Wo ein Wille ist, ist auch ein Weg – und umgekehrt: Folgte der Datenschutz in Deutschland früher einmal generalpräventiven Erwägungen, wonach die Erfassung sensibler Informationen wegen selbst nur theoretischer Missbrauchsmöglichkeiten im Zweifel verboten oder an extreme Hürden gebunden war, so gilt heute das Prinzip: Einfach mal machen… wird schon nichts passieren. Schließlich ist doch Pandemie! Mit dieser an sich völligen unmöglichen Lässlichkeit wurden in der Corona-Zeit in Windeseile alle einstigen Brandmauern der informationellen Selbstbestimmung und Privatsphäre niedergerissen und eingeebnet. Es diente ja alles dem “Gesundheitsschutz”.

Die Befürchtungen, dass sich am reichhaltigen, freimütig und reichlich naiv dargebotenen Datenschatz der Bürger – von Mail- und Wohnadressen, Handyummern, Bewegungsprofilen mit Zeitstempeln, Sozialkontakten bis hin zum Impf- oder Gesundheitsstatus – nicht nur Gesundheitsbehörden, sondern auch Dienststellen anderer hoheitlicher Aufgabenbereiche bedienen könnten (von Begehrlichkeiten der Industrie, Marktforschung und Privatwirtschaft ganz zu schweigen) schlugen die Deutschen dabei ebenso leichtfertig in den Wind, wie sie mehrheitlich bis heute auch an die Redlichkeit der Maßnahmen und der Impfkampagne glauben. In solidarischer Gemeinschaft wird Einfalt zur obersten Tugend. Dass es der Staat womöglich nicht gut mit ihnen meinen könnte, liegt im institutionsgläubigen Deutschland außerhalb des Vorstellungshorizonts vieler Menschen – heute genauso wie vor 88 Jahren.

Bequemes Alltagstool für Naivlinge

Und so machen sich denn die meisten auch reichlich wenig Gedanken, wenn sie sich allwöchentlich vieldutzendfach scannen, Identitätsfeststellungen unterziehen oder testen lassen, und vor allem bei fast jedem Aufenthalt ihre Kontaktdaten hinterlassen. Als bequemstes Alltagstool hat sich hierbei die Luca-App etabliert, von der es immer hieß, sie sei ebenso sicher und seriös wie bequem. Dass sich ihre Nutzer in Wahrheit gläserner machen, als ihnen womöglich lieb ist, zeigt nun allerdings ein Vorfall aus Mainz: Dort griffen Ermittler der Kriminalpolizei auf die Luca-Kontaktdaten von Besuchern einer Kneipe zu, um auf diese Weise Zeugen in einem Todesfall ausfindig zu machen.

Auch wenn der Anlass im konkreten Fall diesen Schritt der Beamten vielleicht vertretbar erscheinen lässt (es ging um die Klärung es Todesumstände eines 39-jährigen, der vor sechs Wochen beim Verlassen einer Gaststätte gestürzt und später an seinen Verletzungen verstorben war), so gibt es hierbei ein massives Problem: Eigentlich ist es nämlich nicht erlaubt (und sollte vor allem gar nicht möglich sein), dass die Polizei Daten aus der Luca-App zur Strafverfolgung nutzen kann. Ob es sich wie im vorliegenden Fall “nur” um Zeugenermittlung handelt oder um Täterfahndung, ist dabei von nachrangiger Bedeutung: Bei Daten der Luca-App handelt es sich – wie beim Verwertungsverbot rechtswidrig erlangter Beweise – um das, was die angelsächsische Justiz klassischerweise als “Früchte des verbotenen Baums” kennt: Um sensible Informationen, die von anderen Behörden außerhalb der eng definierten “seuchenpolitischen” Zweckbestimmung grundsätzlich  nicht verwendet (und diesem Fall überhaupt nicht hätten eingeholt) werden dürfen, da dies unrechtmäßig ist.

Doch erstens stellt sich im Corona-Jahr 3 die Frage, was “Rechtsmäßigkeit” in Deutschland überhaupt nicht bedeutet. Und zweitens ist es wie immer: Was irgendwie möglich ist, wird auch ausgenutzt. Im konkreten Mainzer Fall riefen, wie “Bild” berichtet, die Ermittler 21 via Luca-App registrierte Kneipengäste an, die den Sturz des Gastes beobachtet haben könnten. Die Handynummern besorgten sie sich, so die Zeitung, über das Gesundheitsamt, das die Wirtin um Einverständnis zur Herausgabe der Daten gebeten hatte; ein klarer Verstoß gegen das Infektionsschutzgesetz, das die Verwendung der App-Daten zur Strafverfolgung explizit verbietet. Nun fühlen sich viele bisherige Luca-Fans reichlich verschaukelt und irritiert. “Hat uns Smudo an die ‘Bullen’ verraten, oder was?”, fragte einer unverblümt mit Blick auf den “Fantastische Vier”-Sänger und den prominenten Teilhaber der App, dem einst als rebellischem Freigeist die Herzen zufolgen, der heute aber leider voll auf “vorbildlicher Linksstaatsbürger” abonniert ist (siehe z.B. hier, hier und hier).

Alles easy-peace?

Doch wen juckt es? Wenn schon zwecks Ausfindigmachung von Zeugen zu solchen Mitteln gegriffen wird – glaubt dann irgendjemand noch ernsthaft, dasselbe würde nicht längst auch bei der Ermittlung und Überwachung von Verdächtigen – zunehmend natürlich auch Andersdenkenden, “Rechten” (worunter heute ja jeder fällt), “Spaziergängern” oder sonstigen potentiellen Verfassungsfeinden – erfolgen??? Und mehr noch: Auch andere Dienststellen wie Bundeskriminalamt, Jobcenter, Arbeitsagenturen, Ausländerämter, Schulbehörden oder Zoll könnten ihre Wissbegier über ihre “Bürgerkunden” längst aus dem reichhaltigen Fundus der Luca-Überwachungsdatenbestände stillen. Wer wollte die Hand dafür ins Feuer legen, dass dies nicht längst schon geschieht?

Ebenso ärgerlich wie interessant ist in diesem Zusammenhang die dubiose Rolle des App-Entwicklers selbst: Luca, das unter Beteiligung von Haltungs-Rappers Smudo zur hippen, smarten und leicht handhabbaren Lieblingsapp der Virusmeidungsgesellschaft aufgestiegen ist, gab sich bislang stets als supersicher und unbedenklich aus. Noch im April wurde Smudo richtig stinkig, als Kritik an Sicherheitslücken seiner App aufkam, und wies entsprechende Zweifel scharf von sich. Doch jetzt, da der Beweis erbracht wurde, wie “easy-peacy” sich die App für staatliche Datenabgriffe offenbar nutzen lässt, geben sich die App-Betreiber plötzlich ganz kleinlaut: “Wir verurteilen diesen Missbrauch der für den Infektionsschutz erhobenen Daten der lucaApp und begrüßen die Ankündigung der Staatsanwaltschaft Mainz.”

Smudo selbst ist übrigens völlig in der Deckung abgetaucht. Dafür betonen seine Partner, Luca selbst habe weder Kenntnis von dem Vorfall gehabt, noch verfüge das Unternehmen selbst über die Möglichkeit, “auf die Daten zuzugreifen”. Das mag durchaus der Fall sein, ist hier aber nicht der Punkt: Normalerweise müsste die Software dafür sorgen, dass bei jeder Abfrage – sogar zweckentsprechend durch das Gesundheitsamt – der Betroffene automatisch zuerst informiert oder besser noch um Zustimmung ersucht wird. Dass diese datenschutzrechtliche Mindestabsicherung nicht einmal vorgesehen ist, wirft die heikle Frage auf, ob Luca die mögliche künftige Nutzbarmachung seiner erfassten Daten an unbefugte Dritte nicht von vornherein eingepreist hat.