Bekämpfung der Epidemie mit den Mitteln des Rechtsstaats

Es steht für den Deutschen Anwaltverein außer Frage, dass die Eindämmung der Weiterverbreitung des Corona Virus ein herausragend wichtiges gemeinsames Ziel ist und im überragenden öffentlichen Interesse liegt.
Der Deutsche Anwaltverein begrüßt es daher ausdrücklich, dass entsprechend des gesetzlichen Auftrags des Infektionschutzgesetzes (IfSG) über die weitere Konzeption zur Reduktion der Neuinfektionen nachgedacht wird, um auf diesem Wege die durch die Länder auf unterschiedliche Weise vorgenommenen Einschränkungen der Grundrechte der Bürger und Bürgerinnen so schnell wie möglich zurücknehmen zu können (vgl. dazu bereits die SN 22/20 des Ausschusses für Gefahrenabwehrrecht). Der Einsatz von technischen Mitteln bzw. die Einbindung von technikbasierten Prozessen kann in diesem Kontext Möglichkeiten bieten, die analogen Strategien überlegen sind.

Für die konzeptionellen Überlegungen zur Bekämpfung der Epidemie ist es aus Sicht des Deutschen Anwaltvereins weiterhin unerlässlich, dass verfassungsrechtliche Wertentscheidungen respektiert werden. Es geht auch in solchen Notsituationen um die Bewahrung und Bewährung des demokratischen Rechtsstaats. Rechtstaatliche Sicherungen dürfen daher nicht außer Kraft gesetzt werden.

Bürgerrechtliche Sicherungen müssen gewahrt bleiben

Die Erhebung und die Verarbeitung von Telekommunikationsverkehrsdaten bedürfen wie alle Eingriffe in Grundrechte einer klaren Rechtsgrundlage. Dabei muss immer betont werden, dass die Erfassung von Verkehrs- und Standortdaten als Maßnahme der staatlichen Überwachung einen tiefgreifenden Eingriff für die Betroffenen darstellt, der zugleich eine sehr große Zahl von Personen betrifft. Das Bundesverfassungsgericht hat mehrfach betont, dass der Abruf und die unmittelbare Nutzung von Daten aus Telekommunikationsvorgängen nur dann verhältnismäßig

sind, wenn sie überragend wichtigen Aufgaben dienen und wenn die Ausgestaltung der Datenspeicherungen dem besonderen Gewicht des Eingriffs Rechnung trägt. Erforderlich sind hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Rechtsschutzes (BVerfG NJW 2010, 833).

Konsequent ist bei den für die Gefahrenabwehr und für die Strafverfolgung bestehenden Regelungen zum Zugriff auf die Verkehrs- und Standortdaten jeweils vorgesehen, dass ein Zugriff auf diese Daten nur bei Straftaten, die auch im Einzelfall von erheblicher Bedeutung sind, und, soweit dies für die Erforschung des Sachverhalts erforderlich ist, in Betracht kommt (so für die Verkehrsdaten § 100g StPO) bzw. wenn die hohe Wahrscheinlichkeit eines Schadens für Leben, Gesundheit oder Freiheit einer Person besteht oder zur Abwehr einer gemeinen Gefahr und nur soweit die Erreichung des Zwecks der Maßnahme auf andere Weise aussichtslos oder wesentlich erschwert wäre (so z.B. § 20a PolNRW). Damit wird schon von Gesetzes wegen zum Ausdruck gebracht, dass der Zugriff auf solche Daten nur unter bestimmten eng umgrenzten Umständen zugelassen wird. Das sind wichtige Sicherungen des Rechtsstaats gegen (auch schleichende) Tendenzen zur
T otalüberwachung.

„Corona-App“ muss bestimmte Voraussetzungen erfüllen

Der aktuellen Diskussion um eine Nachverfolgung von Infektionsketten unter Einsatz technischer Mittel steht der Ausschuss für Gefahrenabwehrrecht offen gegenüber. Es besteht eine berechtigte Aussicht darauf, dass die technische Kontaktverfolgung ein Mittel sein kann, Infektionsketten zu durchbrechen. Aus rechtlicher Sicht weist der Ausschuss darauf hin, dass die Einführung einer „Corona-App“ sich an den vom Bundesverfassungsgericht entwickelten Grundsätzen zu orientieren hat. Aus diesem Grund wird auch der ursprünglich für § 5 Abs. 10 IfSG-E vorgesehene Reformvorschlag der Bundesregierung abgelehnt, weil hierdurch (nur) Massendaten bei einer Behörde geschaffen worden wären, ohne dass ein erkennbarer Gewinn für die Vermeidung weiterer Infektionen entstanden wäre. Die auf diese Weise gewonnenen Verkehrsdaten lassen nämlich aufgrund der teils beachtlich großen Fläche der Funkzellen keinen Rückschluss auf konkrete Kontaktsituationen zwischen

einzelnen Menschen zu. Insofern ist hier schon die Geeignetheit der Maßnahme ganz erheblich in Frage zu stellen. Wir begrüßen es daher, dass diese Überlegung aktuell wohl nicht mehr weiterverfolgt wird.

Als Alternative wird derzeit über eine sog. „Corona-App“ diskutiert. Diese soll in den nächsten Tagen vorgestellt werden. Soweit dies aus der medialen Berichterstattung ersichtlich ist, handelt es sich hierbei um ein Modell, das auf die Freiwilligkeit der Bürgerinnen und Bürger setzt. Einem solchen Ansatz steht der Ausschuss offen gegenüber. Entscheidend ist aber, dass die für die Kontaktnachverfolgung erforderlichen Daten zunächst nur lokal auf dem Gerät abgespeichert werden und keine zentralen Datensammlungen angelegt werden.

Einer Pflicht zur Nutzung der App steht der Ausschuss skeptisch gegenüber. Es dürfte kaum möglich sein, eine solche durchzusetzen und ihre Einhaltung zu kontrollieren, ohne massiv in das Recht auf informationelle Selbstbestimmung sowie ggf. das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme einzugreifen und zugleich an die Grenzen des Machbaren zu gelangen. Stattdessen wird eine grundrechtsschonende Variante der App befürwortet, die auf das Prinzip der Freiwilligkeit setzt. Die Einschränkungen der Grundrechte dürfen auch in Krisenzeiten nicht so weit gehen, dass sie de facto abgeschafft werden.

Mit der Freiwilligkeit der Nutzung finden die Datenerhebungen und Übermittlungen ihre Rechtfertigung in der Einwilligung des Betroffenen. Allerdings ist nicht auszuschließen, dass der Nachweis der Nutzung einer solchen App künftig im privaten Verkehr erwartet wird. Möglicherweise wird der Zugang zu Restaurants, Geschäften o. ä. davon abhängig gemacht, dass die Benutzung einer solchen App nachgewiesen wird. Darin kann ein faktischer Zwang zur Benutzung liegen. Diese mittelbare grundrechtliche Relevanz macht es erforderlich, die Nutzung der App grundrechtskonform zu gestalten.

Für die Nutzung der App muss rechtlich zwingend folgendes gewährleistet sein:

Es ist sicherzustellen, dass diese App keine Daten auf dem Handy verarbeitet, die nicht für die Kontaktverfolgung erforderlich sind.
Die Daten, die zur Identifizierung notwendig sind, müssen ausschließlich lokal gespeichert werden.
Die Entwickler müssten den Quellcode des Programms jedenfalls bestimmten Stellen gegenüber offenlegen, damit dieser durch eine unabhängige Stelle
(z. B. CCC und BSI) auf seine Sicherheit hin überprüft werden kann.
Die App müsste durch einen Sicherheitsanbieter laufend auf Sicherheitsrisiken evaluiert werden. Ggf. müssen Updates zur Verfügung gestellt werden. Das BSI kann hier eine wichtige Rolle einnehmen.
Nicht nur die Nutzung der App muss freiwillig sein, sondern es ist auch sicher zu stellen, dass die App jederzeit rückstandslos deinstalliert werden kann.
Ob der Nutzer über seine eigene Infektion eine „push“-Nachricht schickt, muss er jederzeit frei entscheiden können. Mit der Installation der App darf kein Automatismus verbunden sein.
Bei der Übersendung der Information einer eigenen Infektion ist sicherzustellen, dass keine Zeitstempel hinsichtlich der Kontakte übersandt werden (also wann der Nutzer Kontakt mit wem hatte). Wenn dies aus medizinischen Gründen gleichwohl notwendig sein sollte, muss darauf geachtet werden, dass die Zeiträume der Zurückverfolgung auf das Notwendigste eingegrenzt werden.
Die durch die Nutzung der App entstandenen Daten müssen einem Verwendungs- und Verwertungsverbot für staatliche Zwecke unterliegen. Das gilt vor allem für die im Rahmen der Pushnachricht seitens des Handyinhabers genutzte IP-Adresse zu Zwecken der Strafverfolgung. Andernfalls könnten übermittelte Daten dazu führen, dass sich hieraus ein Verstoß gegen die derzeit geltenden Kontaktverbote ablesen ließe, mit der Folge, dass ein Ermittlungsverfahren eingeleitet werden könnte. Anhand der IP-Adresse bestünde für die Ermittlungsbehörden dann die Möglichkeit, die Person zu identifizieren. Das darf nicht möglich sein. Ein latentes Risiko einer Verwendung der Daten zu repressiven Zwecken würde im Übrigen die Bereitschaft der Bevölkerung, freiwillig die App zu nutzen, nicht unerheblich einschränken.

Es bedarf einer Regelung zur Speicherung der Daten zur Identifikation. Es muss sichergestellt sein, dass die Identifikationsdaten – am besten automatisch – gelöscht werden, sobald man sie nicht mehr benötigt (z. B. nach der Inkubationsdauer ggf. mit einem zeitlichen Sicherheitszuschlag).

Die entwickelte App sollte nach Ansicht des Ausschusses für Gefahrenabwehrrecht von dem Bundesbeauftragten für den Datenschutz und für die Informationsfreiheit auf die Einhaltung der essentiellen Datenschutzvorkehrungen – nach Möglichkeit noch vor Freischaltung der App – überprüft werden können. Dasselbe gilt für die Bewertung und den Ausschluss etwaiger Sicherheitsrisiken in technischer Hinsicht durch die Nutzung der Bluetooth-Technologie. Dies könnte durch das Bundesamt für Sicherheit in der Informationstechnik und durch den Chaos Computer Club als hierfür besonders qualifizierte Stellen erfolgen. Eine solche Überprüfung hält der Ausschuss auch deshalb für besonders wichtig, weil eine Unbedenklichkeitserklärung dieser anerkannten unabhängigen Stellen die Akzeptanz der „Corona-App“ und die Bereitschaft der Bürgerinnen und Bürger, sie freiwillig zu nutzen, signifikant steigern dürfte.

Unter diesen kumulativen Voraussetzungen hält der Ausschuss für Gefahrenabwehrrecht eine grundrechtsschonende Nutzung dieser App für möglich.

-PM Deutscher AnwaltVerein-