Bitte woher haben Sie meine Handynummer? Die Nutzung personenbezogener Daten aus Corona-Kontaktlisten zur Strafverfolgung

Von JUDITH SIKORA

Stellt euch vor, das Telefon klingelt. „Hallo, hier spricht die Polizei. Wir haben Ihre Handynummer von einer Corona-Kontaktliste. Wir rufen an, weil wir Sie als Zeuge* in einem Strafverfahren vernehmen möchten.“ So oder so Ähnliches dürfte sich letzte Woche in Hamburg abgespielt haben. Jeder kennt es derzeit aus eigener Anschauung: Wer in Corona-Zeiten ein Restaurant oder Café besucht, muss seine Kontaktdaten angeben, damit Infektionsketten nachverfolgt werden können. In Hamburg verschaffte sich nun eine Polizeibehörde Zugang zu einer Corona-Kontaktliste und nutzte die Kontaktdaten, um eine Straftat aufzuklären. Die Kontaktdaten stellen personenbezogene Daten dar, die nach landläufiger Meinung nur für Zwecke des Gesundheitsschutzes verwendet werden dürfen – oder etwa nicht?

Die Covid19-Verordnungen der Länder sehen in unterschiedlichem Ausmaß vor, dass Daten von Personen, die Dienstleistungen in Anspruch nehmen, zur Nachverfolgbarkeit sog. Infektionsketten gespeichert werden. Nicht untersucht wird die Zulässigkeit der Speicherung als solche rechtlich (vgl. nur hier). Es geht vielmehr um die Frage, ob die Polizei zur Strafverfolgung auf die Daten zugreifen durfte.

Kontaktlisten in der Gastronomie

Bei den in den Kontaktlisten einzutragenden Daten handelt es sich unproblematisch um personenbezogene Daten i.S.d. Datenschutzrechts. Beispielsweise werden nach § 7 Abs. 1 HmbSARS-CoV-2-EindämmungsVO Kontaktdaten, d.h. der Name, die Wohnanschrift und eine Telefonnummer des Gastes erhoben und zusammen mit der Angabe des Datums und der Uhrzeit vier Wochen aufbewahrt (§ 7 Abs. 1 Nr. 2 HmbSARS-CoV-2-EindämmungsVO). Ob es sich darüber hinaus um besonders geschützte Gesundheitsdaten i.S.d. Art. 9 DSGVO handelt, mag man diskutieren, ist i.E. aber jedenfalls für die Kontaktlistendaten zu verneinen. Richtig ist zwar, dass zum Abfragezeitpunkt unklar ist, ob sie Tatsachen in Bezug auf eine Covid19-Infektion beinhalten. Jedoch wird die Einstufung des Betroffenen als Kontaktperson erst durch die Kombination weiterer Daten, insbesondere, dass sich eine infizierte Person in der Nähe aufgehalten hat, erreicht. Daher genügt es, wenn erst die konkrete Abfrage einer Behörde, bei der diese Daten vorliegen, die erhöhten Anforderungen des Art. 9 Abs. 2 DSGVO erfüllt.

Zweckbindung der Kontaktlistendaten

Die Kontaktlisten müssen bei einem bestätigten Infektionsfall an die zuständigen Gesundheitsbehörden herausgegeben werden. Dies sehen gegenwärtig die Coronaverordnungen aller Bundesländer vor (bspw. § 7 Abs. 1 Nr. 2 HmbSARS-CoV-2-EindämmungsVO). Da die Verarbeitung dem Erhebungszweck entspricht, handelt es sich um eine zweckkonforme Verarbeitung.

Nur wenige Covid19-Verordnungen enthalten Regelungen zur Zweckbindung der Kontaktlistendaten. Beispielhaft ist § 1 Abs. 8 S. 7-8 der 10. CoronaVO des Landes Rheinland-Pfalz zu nennen. Danach kann das zuständige Gesundheitsamt zur Erfüllung seiner Aufgaben nach dem InfSchG und dieser VO die Übermittlung der Daten aus den sog. Kontaktlisten verlangen. Eine Verarbeitung der Daten zu anderen Zwecken ist ausgeschlossen. Auch ohne explizite Normierung ergibt sich die Zweckbindung aus dem allgemeinen Datenschutzrecht, insbesondere aus Art. 5 Abs. 1 lit. b) DSGVO, § 23 BDSG und entsprechenden Vorschriften der Landesdatenschutzgesetze. Jedoch kennt der sog. Zweckbindungsgrundsatz wie jeder juristische Grundsatz Ausnahmen. Zweckänderungen sind daher unter bestimmten Voraussetzungen möglich. Dieser Maßstab ist zu bestimmen.

Anforderungen an die zweckändernde Verarbeitung zu Strafverfolgungszwecken

Da es sich bei einer Zweckänderung um einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung handelt, bedarf es stets einer formellen Rechtsgrundlage. Eine solche stellt nach überwiegender, wenn auch umstrittener Auffassung die strafprozessuale Ermittlungsgeneralklausel dar. Nach §§ 161 Abs. 1 S. 1, 163 Abs. 1 S. 2 StPO dürfen die Polizei und Staatsanwaltschaft Ermittlungen jeder Art vornehmen, insbesondere um Auskunft ersuchen, soweit dies zur Strafverfolgung erforderlich ist. Die Datenerhebungsgeneralklausel zur Datenerhebung wird nur über das explizite Tatbestandsmerkmal der Erforderlichkeit und – ungeschrieben – durch die Verhältnismäßigkeit begrenzt.

Nach dem Doppeltürmodell (BVerfGE 130, 151 Rz. 123) bedarf es nicht nur einer Eingangsnorm auf Seiten der abfragenden Stelle, sondern auch einer entsprechende Erlaubnisnorm auf Seiten der übermittelnden Stelle. Eine solche ergibt sich aus § 23 Abs. 1 Nr. 4 BDSG (und entsprechender Normen der LDSGe). Sie setzt voraus, dass die Daten zur Erfüllung der Aufgaben einer öffentlichen Stelle verarbeitet werden und u.a. zur Verfolgung von Straftaten erforderlich sind. Damit entspricht der Maßstab dem der StPO.

Kein anderer Maßstab aus Unionsrecht

Ein anderer Maßstab ergibt sich auch nicht aus EU-Recht. Keine Anwendung findet die sog. JI-RL (RL 2016/680), obwohl es um Strafverfolgung geht. Denn die JI-RL regelt nur die Verarbeitung von zur Strafverfolgung erhobenen Daten. Die Zweckänderung von zu anderen Zwecken erhobenen Daten zur Strafverfolgung richtet sich nach der DSGVO, und zwar nach Art. 6 Abs. 4 DSGVO.

Art. 6 Abs. 4 DSGVO erlaubt Zweckänderungen entweder aufgrund einer Einwilligung des Betroffenen, bei Zweckvereinbarkeit oder wenn die Verarbeitung auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 genannten Ziele darstellt, beruht. Eine Einwilligung wird regelmäßig ebenso wenig vorliegen wie die Zweckkonformität angesichts der unterschiedlichen Zwecke Gesundheitsschutz und Strafverfolgung. Bleibt daher nur eine Rechtsgrundlage, die auch der Verfolgung von Straftaten i.S.d. Art. 23 Abs. 1 lit. d) DSGVO dienen kann. Eine solche stellen die §§ 161 Abs. 1 S. 1, 163 Abs. 1 S. 2 StPO und § 23 Abs. 1 Nr. 4 BDSG dar, sodass es auf die Erforderlichkeit und die Verhältnismäßigkeit der Zweckänderung ankommt.

Im Hamburger Fall ging es um einen Mann, der Passanten auf der Straße mit einem Messer bedrohte. Dieser wurde später festgenommen. Um unter den Gästen Augenzeugen für den Vorfall zu finden, nutzte die Polizei die Kontaktdatenliste des Restaurants, vor dem sich der Vorfall abgespielt hatte.

Erforderlichkeit des Zugriffs

Der Zugriff auf die Daten müsste erforderlich, d.h. notwendig sein, um das angestrebte Ziel zu erreichen und zugleich das mildeste Mittel darstellen. Maßgeblich ist dafür u.a., ob genau dieses Beweismittel notwendig ist. Zum einen können andere Beweismittel zur Verfügung stehen. Zur abschließenden Beurteilung fehlen im Hamburger Vorfall Angaben. Denkbar ist jedoch, dass der Beschuldigte die ihm vorgeworfenen Taten zugibt oder dass das Geschehen auf Videoaufnahmen dokumentiert ist, wie dies gerade in St. Pauli an vielen Stellen der Fall ist. Angesichts der starken Polizeipräsenz in St. Pauli haben möglicherweise Streifenpolizisten das Geschehen beobachtet. Schließlich wäre als milderes Mittel auch daran zu denken, potenzielle Zeugen zunächst durch einen öffentlichen Aufruf zu bitten, sich bei der Polizei zu melden.

Zum anderen ist hinsichtlich des Tatvorwurfs genau zu prüfen, ob der Sachverhalt weiter aufgeklärt werden muss. Lief der Mann mehrere Stunden lang durch die Stadt und bedrohte an verschiedenen Orten Passanten, so stellt sich die Frage, ob alle Taten bis ins kleinste Detail aufgeklärt werden müssen. Dies ist insb. bei psychisch verwirrten Täter, bei denen eine Unterbringung im Raum steht, zu bedenken.

Verhältnismäßigkeit des Zugriffs

Schließlich muss der Zugriff auch verhältnismäßig sein. Dies ist im Rahmen einer Abwägung zwischen den legitimen Strafverfolgungsinteressen des Staates und den Interessen der betroffenen Personen zu ermitteln. Auf Seiten der Zweckänderung kommt es maßgeblich auf das Gewicht der zu verfolgenden Straftat und der Bedeutung des Beweismittels im konkreten Fall an. Hier handelte es sich um den Vorwurf einer versuchten gefährlichen Körperverletzung – zwar in mehreren Fällen, jedoch wurde niemand verletzt. Der Beschuldigte wurde gefasst und befindet sich seitdem in Untersuchungshaft. Der Sachverhalt ist zumindest in groben Zügen aufgeklärt. Das Strafverfolgungsinteresse ist daher gering.

Auf der anderen Seite stehen Interessen der betroffenen Personen auf der Liste, von einer Zweckänderung ihrer Daten und auch von drohenden Anschlussmaßnahmen verschont zu bleiben. Die Heranziehung als Zeuge in einem Strafverfahren ist nicht mit starken Grundrechtseingriffen erhoben. Anders würde sich die Situation jedoch darstellen, wenn der potenzielle Zeuge selbst ins Visier der Ermittlungsbehörden zu geraten drohen würde. Dafür bestanden hier jedenfalls keine Anhaltspunkte, sodass der Eingriff sich bislang als ebenfalls gering darstellt. Jedoch erfährt der Datenschutz eine objektive Verstärkung. Nach ständiger Rechtsprechung des BVerfG, des EGMR und des EuGH sind außerdem die von der Datenverarbeitung ausgehenden Einschüchterungseffekte auf die Allgemeinheit miteinzubeziehen. Diese treten hier verstärkend hinzu. Denn bereits jetzt machen sich Datenschutzbeauftragte (hier und hier) wie Bürger und Presse gleichermaßen Sorgen, dass das Vorgehen der Hamburger Polizei das Vertrauen der Bürger in die Sicherheit ihrer Daten untergräbt. Dies könne sich auf sowohl die – freiwillige – Nutzung der sog. Corona-App auswirken als auch zu einem verstärkten „Selbstdatenschutz“ führen, d.h. dass unrichtige Daten in die Kontaktlisten eingetragen werden. Dies könnte aber die Effektivität der Nachverfolgbarkeit der Infektionsketten insgesamt torpedieren.

Fazit

Festzuhalten ist daher, dass auch die personenbezogenen Daten aus Corona-Kontaktlisten den allgemeinen Regeln zur Zweckänderung unterliegen. Die Daten aus Kontaktdatenlisten dürfen zur Strafverfolgung verwendet werden, wenn sie im Einzelfall zur Strafverfolgung erforderlich und die Zweckänderung verhältnismäßig sind. Angesichts der damit verbundenen Verunsicherung der Bevölkerung sind strenge Anforderungen an die Schwere der Straftat und die Beweisnot zu stellen.

Ob die Zweckänderung im Hamburger Vorfall rechtmäßig war, kann aufgrund fehlender Angaben nicht abschließend beurteilt werden. Die Verhältnismäßigkeit einer solchen Zweckänderung anlässlich des Verdachts einer versuchten gefährlichen Körperverletzung, wenn der Täter bereits in U-Haft sitzt, ist jedoch stark zu bezweifeln. Insbesondere muss das objektive Gewicht des Datenschutzes in der Abwägung ausreichend berücksichtigt werden. Konkret sollten sich die Hamburger Polizei und Staatsanwaltschaft die mittel- und langfristigen Konsequenzen einer solchen Ermittlungspraxis in der Bevölkerung bewusst machen. Welche Bedeutung die Zugriffsrechte von Behörden auf bei Privaten gespeicherte Daten haben, wurde letzte Woche in der Entscheidung des EuGH zum US-EU-Privacy Shield erneut deutlich. U.a. weil die weiten Zugriffsbefugnisse amerikanischer Behörden auf die aus der EU übermittelte Daten nicht auf das zwingend erforderliche Maß beschränkt seien (EuGH, Schrems II, Rz. 176-184), wurde der Beschluss 2016/1250 für ungültig erklärt. Angesichts der Grundrechtsrelevanz sollten die Verordnungsgeber reagieren und die „Ausgangstür“ der Verwendung von Coronakontaktlistendaten ganz oder zumindest ein Stück weit schließen.

 

*Aus Gründen der besseren Lesbarkeit wird das generische Maskulinum verwendet. Gemeint sind jedoch stets alle Geschlechter.

 

Zitiervorschlag: Judith Sikora, Bitte woher haben Sie meine Handynummer? Die Nutzung personenbezogener Daten aus Corona-Kontaktlisten zur Strafverfolgung, JuWissBlog Nr. 103/2020 v. 21.7.2020, https://www.juwiss.de/103-2020/

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

Corona, COVID-19, Datenschutz, Hamburg-St. Pauli, Judith Sikora, Kontaktdatenliste, Messer, Polizei, Strafverfolgung, Zweckänderung
Nächster Beitrag
Kooperatives Lehren im Ausnahmezustand
Vorheriger Beitrag
You shall not pass – Die CoronaWarnApp als Einlassticket? (Teil 2)

Ähnliche Beiträge

von HENNING SCHAAF Mal zu zehnt, mal zu fünft aus zwei Haushalten, mal nur ein Haushalt und ein Gast: Die Rede ist von Kontaktbeschränkungen in Corona-Verordnungen. Einen Teil der Beschränkungen hat das OVG Lüneburg in einem Beschluss vom 19. März 2021 verworfen – andere Gerichte haben eine inhaltsgleiche Regelung jüngst gehalten. Weshalb der…
Weiterlesen
Von Marcus Schnetter Aller guten (oder schlechten?) Dinge sind drei: Nachdem der Bayerische Verwaltungsgerichtshof die landesrechtliche 2G-Regelung im Einzelhandel schon zwei Mal durchlöchert hat, räumte er sie mit Beschluss vom 19. Januar 2022 durch eine vorläufige Außervollzugsetzung aus dem Weg. Stein des Anstoßes war die offen mit Regelbeispielen formulierte Privilegierungsklausel,…
Weiterlesen
Von Christoph Schröder Die lang beschworene „zweite Welle“ der Corona-Pandemie ist in vollem Gange, es gibt aktuell die höchste Anzahl an Neuinfektionen in Deutschland seit Beginn der Pandemie. Die Landesregierungen müssen sich nun Maßnahmen ausdenken, dieser effektiv zu begegnen, was einige Länder dazu bewogen hat, ein sogenanntes Beherbergungsverbot zu erlassen.…
Weiterlesen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.