Datenschutz gilt im Zusammenhang mit der Corona-Warn-App als überragend wichtig. Zugleich zeigt er jedoch gerade daran seine Grenzen.

Im engeren Sinn steht Datenschutz für Maßnahmen, die informationelle Selbstbestimmung ermöglichen. Mit einigen Ausnahmen soll jede selbst entscheiden dürfen, wer was über sie erfährt und zu welchen Zwecken ihre personenbezogenen Daten verwendet werden. Aus dieser klassischen Perspektive geht es vor allem um die Zugriffs- und Verwendungskontrolle von Daten. Der moderne europäische Datenschutz vertritt dagegen einen umfassenderen Anspruch und möchte allgemein Gefahren für die Rechte und Freiheiten natürlicher Personen durch die Datenverarbeitung abwehren. An Grenzen stößt er, wo nicht mehr das zentralisierte Sammeln und Auswerten von Daten die Auswirkungen des Technikeinsatzes bestimmt, Begriffe und Werkzeuge aber auf Daten fokussiert und damit der engen Sicht verhaftet bleiben.

Persönliche Geräte und ihre Anwendungen wie aktuell die Corona-Warn-App sind so ein Fall. Sie begleiten uns überallhin und interagieren mit uns, nicht nur reaktiv als benutzergesteuerte Geräte, sondern auch aktiv mit Nachrichten und Aufforderungen. Die Corona-Warn-App hat sogar ausdrücklich zum Ziel das Verhalten ihrer Benutzerinnen und Benutzer zu beeinflussen, denn diese sollen sich auf eine Nachricht der App hin in Quarantäne begeben. Eine auf den „Spion in der Tasche“ und mögliche Missbräuche zentraler Datensammlungen reduzierte Betrachtung wird den daraus resultierenden Fragen und Problemen nicht gerecht.

Der unnötigen zentralen Aufbewahrung personenbezogener Daten und dem Missbrauch zentral vorliegender Daten schieben die Corona-Warn-App und die zugrundeliegenden Plattformmechanismen von Apple und Google einen effektiven Riegel vor. Nur im Fall einer nachgewiesenen Infektion erhalten die zentralen Server überhaupt Informationen und dann nur über praktisch anonyme Kontakte der infizierten Person in einem begrenzten Zeitraum. Zur Massenüberwachung taugt das System daher kaum, weil dafür geeignete Daten gar nicht in ausreichendem Umfang anfallen.

Dieses Zugeständnis an den Datenschutz fällt leicht, denn das Wirkprinzip der Corona-Warn-App beruht eben nicht auf Überwachung, sondern auf gezielt übermittelten Verhaltensmaßregeln. Zu ihrer näheren Verwandtschaft gehören nicht Überwachungskameras, Datenbanken und die Rasterfahndung, sondern das Microtargeting der Online-Werbung und die Prompts, mit denen alle möglichen Apps um Aufmerksamkeit und Streicheleinheiten betteln. Aus dem Prinzip der teilautomatisierten Verhaltensbeeinflussung ergeben sich ungeklärte Fragen sowie Missbrauchsmöglichkeiten.

Ungeklärt bleibt bis heute, wie es für Kontaktpersonen nach einer Benachrichtigung weitergeht, wie etwa aus der Bitte um freiwillige Selbstisolation eine dafür nötige Arbeitsbefreiung wird und welche Konsequenzen es hat, wenn jemand in Kenntnis einer erhaltenen Warnung Kontakt mit anderen Menschen hat. Zugunsten der Freiwilligkeit mag man hinnehmen, dass Warnungen ignoriert werden, wenn der Selbstisolation Hindernisse im Weg stehen, zumal die herkömmliche Kontaktverfolgung parallel weitergeht. Folgenlos bleibt dies jedoch nicht, denn wenn die Warn-App den versprochenen Nutzen hat, führen ignorierte Warnungen zu vermeidbaren Ansteckungen, übrigens unabhängig davon, ob und wie die unnötig Angesteckten selbst die App nutzen. Von hier ist es nicht mehr weit zum Vorwurf der Körperverletzung, wenn jemand nach Erhalt und in Kenntnis einer Warnung Kontakte pflegt und dabei jemanden ansteckt. Vor der forensischen Untersuchung des betreffenden Smartphones schützt die Datensammelbremse des Systems dann wohl nicht mehr.

Gleichermaßen liege Missbrauchspotenziale im System selbst und nicht nur in seinen Daten. Bereits vielfach diskutiert und von einzelnen Politikern sogar befürwortet wurden dezentrale Kontrollen der App-Nutzung beispielsweise am Arbeitsplatz oder Supermarkteingang; das bekäme man mit der DSGVO vielleicht noch in den Griff. Aber auch die Kernfunktion – Kontakterfassung und Benachrichtigung – lässt sich zweckentfremden. Technisch gesehen erfasst die Corona-Warn-App gemeinsame Aufenthalte ihrer Benutzerinnen und Benutzer an einem Ort von einer gewissen Dauer. Dass es dabei um Ansteckungsrisiken mit dem Corona-Virus gehe, bleibt letztlich eine Konvention. Deren Einhaltung garantiert nicht das System selbst, sondern seine Anwendungsumgebung. Ohne große Umstände könnte man mit derselben technischen Infrastruktur all jene für zwei Wochen in Quarantäne bitten, die letzte Woche im Puff waren oder sich mit einem Datenschutzbeauftragten getroffen haben. Dass dies tatsächlich jemand versuchte und mehr noch, dass es ungestraft gelänge, halte ich in einem demokratischen Rechtsstaat für sehr unwahrscheinlich, aber dabei handelt es sich um externe Faktoren und nicht um inhärente Zwänge im System.

Was hier zu klären ist, reicht über den Horizont und Instrumente des klassischen Datenschutzes hinaus. Weder das allgemeine Datenschutzrecht noch der technische Datenschutz können alle Fragen, die eine Corona-Warn-App aufwirft, befriedigend beantworten. Ich schließe mich deshalb der verschiedentlich geäußerten Auffassung an, dass die Corona-Warn-App eine spezifische Rechtsgrundlage erfordert. Allgemeiner und auf lange Sicht stehen wir auch vor der Frage, nach welcher Regulierung zentral steuerbare, aber dezentral agierende Geräte- und Anwendungsökosysteme jenseits des Datenschutzes verlangen.