„China sammelt Standortdaten und handelt konsequent“.
„Hong Kong nutzt elektronische Armbänder, um Standorte zu kontrollieren“
„Südkorea nutzt innovative Applikationen, um das Corona-Virus zu bekämpfen“.
Corona-Wirte in Deutschland und in der EU mit Standortdaten überwachen und isolieren? Fehlanzeige! Der Datenschutz, der Datenschutz. Wir könnten handeln, aber wir dürfen ja nicht. Denn der Datenschutz macht uns leider einen Strich durch die Rechnung.
Nach der Rasterfahndung, der Telekommunikationsüberwachung und dem automatisierten Abgleich von Kfz-Kennzeichen folgt eine neue packende Episode mit dem Titel „personalisierte Standortdatenerhebung“.
Mangelhafte mediale Kommunikation
Horcht man aufmerksam den öffentlichen Sprechchören zu, dann erhält man sehr schnell den Eindruck, dass der Datenschutz kein Grundrecht sei, sondern ein europäisches Luxusgut und in Zeiten von Corona eine Art spätrömische Dekadenz, die wir uns in Ausnahmesituationen nicht leisten können. (Mehr dazu: Wozu die ganze Datenschutz-Chose gut sein soll?)
Abgewogen wird mit der körperlichen Unversehrtheit, dem Leben und in der Superlative, mit dem Wohl und der Existenz der Menschheit. Das Urteil ist von der Öffentlichkeit natürlich schnell gesprochen. Wenn das Hemd näher ist als der Rock, dann wird die Sach- und Rechtslage offensichtlich nicht mehr analytisch ergründet. Dabei wird oft vergessen, dass der Datenschutz im Grundrechtskanon neben anderen Grundrechten und Grundfreiheiten steht und das Grundrechte unter Wahrung der Verhältnismäßigkeit eingeschränkt werden können, scheint einigen immer noch ein Geheimnis zu sein.
Nehmen wir den Art. 1 Abs. 2 der DSGVO ernst, dann schützt diese Verordnung die Grundrechte und Grundfreiheiten natürlicher Personen. Hier steht nichts von – diese Verordnung schützt leblose bits und bytes. Man mag es kaum glauben, aber der Datenschutz ist keine Einbahnstraße. Das hat auch die DSGVO erkannt.
Naturkatastrophen und Epidemien
Der Erwägungsgrund 46 Satz 3 der DSGVO, welcher auf Art. 9 Abs. 2 lit. c DSGVO verweist, spricht explizit davon, dass einige Arten der Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein können.
Dieser Erwägungsgrund betont zunächst den subsidiären Ausnahmecharakter dieser Rechtsgrundlage. Die Nennung von außergewöhnlichen Ereignissen wie „Naturkatastrophen, Epidemien und humanitären Notfälle“, also hoffentlich nicht alltägliche Ereignisse, deuten darauf hin, dass eine Verarbeitung von personenbezogenen Daten nur bei einer unmittelbar bevorstehenden Gefährdung von lebenswichtigen Interessen zur Anwendung kommen darf. Der Erwägungsgrund 112 Satz 2 der DSGVO konkretisiert die lebenswichtigen Interessen in die körperliche Unversehrtheit und das Leben.
Leben, Tod und die Zeit
Umfassende und anlasslose Datenverarbeitungen zu Präventionszwecken sind damit explizit ausgenommen. Aufgrund des restriktiven Charakters der Vorschrift, müsste es sich zum einen um die Frage von Leben und Tod handeln (So auch Art.29-Gruppe, WP 217, S. 26.) und zum anderen müsste eine gewisse zeitliche Nähe vorhanden sein. Nach dem Bundesverfassungsgericht kann „selbst bei höchstem Gewicht der drohenden Rechtsgutsbeeinträchtigung auf das Erfordernis einer hinreichenden Eintrittswahrscheinlichkeit nicht verzichtet werden“ (Online–Durchsuchung. BVerfGE 120, 274, 245.). Das Bundesverfassungsgericht macht damit bereits 2008 deutlich, dass trotz der vergleichbaren Gefahrenlage (damals durch den internationalen Terrorismus), der Kernbereich der Persönlichkeit eines Betroffenen immer noch schwerer wiegt als die Gefahrenvorsorge des Kollektivs.
Schenken wir allerdings den Virologen aus Funk und Fernsehen Glauben, dann könnten sich ca. 70 Prozent der deutschen Bevölkerung mit den Sars-2 Viren infizieren. Dieser Zustand wäre empirisch „belegt“, für einige Bürger schwer gesundheitsschädigend und irreversibel (Stand: 27.03.2020). Unter diesen Vorzeichen besteht aktuell ein schmaler Grat zwischen dem Zeitpunkt des Umschlagens der noch nicht greifbaren abstrakten Gefahr in eine konkrete Schadensposition. Die verbleibende Reaktionszeit, um dieses „Umkippen“ angemessen zu begegnen, wäre vermutlich zu gering.
Um es in den Worten von Systemtheoretiker Niklas Luhmann zu fassen:
„Je nachdem, ob ein Schaden eingetreten oder ob es gut gegangen ist, wird man das Risiko nachträglich anders einschätzen. Man versteht nachträglich nicht mehr, wieso man in der vergangenen Gegenwart derart vorsichtig oder derart riskant entschieden hatte. (..) Die Zeit selbst erzeugt diese Einschätzungsdifferenz, und dagegen kann keine stets gegenwärtige Kalkulation etwas ausrichten“ (Luhmann, Risiko, S. 51)
Erforderlichkeit
Das Tracken von personalisierten Standortdaten aufgrund dieser Rechtsgrundlage ist jedoch nur dann zulässig, wenn sie auch im Rahmen dieses Zweckes erforderlich ist. Es geht bei der Frage der Erforderlichkeit um die Modalitäten, sprich um Art und Umfang.
Grobschlächtig ausgedrückt liegt das Merkmal der Erforderlichkeit erst vor, wenn die personenbezogenen Daten für die Aufgabenerfüllung unabdingbar sind. Es ist also stets nach einem milderen Mittel zu suchen. Ob personalisierte Standortdaten das mildeste Mittel darstellen, wagen wir zu bezweifeln. Zumindest wäre die Begründung von der Gesetzeslogik her eine ziemlich harte Turnübung. Wie viel Yoga man da machen muss, um solche rechtlichen Verrenkungen zu bewerkstelligen steht in den Sternen.
Damit kann der Art. 9 Abs. 2 lit. c DSGVO vermutlich keine zufriedenstellende und taugliche Rechtsgrundlage bilden. Zudem ist Art. 9 DSGVO angesichts der besonderen Datenkategorie allgemein nicht als Kautschuk-Rechtsgrundlage bekannt.
Öffentliche Gesundheit
Eine weitere Möglichkeit bietet Art. 9 Abs. 2 lit. i DSGVO. Demzufolge ist die Verarbeitung von personenbezogenen Daten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, möglich. Allerdings bietet weder das Bundesdatenschutzgesetz – BDSG (§ 22 BDSG wiederholt nur den Normtext des Art. 9 Abs. 2 lit. i DSGVO) noch das Infektionsschutzgesetz eine eindeutige und ausreichend bestimmte Rechtsgrundlage für ein solch intensives und uferloses Eingreifen in die Grundrechte. Ich darf nochmal daran erinnern, dass die Erfassung von Standortdaten extrem einschneidende und grundrechtsintensive Maßnahmen sind, die nicht mal eben übergangen werden sollten.
De lege ferenda – Wir stehen vor einer Wasserscheide
Der Gesetzgeber wäre für ein solches Vorhaben, daher dazu angehalten eine eigene Rechtsgrundlage zu schaffen. Dabei hat er in erster Linie das Verhältnismäßigkeitsprinzip zu achten und dafür Sorge zu tragen, dass „angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person“ gewahrt werden.
Eine feststellende, juristisch ausgedrückt deklaratorische, Rechtsgrundlage wird den Ansprüchen des Datenschutzes und des Verhaltnismäßigkeitsprinzips nicht genügen. Nach geltendem Recht scheint daher ein solches Unterfangen nicht machbar zu sein.
Angesichts der Eingriffsintensität des avisierten Grundrechtseingriffs und der besonderen Sensibilität der Daten steht diese neue noch nicht existierende Rechtsgrundlage vor großen Herausforderungen:
- Wer ist der Verantwortliche? Das werden in der Regel private Dienstleister sein, da diese über eine effektivere IT-Infrastruktur verfügen. Hier scheint die Missbrauchsgefahr immens zu sein.
- Wie lange dürfen die Daten gespeichert werden?
- Welche Daten dürfen erhoben werden? Alle Metadaten (Uhrzeit, Entfernung)?
- Und ist diese enorme Streubreite des Eingriffs anderweitig technisch einzudämmen?
- Wie ist umzugehen mit der Datensicherheit?
- Wie ist umzugehen mit der Datenqualität? Fake-GPS könnte nur effektiv mit Armbändern verhindert werden.
- Gibt es Eingriffs- und Widerspruchsmöglichkeiten für die Betroffenen?
Und wie ist damit künftig umzugehen, wenn der Ausnahmezustand zur Regel wird?
Ein Jurist mit einem Faible für die Verzahnung von IT und Recht. Und ein rechthaberischer Informatiker.