Corona-Gästelisten – maßlose polizeiliche Datennutzung
Von Jan Fährmann, Clemens Arzt, Hartmut Aden
Wer heutzutage Veranstaltungen, Restaurants, Hotels, Spielhallen, Gottesdienste, Bestattungen, Prostitutionsstätten, Kinos, Sporteinrichtungen oder Kosmetikstudios besucht, muss dies in den meisten Bundesländern dokumentieren, nur in Sachsen ist dies freiwillig. Auch für Familienfeiern ab 20 Personen ist die Anwesenheitsdokumentation etwa in Berlin vorgeschrieben, § 3 Abs. 1 S. 2 Corona-Verordnung Berlin auf dem Stand vom 4. August 2020.
Mit Unterschieden im Detail schreiben die Corona-Verordnungen der Bundesländer derzeit vor, dass Anwesende ihre Kontaktdaten in eine Liste eintragen müssen, damit die Gesundheitsämter Infektionsketten nachvollziehen können, falls andere Gäste später positiv auf das Virus getestet werden. Die Dokumentation hängt auch davon ab, wie die Lokalitäten ihre Pflichten aus der jeweiligen Corona-Verordnung interpretieren. Die Varianten reichen von einzelnen Zetteln über Absprachen mit bekannten Gästen („ihr wisst doch, wer alles da war, oder?“) bis zu Listen, die für alle einsehbar und damit datenschutzwidrig offen ausliegen. Auch die erhobenen Daten variieren. Gefordert werden Angaben wie Name, Adresse, Mobiltelefonnummer, Emailadresse, Ankunftszeitpunkt oder Zeitraum der Anwesenheit. Auf diese Daten haben Ermittler*innen der Kriminalpolizei offenbar mehrfach zugegriffen (z.B. hier, hier und hier). Die Hamburger Polizei bezeichnete das Vorgehen als Ausdruck eines „gesunden Menschenverstands“. Aus der Politik gibt es geteiltes Echo; einige Politiker*innen halten das Verhalten für unzulässig, andere für richtig und unterstützen die Polizei darin (hier und hier).
Erheblicher Eingriff in das Recht auf informationelle Selbstbestimmung
Jede Einsicht der Polizei in die Gästelisten stellt als Erhebung personenbezogener Daten einen Eingriff in das Recht auf informationelle Selbstbestimmung bzw. Datenschutzgrundrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG; Art. 8 EU-GRCh) dar. Bei einer Sicherstellung oder Beschlagnahme wird dieser Eingriff noch vertieft, weil diese Daten nunmehr bei der Polizei oder Staatsanwaltschaft für dortige Zwecke genutzt werden. Hiervon ist potentiell eine Vielzahl von Menschen betroffen, zuvörderst die Person, gegen die strafrechtlich ermittelt wird oder die als Zeug*in in Betracht kommt. Hinzu kommen Personen, die zufällig auf derselben Gästeliste stehen.
Ob eine Beschlagnahme solcher Daten rechtlich zulässig ist, wird unterschiedlich beurteilt. Die Bundesregierung und andere sind der Ansicht, hierfür reichten die strafprozessualen Beschlagnahmevorschriften aus. Der Hamburgische Datenschutzbeauftragte empfahl eine zurückhaltende Nutzung. Der bayerische Datenschutzbeauftragte meint, eine bundesweite Regelung für die Strafverfolgungsbehörden sei erforderlich; ähnlich auch der hessische Datenschutzbeauftragte. Sikora und Kugelmann halten die Beschlagnahme nicht für grundsätzlich ausgeschlossen, fordern aber eine Abwägung im Einzelfall.
Staatlicher Schutzauftrag
Der Hamburger Datenschutzbeauftragte
© Miguel Ferraz Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg - Körperschaft des öffentlichen RechtsIm Kontext der Pandemie kommt der verfassungsrechtlichen Verpflichtung zum Schutz von körperlicher Unversehrtheit und Leben aus Art. 2 Abs. 2 S. 1 GG in Form des Infektionsschutzes ein besonderes Gewicht zu (Fährmann; Hong). Dies umfasst auch die Aufrechterhaltung der Funktionstüchtigkeit des Gesundheitssystems (Carsten Bäcker; Lepsius). Diese Schutzpflicht ist aber in ein angemessenes Verhältnis zu den Freiheitsrechten und anderen staatlichen Aufgaben zu setzen, wobei zu beachten ist, dass die Risiken durch eine Ausbreitung der Pandemie schwer wiegen (BVerfG). Insofern muss in der Pandemie der Schutzauftrag bei der Gesetzgebung, der Gesetzesauslegung und beim behördlichen Handeln besondere Berücksichtigung finden (Kugelmann). Behördliche Maßnahmen dürfen die Ausbreitung der Pandemie nicht begünstigen oder Maßnahmen behindern, die eine Ausbreitung der Pandemie verhindern sollen. Eine Interessenabwägung kann ergeben, dass entsprechendes staatlichen Handeln zu unterlassen ist.
Die Gästelisten dienen dazu, eine Nachverfolgung von Infektionsketten zu ermöglichen. Wissenschaftliche Erkenntnisse deuten darauf hin, dass im Falle eines sogenannten Superspreader-Events die beteiligten Menschen schnell isoliert werden müssen, um die Infektionsketten zu unterbrechen. Dies wird wesentlich erleichtert, wenn die Menschen den staatlichen Schutzmaßnahmen vertrauen und ihre korrekten Daten für die Kontaktnachverfolgung hinterlassen. Bei unzutreffenden Angaben werden auch dringend benötigte Ressourcen der Gesundheitsämter verschwendet, wenn sie erfolglos falschen Informationen nachgehen.
Wenn die Menschen damit rechnen müssen, dass ihre Daten zu Ermittlungszwecken verwendet werden, könnten sie davon abgehalten werden, korrekte Daten anzugeben, nicht nur, wenn sie eine Strafverfolgung befürchten. Nicht wenige Menschen fühlen sich generell von staatlicher Überwachung verunsichert, zumal wenn nicht klar ersichtlich ist, wofür die Daten von der Polizei verwendet werden könnten. Neben strafprozessualen Maßnahmen ist auch nicht ausgeschlossen, dass die Polizei die Daten auch zu Zwecken der Gefahrenabwehr sicherstellt oder beschlagnahmt. Im Ergebnis ist aktuell für die/den Einzelne*n nicht absehbar, welche Konsequenzen ein Eintrag in eine Gästeliste haben kann, weil es diesbezüglich weder ein geregeltes Verfahren noch klare rechtliche Grundlagen jenseits der sehr allgemein gehaltenen Erhebungsbefugnisse gibt.
Wenn eine Nachverfolgung nicht gewährleistet ist, kann dies zu einem Wiederanstieg der Infiziertenzahlen beitragen. Neben den Risiken für das Leben und die Gesundheit von vielen Menschen besteht auch die Gefahr, dass von staatlicher Seite wieder ein Lockdown verhängt wird, was zu massiven Grundrechtseingriffen und zur Außerkraftsetzung von Verfassungsprinzipien führen kann (z.B. Kingreen; Fährmann/Aden/Arzt).
Diese gravierenden Folgen sind bei Datenerhebungen zu berücksichtigen. Dies bedeutet zwar nicht, dass Daten der Gästeliste von Verfassung wegen niemals anderweitig verwendet werden dürften. Vor dem Hintergrund der Risiken, die durch einen Verlust des Vertrauens in die Anti-Corona-Maßnahmen für die gesamte Bevölkerung entstehen, gebietet der Verhältnismäßigkeitsgrundsatz aber, dass eine Sicherstellung oder Beschlagnahme allenfalls denkbar ist, wenn konkrete Hinweise vorliegen, dass die Daten für die Aufklärung schwerer Straftaten oder die Abwehr von Gefahren für Leben und Gesundheit erforderlich sind (ähnlich Sikora). Hierzu bedarf es allerdings hinreichend bestimmter Rechtsgrundlagen.
Verstoß gegen den Grundsatz der Zweckbindung
Der Bayerische Datenschutzbeauftragte Prof. Dr. Thomas Petri
© BayLfDDie Sammlung der Gästedaten ist gleichsam eine neue Form der Vorratsdatenspeicherung, da die Daten unabhängig von einer konkreten Gefahr erhoben werden. Anders als bei der Speicherung von Telekommunikationsmetadaten auf Vorrat, werden die Daten hier nicht durch einen rechtlich verpflichteten Dritten speziell zum Zwecke der Ermöglichung der Strafverfolgung verarbeitet. Die Erhebung der Gästedaten bei Wirt*innen oder Veranstalter*innen ist eher der Erhebung von Straßenmautdaten zu Abrechnungszwecken durch den privatwirtschaftlich organisierten Mautbetreiber vergleichbar, die polizeilich beschlagnahmt wurden, bis dies vom Gesetzgeber untersagt wurde (§ 4 Abs. 3 S. 2 und 3 BFStrMG).
Ob eine Erhebung und Speicherung höchstpersönlicher Gästedaten in einer Rechtsverordnung geregelt werden kann, erscheint zweifelhaft (Härting, Petri). Wenn Daten intensivere Rückschlüsse auf ein Verhalten zulassen, bedarf es dafür einer eindeutigen Ermächtigungsgrundlage im Parlamentsgesetz (also hier im Infektionsschutzgesetz, IfSG), die Inhalt und Umfang der Datenerhebung genau beschreibt. Einzelheiten können dann in einer Rechtsverordnung ausdifferenziert werden. Alles andere wäre ein Verstoß gegen Art. 80 Abs. 1 S. 2 GG (vgl. Fährmann/Arzt/Aden; Kießling; Klafki).
Die Verwendung der Daten zu anderen Zwecken (Zweckänderung) muss gesetzlich eindeutig geregelt werden. Das unmittelbar aus dem Grundrecht auf informationelle Selbstbestimmung folgende Gebot der Zweckbindung steht einer Rechtmäßigkeit der Sicherstellung oder Beschlagnahme ohne klare Rechtsgrundlage entgegen. Nach allen Corona-Verordnungen ist indes nur die Weitergabe der Daten an die Gesundheitsbehörden geregelt. Einige Verordnungen verbieten explizit die Verarbeitung zu weiteren Zwecken, etwa in Rheinland-Pfalz, § 1 Abs. 8 S. 4, Hamburg, § 7 Abs. 1 Nr. 5, dem Saarland, § 3 Abs. 3 oder Baden-Württemberg, § 6. Auch die Vorschriften in Hessen oder Bremen können so interpretiert werden, dass Daten nur zur Infektionsnachverfolgung verwendet werden dürfen. In diesen Ländern steht die Sicherstellung oder Beschlagnahme also bereits im Widerspruch zu den Rechtsverordnungen. In einigen Verordnungen bleiben weitere Zwecke unklar, etwa in Brandenburg, § 3, oder Nordrhein-Westfalen, § 2a. Es ist aber offensichtlich, dass eine Verwendung zur Strafverfolgung oder Gefahrenabwehr jenseits des Infektionsschutzes nicht geregelt wurde und auch nicht aus dem IfSG folgt.
Eine hinreichend präzise gesetzliche Vorschrift zur Zweckänderung fehlt damit. Bei jeder Zweckänderung personenbezogener Daten handelt es sich jenseits der Erhebung um einen weiteren Eingriff in das Recht auf informationelle Selbstbestimmung. Daher bedarf es hierfür einer gesetzlichen Grundlage (siehe nur BVerfG) mit konkreter Beschreibung der neuen Zwecke. Will der Gesetzgeber eine Zweckänderung gestatten, hat er sicherzustellen, dass dem Eingriffsgewicht hinsichtlich der neuen Nutzung Rechnung getragen wird (BVerfG, Rn. 284). Dies gilt für die Gästelisten auch und insbesondere dann, wenn diese vorsorglich gesammelten Daten zu Strafverfolgungszwecken verwenden werden sollen. BVerfG und EuGH haben wiederholt betont, dass die Nutzung von auf Vorrat gesammelten Daten einen beträchtlichen Grundrechtseingriff darstellt, da sich die Menschen diesem kaum entziehen können. Daher ist eine vorsorgliche, anlasslose Datenspeicherung allenfalls ausnahmsweise zulässig. Sie unterliegt hinsichtlich ihrer Begründung und ihrer Ausgestaltung, auch in Bezug auf die vorgesehenen Verwendungszwecke der erhobenen Daten, besonders strengen Anforderungen (BVerfG, Rn. 206). Der Zugang zu diesen Daten muss vom Gesetzgeber auf das absolut Notwendige beschränkt werden, für die Strafverfolgung „ausschließlich auf die Zwecke einer Bekämpfung schwerer Straftaten“ (EuGH, Rn. 125).
Zudem fehlen Datenschutzkonzepte für die Gästelisten-Daten, obwohl es teilweise um hochsensible Daten geht, etwa im Saarland, wo auch der Besuch einer Prostitutionsstätte dokumentiert werden muss, § 3 Abs. 1 Nr. 8. Durch den Umfang der Daten könnten weite Teile des Tagesablaufs einer Vielzahl von Menschen nachvollzogen werden. Solche Daten dürften die Polizei oder andere staatliche Stellen unter normalen Umständen niemals erheben oder auswerten. Es bedarf daher einer eindeutigen gesetzlichen Grundlage, die eine Verwendung zu Zwecken der Strafverfolgung gestattet, alles andere würde gegen den Bestimmtheitsgrundsatz verstoßen. Die sehr allgemein gehalten Vorschriften z.B. der StPO oder der DSGVO reichen hierfür nicht aus (anders z.B. Sikora).
Die strafprozessuale Regelung zur Sicherstellung in § 94 StPO enthält hingegen weder Vorgaben zur Zweckänderung im Rahmen der Beschlagnahme personenbezogener Daten noch wird klargestellt, unter welchen Umständen und mit welchen Verfahrensvorkehrungen die Daten beschlagnahmt werden dürfen. Der Richtervorbehalt in § 98 StPO greift nur, wenn Wirt*innen oder Veranstalter*innen die Daten nicht freiwillig herausgeben.
Überholte Vorschriften der Strafprozessordnung
Seit Jahren wird immer deutlicher, dass die Regelungen der StPO zur Sicherstellung und Beschlagnahme dringend einer Überarbeitung bedürfen, da diese nicht auf Massendaten ausgerichtet sind, sondern vielmehr auf körperliche Gegenstände. Dies zeigt sich bei den Debatten um die Beschlagnahme von digitalen Daten wie etwa Emaildaten oder Mautdaten. Aktuell wird die Rechtsordnung vielfach so interpretiert, auch bezüglich der Gästelisten, dass zumindest die Strafverfolgungsbehörden grundsätzlich zunächst auf annähernd alle Daten Zugriff nehmen könnten. Eine Ausnahme bilden die wenigen Normen zum Schutz des Kernbereichs der Persönlichkeit und Beschlagnahmeverbote, die aus dem Zeugnisverweigerungsrecht folgen, § 97 StPO. Die Beschlagnahmeregelung aus den §§ 94 ff. ist sehr weit gefasst, da sie nur an einen Tatverdacht anknüpft. Grundsätze wie der Schutz besonders sensibler Daten oder der Datenminimierung finden im Kontext der Beschlagnahme faktisch keine Anwendung, obwohl diese durch EU-Recht vorgeschrieben sind, für die Strafverfolgung durch die JI-Richtlinie. Ermittlungsbeamt*innen gehen häufig mit der „Staubsaugermethode“ vor, was zunächst zur Beschlagnahme aller vorhandenen Daten führt (Basar/Hiéramente, NStZ 2018, 681). Die oft unvermeidbaren Datenspuren Einzelner, die Aufschluss über sehr privates Verhalten ermöglichen (Masing NJW 2012, 2305, 2309), haben zur Konsequenz, dass ein solches Vorgehen heute nicht mehr zulässig ist.
Private Stellen sammeln zu geschäftlichen Zwecken oder wie bei den Gästelisten aufgrund staatlicher Vorgaben personenbezogene Daten in einem nie da gewesenen Umfang (Aden/Fährmann, S. 35). Durch die viel zu unpräzisen StPO-Vorschriften erhält die Polizei umfassenden Zugriff auf diese Datenbestände. Der Übergang dieser Daten in das Strafverfahren ist nicht geregelt und wird daher auf die Ermittlungsgeneralklausel gestützt (vgl. VerfGH Rheinland-Pfalz, Rn. 47 f.). Vor dem Hintergrund der möglichen Sensibilität und der schieren Datenmengen ist dieser Zustand nicht mehr haltbar. Insbesondere bedarf es klarer Regeln, wann Daten von Privatpersonen beschlagnahmt werden dürfen, damit die Beschlagnahmevorschriften nicht zu einer Vorratsdatenspeicherung durch die Hintertür führen, auch vor dem Hintergrund der Rechtsprechung zu den Grenzen der Vorratsdatenspeicherung (EuGH; dazu z. B. Max Schulze; Kühling)
Fazit
Die Gesetzeslage lässt aktuell keine Verwendung der Corona-Gästelisten zur Strafverfolgung zu. Dazu bedürfte es einer bereichsspezifischen Norm, die datenschutzrechtliche Grundsätze beachtet. Die Nachverfolgung von Infektionen sollte bereits im IfSG genauer geregelt werden. Die Verwendung hierfür erhobener Daten sollte grundsätzlich auf den Zweck der Infektionsrückverfolgung beschränkt werden. Dort könnte eine eng begrenzte gesetzliche Ausnahme vorgesehen werden, die aber hinreichend bestimmt und abgrenzungsscharf eine eindeutige Regelung enthält, unter welchen engen Voraussetzungen eine Zweckänderung zugunsten der Strafverfolgung im Einzelfall zulässig ist. Dabei sollten Schutzgüter benannt oder ein Bezug auf die Mindeststrafe der in Betracht kommenden Straftaten genommen werden; eine Beschränkung auf Verbrechen erscheint im Sinne der Verhältnismäßigkeit angemessen. Nach der Doppeltür-Rechtsprechung des BVerfG würde eine solche Regelung Wirt*innen und Veranstalter*innen Rechtssicherheit verschaffen, wenn die Polizei die Herausgabe von Daten verlangt. Zugleich sind die StPO-Regelungen dem heutigen Stand des Grundrechtsschutzes anzupassen. Anderenfalls könnte der Staat Privatpersonen dazu ermächtigen, personenbezogene Daten zu erheben und zu speichern und diese dann einfach beschlagnahmen, sogar solche, die staatliche Stellen gar nicht erheben dürften.
Unabhängig davon stellt sich die Frage, wie zwingend der Zugriff auf die Corona-Listen für strafrechtliche Ermittlungen ist. Während einer Pandemie muss der Gesundheitsschutz der Bevölkerung auch im Verhältnis zur Strafverfolgung einen hohen Stellenwert genießen. Wenn die Möglichkeit eines jederzeitigen polizeilichen Zugriffs auf diese Listen – mit einer Vielzahl von Daten Unverdächtiger – viele Menschen dazu motiviert, dort falsche Angaben zu machen, sollte im Interesse des Gesundheitsschutzes auf den Zugriff verzichtet werden. Und schließlich zeigt das Beispiel der Corona-Listen einmal mehr, dass die Vorschriften zur Sicherstellung und Beschlagnahme ebenso wie andere StPO-Vorschriften dringend an das im Informationszeitalter erforderliche Schutzniveau für die Grundrechte anzupassen sind.
Erstveröffentlicht im Verfassungsblog
-PM Verfassungsblog-