Corona ohne "Doppeltür": Warum die Vorschriften zur Sammlung von Kontaktdaten in der Gastronomie verfassungswidrig sind.
Seit mehr als zwei Monaten hinterlassen wir alle (mehr oder minder) brav unsere Kontaktdaten, wenn wir Fitnessstudios und Gaststätten, Kinos oder Spielhallen besuchen. Selbst von eingefleischten Datenschützern hört man wenig Kritik. Der gute Zweck der "Kontaktnachverfolgung" scheint kritische Fragen im Keim zu ersticken. Daher fällt nicht auf, dass die flächendeckende Datenerfassung in keiner Weise den Maßstäben genügt, die das Bundesverfassungsgericht (BVerfG) für die Speicherung und Übermittlung von Personendaten setzt. Die Bestimmungen der Bundesländer zur Sammlung von Kontaktdaten sind durch die Bank verfassungswidrig:
Beispiel Berlin
In Berlin findet sich die Vorschrift zur Kontaktdatensammlung in § 3 der BE Corona-Verordnung. Veranstalter, Gaststätten, Hotels, Spielbanken, Friseure, Theater, Sportbetriebe und Hochschulen werden zu einer "Anwesenheitsdokumentation" verpflichtet, die "ausschließlich zur infektionsschutzrechtlichen Kontaktnachverfolgung" genutzt werden darf und "der zuständigen Behörde auf Verlangen auszuhändigen (ist), wenn festgestellt wird, dass eine Person zum Zeitpunkt der Veranstaltung, des Besuchs oder der Inanspruchnahme der Dienstleistung krank, krankheitsverdächtig, ansteckungsverdächtig oder Ausscheiderin oder Ausscheider im Sinne des Infektionsschutzgesetzes war." (Hervorhebungen hinzugefügt).
Geregelt ist somit der Zweck der Datensammlung ("infektionsschutzrechtliche Kontaktnachverfolgung") und die Verpflichtung, Kontaktdaten "der zuständigen Behörde" zu übermitteln.
Nicht geregelt ist dagegen die Befugnis "der zuständigen Behörde", auf Kontaktdaten zuzugreifen. Ebensowenig ist eine Befugnis der Polizei oder anderer Behörden geregelt, Kontaktdaten beispielsweise zu Zwecken der Strafverfolgung herauszuverlangen.
Beispiel Bayern
In Bayern muss man etwas länger suchen, um die Bestimmungen zur Sammlung von Kontaktdaten zu finden. Die Bestimmungen finden sich nicht in der bayerischen Corona-Verordnung, sondern branchenweise in Bekanntmachungen der Landesregierung, die auf der Grundlage der Corona-Verordnung erlassen werden. Für die Gastronomie beispielsweise in Unterpunkt 3.2.9. eines "Hygienekonzepts Gastronomie":
"Um eine Kontaktpersonenermittlung im Falle eines nachträglich identifizierten COVID-19-Falles unter Gästen oder Personal zu ermöglichen, ist eine Dokumentation mit Angaben von Namen und sicherer Erreichbarkeit (Telefonnr. oder E-Mail-Adresse bzw. Anschrift) einer Person je Hausstand und Zeitraum des Aufenthaltes zu führen. Eine Übermittelung dieser Informationen darf ausschließlich zum Zweck der Auskunftserteilung auf Anforderung gegenüber den zuständigen Gesundheitsbehörden erfolgen ..." (Hervorhebungen hinzugefügt)
Geregelt ist somit auch in Bayern der Zweck der Datensammlung ("Kontaktpersonenermittlung im Falle eines nachträglich identifizierten COVID-19-Falles") und die Berechtigung (anders als in Berlin also nicht die Verpflichtung), über die Kontaktdaten "den zuständigen Gesundheitsbehörden" Auskunft zu erteilen.
Nicht geregelt: Ebenso wie in Berlin fehlt eine Regelung, die die Gesundheitsbehörden befugt, auf Kontaktdaten zuzugreifen. Wie in Berlin ist auch in Bayern keine Befugnis der Polizei oder anderer Behörden geregelt, Kontaktdaten zu Zwecken der Strafverfolgung herauszuverlangen.
Maßstäbe des BVerfG: die "Doppeltür"
Die Rechtsprechung des BVerfG zum staatlichen Zugriff auf private Datensammlungen ist streng und kompliziert. Man kann sie auch kritisch sehen. Die Corona-Pandemie setzt die Karlsruher Maßstäbe jedenfalls nicht außer Kraft und man darf von den Regierungen der Bundesländer erwarten, dass sie die Rechtsprechung des BVerfG beachten.
Ansatz des BVerfG: Seit dem ersten "Bestandsdatenauskunft"-Beschluss des BVerfG vom 24.1.2012 (Az. 1 BvR 1299/05, CR 2012, 245 m.Anm. Schnabel) ist die "Doppeltür" das Zauberwort. Und die "Doppeltür" ist auch der Maßstab, den das BVerfG jüngst in seiner "Bestandsdatenauskunft II"-Entscheidung bekräftigt hat (Beschluss vom 27.5.2020, Az. 1 BvR 1873/13 und 1 BvR 2618/13).
Grundsatz der Zweckbindung: In der Entscheidung vom 27.5.2020 betont das BVerfG den Grundsatz der Zweckbindung:
"Verpflichtet der Gesetzgeber zur Schaffung von Datenbeständen oder öffnet er diese über den primären Zweck hinaus, wie hier die Datenbestände privater Unternehmen für eine Verwendung zur staatlichen Aufgabenwahrnehmung, obliegt es ihm zugleich, die für deren verfassungsrechtliche Rechtfertigung erforderlichen Verwendungszwecke und Eingriffsschwellen sowie die für die Gewährleistung der Zweckbindung gegebenenfalls erforderlichen Folgeregelungen verbindlich festzulegen." (BVerfG, a.a.O, Rz. 130; Hervorhebung hinzugefügt)
Keine "Doppeltür": Ob die Definitionen der Verwendungszwecke in Bayern ("Kontaktpersonenermittlung im Falle eines nachträglich identifizierten COVID-19-Falles") und Berlin ("infektionsschutzrechtliche Kontaktnachverfolgung") optimal formuliert sind, mag einmal dahinstehen. Dem Grundsatz der Zweckbindung dürften die Vorschriften jedenfalls genügen. In Bayern wie in Berlin fehlt es indes an der von Karlsruhe geforderten "Doppeltür". Hier wie dort ist gesetzlich geregelt, dass Gastronomen Kontaktdaten an Gesundheitsbehörden herausgeben dürfen (Bayern) bzw. müssen (Berlin).
- Erste "Tür": Die Datenübermittlung ist nur eine Tür, die nach der Rechtsprechung des BVerfG geöffnet werden muss, wenn staatliche Behörden Zugriff auf Daten nehmen möchten.
- Zweite "Tür": Die andere Tür ist der Abruf der Daten durch die Behörde, der einen eigenständigen Grundrechtseingriff darstellt, der gleichfalls einer gesetzlichen Grundlage bedarf:
"Bei der Regelung eines Datenaustauschs zur staatlichen Aufgabenwahrnehmung ist darüber hinaus aber auch zwischen der Datenübermittlung seitens der auskunfterteilenden Stelle und dem Datenabruf seitens der auskunftsuchenden Stelle zu unterscheiden. Ein Datenaustausch vollzieht sich durch die einander korrespondierenden Eingriffe von Abfrage und Übermittlung, die jeweils einer eigenen Rechtsgrundlage bedürfen. Der Gesetzgeber muss, bildlich gesprochen, nicht nur die Tür zur Übermittlung von Daten öffnen, sondern auch die Tür zu deren Abfrage. Erst beide Rechtsgrundlagen gemeinsam, die wie eine Doppeltür zusammenwirken müssen, berechtigen zu einem Austausch personenbezogener Daten ..." (BVerfG, a.a.O., Rz. 93; Hervorhebungen hinzugefügt)
Fehlende Ermächtigungsnorm: Den Türen der "Kontaktnachverfolgung" fehlt sowohl in Bayern als auch in Berlin jeweils ein Flügel. Denn es gibt keine Regelung, die die Gesundheitsbehörden ermächtigt, von Gastronomen, Hoteliers oder den Betreibern einer Spielhalle die Herausgabe von Kontaktdaten zu verlangen. Eine solche Regelung ist zwingend erforderlich:
"Mit Rücksicht auf das Gebot der Normenklarheit, dem bei Eingriffen in das Recht auf informationelle Selbstbestimmung und das Telekommunikationsgeheimnis eine spezifische Funktion zukommt, bedarf es für den Datenabruf in Form eines unmittelbar an private Dritte gerichteten Auskunftsverlangens einer eindeutigen Rechtsgrundlage, die eine Auskunftsverpflichtung der Diensteanbieter eigenständig begründet. Erforderlich sind hinreichend qualifizierte Abrufregelungen, die über schlichte Datenerhebungsbefugnisse hinausgehen, und klar bestimmen, gegenüber welchen Behörden die Anbieter konkret zur Datenübermittlung verpflichtet sein sollen..." (BVerfG, a.a.O., Rz. 196; Hervorhebungen hinzugefügt)
Ratio: Dass es einer Regelung der Voraussetzungen bedarf, unter denen Gesundheitsämter auf Kontaktdaten zugreifen können, ist keine bloße Formalie. Es gibt gute Gründe für die "Doppeltür". Nimmt man Datenschutz ernst, so kann es nicht dem Belieben eines Gesundheitsamts überlassen bleiben, wie breitflächig das Amt bei Datenabfragen vorgeht:
- Erforderlichkeit einer Datenherausgabe: Meldet sich etwa ein infizierter Gast eines BDSM-Studios, so müssen andere Gäste darauf vertrauen dürfen, dass nur Daten herausgegeben werden, die für eine "Kontaktnachverfolgung" zwingend erforderlich sind.
- Umfang einer Datenherausgabe: Für große Restaurants oder Theater mag es zudem etwa Regeln geben, ob bei einem Infektionsverdacht alle Kontaktdaten herausgegeben werden müssen oder nur die Daten von Gästen, die sich in der Nähe des Infizierten aufgehalten haben.
Fazit
Die Pandemie ist nicht das Ende jeden Datenschutzes. Daher ist es an der Zeit, von den Landesregierungen und auch den Landesparlamenten eine Einhaltung der grundrechtlichen Vorgaben bei der flächendeckenden Sammlung von Kontaktdaten in geschlossenen Räumlichkeiten zu fordern.
- Materielle Verfassungswidrigkeit: Die derzeitigen Regelungen zur Sammlung von Kontaktdaten sind verfassungswidrig. Es fehlt an einer Regelung der Voraussetzungen, unter denen die Gesundheitsämter die Übermittlung der Daten verlangen können ("Doppeltür").
- Formelle Verfassungswidrigkeit: Die derzeitigen Regelungen finden sich zudem in Rechtsverordnungen auf der Grundlage der §§ 28 und 32 IfSG. Ob dies den Anforderungen des Art. 80 Abs. 1 Satz 2 GG (Regelung von Inhalt, Zweck und Ausmaß) genügt, ist mehr als zweifelhaft. Auch aus diesem Grund sind die Regelungen grundgesetzwidrig.
- Folge für die Praxis: Vereinzelt wird von Zugriffen der Ermittlungsbehörden auf die Kontaktdaten berichtet. Dies stellt einen zweckwidrigen Datenzugriff dar. Mangels einer gesetzlichen Grundlage für einen solchen Zugriff sollten sich Gastronomen weigern, Kontaktdaten an Ermittlungsbehörden herauszugeben. Zu einer solchen Herausgabe sind Gastronomen weder berechtigt noch verpflichtet.