Die Ausbreitung des Corona-Virus stellt Arbeitgeber und Beschäftigte weiterhin vor Herausforderungen. Eine Maßnahme zur besseren Eindämmung des Virus ist die Kontaktnachverfolgung, vor allem bei Publikums- und Kundenkontakt. Mit den entsprechenden Informationen können etwaige Infektionsketten nachverfolgt und potentiell infizierte Personen früher getestet werden. Zur Erleichterung der Kontaktnachverfolgung gibt es verschiedene softwaregestützte Lösungen. Eine der bekanntesten Angebote ist die App luca, die schon in vielen Bereichen zum Einsatz kommt. Bei der im Rahmen der Nutzung der App stattfindenden Verarbeitung personenbezogener Daten müssen die verantwortlichen Stellen sicherstellen, dass die datenschutzrechtlichen Vorgaben beachtet werden. Es lohnt sich daher eine genauere Prüfung, welche datenschutzrechtlichen Besonderheiten bei dem Einsatz der luca-App und vergleichbaren Angeboten in Unternehmen beachtet werden müssen.
Funktionen der App und Verarbeitung personenbezogener Daten
Mit der Nutzung der luca-App geht die Verarbeitung personenbezogener Daten einher. Registriert sich ein Nutzer in der App, was für die Nutzung zwingend erforderlich ist, werden sein Name und seine Kontaktdaten erfasst. Wenn der Nutzer einen Ort besucht, an dem die App zum Einsatz kommt, kann er dort einen QR-Code scannen und dadurch der App seinen Aufenthaltsort sowie die Aufenthaltsdauer mitteilen.
Indem Unternehmen ihren Eingangsbereich oder auch einzelne Teile des Unternehmens, etwa Besprechungsräume, mit den entsprechenden QR-Codes ausstatten, haben Sie die Möglichkeit, Anwesenheiten von Mitarbeitern und Besuchern zu dokumentieren. Durch die App können darüber hinaus weitere Informationen verarbeitet werden, wobei von dem Anbieter beispielhaft Sitz- und Schichtpläne sowie Notizen in der Tagebuchfunktion genannt werden.
Gesundheitsämter können die App an ihre bestehenden Systeme anbinden. Eine infizierte Person kann über die App ihre Besuchshistorie für das Gesundheitsamt freigeben. Das Gesundheitsamt erhält dadurch Informationen über die Aufenthaltsorte der Person in den letzten 14 Tagen. Es kontaktiert daraufhin die betroffenen Aufenthaltsorte und fordert sie auf, ihre zeitlich relevanten Check-Ins über das luca-System an das Gesundheitsamt zu übermitteln. Die Check-Ins werden von dem Gesundheitsamt entschlüsselt, wodurch es die Kontaktpersonen ermitteln und informieren kann.
Die luca-App unterscheidet sich insofern von der Corona-Warn-App, als die Datenverarbeitung in der Corona-Warn-App systembedingt vollständig anonymisiert ist. Eine Identifizierung einzelner Nutzer sowie eine Weitergabe von Kontaktdaten an die Gesundheitsbehörden sind nicht möglich, sodass die Corona-Warn-App für die Kontaktnachverfolgung nicht ausreichend ist, soweit zwingend Kontaktdaten erfasst werden müssen. Dies gilt auch für die Eventregistrierung in der erweiterten Corona-Warn-App. Nutzer können über diese Funktion zwar durch das Scannen eines QR-Codes an einem Ort oder einer Veranstaltung „einchecken“. Der Check-In wird lokal auf dem Smartphone gespeichert. Nutzer, die später positiv auf COVID-19 getestet werden, können ihre Check-Ins über die App teilen, wodurch andere Gäste desselben Ortes bzw. derselben Veranstaltung eine Warnung auf ihr Smartphone erhalten. Die Erfassung von Kontaktdaten und die Weitergabe von Daten an die Gesundheitsbehörden sind jedoch nicht möglich.
Rechtsgrundlage für die Datenverarbeitung
Der Einsatz der App in einem Unternehmen ist jedenfalls mit entsprechenden Einwilligungen der Betroffenen (Art. 6 Abs. 1 lit. a) DSGVO) möglich. In diesem Fall ist die Nutzung der App freiwillig und die betroffenen Personen können selbst entscheiden, ob und welche Daten an die App und gegebenenfalls an das Gesundheitsamt übermittelt werden. Für eine wirksame Einwilligung ist es aber erforderlich, dass die Betroffenen transparent über die stattfindende Datenverarbeitung informiert werden. In der Pflicht ist insoweit zunächst der Anbieter der App, bei dem sich die Nutzer registrieren müssen und der die grundlegende Funktionsweise offenlegen muss. Die verantwortliche Stelle, die die luca-App einsetzt, kann insoweit dann auf die allgemeinen Erläuterungen verweisen. Soweit auf freiwilliger Basis die Nutzung der luca-App empfohlen wird, sollten für diejenigen, die sich gegen die Nutzung entscheiden, alternative Möglichkeiten der Kontaktdatenerfassung bereitgehalten werden.
Falls in einem Unternehmen überlegt wird, die luca-App für die Kontaktdatenerfassung verpflichtend einzusetzen und gegebenenfalls den Zutritt zu dem Unternehmen von der Datenerfassung über die luca-App abhängig zu machen, steht dies im Regelfall der Freiwilligkeit der Einwilligung nicht entgegen. Unternehmen steht es in der Regel frei, zu definieren, unter welchen Voraussetzungen Besuchern ein Zutritt gewährt wird. Besucher sind im Regelfall nicht gezwungen, die Räumlichkeiten und Einrichtungen der verantwortlichen Stelle aufzusuchen, solange alternative Kontaktmöglichkeiten (etwa Onlinebestellungen) oder Wettbewerber verfügbar sind. Der Rückgriff auf die freiwillige Einwilligung kann aber in Konstellationen scheitern, bei denen etwa Mitarbeiter die App nutzen müssen, um ihrer Arbeitsverpflichtung nachzukommen oder Kunden etwa bei Bestehen eines Kontrahierungszwangs einen Anspruch auf die angebotene Leistung haben. In diesen Fällen könnte geprüft werden, ob die verpflichtende Nutzung der App und die damit einhergehende Datenverarbeitung möglicherweise auch unter dem Gesichtspunkt der Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO in Verbindung mit der jeweils einschlägigen Corona-Schutzverordnung) gerechtfertigt sein kann.
Datensicherheit
Hinsichtlich der Datensicherheit gab es in der Vergangenheit Kritik an der App, wobei beispielsweise der zentralisierte Ansatz kritisiert wurde, der ein Missbrauchspotential durch den Betreiber des luca-Backend-Servers mit sich bringe.
Der Anbieter der luca-App wirbt mit besonders datenschutzfreundlichen Einstellungen der App, zum Beispiel mit Verschlüsselungstechniken und der Datenspeicherung auf ISO-27001-zertifizierten, deutschen Servern. Die Daten werden nach Angaben des Anbieters dezentral verschlüsselt und seien nur im Falle einer Infektion bei entsprechender Freigabe für das Gesundheitsamt lesbar. Das Unternehmen könne die Daten nicht selbst entschlüsseln.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat die luca-App nach eigenen Angaben sowohl technisch als auch rechtlich geprüft und ist dabei zu dem Ergebnis gekommen, dass diese die hohen Datenschutz-Standards erfülle (Pressemitteilung vom 17.02.2021). Die Aufsichtsbehörde hebt dabei besonders hervor, dass die Hoheit über die Daten durchgehend bei jedem Nutzer selbst bleibe. Es gibt somit eine „offizielle“ Bestätigung einer Datenschutzaufsichtsbehörde, dass die luca-App datenschutzkonform nutzbar sei.
Datenminimierung
Bei der Angabe von Daten in der App sollte der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) beachtet werden. Unternehmen sollten nur die Daten mit der App erfassen, die für die Erreichung ihres Zwecks, die Kontaktverfolgung zur Verhinderung der Ausbreitung des Corona-Virus zu ermöglichen, notwendig sind. In der Regel wird es ausreichend sein, wenn entsprechende QR-Codes im Unternehmen zur Verfügung gestellt werden und die Nutzer der App durch Scannen des QR-Codes angeben, dass sie sich an dem Ort aufgehalten haben. Weitere personenbezogene Daten, wie zum Beispiel Schichtpläne, sollten nur dann über die App verarbeitet werden, wenn sie zur Kontaktverfolgung zwingend notwendig ist. Auch für diese Datenverarbeitung ist das Bestehen einer Rechtsgrundlage erforderlich; etwaige erforderliche Einwilligungen sind dafür gegebenenfalls gesondert einzuholen.
Auftragsverarbeitung
Soweit der App-Anbieter im Rahmen der Nutzung der luca-App personenbezogene Daten weisungsgebunden im Auftrag eines Unternehmens verarbeitet, liegt eine Auftragsverarbeitung zwischen dem Unternehmen und dem App-Anbieter vor. Entsprechend ist der Abschluss einer Vereinbarung zur Auftragsverarbeitung erforderlich und auch vom Anbieter so vorgesehen.
Fazit und Ausblick
Die luca-App kann nach dem jetzigen Erkenntnisstand in Unternehmen datenschutzkonform zum Einsatz kommen, soweit die datenschutzrechtlichen Vorgaben eingehalten und Schutzmaßnahmen getroffen werden. Die Nutzung der App in einem Unternehmen ist jedenfalls mit entsprechenden Einwilligungen der Betroffenen möglich. Die betroffenen Personen sollten dann transparent über die im Rahmen der Nutzung der App stattfindenden Datenverarbeitungen informiert werden. Für diejenigen, die die App nicht nutzen möchten, sollten alternative Möglichkeiten der Kontaktdatenerfassung bereitgehalten werden. Bei der Datenverarbeitung ist der Grundsatz der Datenminimierung zu beachten. Soweit der App-Anbieter personenbezogene Daten weisungsgebunden im Auftrag eines Unternehmens verarbeitet, sollte das Unternehmen eine Vereinbarung zur Auftragsverarbeitung mit dem App-Anbieter schließen.
Sachsen hat zum 10.05.2021 als erstes Bundesland anonyme Check-Ins zur Kontaktverfolgung zugelassen. Unternehmen, die zur Kontaktnachverfolgung verpflichtet sind, müssen in Sachsen also nicht zwingend Kontaktdaten erfassen und können deshalb die entsprechende Funktion der Corona-Warn-App nutzen. Für ein solches „pseudonymes digitales Einchecken“ haben sich auch der Bundesdatenschutzbeauftragte und die Datenschutzkonferenz, der Zusammenschluss der Datenschutz-Aufsichtsbehörden des Bundes und der Länder, ausgesprochen. Sie haben die Bundesländer aufgefordert, ihre Landes-Corona-Schutzverordnungen entsprechend für diese Möglichkeit anzupassen. Es bleibt insoweit abwarten, ob aufgrund entsprechender Änderungen der Corona-Schutzverordnungen zukünftig die luca-App gegenüber der Corona-Warn-App an Bedeutung verlieren wird.