Aus datenschutzrechtlicher Sicht sind Nachweisdaten von Tests oder Impfungen besonders sensibel und daher schützenswert. Gleichzeitig eröffnen Apps dieser Art aber auch große Chancen.
Der Nachweis von Impfungen und Testungen ist ein wesentlicher Faktor für die erneute Öffnung weiter Teile des öffentlichen Lebens und der Wirtschaft im Allgemeinen. Vielerorts sind dafür digitale Lösungen im Gespräch und werden in manchen Unternehmen sogar schon getestet. Auch Österreich hat nun die Stopp-Corona-App als mögliche Lösung medial positioniert. Der Datenschutz steht solchen digitalen Lösungen zwar nicht entgegen, jedoch sind Nachweisdaten von Tests oder Impfungen als besonders sensibel und schützenswert einzuordnen. Damit unterliegt die Datenverarbeitung besonderen Regeln. In Ermangelung konkreter gesetzlicher Vorgaben kommt als Erlaubnisgrundlage für die Datenverarbeitungen im Rahmen dieser digitalen Lösungen ausschließlich die Einwilligung der betroffenen Personen in Betracht. Dabei müssen unterschiedliche Aspekte beachtet werden.
Registrierung und Eintragung von Nachweisen
In Fällen, in denen ausschließlich die betroffene Person entscheidet, ob und welche Nachweisdaten in die App aufgenommen werden, wird die dafür erforderliche datenschutzrechtliche Einwilligung zumeist unproblematisch sein. Dies ergibt sich schlichtweg daraus, dass der Nutzer sowohl die Entscheidung zur Aufnahme trifft als auch die Aufnahme der Nachweisdaten selbst und ohne Zwang vornimmt.
Sobald Nachweisdaten automatisch etwa im Rahmen der Test- oder Impfdurchführung in die App aufgenommen werden, gestaltet sich die Einwilligung diffiziler. So müssten – in Ermangelung einer gesetzlichen Grundlage – gesonderte Einwilligungen der betroffenen Nutzer zur Aufnahme der Nachweisdaten in die App vorliegen. Dies gilt wohl auch in den eher seltenen Fällen, in denen Vertragspartner des App-Anbieters die Tests oder Impfungen durchführen. Etwas anderes könnte nur gelten, wenn Test- oder Impftermine direkt über die App gebucht werden. Sollten Daten jedoch direkt aus dem zentralen Impf- und Testregister in eine solche App geladen werden, wäre hierfür eine gesetzliche Grundlage erforderlich. Denkbar wäre aber auch eine gesonderte datenschutzrechtliche Einwilligung.
Manuelle Offenlegung der Nachweisdaten
Soweit Nachweise lediglich manuell – durch das Zeigen bestimmter Daten oder eines QR-Codes – offengelegt werden, hat es der Nutzer grundsätzlich selbst in der Hand, ob und in welchem Ausmaß er Nachweise offenlegt. Auch dieser Fall ist daher datenschutzrechtlich unproblematisch und bedarf keiner gesonderten Einwilligung. Anders als die derzeit genutzten physischen Dokumente sollte eine Nachweis-App bei der Offenlegungsfunktion jedoch nur die absolut notwendigen Informationen zur Identifikation der offenlegenden Person sowie zur Erbringung des entsprechenden Nachweises bereitstellen. Ganz im Sinne der Datenminimierung wäre hierfür wohl ein Foto sowie die relevante Information "geimpft ja/nein" oder "zeitlich gültiger Test ja/nein" und "positiv/negativ" vollkommen ausreichend. Um Fälschungsversuche zu vermeiden, könnte eine solche App neben den genannten Daten bewegte Elemente beinhalten – vergleichbar mit der sich aktualisierenden Uhrzeitangabe bei digitalen Fahrkarten. Eine solch minimalistische Informationsausgestaltung gilt umso mehr, sollte eine gesetzliche Verpflichtung zur Nutzung einer Nachweis-App geschaffen werden.
Automatische Offenlegung gegenüber Dritten
Dort, wo eine Offenlegung gegenüber Dritten automatisch erfolgt – wie dies mitunter von Airlines angedacht ist –, wird jedenfalls eine zusätzliche Einwilligung erforderlich sein, die der Nutzer im Einzelfall stets vor der jeweiligen automatischen Offenlegung erteilen muss. Auch hier muss eine möglichst sparsame Datenweitergabe sichergestellt werden. Allerdings zeigt sich, dass die Nachweis-Apps dabei an ihre datenschutzrechtlichen Grenzen stoßen könnten. Denn unumstößliche Basis jeder datenschutzrechtlich zulässigen Einwilligung ist die Informiertheit des Einwilligenden vor Erteilung der Einwilligung. Der App-Entwickler wird im Vorfeld aber im Regelfall nicht wissen, wie oder in welchem Ausmaß diese Dritten die so erhaltenen Daten verarbeiten – insbesondere wem die Airline oder Hotelbetreiber diese Daten allenfalls offenlegt und wie lange diese Daten aufbewahrt werden.
Wenngleich sich das Aufbewahrungsproblem durch den Austausch sich selbst vernichtender Informationen lösen könnte, wäre jedenfalls eine Informationserteilung durch den Dritten erforderlich. Das würde wiederum eine internationale Zusammenarbeit und einheitliche Offenlegungsstandards erfordern. Neben diesem Erfordernis hätten Anbieter in Ermangelung eines sogenannten EU-Angemessenheitsbeschlusses natürlich auch entsprechende Maßnahmen zur Gewährleistung des europäischen Datenschutzniveaus in Drittstaaten sicherzustellen.
Beitrag im Kampf gegen die Pandemie
Test- und Impfnachweis-Apps sind keine Utopie und können definitiv einen Beitrag im Kampf gegen die Pandemie leisten. Sowohl das Rote Kreuz als Betreiberin der Stopp-Corona-App als auch andere Anbieter und Staaten werden jedoch ein großes Augenmerk auf die datenschutzrechtliche Ausgestaltung solcher Nachweis-Apps legen müssen – schließlich gilt es, nicht nur der Datenschutzgrundverordnung, sondern auch dem Vertrauen der Bürger und Kunden Genüge zu tun. Abzuwarten bleibt, ob und wann nationale wie internationale Standards für Nachweis-Apps geschaffen werden. Dort, wo die Registrierung, Erfassung und Offenlegung von Daten in Zukunft vertraglich verlangt werden wird – beispielsweise beim Kauf eines Flugtickets – könnte auch eine Einwilligung ohne gesetzliche Grundlage zur datenschutzrechtlichen Hürde werden. Ob diese mitunter so hoch liegt, dass ein Überschreiten nicht möglich ist, bleibt abzuwarten.