Einführung einer Corona-Tracing-App: Ein Widerspruch zur DSGVO?
Aktuell wird an einer Corona-Tracing-App getüfelt, welche die Nachverfolgung von Infektionsketten leichter machen soll. Hinsichtlich der Entwicklung und Einführung dieser Corona-Tracing-App ist allerdings ein öffentlicher Streit entbrannt, welcher für Aufruhr sorgt.
Wie soll die Corona-Tracing-App funktionieren?
Anders als zunächst angedacht und in den USA bereits umgesetzt, sollen in Deutschland zur Kontaktverfolgung keine Standortdaten via GPS erhoben werden. Die Kontaktrückverfolgung funktioniert ohne Ortungsdaten und erkennt Kontakte von Infizierten mit Hilfe einer Bluetooth-Low-Energy-Technik (BLE). Durch diese Technik werden vom Smartphone temporär IDs ausgesendet und mit den Handys anderer Personen ausgetauscht, die sich für einen bestimmten Zeitraum im Nahbereich aufgehalten haben. Voraussetzung für diese Technologie ist allerdings, dass jede Person welche die App verwendet, ständig und ohne Unterbrechung ihr Bluetooth am Smartphone eingeschaltet lässt.
Was sind die Knackpunkte?
Zentrale oder dezentrale Speicherung der Daten
Dieses Projekt PEPP-PT (Pan European Privacy-Protecting Proximity Tracing) zur Entwicklung eines technischen Standards zur Kontaktverfolgung mittels Bluetooth, wird nun offiziell von der deutschen Bundesregierung unterstützt und soll zur Entwicklung der Corona-Tracing-App verwendet werden. Immer mehr Unterstützer und Anhänger dieses Projekts, unter anderem das Helmholtz-Institut für Informationssicherheit (CISPA), die Turiner Forschungsstiftung ISI (Istituto per l’Interscambio Scientifico) und die Katholische Universität Leuven ziehen sich jedoch von dem Projekt zurück. Grund dafür ist ein entbrannter Streit über die zentrale oder dezentrale Speicherung der Daten.
Bei einer zentralen Speicherung wird die Liste der Risiko-Kontakte von der infizierten Person auf einen zentralen Server hochgeladen. Dies geschieht zu dem Zeitpunkt, wenn der Corona-Test einer Person positiv ausfällt. Der Server berechnet das Risiko einer Infektion und verständigt die Risiko-Kontaktpersonen. Also all diejenigen Personen, welche zuvor via der Bluetooth Technologie ihre IDs mit dem Smartphone der infizierten Person ausgetauscht hatten. Bei diesem zentralen Modell erfolgt die Speicherung der Daten an einer Stelle. Hierdurch ist theoretisch eine Re-Identifizierung der pseudonymisierten Daten möglich. Dies ist ein Tür und Tor Öffner für Unternehmen, Hackerangriffe, Cyber Kriminalität und autoriäre Staaten.
Entgegen dem zentralen Ansatz, soll das dezentrale Modell ohne eine solche Speicherung und Verarbeitung von sensiblen Daten auskommen. Hierbei melden die infizierten Personen ihre ID selbst als infiziert. Alle anderen Smartphones welche in der Vergangenheit ihre ID mit diesem Gerät getauscht hatten fragen ständig im Hintergrund ab, ob sie in Kontakt mit dieser infizierten ID waren. Falls ja, meldet sich sich die App und der Betroffene weis, dass er Kontakt mit der infizierten Person hatte. Eine Ableitung eines Social Graph, also einem Netz der Sozialkontakte der App Nutzer ist durch diesen Ansatz nicht möglich.
Die Bundesregierung stellte sich bisher auf die Seite des zentralen Ansatzes, vor welchem aber viele Experten aus datenschutzrechtlichen Gründen ausdrücklich warnten. Mehr als 280 Forscher und Forscherinnen aus der ganzen Welt hatten sogar bereits einen offenen Brief unterzeichnet, in dem sie sich gegen die zentrale Lösung aussprachen. Vergangenes Wochenende haben die Politiker sich nach enormen Druck von verschiedenen Seiten, dann doch für den dezentralen Ansatz entschieden, mit welchem die Corona-Tracing-App nun bald erscheinen soll.
“Freiwillige” Nutzung der Corona-Tracing-App
Einen weiterer Knackpunkt der Corona-Tracing-App stellt die Freiwilligkeit der Nutzung dar. Sollten Aktivitäten wie Verlassen des Hauses, Einkaufen, Nutzen der ÖPNV und Besuchen von Restaurants an die Nutzung einer App gekoppelt werden (siehe Beispiel China und die Verwendung von QR-Codes), kann von einer Freiwilligkeit nicht mehr die Rede sein.
Auch ist es schwierig zu Zeiten einer Krise zu unterscheiden, ob die Nutzung wirklich freiwillig erfolgt oder ob nicht der Druck der Medien, der eigenen Kontakte und der Gesellschaft für eine obligatorische Nutzung sorgen. Auch ist Angst sicherlich eine nicht zu unterschätzende Komponente in der Entscheidung, ob die Corona-Tracing-App Verwendung findet.
Fragwürdige Wirkung der Corona-Tracing-App
Egal ob über das System einer zentralen oder dezentralen Speicherung: Gilt eine Person als infiziert, erhalten alle Kontaktpersonen eine Benachrichtigung. Doch wozu führt das? Diese Personen sind in diesem Moment vielleicht auf der Arbeit, beim Einkaufen, vor dem Fernsehr oder mit dem Hund spazieren. Eine solche Nachricht kann für den Ausbruch großer Verunsicherung oder Panik sorgen. Ein Jeder wird wissen wollen, ob er sich bei der infizierten Person angesteckt hat. Allerdings wird eine solch enorme Testkapazität derzeit nicht möglich sein, was zu noch mehr Sorge in der Gesellschaft führen wird.
Ständig aktiviertes Bluetooth
Wir wissen, dass beispielsweise Einkaufszentren, Innenstädte oder Einzelhandel die eingeschaltete Bluetooth Funktion auf Smartphones nutzen, um Daten über die sich dort aufhaltende Person zu sammeln. In welche Geschäften bewegt sie sich? Wo geht sie besonders oft hin? Wie und welche gezielten Angebote sind für diese Person passend?
Viele Nutzer wissen von dieser Problematik und lassen daher gezielt das Bluetooth wenn möglich immer ausgeschaltet. Durch die Einführung einer Corona-Tracing-App, welche über Bluetooth Daten austauscht, stecken diese Personen in der Zwickmühle, da sie sich entscheiden müssen: Daten- oder Infektionsschutz.
Eine Lösung wäre beispielsweise die e-Privacy Verordnung, welche einem solchen Offline-Tracking klare Grenzen setzen und somit Vertrauen schaffen würde.
Und jetzt?
Zusammenfassend lässt sich wohl sagen, dass die geplante Einführung der App Ende April einige Überasschungen bereit halten wird. Es ist abzuwarten, ob sich die Befürchtungen der Kritiker bewahrheiten.
Am Ende wird wohl nahezu jede Technologie, welche die Kontaktverfolgung von Personen zum Inhalt hat, an datenschutzrechtliche Grenzen stoßen. Einige mehr, andere weniger.
Derzeit ist es jedem selbst überlassen, ob er die App nutzen möchte oder nicht. Hoffen wir, dass es bei dieser Freiwilligkeit bleiben wird. Fakt ist aber auch, dass die Tracing-App nur dann seinen Zweck auch erfüllen kann, wenn zahlreiche Menschen sie auch nutzen werden. Sollte dies nicht auf freiwilliger Basis geschehen bleibt offen, wie die Bundesregierung hierauf reagieren wird.
Wichtig ist, dass die von allen Ländern begrüßte Datenschutzgrundverordnung nicht auf Grund einer Krise wieder dem Boden gleich gemacht wird. Auch zu Krisenzeiten sollten uns Grundwerte und und Grundfreiheiten weiterhin als höchstes Gut erhalten bleiben. Selbstverständlich gibt es Maßnahmen welche getroffenen werden müssen, die diese Rechte einschränken. Umso wichtiger all diejenigen Rechte aufrecht zu erhalten, bei denen es noch möglich ist.
Übrigens…
Am 20.04.2020 kündigt Jens Spahn bereits eine neue App an, welche neben der Corona-Tracing-App zur Eindämmung des Virus eingesetzt werden soll: Die Quarantäne-App.
Die App soll den Gesundheitsämtern die Arbeit erleichtern und digital prüfen, ob Peronen die vom Amt verhängten Quarantäne-Auflagen einhalten. So stellt die Bundesregierung die App als eine Art Quarantäne-Tagebuch vor, welches sich in Quarantäne befindliche Personen pflegen sollen.
Die Quarantäne-App soll für Gesundheitsämter verpflichtend, für die Bevölkerung und die betroffenen Personen jedoch freiwillig sein.
