Seit Beginn der Coronapandemie haben Forscher*innen und Politiker*innen stets betont, dass es wichtig sei „die Infektionskurve abzuflachen“. Zum Erreichen dieses Ziels könnten nun auch moderne Technologien beitragen.

Nikolai Blechschmidt, Universität Hamburg

I. Einleitung

Kaum ein Thema ist derzeit in Medien und in der Politik präsenter als das Coronavirus. Täglich steigen die Infektionszahlen und Todesfälle nicht nur in Deutschland und Europa, sondern weltweit. Um dem entgegenzuwirken wurde das öffentliche Leben zunächst eingeschränkt und Ausgangsbeschränkungen erlassen – es kam zum Shutdown. In Deutschland hat sich die Lage nun dahingehend entspannt, dass zumindest einige Bereiche des öffentlichen Lebens langsam wieder zugänglich werden. Die von den Ländern erlassenen Kontaktverbote bestehen jedoch weiterhin. Hiermit steigt auch das Risiko einer erneuten Infektionswelle, denn die Pandemie ist noch nicht vollständig bekämpft. Eine Möglichkeit, eine erneute Infektionswelle bzw. einen weiteren Shutdown zu verhinden, sehen Experten und Politiker in einer Corona-Tracing-App. Die Funktionsweise einer solchen Corona-App wird jedoch, insbesondere im Hinblick auf Fragen des Datenschutzes, kritisiert. Ebenso sehen Kritiker ein hohes Missbrauchspotential. Im Folgenden werden der grundsätzliche Nutzen einer Corona-App und die möglichen Konzepte besprochen. Zuletzt wird darauf eingegangen, ob diese Konzepte einer rechtlichen Überprüfung standhalten können.

II. Vorgehensweise in Deutschland ohne Corona-Tracing-Apps

Das Vorgehen zur Abflachung der Infektionskurve in Deutschland besteht darin, die Infektionsketten möglichst zu unterbinden.[2] Dies geschieht dadurch, dass die zuständigen Behörden in Kontakt mit Infizierten treten und diese nach möglichen Kontaktpersonen befragen. Daraufhin wird versucht, Kontakt zu diesen mitgeteilten Personen aufzubauen. Dieser Prozess kann viel Zeit in Anspruch nehmen. Dabei kann gerade diese Zeit dazu führen, dass die Kontaktpersonen weitere Personen infizieren. Und diese infizieren wiederum erneut Personen. Die Infektionsketten werden mit der Zeit also unüberschaubar und können nicht mehr wirksam unterbunden werden. Dieser Problemlage soll mit einer Corona-Tracing-App entgegengewirkt werden. 

III. Bestehende Varianten in anderen Ländern

Allerdings wird die Idee einer solchen App in Deutschland bereits vor Veröffentlichung kritisiert. Anlass zur Kritik bereiten vor allem auch die Tracing-Methoden, welche weltweit, u.a. im asiatischen Raum, eingesetzt werden. In China sammelt beispielsweise die sogenannte Health Code App personenbezogene Daten, wie den Namen, den Wohnort und den Gesundheitszustand.[3] Zusätzlich erfasst die App das Bewegungsprofil einer Person und kann somit ermitteln, ob Kontakt zu bereits infizierten Personen bestand oder sich die Person in einem Gebiet aufgehalten hat, in dem es zu vermehrten Infektionen kam. Auf dieser Grundlage sendet die App eine Einschätzung, wie sich der/die Nutzer*in zu verhalten hat. Diese Einschätzung wird durch einen farblichen Code vermittelt. So bedeutet rot, dass sich die Person in eine zweiwöchige Quarantäne begeben soll, und grün, dass sich die Person weiterhin frei bewegen darf. Um effizient funktionieren zu können sind solche Apps auf die Nutzung durch einen Großteil der Bevölkerung angewiesen. Mindestens 50 % der Bevölkerung, müssen die App verwenden, ansonsten können die Daten nur unzureichend ausgewertet und verwendet werden.[4] Deshalb kam es in China in einigen Regionen zu einem faktischen Zwang, die App verwenden zu müssen. So generierte die App auch QR-Codes, die zum Betreten der Bahn notwendig sind. Benutzt man die App nicht, so ist man in seiner Bewegungsfreiheit eingeschränkt. Auch in Südkorea werden ähnlich funktionierende Coronamaps verwendet.[5] Diese Coronamaps sind über das Internet abrufbar und markieren die Orte , an denen sich Infizierte zuletzt aufhielten. Aus diesen Beispielen wird ersichtlich, dass auf der einen Seite die Freiwilligkeit der Nutzung einer App zweifelhaft ist und dass mit den gesammelten Daten nahezu eine Massenüberwachung stattfinden kann. Auf der anderen Seite ist aber festzustellen, dass die Infektionszahlen in China und Südkorea nahezu nicht mehr steigen[6] und die Methoden dort scheinbar erfolgsversprechend sind.

IV. Ziel & Funktionsweise der geplanten App in Deutschland und Europa

Die EU-Kommission sieht in einer Corona-App grundsätzlich ein geeignetes Mittel zur Bekämpfung der Coronapandemie, fordert dazu jedoch einheitliche Standards auf EU-Ebene, um auch die Einhaltung von datenschutzrechtlichen Vorschriften zu gewährleisten.[7] Daher werden insbesondere zwei mögliche Konzeptionen besprochen – das Pan European Privacy Protecting Proximity Tracing (PEPP-PT) [8] und das Decentralized Privacy-Preserving Proximity Tracing (DP3T)[9].

  1. App mit zentralem Server (PEPP-PT)

Die deutsche Regierung hat dieses Projekt eine lange Zeit begrüßt und es war von der Umsetzung des Projekts in Deutschland auszugehen.[10] Die Grundidee ist dabei recht identisch zu dem Vorgehen in Asien – mögliche Kontaktpersonen eines Infizierten sollen schnell vor einer möglichen Infektion gewarnt werden. Umgesetzt werden soll dieser Plan konkret dadurch, dass sich die Smartphones, welche die Corona-Tracing-App installiert haben, all diejenigen Smartphones merkt, die sich mit einem geringeren Abstand als zwei Meter für eine relevante Zeit, zum Beispiel 15 Minuten, in der Nähe befanden. Dazu soll die, in Smartphones bereits verwendete, Bluetooth Low Energy-Technologie benutzt werden, indem die jeweiligen IDs der Nutzer*innen zeitweise gespeichert werden. Hierbei handelt es sich um temporäre IDs, die automatisch alle 15 Minuten geändert und vom Server vergeben werden. Die IDs sollen dem Konzept nach auch nur für eine Zeit von 14 Tagen auf einem zentralen Server gespeichert werden, um die Inkubationszeit des Virus abzuwarten und eine Infektion zwischen Kontaktpersonen ausschließen zu können. Dieser zentrale Server könnte beispielsweise vom Robert-Koch-Institut betrieben werden. Ebenso wird eine zentrale Kennung für jedes Gerät bei der Installation vergeben, welche eine spätere Zuordnung zu den temporären IDs gewährleisten kann. Auch diese Kennung wird dauerhaft zentral gespeichert. Wenn nun eine Person positiv auf das Coronavirus getestet wurde, dann kann diese Person dies in ihrer Corona-App eintragen. Daraufhin werden die gespeicherten IDs an den zentralen Server weitergeleitet, welcher einen zentralen Datenabgleich durchführt und eine Risikowarnung an alle gespeicherten Smartphones versendet. Die benachrichtigten Personen können sich daraufhin in häusliche Quarantäne begeben und einen Coronatest vereinbaren. Bis zur Abklärung des Testergebnisses würden somit sämtliche Kontakte gemieden beziehungsweise reduziert. Die Entwickler*innen betonen, dass keine Standortdaten oder Bewegungsprofile gespeichert werden, sondern nur die IDs, derjenigen Smartphones, welche sich in unmittelbarer Nähe befanden. 

  1. App mit dezentralem Datenabgleich (DP3T)

Nun kam es jedoch zu einem Kurswechsel seitens der Bundesregierung und das DP3T wird favorisiert.[11] Die grundlegende Funktionsweise, also der Rückgriff auf die Bluetooth-Technologie, ist identisch zum PEPP-PT. Abweichungen gibt es hinsichtlich der Art und Weise, wie Kontaktpersonen gewarnt werden sollen und bei der Speicherung der Daten. Beim DP3T werden die empfangenen IDs von Kontaktpersonen lokal auf dem Smartphone gespeichert. Auch werden die Bluetooth-IDs im Gegensatz zum PEPP-PT lokal generiert. Hat sich nun eine Person infiziert erhält sie einen QR-Code vom Arzt. Mit diesem kann die Person ihre eigene ID und die der Kontaktpersonen auf einem Server hochladen, welcher diese Daten an alle Smartphones, auf denen die App installiert ist, weiterleitet. Auf allen Endgeräten werden die empfangenen IDs nun mit den gespeicherten verglichen. Es findet also ein lokaler Datenabgleich statt. Nur bei den betroffenen Kontaktpersonen wird infolgedessen eine Warnung angezeigt. Der Datenabgleich und die Datenspeicherung soll sich laut der Entwickler*innen nur auf die Bluetooth-IDs beschränken, sodass IP-Adressen und Übermittlungszeiten nicht weitergegeben werden.

V. Rechtliche Zulässigkeit von Corona-Tracing

Beide Konzepte bieten eine schnelle und möglicherweise auch effektive Lösung gegen die Ausbreitung des Coronavirus in Deutschland und Europa. Kritiker*innen weisen jedoch auf die bestehenden Datenschutzregelungen hin und fordern trotz der bestehenden Notlage die Einhaltung dieser. Diese Forderung wurde beispielhaft vom Chaos Computer Club in zehn Punkten konkretisiert und zusammengefasst. Demnach müsste eine Corona-Tracing-App unter anderem gewährleisten, dass die Nutzung der App auf Freiwilligkeit basiert und die Datenverarbeitung transparent abläuft.[12] Es fragt sich daher, welche rechtlichen Vorgaben an eine Corona-Tracing-App in Deutschland zu stellen sind. 

  1. Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO)

Die datenschutzrechtliche Zulässigkeit richtet sich nach der DSGVO. Für die Anwendbarkeit der DSGVO kommt es zunächst darauf an, dass überhaupt personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO verarbeitet werden. Darunter sind alle Informationen einer Person zu verstehen, die die Identifizierung einer natürlichen Person ermöglichen. Beide Konzepte basieren auf der Grundlage von temporären IDs, welche möglicherweise zu einer Anonymisierung der Daten führen. Daher könnten Zweifel daran bestehen, dass überhaupt personenbezogene Daten vorliegen. Eine Anonymisierung würde voraussetzen, dass die Identifikation einer Person unter keinen Umständen mehr möglich ist.[13] Beim PEPP-PT werden die Kennungen der Endgeräte und die temporären IDs zentral gespeichert. Auf Grund von Verbindungsmetadaten, die zwischen dem Server und dem Smartphone ausgetauscht werden, also zum Beispiel der IP-Adresse, ist es dem Betreiber des zentralen Servers möglich die gespeicherten Daten zu de-anonymisieren und den/die Nutzer*in zu identifizieren, sodass vom Vorliegen personenbezogener Daten auszugehen ist.[14] Ferner kommt es beim PEPP-PT durch die Speicherung und Weitergabe von Daten auch zu einer Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO. Die DSGVO und die dort geregelten Anforderungen sind daher hierauf anwendbar und somit zu beachten.

Beim DP3T erscheint es schon schwieriger von personenbezogenen Daten zu sprechen, weil es an einer zentralen Stelle zur Datenverarbeitung fehlt. Jedenfalls in dem Zeitpunkt aber, in welchem eine positiv getestete Person ihre Daten an einen Server weiterleitet, werden neben den IDs auch Verbindungsmetadaten und Geräteinformationen mitgesendet.[15] Zumindest in diesem Fall kommt es daher auch zur Verarbeitung personenbezogener Daten. Mithin sind daher auch beim DP3T die Anforderungen der DSGVO zu wahren.

  1. Rechtfertigung der Verarbeitung 

Die Datenverarbeitung muss zunächst einmal gerechtfertigt sein. Das Gesetz hebt diesen Umstand in Art. 9 II DSGVO für Gesundheitsdaten noch einmal zusätzlich hervor. Unter Gesundheitsdaten ist unter anderem der gegenwärtige Gesundheitszustand einer Person zu verstehen.[16] Die Mitteilung eines positiven Coronatests enthält eine Information über die Erkrankung mit Covid-19 und ist daher eine zu rechtfertigende Datenverarbeitung. 

a. Rechtfertigung durch Einwilligung

Eine Möglichkeit zur Rechtfertigung bietet dazu die Einwilligung der Nutzer*innen der App gemäß Art. 6 I lit. a bzw. Art. 9 II lit. a DSGVO. Art. 4 Nr. 11 DSGVO ist dabei zu entnehmen, dass eine Einwilligung nur vorliegt, wenn sie a) freiwillig und b) in informierter Weise für einen bestimmten Fall abgegeben wurde. Zu b) müsste ein Hinweis in hinreichend detaillierter Art und Weise[17] erteilt werden und dabei müsste insbesondere in einer verständlichen Sprache die Erhebung und Nutzung der Daten erklärt werden.[18] Hier liegen keine besonderen Schwierigkeiten. Anders hingegen verhält es sich mit der Freiwilligkeit.

Dem derzeitigen Konzept der Entwickler*innen ist zu entnehmen, dass die Nutzer*innen keinem Zwang unterlegen sein sollen und eine Installation somit auf freiwilliger Basis stattfinden wird.[19] Demnach erscheint die Corona-Tracing-App als datenschutzrechtlich gerechtfertigt. Das oben Gesagte gilt es hier jedoch zu beachten: Um wirksam gegen die Verbreitung des Virus ankämpfen zu können, müssten sehr viele Menschen die App nutzen. Es sind daher Szenarien denkbar, bei denen die Politik und die Medien den Menschen einen gesellschaftlichen oder sozialen Druck aufbürden, sodass sich die Bürger*innen gezwungen sehen, die App zu installieren. Gerade dann, wenn Lockerungen der derzeitigen Maßnahmen in Deutschland nur gegen eine weitreichende Nutzung der App versprochen werden würde, käme es zu einer Zwangslage für die Bürger.[20] Auch erscheint es möglich, dass Arbeitgeber oder der öffentliche Nahverkehr, ähnlich wie in China, die Nutzung der App voraussetzen, um eben zur Arbeit kommen zu dürfen oder mit der Bahn fahren zu können. Von einer tatsächlich unfreiwilligen Entscheidung ist dann die Rede, wenn der Betroffene keine echte Wahl hat, weil er sich sonst Nachteilen ausgesetzt sieht.[21] Dies wird laut dem Erwägungsgrund 42 zur DSGVO insbesondere dann anzunehmen sein, wenn ein Ungleichgewicht zwischen den Akteuren besteht. Explizit wird ein solches Ungleichgewicht erwogen, wenn eine Behörde verantwortlich für die Datenverarbeitung ist. Zumindest in den genannten Beispielen könnte es somit zu einer unfreiwilligen Einwilligung kommen und die Datenverarbeitung könnte nicht hierauf gestützt werden.

b. Andere Rechtfertigungstatbestände

Hieran anknüpfend fragt es sich, ob es möglich ist die Datenverarbeitung auch ohne eine Einwilligung rechtmäßig durchzuführen beispielsweise gestützt auf die derzeitige Notlage. Denkbar erscheint es dazu Art. 6 I lit. d, 9 II lit. c als Rechtsgrundlage heranzuziehen.[22] Demnach wäre eine Datenverarbeitung zulässig, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person zu schützen. Hierunter zählen insbesondere die körperliche Unversehrtheit und das Leben.[23] In Art. 9 II lit. c kommt jedoch zum Ausdruck, dass die Datenverarbeitung nur dann zulässig ist, wenn der Betroffene nicht in der Lage ist eine Einwilligung abzugeben. Erfasst werden also gerade nur die Fälle, in denen die Betroffenen bewusstlos sind. [24] Zusätzlich wird in Erwägungsgrund 46 zur DSGVO ausgeführt, dass eine Rechtfertigung auf Grund von lebenswichtigen Interessen nur dann möglich sein soll, wenn sonst keine Rechtsgrundlage aufzufinden ist. Mögliche Rechtsgrundlage ist aber eben auch die Einwilligung. Eine rechtliche Verpflichtung ließe sich daher nicht hieraus ableiten. 

Zuletzt wäre künftig eine Rechtfertigung nach Art. 6 I lit. e denkbar. Demnach müsste der Datenverarbeitung ein öffentliches Interesse zugrundliegen. Als Beispiel nennt Erwägungsgrund 46 S. 3 zur DSGVO die Überwachung von Epidemien. Die derzeitige Coronapandemie ließe sich daher hierunter fassen. Gemäß Art. 6 III 1 DSGVO bedarf es dazu jedoch einer unionsrechtlichen oder mitgliedsstaatlichen Rechtsgrundlage. Und eine solche gibt es derzeit nicht. Sollte eine solche in der Zukunft verabschiedet werden, muss diese insbesondere verhältnismäßig sein und den Schutz des Lebens und der körperlichen Unversehrtheit (Art. 2 II GG) mit dem Allgemeinen Persönlichkeitsrecht (Art. 2 I GG iVm Art. 1 I GG) angemessen abwägen.[25] Denkbar ist dieser Weg durchaus. Kürzlich erst wurde eine solche mögliche Grundlage in einem Entwurf zur Gesetzesänderung des Infektionsschutzgesetzes noch erwähnt.[26] Es gilt hier also die zukünftigen Entwicklungen abzuwarten.

  1. Sonstige datenschutzrechtliche Vorgaben

Zuletzt müsste die App auch sonstigen datenschutzrechtlichen Vorgaben standhalten können. Besonders hervorzuheben sind hier die in Art. 5 DSGVO genannten Belange der Datensparsamkeit und der Speicherbegrenzung. Datensparsamkeit bedeutet, dass nur diejenigen Daten verarbeitet werden, die für das Erreichen des Verarbeitungszwecks notwendig sind.[27] Beide Konzepte überzeugen hier dadurch, dass nur die nötigsten Daten gespeichert werden sollen nämlich die IDs anderer Smartphones. Wobei die zentrale Speicherung von Kennungen der Endgeräte nicht zwingend erforderlich ist, wie das DP3T verdeutlicht. Nichtsdestotrotz kommt es für beide Apps nicht auf Standortdaten an und Bewegungsprofile sollen anders als in China nicht erstellt werden. Auf diese Weise erscheint es möglich Infektionsketten wirksam zu unterbinden und der Zweck der App bleibt somit noch immer gewahrt. Zudem dürfen Daten nur so lange gespeichert werden, wie sie für die Zwecke der Verarbeitung erforderlich sind.[28] Auch dies gelingt dem PEPP-PT indem die Daten nur für eine voraussichtliche Dauer von 14 Tagen gespeichert werden sollen. Wohingegen beim DP3T Daten gar nicht erst zentral gespeichert werden und dieser Grundsatz unproblematisch gewahrt wird. Ausnahmsweise dürften Daten aber auch zu statistischen oder wissenschaftlichen Zwecken länger gespeichert werden. Es ist zu erwarten, dass von der Ausnahmeregelung in Art. 5 I lit. e HS. 2 DSGVO Gebrauch gemacht werden würde. Dieses Vorgehen wäre rechtlich jedoch gestattet.

VI. Fazit

Corona-Tracing-Apps können also durchaus eine große Hilfe bei der Unterbrechung von Infektionsketten darstellen und auch in rechtlich zulässiger Form ausgestaltet werden. Dies gilt unabhängig von der konkreten Ausgestaltung als PEPP-PT oder DP3T. Jedoch bestehen in Deutschland und Europa klare Vorgaben an die rechtliche Zulässigkeit solcher Apps. Primär als Rechtsgrundlage wird beiden Konzepten die Einwilligung der Nutzer*innen dienen. Diese würde bei der Verwendung von Hinweisen und einer Belehrung über die Datenverarbeitung auch rechtlich wirksam zustande kommen. Für den Fall, dass die oben genannten Szenarien von einer Zwangslage zukünftig eintreten, müsste eine andere Rechtsgrundlage herangezogen werden. Denkbar wäre dann die Verabschiedung eines Gesetzes, um die Datenverarbeitung hierauf zu stützen. 

Insgesamt ist die Zulässigkeit einer Corona-Tracing-App zum derzeitigen Zeitpunkt anzunehmen. Festhalten lässt sich, dass sich die Konzepte im Ganzen an die rechtlichen Vorgaben der DSGVO halten. Die smarte Pandemiebekämpfung stellt daher eine tatsächliche Alternative zu herkömmlichen Methoden dar und wird in der Zukunft wohl auch in Europa und Deutschland Einzug finden.  


[1] Fieber, Warum es gut ist, die Coronavirus-Ausbreitung zu verlangsamen, https://www.br.de/nachrichten/wissen/warum-es-gut-ist-die-coronavirus-ausbreitung-zu-verlangsamen,RsqD1Hj, abgerufen am 26.04.2020.

[2] vgl. Pressekonferenz von Spahn und Seehofer – Bundesregierung richtet Krisenstab ein, https://www.bundesregierung.de/breg-de/themen/coronavirus/krisenstab-eingerichtet-1726070, abgerufen am 26.04.2020.

[3] Mozur/Zhong/Krolik, In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags, https://www.nytimes.com/2020/03/01/business/china-coronavirus-surveillance.html, abgerufen am 26.04.2020.

[4] Mobile applications to support contact tracing in the EU’s fight against COVID-19, Version 1.0., S. 7,

https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid-19_apps_en.pdf, abgerufen am 30.04.2020.

[5] https://coronamap.site/https://corona-nearby.com/; abgerufen am 26.04.2020.

[6] https://covid19.who.int/region/wpro/country/cn, abgerufen am 26.04.2020.

[7] Wiewiórowski, EU Digital Solidarity: a call for a pan-European approach against the pandemic, https://edps.europa.eu/sites/edp/files/publication/2020-04-06_eu_digital_solidarity_covid19_en.pdf, abgerufen am 26.04.2020.

[8] https://github.com/pepp-pt/pepp-pt-documentation/blob/master/10-data-protection/PEPP-PT-data-protection-information-security-architecture-Germany.pdf, abgerufen am 26.04.2020.

[9] https://github.com/DP-3T/documents/blob/master/DP3T%20-%20Data%20Protection%20and%20Security.pdf, abgerufen am 30.04.2020

[10] Beschluss: Telefonschaltkonferenz der Bundeskanzlerin mit den Regierungschefinnen und Regierungschefs der Länder am 15. April 2020, https://www.bundesregierung.de/breg-de/themen/coronavirus/bund-laender-beschluss-1744224, abgerufen am 26.04.2020.

[11] Neuerer, Telekom und SAP bauen Corona-App ,https://www.handelsblatt.com/technik/it-internet/Tracking-app-telekom-und-sap-bauen-corona-app/25784264.html?ticket=ST-763498-jH2ELQUTAOaqCPoLlBPl-ap3, abgerufen am 30.04.2020.

[12] https://www.ccc.de/de/updates/2020/contact-tracing-requirements, abgerufen am 26.04.2020.

[13] Klabunde in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 20.

[14] Datenschutz-Folgenabschätzung für die Corona-App, Version 1.5 – 24. April 2020, S. 71, https://www.fiff.de/dsfa-corona-file/.

[15] Ebenda.

[16] Klabunde in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 61.

[17] Klabunde in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 51.

[18] Ernst in: Paal/Pauly, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 84.

[19] https://github.com/pepp-pt/pepp-pt-documentation/blob/master/10-data-protection/PEPP-PT-data-protection-information-security-architecture-Germany.pdf, abgerufen am 26.04.2020.

[20] Datenschutz-Folgenabschätzung für die Corona-App, Version 1.5 – 24. April 2020, S. 55, https://www.fiff.de/dsfa-corona-file/.

[21] Ernst in: Paal/Pauly, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 69.

[22] so auch: Schmitz, Smarte Bekämpfung der Pandemie ist datenschutzrechtlich erlaubt, ZD-Aktuell 2020, 04404, beck-online.

[23] Heberlein in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 18.

[24] Heberlein in: Ehmann/Selmayr, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 18.

[25] Schomberg/Stroscher, Corona-Virus – eine Herausforderung auch für den Datenschutz?, ZD-Aktuell 2020, 07074, beck-online.

[26] Rath, Ergänzung des Infektionsschutzgesetzes – Spahns Pläne für die National-Epidemie,https://www.lto.de/recht/hintergruende/h/gesetzentwurf-corona-jens-spahn-entmachtung-laender-aerzte-zwangsverpflichten-handyortung/, abgerufen am 26.04.2020.

[27] Herbst in: Kühling/Buchner, 2. Aufl. 2018, DS-GVO Art. 5 Rn. 57

[28] Herbst in: Kühling/Buchner, 2. Aufl. 2018, DS-GVO Art. 5 Rn. 64