Die Kontakt-Listen, die vielerorts ausgefüllt werden müssen, sorgen seit Beginn der Maßnahme für Diskussionen. Teilweise werden zu viele persönliche Informationen abgefragt, oft werden fortlaufende Listen genutzt, aus denen die Kontaktdaten vorheriger Gäste zu entnehmen sind und das Risiko, dass einmal erfasste Daten von Kriminellen oder von Ermittlungsbehörden für eigene Zwecke genutzt werden, ist nicht von der Hand zu weisen.
CCC hackt Restaurant-Software
Der Chaos Computer Club hat Ende August eindrucksvoll bewiesen, wie schnell Abertausende Datensätze mit etwas „hackerischem Geschick“ aus beliebten Softwaresystemen für die Gastronomie ausgelesen werden können.[1] Dabei gelang es nicht nur, die personenbezogenen „Corona-Daten“ von über 87.000 Personen abzugreifen, darüber hinaus war auch der Zugriff auf teilweise über ein Jahrzehnt alte Reservierungsdaten möglich. Zwei der maßgeblichen Schwachstellen lagen dem CCC zufolge in einem ungenügenden Rechte-Management und in unzureichend geschützten Passwörtern.[2] Auch, wenn der Software-Anbieter schnell reagierte: passieren darf das natürlich von vorn herein nicht. Aus einer weiteren Gastronomie-Software konnten ebenfalls hunderttausende Datensätze entwendet werden, die jedoch immerhin verschlüsselt waren und daher im Ernstfall keinen Nutzen für Cyberkriminelle gehabt hätten. Dennoch wäre durch Austausch eines Zertifikats das Umleiten neu hinzugefügter Daten für die Zukunft ohne größere Probleme möglich gewesen.[3]
Dass der CCC generell davon abrät, als Betreiber eines Restaurants (oder einer anderen Einrichtung, die zur Dokumentation ihrer Besucherinnen und Besucher verpflichtet ist) digitale Listen zu nutzen oder sich als Gast in solche Listen einzutragen[4], löst nur einen kleinen Teil des Problems. Die meisten Kontaktlisten werden derzeit wohl hauptsächlich in Papierform geführt, was wiederum eigene Komplikationen mit sich bringt: Bei einer Stichprobenuntersuchung in Hamburg ergab sich im Juni, dass ein Drittel der kontrollierten Betriebe (ganz überwiegend Restaurants) die Listen offen, z.B. auf dem Tresen oder am Eingang, herumlagen.[5] Die möglichen und tatsächlichen Folgen sind, gelinde gesagt, unschön. Eine Kundin wurde nach dem Restaurantbesuch über die hinterlegte Mobilfunknummer „zu privaten Zwecken kontaktiert“.[6] Auch können Verhaltensprofile erstellt werden, etwa wenn bei Stammgästen bekannt ist, wann und wo diese regelmäßig zu Abend essen.
Listen „wecken Begehrlichkeiten“
Auch, dass Strafverfolgungsbehörden nur zu gerne die wie auf dem Silbertablett präsentierten Kontaktdaten nutzen möchten, um von Eigentumsdelikten über Rauschgiftfahndung bis hin zu „schweren“ Straftaten ihre Ermittlungen voranzubringen, muss kritisch betrachtet werden.[7]
Insbesondere fehlt es hier an einer eindeutigen, verhältnismäßigen und bestimmten Ermächtigung zur Übermittlung und zur Nutzung der Daten. Derartige Rechtsgrundlage. müssen nach der Rechtsprechung des BVerfG sowohl die Verwendungszwecke begrenzen als auch den Zugriff an bestimmte tatbestandliche Eingriffsschwellen und einen hinreichend gewichtigen Rechtsgüterschutz binden.[8] Der ursprünglich im Kontext der Bestandsdatenauskunft u.a. nach § 113 TKG (2004) entwickelte Rechtsgedanke ist auf die Situation der Corona-Kontaktlisten zu übertragen, schließlich handelt es sich hier wie dort um zumindest mittelbar unfreiwillig überlassene Daten. Der Verfassungsgerichtshof des Saarlands entschied in diesem Zusammenhang kürzlich, dass die landesrechtliche Vorschrift zur Kontaktdatenerhebung nicht mit der saarländischen Verfassung vereinbar sei: Das IfSG biete keine den Anforderungen genügende Rechtsgrundlage.[9]
Der Datenschutzbeauftragte Hamburgs Johannes Caspar hält die Nutzung für Zwecke der Strafverfolgung für wenig problematisch: „Im Rahmen von Straftatermittlungen kommt es regelmäßig dazu, dass sich die Ermittlungsbehörden – also Polizei und/oder Staatsanwaltschaften – an Private wenden und um Übermittlung bzw. Offenlegung von Daten Dritter ersuchen“.[10] Das mag stimmen, und in manchen Fällen wird das Interesse der Allgemeinheit an der Aufklärung schwerer Straftaten gegenüber dem Schutz der personenbezogenen Daten des einzelnen Gastes überwiegen. Dennoch birgt diese nonchalante Auffassung nicht zuletzt das Risiko, das Vertrauen der Bürgerinnen und Bürger zu verspielen. Das Ziel, Infektionsketten nachzuvollziehen und möglichst zu unterbrechen, wird konterkariert, wenn (aus berechtigter Sorge davor, dass die Daten später zweckwidrig verwendet werden) falsche Kontaktdaten angegeben werden. Da hilft auch die Warnung Caspars, die Ermittler mögen die zweckwidrige bzw. zweckändernde Nutzung der Corona-Kontaktdaten „äußerst zurückhaltend“ betreiben, nicht viel. Der Kern des Problems ist, „dass dort, wo Daten zulässigerweise erhoben werden, sich immer wieder weitergehende Begehrlichkeiten ergeben, die Fragen nach einer zweckändernden Verarbeitung aufwerfen“, gibt Caspar zu.[11]
Fazit: Datenschutzkonforme Alternativen existieren
In der Praxis wird man auf inhärenten Datenschutz setzen müssen: Einzelne Zettel für jeden Gast oder jede Gruppe, die in einen verschlossenen Briefkasten eingeworfen, am Ende des Tages gesammelt und in einem versiegelten Umschlag aufbewahrt und nach Ablauf der Frist (je nach Bundesland drei bis vier Wochen) datenschutzkonform vernichtet – etwa geschreddert – werden, haben sich auch beim CCC bewährt.[12] Ein solches Vorgehen entspricht dem Datenschutzprinzip Privacy By Design und lässt sich äußerst kostengünstig und simpel umsetzen.
Denkbar wäre als Alternative zu den Papierlisten, dass Gäste, die nachweislich die Corona-Warn-App nutzen, ihre Daten nicht angeben müssen. Natürlich würde das aufgrund der Architektur der App und der dezentralen Speicherung nur dann funktionieren, wenn auch auf Seiten des Restaurants (oder Friseursalons oder Fitnessstudios etc.) die App genutzt wird, sodass eine mögliche Risikobegegnung oder der Kontakt mit einer nachweislich infizierten Person weitergeleitet werden kann.
De lege ferenda wäre eine klare und bundesweit einheitliche Regelung wünschenswert – besonders auch zu den zulässigen Verarbeitungszwecken hinsichtlich der erhobenen Daten.
[1] Vgl. Reuter, CCC hackt Corona-Kontaktlisten aus beliebter Restaurantsoftware, Netzpolitik.org, 28.08.2020, letzter Abruf am 03.09.2020.
[2] Vgl. Neumann, CCC hackt digitale „Corona-Listen“, CCC.de, 28.08.2020; Biselli, Sicherheitslücke bei digitalen Coronalisten entdeckt, Golem.de, 28.08.2020, jeweils letzter Abruf am 03.09.2020.
[3] Vgl. Scherschel, CCC deckt erneut Schwachstellen in Corona-Listen auf, Heise Online, 03.09.2020, letzter Abruf am 03.09.2020.
[4] Vgl. Reuter, CCC hackt Corona-Kontaktlisten aus beliebter Restaurantsoftware, Netzpolitik.org, 28.08.2020, letzter Abruf am 03.09.2020.
[5] Vgl. Datenschutz und Infektionsschutz gehen Hand in Hand, Pressemitteilung des HmbBfDI vom 24.06.2020; Greis, Datenschützer kritisieren offene Gästelisten, Golem.de, 25.06.2020, jeweils letzter Abruf am 03.09.2020.
[6] Greis, Datenschützer kritisieren offene Gästelisten, Golem.de, 25.06.2020, letzter Abruf am 03.09.2020.
[7] Vgl. etwa Ist das erlaubt? Hamburger Polizei nutzt Corona-Kontaktliste zur Zeugensuche, MoPo.de, 08.07.2020; Meißner, Corona.Kontakt-Listen als Ermittlungsansatz in Strafverfahren?,Beck-Blog, 09.07.2020; Laufer, Polizei nutzt Corona-Kontaktlisten für Drogenermittlungen, Netzpolitik.org, 31.07.2020; Greis, Polizei nutzt Corona-Kontaktlisten nach Straftat, Golem.de, 06.07.2020, jeweils letzter Abruf am 03.09.2020.
[8] Vgl. BVerfG, Beschl. v. 27.05.2020 – 1 BvR 1873/13 LS. 1.
[9] VerfGH Saarbrücken, Beschl. v. 13.05.2020 – 2 B 175/20 – Lv 15/20 S. 27 f.
[10] So Caspar gegenüber Golem.de, vgl. Greis, Polizei nutzt Corona-Kontaktlisten nach Straftat, Golem.de, 06.07.2020, letzter Abruf am 03.09.2020.
[11] Vgl. Greis, Polizei nutzt Corona-Kontaktlisten nach Straftat, Golem.de, 06.07.2020, letzter Abruf am 03.09.2020.
[12] Neumann, CCC hackt digitale „Corona-Listen“, CCC.de, 28.08.2020, letzter Abruf am 03.09.2020.