“Der Einsatz der Corona-App ist freiwillig”, heisst es in der Politik stets. Das stimmt auch: Einen Zwang, die App einzusetzen, gibt es bei uns nicht. Eine wichtige Frage ist aber, was die anfallenden Daten betrifft. Ist transparent genug, welche Daten anfallen und was konkret mit ihnen passiert, um der strengen DSGVO zu genügen? Das scheint bislang nicht der Fall zu sein, sagt der Verein digitalcourage.

In den vergangenen Wochen wurde ausführlich darüber diskutiert, ob für die vorgesehene Corona-App eher eine zentrale oder dezentrale Lösung in Frage kommt, welche Kontaktdaten wie erfasst und verfolgt werden, ob die Daten anonymisiert oder pseudonymisiert werden und vieles andere mehr.

Alles technische Details, die – für Insider! – ungeheuer wichtig sind. Und nun weitgehend geklärt werden konnten. Jedenfalls befindet sich die App aktuell in der Entwicklung: Telekom und SAP bauen die Lösung gerade.

Was bedeutet “freiwillig” konkret?

Aber ein Aspekt wurde bislang nicht ausreichend beleuchtet: Was heißt eigentlich “freiwillig”, wenn von einer “freiwilligen Nutzung” der App die Rede ist? Natürlich: Die Verwendung der App könnte theoretisch auch vorgeschrieben werden. In anderen Ländern ist das so – in Deutschland undenkbar. Aber ist die Datenweitergabe schon freiwillig, wenn ich die App freiwillig installiere?

Karin Schuler hat beim Verein Digitalcourage einen interessanten Artikel geschrieben, der sich intensiv mit genau dieser Frage beschäftigt: Wie muss die Einwilligung bei der Verwendung der App konkret aussehen? Denn die App zu installieren, ist eine Sache. Rechtlich relevant ist die Frage, auf welche Weise die Zustimmung der Weitergabe und Verarbeitung der Daten erfolgt. Die DSGVO stellt da klare Regeln auf – und an die müssen sich alle halten. Natürlich auch eine für den Gemeinzweck gedachte Corona-App.

Eine Einwilligung muss, so verlangt es die Datenschutzgrundverordnung (DSGVO) aus gutem Grund, freiwillig und in Kenntnis der Konsequenzen erfolgen. Dazu muss der verantwortliche Verarbeiter den Zweck und die Umstände der geplanten Verarbeitung verständlich erläutern.
Karin Schuler

In der Tat gibt es bislang keinerlei Erläuterungen, auf welche Weise genau die Daten erfasst und verarbeitet werden. Wer die Daten verarbeitet, wer darauf Zugriff hat, ob das Robert Koch Institut oder das Gesundheitsministerium “Herr” über die Daten ist, und vieles andere mehr.

Was ist, wenn jemand nicht mehr freiwillig mitmachen möchte?

Besonders interessant: Laut DSGVO hat jeder das Recht, seine Einwilligung auch wieder zurückzuziehen. Wie ist das geregelt? Wie wird sichergestellt, dass eventuell bereits vorhandene Daten nicht weiter genutzt und ausgewertet werden? Diese Möglichkeit muss es geben. Und jede/r User/in muss erfahren, worauf er/sie sich einlässt. Und wie sich ggf. ein Schlussstrich ziehen lässt.

Das sind interessante Aspekte – und es ist natürlich wichtig, dass eine Bundes-App hier mit gutem Beispiel voran geht. Aus einem ganz einfachen Grund: Wir sind es gewohnt, von US-Konzernen, Onlinediensten und Apps kurz gehalten zu werden. All diese Fragen stellen sich eigentlich auch bei Google, Facebook, Twitter, Instagram und Co. – und werden bislang nicht beantwortet, sondern ignoriert.

Es wäre meiner Ansicht nach wichtig, mit der Corona-App einen Dienst zu haben, der mit gutem Beispiel vorangeht. Und dann müssten sich die wirklichen Datensünder auch daran halten.