Eine Corona-App soll kommen. Solange ihr Einsatz nicht gesetzlich geregelt wird, bleibt die Frage ihrer Nutzung durch Dritte offen. Denkbar ist dann, dass private wie öffentliche Stellen den Einlass in ihre Räumlichkeiten und zu Veranstaltungen vom Nachweis der Nutzung der Corona-App, insbesondere des Nachweises, dass keine Infektionswarnung vorliegt, also eines „unbelasteten“ Status abhängig machen. Zuletzt forderte der Europapolitiker Axel Voss („CDU-Politiker: Nur mit Corona-App ins Kino & Restaurant und ins Ausland“, PC-WELT v. 11.5.2020, „Wer die App hat, soll zuerst wieder ins Restaurant dürfen“, FAZ.net v. 8.5.2020), die Nutzung der Corona-App zur Steigerung der Nutzungszahlen zum Vorteil beim Zugang zu öffentlichen Veranstaltungen, beispielsweise Kinobesuchen zu machen. Nach seiner Vorstellung soll den Nutzerinnen der Corona-App die Teilnahme am öffentlichen Leben früher oder ausschließlich eröffnet werden. Damit stellen sich neue Fragen nach den Rechtsgrundlagen solcher Einlassbeschränkungen, sei es für das Kino oder den Supermarkt.

Wenn die Bundesregierung den Einsatz tatsächlich auf eine datenschutzrechtliche Einwilligung stützt („Bitkom-Präsident warnt vor ‚parlamentarischem Klein-Klein‘ bei Corona-Warn-App“, Handelsblatt v. 8.5.2020) und keine spezifische neue gesetzliche Rechtsgrundlage schafft, wie dies aktuell gefordert wird („Lambrecht zu Tracing-App-Gesetz“ ARD BaB v. 10.5.2020, Engeler, „Warum wir ein Corona Tracing Gesetz brauchen“netzpolitik.org v. 9.5.2020), bleiben viele rechtliche Unsicherheiten. Neben technischen Risiken („Datenschutz-Folgenabschätzung (DSFA) für eine Corona-App“, FIfF v. 29.4.2020), stellt sich die Frage, nach der Zulässigkeit der App selbst und den rechtlichen Möglichkeiten Dritter, auf die Informationen der App zuzugreifen und diese zu nutzen.

I. Anwendbarkeit der DSGVO

Voraussetzung für den sachlichen Anwendungsbereich der DSGVO ist, dass es sich um eine Verarbeitung personenbezogener Daten handelt, die ganz oder teilweise automatisiert erfolgt, oder dass es sich bei einer nichtautomatisierten Verarbeitung um personenbezogener Daten handelt, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, Art. 2 Abs. 1 DSGVO. Bei einer Einlasskontrolle können nun folgende Verfahrensschritte unterschieden werden:

• Ermittlung: Die Aufforderung durch das Kontrollpersonal, zu zeigen, dass die App installiert ist
• Prüfung: Die Sichtkontrolle durch das Kontrollpersonal
• Entscheidung: In Abhängigkeit vom Ergebnis: Gewährung oder Verwehrung des Einlasses
• Folge: Eintritt der Betroffenen in die Räumlichkeiten

1. Personenbezogene Daten

Der Umstand, dass eine bestimmte App auf dem persönlichen Smartphone installiert ist, ist eine Information, die sich auf die Inhaberin des Smartphones bezieht und damit ein personenbezogenes Datum i.S.v. Art. 4 Nr. 1 DSGVO. Ebenso verhält es sich mit der Information, ob eine Infektionswarnung vorliegt oder nicht.

2. Nicht-automatisierte Verarbeitung

Voraussetzung der Anwendbarkeit der DSGVO ist weiterhin, dass diese personenbezogenen Daten verarbeitet werden. Eine „Verarbeitung“ liegt in den von Art. 4 Nr. 2 DSGVO beispielhaft beschriebenen Fällen vor, die jedoch nicht abschließend sind. Danach handelt es sich um eine „Verarbeitung“ bei

„jede[m] mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede[r] solche[n] Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“
(Hervorhebungen hinzugefügt)

Maßgeblich ist, dass es sich um einen Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten handelt, die mit oder ohne Hilfe automatisierter Verfahren ausgeführt wird. Die Kenntnisnahme, die Entscheidung und der Einlass erfolgt durch das Einlasspersonal und damit nicht-automatisiert. Diese Tätigkeiten müssen einen Vorgang oder eine Vorgangsreihe darstellen. In der Diskussion wird z.T. lediglich auf die Kenntnisnahme abgestellt (Golland, „Keine Verarbeitung ohne Datenzugriff“ v. 2.2.2020). Das bloße In-Augenschein-Nehmen der Corona-App wird dabei als sozial adäquates Verhalten betrachtet, das nicht unter den Verarbeitungsbegriff falle (so etwa Duda, „Bei Sichtkontrolle keine Datenverarbeitung“ v. 8.5.2020). Sonst würde der Anwendungsbereich der DSGVO unangemessen ausgeweitet. Dabei wird außer Acht gelassen, dass die Information, ob die Corona-App installiert ist oder nicht, Teil eines standardisierten Auslese-Prozesses ist, der die Sichtkontrolle, ob die Corona-App installiert ist sowie die gebundene Entscheidung auf Grundlage der gewonnenen Informationen, Einlass zu gewähren oder zu verweigern, umfasst. Dies lässt sich auf folgende Verfahrensformel bringen:

Einlassverfahren =   Sichtkontrolle     +      gebundene Entscheidung
……………………………….(App ja/nein)…. …………(wenn App dann Einlass)

Die gleichen Erwägungen gelten auch für Fiebermessungen als Einlasskontrolle, wie sie nun in einigen Apple Stores praktiziert werden („Apple wird Prüffall für Datenschützer“ FAZ.net v. 12.5.2020). Hier wird die Sichtkontrolle durch das Messen der Temperatur ersetzt, wobei es im Ergebnis unerheblich bleibt, ob die Messung selbst durch eine digitale Vorrichtung oder mit Hilfe eines analogen Thermometers erfolgt (anders Assion, „never stored“ v. 12.5.2020), weil es nicht auf die Automatisierung des Messvorgang ankommt.

3. Dateisystem

Der Grund, warum bei den oben genannten Verarbeitungen Bedenken im Hinblick auf den sachlichen Anwendungsbereich der DSGVO aufkommen, liegt in erster Linie in der Flüchtigkeit der Informationsverarbeitung begründet.

Sinn und Zweck des Art. 2 Abs. 1 DSGVO ist es, solche Verarbeitungen personenbezogener Daten vom Anwendungsbereich der DSGVO auszunehmen, denen aufgrund der Art und Weise ihrer Verarbeitung nahezu gänzlich ein (weiteres) Verarbeitungspotential fehlt. Diese Verengung muss vor dem Hintergrund des Schutzzwecks der DSGVO betrachtet werden. Schon das BVerfG stellte darauf ab, dass es „unter den Bedingungen der automatischen Datenverarbeitung ‚kein belangloses Datum’ mehr [gibt]“ (BVerfG v. 15.12.1983, BVerfGE 65, 1 Rz. 150 – „Volkszählung“). Grund für diese Aussage ist es, dass es flüchtige, einer Datenverarbeitung entzogene Informationen dann immer weniger geben kann, wenn Informationen – z. B. mittels automatisierter DV-Systeme – einfach zu erschließen und einer weiteren Verarbeitung zugänglich sind. Insoweit ist zu fragen, ob die in Frage stehenden Daten im Sinne des Art. 2 Abs. 1 DSGVO durch die Verarbeitung Teil eines Dateisystems werden oder werden sollen.

Kontaktdaten-Listen: Kein Zweifel an einem Dateisystem besteht, wenn bei Einlass Listen mit Namen, Telefonnummern und Anschriften geführt werden, wie dies zum Teil in der Gastronomie erfolgt (Härting, „Vorratsdatenspeicherung in der Gastronomie: Kein Essen ohne Kontakddaten?“ CRonline Blog v. 10.5.2020). Beim Einlass in einen Raum oder auf ein umfriedetes Gelände ist die Frage berechtigt, ob die Kriterien einer Datei erfüllt sind.

Gesetzliche Vorgabe: Art. 4 Nr. 7 DSGVO definiert ein „Dateisystem“ als

„jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;“
(Hervorhebungen hinzugefügt)

Ansatz des EuGH: Der EUGH hat sich zuletzt in der Entscheidung „Jehovas Zeugen“ (EuGH, Urt. v. 10.7.2018 – C-25/17) mit dem Dateibegriff auseinandergesetzt und ausgeführt, dass der Dateibegriff weit zu verstehen sei (Rz. 56). Denn er beziehe sich auf „jede“ strukturierte Sammlung personenbezogener Daten. Lediglich müsse der „Inhalt einer Datei so strukturiert sein, dass er einen leichten Zugriff auf die personenbezogenen Daten ermöglicht“ (Rz. 57). Dabei komme es allein darauf an, dass die Kriterien der Strukturierung sich auf Daten beziehen, die personenbezogen sind.

Ãœbertragung auf DSGVO: Art. 4 Nr. 7 DSGVO stellt ausdrücklich klar, dass die Kriterien weder zentral noch dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet sein müssen. Darüber hinaus gibt die DSGVO keine weiteren Kriterien vor. Der EuGH betont in „Jehovas Zeugen“, dass Art. 2 Buchst. c der Datenschutz-Richtlinie 95/46 „weder die Modalitäten vorgebe nach denen eine Datei strukturiert werden muss, noch die Form, die sie aufweisen muss“. Daher werde auch nicht vorgegeben, dass ein Dateisystem nur aus „spezifischen Kartotheken oder Verzeichnissen oder einem anderen Recherchesystem“ bestehen müsse (EuGH, Urt. v. 10.7.2018 – C-25/17, Rz. 58). Dies gilt auch in Anwendung der DSGVO. Denn auch Art. 4 Nr. 7 DSGVO enthält keine Hinweise auf solche Kriterien.

Einlassverfahren mit Corona-App: Bei der Einlasskontrolle sortiert das Personal die potentielle Kundschaft in solche Personen, denen sie Einlass in die Räumlichkeiten gewährt und solche, denen der Einlass verwehrt wird und die damit außen vor bleiben. Die Entscheidung wird auf der Grundlage der ausgelesenen Information getroffen. Der Einlass wiederholt sich nach einem festgelegten Muster, indem die Rollen der Akteure von der Organisation vorgegeben werden. Als Kriterien der Strukturierung dienen das Vorhandensein der Corona-App auf dem Smartphone und die Abwesenheit einer Infektionswarnung. Damit kann gesagt werden, dass zu jeder Person, die den Supermarkt betritt, die Information vorliegt, dass diese Person eine Anwendung (die Corona-App) auf dem Endgerät installiert hat und – soweit auch dies kontrolliert wird – keine Infektionsmeldung vorliegt. Andernfalls wäre ein Einlass ja nicht gewährt worden.

Theoretisches Fundament: Die Frage nach der Struktur berührt Grundfragen des Datenschutzrechts. Denn in der Strukturierung kommt genau jene informationelle Machtasymmetrie zum Tragen, die immer greift, wenn die Verantwortlichen kraft ihrer Hoheit über die Verarbeitung in der Lage sind, Informationen einfach zugänglich zu machen:

• Sortierungsprozess:
  Es geht dabei nicht vorrangig darum, dass unberechtigte Dritte von außen durch die Scheiben schauen und das Ergebnis des Selektionsprozesses der Verantwortlichen wahrnehmen können, indem sie sehen können, wer sich in den Räumlichkeiten aufhält. Eine solche „Fixierung auf die Privatsphäre“ verkürzt das Datenschutzrecht (Pohle, Datenschutz und Technikgestaltung, 2016, S. 47). Vielmehr geht es um den Sortierungsprozess selbst und die sich daraus ergebenden Möglichkeiten und Risiken. Versteht man mit Steinmüller das Datenschutzrecht als die „Menge aller Vorkehrungen zur Verhinderung unerwünschter Datenverarbeitung“ (Steinmüller et al., 1972, Grundfragen des Datenschutzes. Gutachten für das BMI, Bundestagsdrucksache VI/3826, Anlage 1, S. 44) so ist Gegenstand der datenschutzrechtlichen Betrachtung die Verarbeitung (hier: der Sortiervorgang) und die Verfügbarkeit des Informationsergebnisses (hier: Aufenthalt im Raum). Unerwünscht in diesem Sinne sind „Machtmissbrauch oder bereits die Möglichkeit zum Machtmissbrauch“.
• Machtasymmetrie:
  Nur in Fällen der gänzlich unstrukturierten Datenverarbeitung geht der Gesetzgeber davon aus, dass eine (zu regulierende) Machtasymmetrie zwischen den jeweils verarbeitenden Stellen und den betroffenen Personen nicht besteht, weil die Informationen der betroffenen Personen dann – anders als es typischerweise bei der Verarbeitung personenbezogener Daten durch Organisationen der Fall ist – nicht einfach zugänglich sind und damit eine zweckändernde Verarbeitung und damit die Möglichkeit zum Machtmissbrauch so fernliegend ist, dass es des Schutzes der DSGVO – ausnahmsweise – nicht bedarf. Es ist aber gerade Aufgabe des Datenschutzrechts, die Möglichkeiten eines Machtmissbrauches durch Beschränkung der Verfügungsmöglichkeiten zu reduzieren (Mallmann, Das Problem der Privatsphäre innerhalb des Datenschutzes. In: Schneider, Jochen (Hg.) Datenschutz – Datensicherung, Siemens Aktiengesellschaft, München, Heft 5 in Beiträge zur integrierten Datenverarbeitung in der öffentlichen Verwaltung, S. 19–26, 1971, S. 19).
• Zusatzinformation:
  Das in der Verarbeitung inhärente Risiko im konkreten Fall lässt sich eindrücklich illustrieren, wenn sich vor Augen geführt wird, dass sich nach Zutritt bspw. zu einem Supermarkt wie auch sonst in einer zunehmend durchtechnologisierten Umwelt mehrere Verarbeitungen personenbezogener Daten anschließen können. Spätestens beim anschließenden Bezahlvorgang mittels Kredit- oder EC-Karte oder aber auch schon mit dem Einwählen in bereitgestellte Netzwerkzugangspunkte (Hotspots) oder dem Erheben und Auswerten von ausgesendeten Identifikatoren der Endgeräte ohne bewusste Interaktion der betroffenen Personen (sog. WLAN- oder Offline-Tracking) finden Datenverarbeitungsvorgänge statt, die zusammen mit der vorausgegangenen Selektierung der betroffenen Personen eine weitere Zusatzinformation zum erhobenen Datensatz zulassen. Auch in der Rückschau können erhobene Datensätze mit dieser Zusatzinformation versehen werden. Ausreichend ist die bloße Kenntnis, dass ab einem gewissen Zeitpunkt x eine Selektierung stattgefunden hat. Ändert sich bspw. zu einem späteren Zeitpunkt die Zusammensetzung der Informationen dahingehend, dass vormals erfasste, einer natürlichen Person zuzuordnende personenbezogene Daten nicht mehr anfallen, können auch aus diesem Umstand Schlüsse auf die hinter den Informationen stehenden Personen gezogen werden (App-Verweigerer, Status nicht grün usw.).

Ergebnis: Wer sich im Raum befindet, hat eine Corona-App installiert, bei der im Zeitpunkt der Kontrolle keine Infektionsmeldung vorlag. Diese Information ist für den Zeitraum des Verweilens im Raum auch leicht auffindbar. Bei einer räumlichen Sortierung nach bestimmten Kriterien (zB App, Infektionsstatus oder auch Temperatur), liegt daher eine Strukturierung im Sinne eines „Dateisystems“ vor. Insoweit erscheint es nur folgerichtig das Verweilen in einer bestimmten umfriedeten Räumlichkeit, z.B. dem Supermarkt, als eine Strukturierung von Informationen über natürliche Personen einzuordnen.

4. Verantwortlichkeit für die Verarbeitung

Art. 4. Nr. 7 DSGVO bestimmt als Verantwortlichen

„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;“
(Hervorhebungen hinzugefügt)

Kein Fall der Haushaltsausnahme: Zum Teil wird argumentiert, das Entsperren des Endgerätes und das Gewähren des Zugriffs auf den Screen falle in die Verantwortlichkeit der Smartphone-Inhaberin, die sich dazu frei entscheide (@Praejudiz, „autonom vom Kunden“ v. 8.5.2020). Eine solche Sichtweise dehnt die Verarbeitung auf das Entsperren und Sichtbarmachen der Corona-App aus. Betrachtet man diesen Prozess für sich, so könnte man zu dem Ergebnis gelangen, hier handele es sich um eine Tätigkeit, die im Eigeninteresse zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten iSd Art. 2 Abs. 2 lit. c DSGVO erfolgt. Im Rahmen dieser sog. Haushaltsausnahme würde der sachliche Anwendungsbereich der DSGVO entfallen. Jedoch können die o.g. Tätigkeiten nicht hinweggedacht werden, ohne dass die Kenntnisnahme und Entscheidung über den Zutritt entfallen. Insofern handelt es sich beim Freischalten und Vorzeigen um untrennbar mit dem Einlassverfahren verbundene Teilprozesse. Es darf aber keine künstliche Aufspaltung eines Verfahrens in Subprozesse bzw. Prozesse erfolgen mit der Folge, dass eine Verarbeitung verkürzt wird. Sämtliche Prozesse, die derart Teil der Verarbeitung sind, dass sie nicht hinweggedacht werden können, ohne dass das beabsichtigte Produkt der Datenverarbeitung entfiele, müssen als Teil einer zusammenhängenden Vorgangsreihe betrachtet werden. Auch kann eine isolierte Betrachtung einzelner Subprozesse nicht dazu führen, dass dadurch die gesamte Verarbeitung (deren Teil der Subprozess ist) im Rahmen des Einlassverfahrens (von der Erhebung, also dem Auslesen bis zur Zweckerreichung: Sortieren nach Zutrittsberechtigten und solchen, die es nicht sind) von der Haushaltsausnahme umfasst wäre, auch wenn eine isolierte Betrachtung den Schluss zuließe, dass der Prozess – für sich genommen – darunter zu subsumieren wäre.

Verantwortlichkeit: Das Einlassmanagement umfasst einen Authentisierungs- und einen Authentifizierungsvorgang im Rahmen der Prüfung des Vorhandenseins der Corona-App auf dem Smartphone. Die Zwecke und Mittel der Kontrolle, werden von der einlassenden Stelle bestimmt. Sie bestimmt, warum und wie die Kontrolle erfolgen soll: z.B. Einsichtnahme durch Personal mit dem Zweck nur Personen einzulassen, von deren vermeintlich kein Infektionsrisiko ausgeht. Und sie bestimmt, welche Maßnahmen im Ergebnis erfolgen sollen, nämlich Einlass oder Abweisung.

Verzeichnis der Verarbeitungstätigkeiten: Da es sich bei der beschriebenen Tätigkeit um eine Verarbeitung personenbezogener Daten handelt, hat die Verantwortliche sie auch in ihr Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufzunehmen. Wird die Einlasskontrolle durch einen externen Wachdienst und nicht durch eigenes Personal durchgeführt, ist insoweit ein Auftragsverarbeitungsvertrag erforderlich. Im Fokus steht hier insbesondere die Verpflichtung am Einlassverfahren beteiligter Personen auf die Vertraulichkeit der im Rahmen der Tätigkeit erlangten Informationen als organisatorische Maßnahme.

II. Rechtsgrundlage der Verarbeitung

Im Hinblick auf mögliche Rechtsgrundlagen ist zu unterscheiden, ob es sich bei der Verantwortlichen um eine private oder öffentliche Stelle handelt und ob der Infektionsstatus bzw. Vorhandensein der Kontaktinformation mit einem Infizierten (Warnung) miterfasst wird oder nicht.

1. Einwilligung

Eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO setzt Freiwilligkeit für die Bereitstellung der personenbezogenen Daten voraus.

Freiwilligkeit: Der Europäische Datenschutzausschuss (EDPB) betont in seiner gerade überarbeiteten Stellungnahme zur Einwilligung (EDPB, „Guidelines 05/2020 on consent under Regulation 2016/679“, Version 1.0, 4 May 2020), dass eine „Einwilligung nicht gültig ist, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gezwungen fühlt oder negative Folgen erleiden wird, wenn sie nicht einwilligt“ (Rn 13).

Zwang & Hausrecht: Da ein Einlass – unabhängig von anderen Zugangsbeschränkungen wie beispielsweise ein Entgelt – im Kino oder die Möglichkeit zum Einkaufen nicht ohne Vorzeigen der App gewährt wird, kann die Einwilligung nicht als Freiwillig erachtet werden. Davon getrennt zu beurteilen ist freilich die Frage, ob eine Hausrechteinhaberin berechtigt ist, den Zugang zu verweigern. Aus diesem Recht ergibt sich jedoch nicht gleichzeitig eine Rechtfertigung, potentiellen Besucherinnen den Zugang nur nach Einwilligung in die Verarbeitung personenbezogener Daten zu gewähren.

2. Berechtigtes Interesse

Soll aus dem Hausrecht eine Rechtfertigung der Verarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO aufgrund eines berechtigten Interesses abgeleitet werden, so ist zu fragen, welches konkrete Interesse und welcher konkrete Zweck mit der Einsichtnahme überhaupt erreicht werden soll?

Legitimer Zweck: Naheliegend ist eine Einlassbeschränkung zur Minderung des Infektionsrisikos für Beschäftigte und Kundinnen.

Geeignetheit: Ein bloßes Vorzeigen lassen der Corona-App hat nur begrenzte Aussagekraft. Es besagt zunächst nur, dass die Corona-App von der Smartphone Inhaberin heruntergeladen wurde. Eventuell kann daraus eine erhöhte Bereitschaft abgeleitet werden, dass die Person bei tatsächlicher Nutzung der Corona-App durch Freischaltung von Bluetooth Low Energy und nach Mitteilung, dass ein Infektionsverdacht besteht, das Gesundheitsamt aufsucht, einen Test durchführen lässt und sich bis dahin selbsttätig in Quarantäne begibt. Dieses Verhalten beruht jedoch auf Freiwilligkeit. Da die Nutzung der Corona-App freiwillig erfolgt, können zu dem Folgeverhalten wenig Aussagen getroffen werden. Zudem könnte die Nutzerin ihr Smartphone auch in einer Faradayschen Hülle mit sich führen, so dass das Gerät keine Kontaktereignisse speichert, die Corona-App aber bei Bedarf als installiert vorgezeigt werden kann. Die Aussagekraft des Downloads der Corona-App bleibt daher gering. Anders als das Vorzeigen eines Tickets auf dem Handy z.B. zum Nachweis der Zutrittsberechtigung für eine Veranstaltung, ist das Vorzeigenlassen der Corona-App nicht geeignet das Infektionsrisiko zu minimieren.

Erforderlichkeit: Geeigneter und weniger Eingriffsintensiv sind Maßnahmen, die nicht mit einer Einsichtnahme des Smartphones verbunden sind, wie beispielsweise Abstandsregeln und das Tragen von Mundschutz. Das Messen der Körpertemperatur und damit die Verarbeitung eines Gesundheitsdatums ist ebenfalls keine weniger eingriffsintensivere Maßnahme und unterliegt den gleichen datenschutzrechtlichen Anforderungen als Teil eines Einlassverfahrens wie die Corona-App.

Abwägung: Darüber hinaus erscheint das Recht in die Vertraulichkeit der eigenen informationstechnischen Geräte wie des Smartphones, das mittlerweile im Hinblick auf seine Verbreitung zum persönlichsten aller digitalen Geräte geworden ist, erheblich. Ob es gegenüber dem Interesse des Verantwortlichen, das Infektionsrisiko gering zu halten, höher ist, mag dahinstehen. Zumindest überwiegt das Interesse einer betroffenen Person vor Schutz vor Einsichtnahme, wenn diese gar nicht geeignet ist, dem Interesse der Verantwortlichen zu dienen.

3. Kontrolle des Infektionsstatus

Wird nicht nur die Installation der Corona-App, sondern auch das Nichtvorhandensein einer Infektionswarnung oder Versendung einer Infektionsmeldung überprüft, handelt es sich um ein Auslesen eines Gesundheitsdatums.

Zusätzlicher Erlaubnistatbestand: Für die Verarbeitung von Gesundheitsdaten ist, zusätzlich zur Rechtsgrundlage für die Grundverarbeitung nach Art. 6 Abs. 1 DSGVO auch das Vorliegen eines Erlaubnistatbestands nach Art. 9 Abs. 2 DSGVO erforderlich.

• Keine Einwilligung: Eine Einwilligung scheidet auch hier aus den oben dargelegten Gründen in einer Vielzahl der Fälle aus.
• Keine gesetzliche Rechtsgrundlage: Lediglich eine gesetzliche Rechtsgrundlage für das Auslesen dieser Information kann den Eingriff in das Recht auf Datenschutz rechtfertigen. Eine solche liegt bislang nicht vor und dürfte auch kontraproduktiv wirken, denn sie wäre Anreiz, durch eine kontinuierlich deaktivierte Zweit-App auf dem Zweithandy oder andere Vorkehrungen die Anzeige der Warnmeldung zu umgehen.

III. Sum Up

Eine Beschränkung des Zugangs für Personen mit nachweislich installierter Corona-App ist ein personenbezogenes Verfahren, das den sachlichen Anwendungsbereich der DSGVO eröffnet und datenschutzrechtlich nicht gerechtfertigt werden kann.

DSGVO anwendbar: Die Information eine bestimmte App auf dem Smartphone installiert zu haben, ist ein personenbezogenes Datum. Der Aufenthalt von Personen in umgrenzten Räumen sortiert nach bestimmten Kriterien erfüllt die Voraussetzungen für ein nicht-automatisiertes Dateisystem. Eine Verengung des Anwendungsbereiches der DSGVO darf nicht grobschlächtig und pauschal anhand einer bestimmten technologischen Verarbeitungssituation festgemacht werden, sondern erfasst auch nicht-automatisierte Vorgänge.

Keine existierende Rechtsgrundlage: Die Anforderungen der Einwilligung scheitern in einer Vielzahl der Fälle an der Voraussetzung der Freiwilligkeit. Die Bejahung eines berechtigten Interesses der Verantwortlichen an einem Schutz ihrer Beschäftigten und Kundinnen vor Infektion durch Beschränkung des Einlasses, scheitert an der Geeignetheit der Kontrollmaßnahme. Anreize zur Nutzung der Corona-App zu schaffen, sind damit ohne eine gesetzliche Grundlage unzulässig.

Kein Bedarf: Eine gesetzliche Regelung, die rechtlicher Vorteile bei Nutzung einer Corona-App schafft, dürfte unverhältnismäßig und in jedem Fall jedoch kontraproduktiv sein, schafft sie doch zugleich Anreize, die Funktion und den Sinn der App zu umgehen. Das Ziel, die Ausbreitung der Pandemie einzuschränken, werden auch gesetzlich geregelte Vorteile bei Nutzung der Corona-App nicht erreichen.