehnt zurückreichten. Der CCC wies dabei auf mehrere Schwachstellen hin: unzureichendes Rechte-Management und schlecht geschützte Passwörter sind nur zwei Sicherheitslücken, die an sich mit einem sinnvollen IT-Sicherheits-Konzept verhältnismäßig leicht geschlossen werden könnten.[2] Immerhin reagierte der Cloud-Anbieter schnell, die Lücken seien laut einem Sprecher des Unternehmens bereits geschlossen worden. Der CCC rät derweil von digitalen Listen ab, da diese oft „mit der heißen Nadel gestrickt“ und die sensiblen Daten nicht ausreichend geschützt seien.[3] Wenig später nahm sich der Club einer weiteren Software an. Auch hier konnten hunderttausende Datensätze ausgelesen werden, die aber immerhin verschlüsselt waren, sodass der Zugriff auf die bestehenden persönlichen Informationen nicht möglich war – wohl aber das Abgreifen neu zu erfassender Einträge für die Zukunft.[4]
Demgegenüber sind auch Papierlisten kein Allheilmittel. Werden fortlaufende Listen geführt, kann etwa jeder Gast eines Restaurants die Kontaktdaten früherer Besucherinnen und Besucher einsehen. Eine Stichprobenuntersuchung in Hamburg hatte im Juli ergeben, dass ein Drittel der kontrollierten Gewerbe- und Gaststättenbetriebe die Listen offen für jedermann zugänglich herumliegen ließen.[5] Da verwundert es nicht, dass so manch einer lieber einen falschen Namen und eine erfundene Adresse einträgt.
Die unzureichend geschützten Daten sind aus mehreren Gesichtspunkten problematisch. Nicht nur lassen sich – etwa bei Stammgästen – detaillierte Verhaltensprofile erstellen, um den bestmöglichen Zeitpunkt für einen Einbruch in deren pünktlich zum Mittagessen leere Wohnung zu bestimmen. In einem anderen Fall wurde eine Restaurantbesucherin unter der angegebenen Mobilfunknummer später „zu privaten Zwecken“ kontaktiert.[6] Auch die Nutzung der Daten im Rahmen polizeilicher Ermittlungen widerspricht dem erklärten Zweck der Listen. Ein Fall, der für Aufsehen sorgte, ereignete sich Anfang Juli in Hamburg: Nachdem ein Mann in einem Lokal angeblich Gäste mit einem Teppichmesser bedroht hatte, nutzte die Polizei die Corona-Kontaktliste des Restaurants und kontaktierte die dort genannten Personen, um mögliche Augenzeugen ausfindig zu machen.[7]
Der Landesdatenschutzbeauftragte Hamburgs, Johannes Caspar, bringt das Problem auf den Punkt: „Wo Daten zulässigerweise erhoben werden, [ergeben] sich immer wieder weitergehende Begehrlichkeiten“ für andere, neue Zwecke.[8] Doch welche rechtlichen Rahmenbedingungen kommen hinsichtlich der Corona-Kontaktlisten zum Zuge – und sind diese überhaupt mit dem geltenden (Verfassungs-)Recht vereinbar?
Uneinheitliche Rechtsgrundlagen in den Ländern
Zur Bekämpfung übertragbarer Krankheiten sind gemäß Art. 80 Abs. 1 GG i.V.m. § 32 Satz 1 IfSG die Länder zum Erlass von Rechtsverordnungen ermächtigt. Demzufolge ergibt sich die jeweilige Verpflichtung (oder in manchen Ländern Berechtigung) der Betriebe zum Erfassen der Daten aus verschiedenen landesrechtlichen Regelungen.[9]
Teilweise verbleibt jedoch – je nach Formulierung – ein gewisser Interpretationsspielraum hinsichtlich der Pflicht zur Datenerhebung. In einigen Regelungen waren bis vor kurzem noch Soll-Vorschriften oder (jedenfalls dem Wortlaut nach) eine Wahlmöglichkeit in Bezug auf die Listenführung zu finden. Inzwischen wird in den verschiedenen Neufassungen und Aktualisierungen zumindest in Bezug auf die Pflicht zur Datenerhebung durchaus auf eine eindeutige Formulierung geachtet.
Uneinheitlich sind auch die Regelungen dazu, wer zu welchen Zwecken auf die erhobenen Daten zugreifen darf. In Hamburg etwa ist gemäß § 7 Abs. 1 Nr. 3 HmbSARS-CoV-2-EindämmungsVO nur „die zuständige Behörde“ zur Verarbeitung der Daten befugt, Nr. 5 zufolge sind „die Verwendung der Kontaktdaten zu anderen als den […] genannten Zwecken sowie deren Weitergabe […] untersagt“. Eine dem Zweck der Erhebung widersprechende Nutzung durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung – wie im oben geschilderten Fall zur Suche nach Zeugen – wird jedoch in anderen Gesetzen durch die Hintertür wieder erlaubt.[10] Soweit der Zugriff tatsächlich aus besonders gewichtigen Gründen – bei Straftaten gegen das Leben beispielsweise – erfolgt, mag es durchaus gerechtfertigt sein. Es zeigte sich allerdings, dass die Listen z.B. in Bayern auch für Ermittlungen im Rahmen der Drogenkriminalität, bei Eigentumsdelikten oder zur Gefahrenabwehr genutzt wurden.
Der bayerische Innenminister Herrmann sprach in diesem Zusammenhang von „Kapitalverbrechen“, ohne diese Behauptung näher zu belegen.[11] Äußerst fragwürdig ist diese Sichtweise nicht erst dann, wenn (wie in Baden-Württemberg und Mecklenburg-Vorpommern im Frühjahr geschehen) durch die Gesundheitsämter auch sensible Gesundheitsdaten mit übermittelt werden.[12] Inzwischen hat Herrmann seine Aussagen relativiert; es war bekannt geworden, dass die Daten auch für Ermittlungen wegen Fahrerflucht, Diebstahl oder Beleidigung genutzt wurden. Dabei sah das Innenministerium keinen Anlass, die betroffenen Gäste über die Datenauswertung zu informieren.[13]
Der Zugriff durch Ermittlungsbehörden und die Doppeltür-Rechtsprechung des Bundesverfassungsgerichts
Die grundsätzlich verbindliche – wenn auch nicht gänzlich unumstrittene – Rechtsprechung des BVerfG zur Bestandsdatenauskunft wird dabei weitestgehend ignoriert. Zwar wird die grundsätzliche Verfassungsmäßigkeit der Auskunft über Bestandsdaten nicht beanstandet. Es müsse jedoch in jedem Fall entweder eine konkrete Gefahr im Einzelfall oder der Anfangsverdacht einer Straftat vorliegen.[14] Sowohl die Übermittlung als auch der Abruf der Daten müssen jeweils für sich genommen auf verhältnismäßigen Rechtsgrundlagen beruhen, die die Verwendungszwecke der Daten ausreichend begrenzen und an bestimmte Zwecke, tatbestandliche Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz binden.[15] Dieser Rechtsgedanke ist auch auf die Nutzung der Corona-Kontaktlisten-Daten zu übertragen. Insofern fehlt „den Türen der ‚Kontaktnachverfolgung‘ […] jeweils ein Flügel“.[16]
In diesem Kontext ist auch die Entscheidung des saarländischen Verfassungsgerichtshofes zu nennen, der Art. 2 § 3 der Verordnung zur Änderung infektionsrechtlicher Verordnungen zur Bekämpfung der Corona-Pandemie (VO-CP) unter Bezugnahme auf die Bestandsdatenauskunft-II-Entscheidung des BVerfG für mit der Landesverfassung unvereinbar erklärte, da es einer förmlichen, parlamentarischen Ermächtigung bedürfe, die die zu erhebenden personenbezogenen Daten, den Anlass und spezifischen Zweck der Erhebung, die Art und Dauer der Aufbewahrung sowie ihre Löschung normenklar und bestimmt regelt und den Grundsatz der Verhältnismäßigkeit wahrt.[17] Das IfSG enthalte gerade keine solche Ermächtigung.[18] Art. 2 § 3 VO-CP sei zudem geeignet, die Intensität des Eingriffs zu verharmlosen und zu verunklaren.[19] Es bleibt zu hoffen, dass diese Frage konkret auf die Corona-Kontaktlisten-Daten bezogen auch für andere landesrechtliche Regelungen (die i.d.R. zumindest sinngemäß gleich lauten) verfassungsgerichtlich geklärt wird.
Fazit
Die Verarbeitung der im Zusammenhang mit Corona-Kontaktlisten gesammelten personenbezogenen Daten muss eindeutig und vernünftig geregelt werden. Der Wunsch des hamburgischen Datenschutzbeauftragten, die Ermittlungsbehörden mögen von der Nutzung der Corona-Daten entgegen dem ursprünglichen Zweck nur „äußerst zurückhaltend“ Gebrauch machen, „um die Akzeptanz der Maßnahmen zur Eindämmung der Epidemie in der Bevölkerung nicht zu gefährden“, ist zu unverbindlich.[20]
Sowohl die Übermittlung der Listen an Gesundheitsämter und deren Befugnisse zur Nutzung der Daten als auch – insbesondere – der Zugriff durch Strafverfolgungsbehörden sind hinsichtlich des Umfangs und der zulässigen Zwecke der Abfragen zu klären. Andernfalls ist zu befürchten, dass vermehrt falsche Kontaktdaten angegeben werden – und das Ziel der Nachverfolgbarkeit und Eingrenzung künftiger Infektionsketten so ausgehebelt wird.[21]
Bei der Entwicklung der Corona-Warn-App zeigte sich, dass ein Kompromiss aus Nachverfolgbarkeit und Datenschutz durchaus machbar ist – für die Kontaktlisten in Lokalen, Fitnessstudios usw. sollte kein geringerer Standard angestrebt werden. Bis eine – verfassungs- und DSGVO-konforme – Lösung geschaffen wird, sollten Gastronomen und Gastronominnen und Betreiber sowie Betreiberinnen anderer Einrichtungen, für die eine Kontaktdatenerhebungspflicht besteht, die Herausgabe der so gesammelten Daten an Ermittlungsbehörden verweigern.[22] Selbst wenn im weiteren Verlauf der Ermittlungen eine Verpflichtung zur Herausgabe durch einen Beschlagnahmebeschluss begründet wird, kann so dennoch eine gegebenenfalls entstehende Haftungspflicht durch die freiwillige Überlassung der Daten vermieden werden.
Priska Katharina Büttel
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 3/2020. Die vollständige Ausgabe finden Sie hier.
[1] Vgl. Furuse et al., Clusters of Coronavirus Disease in Communities, EID Journal, Vol. 26, No. 9 – September 2020; vgl. auch Uhlmann, Das Rätsel um die stillen Kranken, SZ.de, 29.05.2020, jeweils letzter Abruf am 03.09.2020.
[2] Vgl. Neumann, CCC hackt digitale „Corona-Listen“, CCC.de, 28.08.2020; Biselli, Sicherheitslücke bei digitalen Coronalisten entdeckt, Golem.de, 28.08.2020, jeweils letzter Abruf am 03.09.2020.
[3] Vgl. Reuter, CCC hackt Corona-Kontaktlisten aus beliebter Restaurantsoftware, Netzpolitik.org, 28.08.2020, letzter Abruf am 03.09.2020.
[4] Vgl. Scherschel, CCC deckt erneut Schwachstellen in Corona-Listen auf, Heise Online, 03.09.2020, letzter Abruf am 03.09.2020.
[5] Vgl. Greis, Polizei nutzt Corona-Kontaktlisten nach Straftat, Golem.de, 06.07.2020, letzter Abruf am 03.09.2020.
[6] Vgl. Greis, Datenschützer kritisieren offene Gästelisten, Golem.de, 25.06.2020, letzter Abruf am 03.09.2020.
[7] Vgl. Greis, Polizei nutzt Corona-Kontaktlisten nach Straftat, Golem.de, 06.07.2020, letzter Abruf am 03.09.2020.
[8] Greis, Polizei nutzt Corona-Kontaktlisten nach Straftat, Golem.de, 06.07.2020, letzter Abruf am 03.09.2020.
[9] Z.B. § 2a CoronaSchVO (Nordrhein-Westfalen), § 3 SARS-CoV-2-Infektionsschutzverordnung (Berlin), Unterpunkt 3.2.9. der Bekanntmachung des Bayerischen Gesundheitsministeriums vom 14.05.2020 zum Vollzug des IfSG (Stand 17.07.2020) (Bayern) oder § 6 Abs. 1 i.V.m. § 14 Satz 1 CoronaVO (Baden-Württemberg) (jeweils in der am 03.09.2020 geltenden Fassung).
[10] Vgl. z.B. § 23 BDSG, Strafverfolgungsbehörden berufen sich i.d.R. auf §§ 160 ff. StPO.
[11] Vgl. Laufer, Polizei nutzt Corona-Kontaktlisten für Drogenermittlungen, Netzpolitik.org, 31.07.2020, letzter Abruf am 04.09.2020.
[12] Vgl. Laufer, Polizei sammelt in mehreren Bundesländern Coronavirus-Listen, Netzpolitik.org, 02.04.2020, letzter Abruf am 05.09.2020.
[13] Vgl. Krempl, Bayerische Polizei: Mit Corona-Gästelisten gegen Kleinkriminalität, Heise Online, 03.09.2020, letzter Abruf am 07.09.2020.
[14] BVerfG, Beschl. v. 27.05.2020 – 1 BvR 1873/13; vgl. m. Anm. Nolte/Krenke jurisPR-ITR-Compl 4/2020 Anm. 2.
[15] Vgl. BVerfG, Beschl. v. 27.05.2020 – 1 BvR 1873/13 LS. 1.
[16] Vgl. Härting, Corona ohne „Doppeltür“: Warum die Vorschriften zur Sammlung von Kontaktdaten in der Gastronomie verfassungswidrig sind., CR-online.de Blog, 02.08.2020, letzter Abruf am 03.09.2020.
[17] Vgl. zuletzt BVerfG, Beschl. v. 27.05.2020 – 1 BvR 1873/13.
[18] VerfGH Saarbrücken, Beschl. v. 13.05.2020 – 2 B 175/20 – Lv 15/20 S. 27 f.
[19] VerfGH Saarbrücken, Beschl. v. 13.05.2020 – 2 B 175/20 – Lv 15/20 S. 31.
[20] Vgl. Ist das erlaubt? Hamburger Polizei nutzt Corona-Kontaktliste zur Zeugensuche, MoPo.de, 08.07.2020, letzter Abruf am 04.09.2020.
[21] Vgl. Meißner, Corona.Kontakt-Listen als Ermittlungsansatz in Strafverfahren?,Beck-Blog, 09.07.2020, letzter Abruf am 05.09.2020.
[22] Vgl. Härting, Corona ohne „Doppeltür“: Warum die Vorschriften zur Sammlung von Kontaktdaten in der Gastronomie verfassungswidrig sind., CR-online.de Blog, 02.08.2020, letzter Abruf am 03.09.2020.