CoronaApp

Datenschutzkonforme Pandemiebekämpfung

Gläserner Mensch im Internetzeitalter
Es müssen geeignete und rechtsstaatliche digitale Lösungen zur Eindämmung der Pandemie umgesetzt werden. Der Vorschlag von Gesundheitsminister Spahn zur Handyortung war ungeeignet. Besser ist eine freiwillige App-Lösung zur Unterstützung der Kontaktverfolgung. ktsdesign / fotolia.com
28.04.2020
  • Die Aufzeichnung von Kontaktdaten von Nutzerinnen und Nutzer (Tracing) kann ein wichtiger Baustein zur weiteren Eindämmung des Coronavirus sein.
  • Die von Bundesgesundheitsminister Spahn ursprünglich verfolgte Lösung war rechtlich umstritten und wenig zielführend.
  • Wir unterstützen datenschutzrechtlich und für die Zielverfolgung sehr viel geeignetere App-Lösungen, die derzeit erarbeitet werden.

Die Corona-Pandemie ist potentiell lebensgefährlich und hat eine weltweite Notlage ausgelöst. Nahezu alle Teile der Bevölkerung sind weiterhin gefährdet, ältere Menschen überdurchschnittlich hoch. Das Gesundheitssystem muss mit einer hohen Zahl von Erkrankten fertig werden, die zum Teil sehr aufwändige Behandlung benötigen. Die Risiken wachsen mit erwartbar exponentiell steigendem Anstieg der Infizierten, so dass die Verringerung der Ansteckungsrate zum Gebot der Stunde wurde und nach wie vor ist.

Die zur Lösung gegenwärtige Leitidee des Abstand Haltens hat die Digitalisierung und die mit ihr verbundenen Möglichkeiten in dem Mittelpunkt des Interesses gerückt. Es ist deshalb nur naheliegend, dass auch bei allen Fragen rund um die Möglichkeiten der Eindämmung des Coronavirus nach digitalen Hilfsmitteln gesucht wird, die helfen sollen, die weiterhin hohen Ansteckungsraten zu senken.

Identifizierung kostet bisher viel Zeit

Besondere Aufmerksamkeit hat dabei das „Tracing“, die gezielte Rückverfolgung der Kontaktdaten von mit dem Coronavirus möglicherweise infizierten Bürgerinnen und Bürgern, erlangt. Ziel ist es, Kontaktpersonen schnellstmöglich zu lokalisieren – auch, um sie gezielt informieren zu können.  

Gegenwärtig gehen die Gesundheitsämter mit den positiv auf den Coronavirus Getesteten analog zurückliegende Aufenthaltsorte und Kontakte während der Inkubationszeit durch. So sollen potentiell angesteckte Personen identifiziert werden, um sie zu warnen und nötigenfalls in Quarantäne schicken zu können, damit die Ansteckungsketten unterbrochen werden. Das kostet Zeit, insbesondere wegen unerkannt bereits ansteckender Personen, und bleibt zudem stets lückenhaft.

Die Aussicht auf eine effizientere Kontaktverfolgung könnte einen wichtigen Baustein bei der Aufhebung zahlreicher bestehender Grundrechtseinschränkungen des Lockdown bilden.

Debatte um digitale Unterstützung

Die vor Wochen entbrannte Debatte um die Möglichkeiten digitaler Unterstützung dieser sogenannten Kontaktverfolgung wird intensiv geführt.

Sie findet auch vor dem Hintergrund höchst unterschiedlicher internationaler Ansätze der Pandemiebekämpfung statt. Asiatische Länder wie China, Singapur, Taiwan oder Südkorea verfolgen differenzierende Ziele und Konzepte. Sie werten sowohl individuelle als auch aggregierte Informationen zu Bewegungen der Bevölkerung aus. In Israel nutzt man geheimdienstliche Trackingdaten zum Aufspüren von Infizierten und deren Kontaktpersonen.

Datenschutz und IT-Sicherheit dürfen nicht gelockert werden

Die europäische Herausforderung besteht darin, eine potentiell tief in Grundrechte eingreifende Lösung effektiv mit Bürgerrechten wie dem Datenschutz und besten IT-Sicherheitsstandards in Einklang zu bringen.

Die ursprünglichen Pläne von Bundesgesundheitsminister Spahn zur Handyortung per Funkzelle im Rahmen des Infektionsschutzgesetzes sind gescheitert, weil sie unausgegoren, rechtlich umstritten und auch wenig zielführend waren. Die von ihm vorgeschlagene Gesetzesregelung hätte eine weitgehende staatliche Kontrolle der Funkzellendaten von Tausenden von Bürgerinnen und Bürgern ermöglicht, ohne dass damit irgendwem geholfen worden wäre. Denn diese Daten erlauben nicht die erforderliche Feststellung von Näheverhältnissen (etwa Kontakte im Umkreis von 2 Metern).

Daher haben wir es begrüßt, dass die Bundesregierung den umstrittenen Passus aus ihrem Gesetz genommen hat. Dies hat einen Korridor für ebenso datenschutzkonforme wie zielführende Maßnahmen eröffnet.

App kann bei Eindämmung helfen

Die Corona-Krise stellt unsere Gesellschaft und unseren demokratischen Rechtsstaat vor große Herausforderungen. Außergewöhnliche Krisen erfordern außergewöhnliche Schritte. Aber: Gerade in diesen Krisen bewährt sich eben auch der Rechtsstaat. Demokratische Institutionen und Abstimmungsprozesse sind eine Stärke, keine Schwäche. Gerade jetzt ist es wichtig, mit kühlem Kopf zu agieren und auf die Stärken des Rechtsstaats und seiner demokratischen Institutionen zu bauen.

Wir Grüne im Bundestag haben bereits vor Wochen auf die Möglichkeit datenschutzkonformer und zielführender Alternativen hingewiesen. Die gegenwärtig diskutierte App-Lösung kann ein wichtiger Baustein bei der Eindämmung der Pandemie werden. Mit ihr könnten grundsätzlich Lücken in der Kontaktverfolgung geschlossen, die Benachrichtigung von Kontaktpersonen beschleunigt und verbessert werden.

Sie ist aber kein Allheilmittel, auch weil nie alle Bürgerinnen und Bürger auf diesem Wege erreichbar sein werden.

Kein Abgriff von eindeutigen Lokalisierungsdaten

Unter bestimmten Voraussetzungen kann gezielte digitale Kontaktverfolgung sehr wohl mit dem Datenschutz in Einklang gebracht werden. Das Pan European Privacy Protecting Proximity Tracing (Pepp-PT) Konsortium hat diese Anforderungen dargelegt und zeigt, wie europäische Standards zur digitalen Bekämpfung der Krise geschaffen werden können.

Unter dem Dach des Pepp-PT hat eine Forschergruppe den weitgehend dezentralen Standard DP 3 T vorgelegt. Bei dieser dezentralen Lösung verbleiben alle Kontaktdaten auf den Smartphones der Nutzerinnen und Nutzer. Wir haben ebenso wie zahlreiche NGOs, darunter der Chaos Computer Club (CCC), die Bundesregierung mehrfach aufgefordert, sich an diesen datenschutzfreundlichen Vorgaben zu orientieren.

Wir begrüßen, dass sie nun in letzter Minute von der von ihr verfolgten, risikoreicheren zentralen Lösung abgekehrt ist und ebenfalls einen dezentralen Ansatz verfolgt. Gleichzeitig bleiben die Aussagen der Bundesregierung und ihre App-Pläne hoch widersprüchlich. So bleibt beispielsweise unklar, ob diese – zumindest für bestimmte Personengruppen wie Angehörige von Berufen der kritischen Infrastrukturen – doch verpflichtend eingeführt werden könnten. Hier brauchen wir endlich Klarheit.

Im Kern bedeutet eine datenschutzfreundliche Lösung: Transparenz, Freiwilligkeit der Nutzung, Verzicht auf Lokalisierungs-/Positionsdaten und Anonymisierung der Daten als absolute Grundbedingungen. Durch eine dezentrale Speicherung auf den Handys der NutzerInnen und die Bereitstellung des Source Codes würde Vertrauen zusätzlich gestärkt.

Gleiches gilt für eine frühzeitige Einbeziehung und Überprüfung der Technik sowohl durch den Bundesbeauftragten für den Datenschutz (BfDI) als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Eine gesetzliche Regelung kann zusätzliches Vertrauen schaffen, um klare rechtliche Verantwortlichkeiten wie eine enge Zweckbindungen und zeitliche Befristungen zu definieren, die Diskriminierung von App-NutzerInnen und Nicht-NutzerInnen auszuschließen oder den (späteren) theoretisch möglich bleibenden Zugriff von Sicherheitsbehörden ebenso wie die Zugriffe der App-Anbieter auf die Daten klar auszuschließen.

Zudem muss eine begleitende Information der NutzerInnen sichergestellt werden. Für Bürgerinnen und Bürger ohne Smartphone, die ebenfalls teilnehmen möchten, sollte die Bereitstellung von Alternativen geprüft werden.

Leitplanken für den Datenschutz

Die folgenden Leitplanken zur Wahrung des Datenschutzes müssen eingehalten werden: Der staatliche Abgriff von Telekommmunikations-Daten, insbesondere eindeutiger Lokalisierungsdaten, sollte vermieden werden. Das Ziel der Kontaktverfolgung im näheren Umkreis kann gleichwohl erreicht werden. Nach dem Pepp-PT sind dies Kontakte von mehr als 15 Minuten mit Unterschreitungen des Mindestabstandes von zwei Metern.

Für uns steht die Freiwilligkeit der Nutzung einer solchen App im Vordergrund, mit der Nutzerinnen und Nutzer ihre Bewegungsdaten selbst aufzeichnen und im Falle eine Infizierung ihre während der Inkubationszeit getrackten Daten zum Abgleich mit anderen App-NutzerInnen bereitstellen. Sie müssen die App jederzeit selbst de-installieren können, wenn sie dies wollen. Die retrograde Zurückverfolgung der Kontakte muss zeitlich eng auf die erforderliche Zeit der Inkubation begrenzt bleiben.

Für die Weitergabe der eigenen Daten und den Abgleich mit anderen App-Usern braucht es eine weitgehend anonymisierte oder zumindest solide pseudonymisierte Infrastruktur. Eine weitgehend dezentrale Lösung auf dem Smartphone der User sowie die Vermeidung einer zentralen Datenbank, bei der dann auch Missbrauch und IT-Sicherheitsrisiken wachsen würden, war und ist uns wichtig.

Nur Pflicht zur Kontaktverfolgung unterstützen

Die App-Lösung sollte auf den Zweck der Unterstützung der gesetzlichen Pflicht zur Kontaktverfolgung beschränkt bleiben. Sie sollte auf so wenige Datenarten wie möglich beschränkt bleiben; mit der Registrierung u.a. der über die Bluetooth-Schnittstelle laufenden Erfassung von umliegenden Mobiltelefonen können sehr genaue Darstellungen von Näheverhältnissen ermöglicht werden.

Apps mit anders gelagerten Zwecken wie die "Datenspende-App" des RKI müssen ebenfalls jederzeit den Anforderungen des geltenden Datenschutzes entsprechen. Gerade die "Datenspende-App" wirft insoweit eine Reihe von Fragen auf, wie etwa die Frage der Speicherdauer, das ungeklärte Zusammenspiel mit anderen Smartphone-Applikationen sowie die noch offene Frage der Evaluation des Nutzens und damit der Rechtfertigung ihres weiteren Einsatzes.

Daher fordern wir eine enge Einbindung, vollständige Information und Berücksichtigung der Vorgaben des Abstimmung mit dem Bundesbeauftragten für Datenschutz sowie des BSI für alle Corona bezogenen App-Vorhaben.

Die Bundesregierung hintertreibt ihre eigenen Ziele digitaler Unterstützung, wenn sie mit immer neuen, unausgegorenen  Plänen (etwa der kürzlich angedeuteten Quarantäne-Kontrolle-App) eine weitere Verunsicherung in der Bevölkerung auslöst.

Stattdessen sollte sie umgehend eine funktionsfähige Tracing-App vorlegen. Dass sie ganz offenkundig trotz der voranschreitenden Lockerungen der Kontaktverbote nicht dazu in der Lage ist, begleitend schon jetzt eine datenschutzfreundliche App vorzulegen, unterstreicht ihr anhaltendes Versagen bei der Digitalisierung.