Aufgrund des starken öffentlichen Interesses wurde die Corona-App im Vorfeld und begleitend zur Einführung wesentlich genauer auf mögliche Schwachstellen untersucht, als man dies üblicherweise bei einer neuen App erwarten könnte. Dabei ging es im Wesentlichen um Fragen der IT-Sicherheit und des Datenschutzes bei der Ausgestaltung und der Nutzung der App. Neben diesen zentralen Fragen werden wir jedoch auch wiederholt darauf angesprochen, was aus datenschutzrechtlicher Sicht bei einer Installation der Corona-App auf dienstlichen Mobilgeräten zu beachten ist.

Bevor Sie über die speziellen Fragen zur Einführung der Corona-App in Ihrem Unternehmen nachdenken, sollten Sie zunächst geklärt haben, wie Sie generell mit dienstlichen Mobilgeräten im Unternehmen umgehen - ungeachtet dessen, ob es sich um Smartphones, Tablets oder Notebooks handelt. Ist beispielsweise eine private Nutzung erlaubt und falls ja, unter welchen Bedingungen? Ist auf dem Gerät eine technische Trennung zwischen dienstlichem und privatem Bereich eingerichtet? Welche Freiräume werden den Mitarbeitern gewährt? Sind bereits angemessene IT-Sicherheitsmaßnahmen auf den Geräten eingerichtet? 

Ist Ihnen klar, welche Apps bzw. Dienste auf einen Firmen-Smartphone nichts verloren haben? Bei letzterer Frage Antworten viele Menschen reflexartig: "WhatsApp". Doch auch bei den mehr oder weniger seriösen "Business-Apps" ist die Anzahl derer, die ohne ausdrückliche Informierung und Kenntnis des Nutzers personenbezogene Daten erfassen und an den Hersteller und weitere Empfänger übermitteln, in schwindelerregende Höhen geklettert (Stichworte umfassen hier bspw. "Telemetriedaten" und "Diagnosedaten", jedoch auch "Tracking" und den diesbezüglichen Dunstkreis).

Wenn Sie die Zulässigkeit einer Installation der Corona-App auf Firmen-Smartphones kritisch hinterfragen - was gut ist, und was Sie grundsätzlich bei jeder App tun sollten - wäre jedoch zunächst die Frage zu stellen, wie in Ihrem Unternehmen der grundsätzliche Prozess ausgestaltet ist, um Apps im dienstlichen Umfeld zu installieren und zu nutzen.

Die grundsätzlichen Fragen 

Bei jeder auf Firmen-Smartphones dienstlich genutzten App sollten Sie zunächst die folgenden datenschutzrechtlichen Fragen beantworten können. Je nach Branche, Größe und Ausrichtung Ihres Unternehmens kann diese Liste im Einzelfall noch anzupassen sein:

  • Werden personenbezogene Daten in der App verarbeitet und wenn ja, auf welcher Rechtsgrundlage?
  • Sind Sie als Arbeitgeber die verantwortliche Stelle?
  • Werden die Daten auf dem Gerät und bei einer ggf. von der App veranlassten Übertragung oder Cloud-Speicherung angemessen geschützt?
  • Erfolgt eine Übermittlung an Dritte oder sogar in Drittländer und ist auch für diese Fälle eine Rechtsgrundlage gegeben?
  • Überträgt der Hersteller bzw. Betreiber der App personenbezogene Daten zu eigenen Zwecken, ggf. auch ohne, dass dies für die Zweckerfüllung der App erforderlich ist? 
  • Ist ein Auftragsverarbeitungsvertrag oder ein Vertrag zur gemeinsamen Verarbeitung erforderlich und wurde dieser bereits abgeschlossen?
  • Werden die Transparenzpflichten - insbesondere die Informierung gemäß Art. 13 DSGVO - eingehalten bzw. gibt es hier Ergänzungsbedarf?

Im Hinblick auf die IT-Sicherheit sollten Sie darüber hinaus prüfen, ob bekannte Fälle von Plagiaten der App in Umlauf sind und mit welchen Risiken eine Installation über die großen App-Stores im Einzelfall behaftet sein könnte. Wenn Sie hier sicher gehen wollen, sollten Sie einen unternehmensinternen App-Store einrichten und für die dienstlichen Mobilgeräte ausschließlich die Installation von Apps über diesen App-Store erlauben.

Datenschutzfolgenabschätzung

Die Corona-App wurde sowohl von der verantwortlichen Stelle, dem Robert Koch-Institut, als auch vom „Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.“ (FifF) einer detaillierten Datenschutzfolgenabschätzung unterzogen. Wenngleich diese umfassenden Untersuchungen an manchen Stellen Optimierungspotentiale aufgezeigt haben (bspw. bei der Einrichtung der Telefon-Hotline sowie im Hinblick auf die theoretische Möglichkeit von Fehlalarmen), wurden insgesamt keine wesentlichen datenschutzrechtlichen Bedenken gegen eine Nutzung der App genannt. Auf die theoretische Möglichkeit einer missbräuchlichen Nutzung der App gehen wir weiter unten im Zusammenhang mit der Äußerung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) ein.

Die Datenschutz-Folgenabschätzungen können an folgenden Stellen abgerufen werden:

https://www.fiff.de/dsfa-corona
https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

Schließlich hat sich auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Prof. Ulrich Kelber zur Corona-App geäußert:

„Aus Sicht des Datenschutzes sehe ich keinen Grund, der gegen eine Installation spricht. Aber es gibt noch Schwachstellen. Dort müssen die verantwortlichen Behörden und Unternehmen Anpassungen vornehmen. Als zuständige Aufsichtsbehörde werden wir überprüfen, dass unsere Hinweise schnellstmöglich umgesetzt werden.“ 

(Quelle: www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/12_Corona-Warn-App.html, abgerufen am 19.06.2020).

Weitere Hintergrundinformationen zum Betrieb und der Nutzung der Corona-App liefert darüber hinaus das BayLDA, welches sich regelmäßig zu aktuellen Datenschutz-Themen äußert.

IT-Sicherheit

Neben den Datenschutzfolgenabschätzungen, welche sich naturgemäß ebenfalls mit Fragen der IT-Sicherheit beschäftigen, hat sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung zu Wort gemeldet. Das BSI hat die Entwickler der App demnach u. a. durch Beratung, Code Reviews und Tests unterstützt. Wie das BSI im Weiteren erklärt, erfüllt die Corona-App alle für sie zutreffenden Anforderungen aus der technischen Richtlinie "TR 03161 - Sicherheitsanforderungen an Digitale Gesundheitsanwendungen" des BSI.

Information

Wenn Sie als Arbeitgeber gegenüber Ihren Mitarbeitern eine Empfehlung zur Nutzung der Corona-App aussprechen, sollten Sie über die Datenverarbeitung im Zusammenhang mit der Nutzung der Corona-App informieren. Entsprechende Hinweise darauf gibt es in der durch das Robert-Koch-Institut durchgeführten Datenschutzfolgenabschätzung und insbesondere in der Datenschutzinformation für die Nutzung der Corona- App. Diese sind bspw. hier zu finden:
https://www.coronawarn.app/de/faq

Anweisung zur Nutzung der App?

Grundsätzlich kann ein Arbeitgeber darüber bestimmen, wie von ihm bereitgestellte Betriebsmittel durch seine Mitarbeiter genutzt werden. Dies kann auch die Nutzung bestimmter Apps einschließen, sofern diese betrieblichen Interessen dienen bzw. für die Durchführung des Beschäftigungsverhältnisses erforderlich sind, nicht in die Persönlichkeitsrechte der Mitarbeiter eingreifen und schutzwürdige Belange der Mitarbeiter nicht überwiegen. 

Darüber hinaus kann eine Verpflichtung, das dienstliche Mobilgerät bei sich zu führen, durch den Arbeitgeber nur für die Arbeitszeit (inkl. möglicher Bereitschaftszeiten) erfolgen. Der private Bereich der Nutzung - bspw. eine etwaige Nutzung in der Freizeit - darf von einer dienstlichen Regelung demnach nicht betroffen sein. Dieses wäre bei der Nutzung der Corona-App vermutlich der Fall, da außerhalb der Arbeitszeit vorwiegend private Kontakte erfasst werden würden. Eine Nutzung ausschließlich während der Dienstzeiten würde hingegen die Wirksamkeit der App stark einschränken.

Kontrolle der Nutzung

Eine etwaige Kontrolle der Nutzung der Corona-App durch den Arbeitgeber wird in der Fachliteratur uneinheitlich bewertet, wobei aber eine Mehrheit der Quellen von der Unzulässigkeit solcher Kontrollen ausgeht. Im dienstlichen Umfeld wäre im Fall einer verbindlich angeordneten Nutzung auch die Mitbestimmungspflicht und Einbeziehung des Betriebsrats zu prüfen. 

Losgelöst von der arbeitsrechtlichen Zulässigkeit (die wir an dieser Stelle nicht betrachten wollen), steht eine strenge Kontrolle jedoch im Widerspruch zu der ethisch fragwürdigen - und datenschutzrechtlich auch formal relevanten - Frage der Freiwilligkeit einer Nutzung der Corona-App. Losgelöst von der Frage der Zulässigkeit solcher Kontrollen muss insbesondere damit gerechnet werden, dass Anweisungen und Kontrollen die angestrebte Akzeptanz der App konterkarieren. Insofern sollte durch den Arbeitgeber eine Empfehlung zur freiwilligen Nutzung ausgesprochen werden.

Insbesondere aber sollte durch den Arbeitgeber kein Verbot der Nutzung ausgesprochen werden. Gegebenenfalls hierfür erforderliche Ausnahmen, etwa bei einer ansonsten untersagten privaten Nutzung von Firmen-Smartphones, sollten verbindlich geregelt werden.
 

Fazit

Wir erleben gegenwärtig, dass durch die Einführung der Corona-App in vielen Unternehmen grundsätzliche Fragen zum Umgang mit Mobilgeräten aufgeworfen werden, die aus Perspektive der IT-Sicherheit und des Datenschutzes längst beantwortet sein sollten. Die Corona-App entwickelt sich zum Auslöser, um diese Themen wieder auf den Tisch zu holen. Sofern in Ihrem Unternehmen noch nicht erfolgt, sollten Sie sich zunächst mit der grundsätzlichen Nutzung von Internet und Mobilgeräten auseinandersetzen und hier über verbindliche Regelungen für Klarheit gegenüber den Arbeitnehmern sorgen. Aus Perspektive des Datenschutzes und der IT-Sicherheit haben die umfassenden Prüfungen der Corona-App zu der nahezu einhelligen Auffassung geführt, dass es hier nichts Wesentliches zu beanstanden gibt. Von punktuellen Optimierungsempfehlungen abgesehen, wird der App durchweg ein gutes Datenschutz- und IT-Sicherheitsniveau attestiert. Nicht verschwiegen werden sollten die mancherorts geführten Diskussionen über eine theoretisch mögliche missbräuchliche Nutzung der App, etwa als Eintrittskarte ("Zutritt nur nach Vorzeigen der App"). Im Hinblick auf die formale datenschutzrechtliche Zulässigkeit finden sich passende Erwiderungen in den oben verlinkten Hinweisen des BayLDA. In der grundsätzlichen Frage, ob ein Unternehmen - losgelöst von gesetzlichen Vorgaben - so handeln sollte, sehe ich einen guten Grund und ein plastisches Beispiel dafür, warum sich der Datenschutz in seiner Motivation von einem rein durch gesetzliche Normen getriebenen Handeln in die Richtung eines an ethischen Leitlinien orientierten Handelns entwickeln sollte. Zusammenfassend bleibt festzuhalten, dass der Arbeitgeber gegenüber seinen Mitarbeitern eine Empfehlung zur freiwilligen Nutzung aussprechen und die Mitarbeiter aus Fürsorgepflicht und zum betrieblichen Arbeitsschutz dazu animieren sollte, die Corona-App zu nutzen. Dazu kann durchaus eine proaktive Bereitstellung der App bei gemanagten Geräten (bspw. über ein Mobile Device Management) erfolgen, um den Zugang zur App zu erleichtern und ein versehentliches Installieren einer der gegenwärtig in Umlauf befindlichen Fake-Apps zu vermeiden. Im Hinblick auf die Vorbildfunktion der Unternehmensleitung und unter Berücksichtigung des „Tone-from-the-Top“-Paradigmas sollte dann die Unternehmensleitung mit guten Beispiel vorangehen. Ein solches Vorgehen empfiehlt sich auch im Hinblick auf die zunehmend an Bedeutung gewinnende Ausrichtung des Datenschutzes an den Werten der Digital-Ethik. Mit diesem Thema werden wir uns in der nahen Zukunft noch eingehender befassen.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: