„Corona-Warn-App“ auf dienstlichen Endgeräten

Die seit dem 16.06.2020 verfügbare „Corona-Warn-App“ des Robert-Koch-Instituts wurde in den letzten Wochen heftig debattiert. Nun stellt sich die Frage, ob und wie ein Einsatz auf dienstlichen Mobilgeräten zu bewerten sei.

Zum Hintergrund: Die App speichert oder übermittelt weder Aufenthaltsorte noch Bewegungsprofile, sondern registriert lediglich lokal, welche Geräte mit aktivierter App sich für mindestens 15 Minuten auf eine Distanz von höchstens zwei Metern begegnen. Dabei werden regelmäßig wechselnde pseudonyme Identifikationsnummern verwendet, der einzige Datenabgleich zwischen Smartphone und zentralem Server erfolgt zum Abgleich der Geräte-IDs von als infiziert gemeldeten Personen. Im Falle eines positiven Sars-CoV-2-Tests können die lokal gespeicherten Daten für eine Benachrichtigung der registrierten Kontaktpersonen freigegeben werden, um diese zu einer Testung aufzufordern. Die benachrichtigten Kontaktpersonen erfahren lediglich, an welchem Datum der Kontakt mit einer positiv getesteten Person stattfand und wie hoch das Infektionsrisiko eingeschätzt wird. Weitere Informationen zum Datenschutz finden Sie u.a. beim Bayerischen Landesbeauftragten für den Datenschutz (BayLDA).

Als Datenschutzbeauftragte gehen wir davon aus, dass vor dem geschilderten Hintergrund und der Überprüfbarkeit des Quellcodes durch unabhängige Parteien ein Einsatz der Corona-Warn-App auf dienstlichen Mobilgeräten gestattet bzw. freigegeben werden kann. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hält den Datenschutz der App für ausreichend. Dringend zu vermeiden ist allerdings eine „Pflicht zur Aktivierung“ der App, die Entscheidung zur Nutzung oder Nichtnutzung muss den Beschäftigten selbst überlassen werden. Keinesfalls sollte die Aktivierung der App durch den Arbeitgeber erzwungen werden oder zur Voraussetzung für das Betreten betrieblicher Räumlichkeiten durch Beschäftigte oder Gäste gemacht werden, auch nicht auf der Grundlage einer vermeintlich freiwilligen „Einwilligung“.

Zudem gilt es zu überprüfen, ob in Betriebsvereinbarungen getroffene Regelungen über Kontrollmaßnahmen dienstlicher Endgeräte dahingehend anzupassen sind, dass in der App vorgehaltene Daten nicht Bestandteil einer Prüfung werden, da insbesondere von einer missbräuchlichen Nutzung des Endgeräts durch die Corona-Warn-App nicht ausgegangen werden kann. Darüber hinaus genießen die in der App vorgehaltenen Daten einen besonderen Schutz, da sie mittelbar Informationen zur Gesundheit der Beschäftigten enthalten. Im Falle einer anstehenden Überprüfung eines Mobilgeräts ist je nach Sachverhalt sicherzustellen, dass ein geregeltes Mehraugenprinzip zu erweitern ist, um eine rechtskonforme Überprüfung des gegenständlichen Endgeräts sicherzustellen.

Zurück