FIfF-Aktivisten: Nutzen von Corona-Warn-Apps bleibt unklar

Inhaltsverzeichnis

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) kommt nach einer Datenschutzfolgenabschätzung von verschiedenen Corona-Tracking-Vorhaben zu dem Schluss, dass eine zu große Technikgläubigkeit fatale Folgen für die Grundrechte haben könnte.

Zur Pandemie-Eindämmung könne es weit sinnvoller sein, "die staatliche Bestrebung und Kommunikation auf Maskennutzung und Erhöhung der Testkapazität auszurichten und nicht zu viel Hoffnung auf brauchbare Hilfe durch eine Corona-Tracing-App zu schüren.“ Die Informatiker und Datenschützer bestreiten, dass eine App der „entscheidende Schlüssel“ für die Lockerungen sein könne. Gerade in Notlagen gelte es "besonders wachsam" zu sein und "den schnellen Verlockungen einfacher technischer Lösungen für extrem komplexe soziale Probleme zu widerstehen".

Drei Architekturen betrachtet

Der Analyse des FIfF nach hängt es von der konkreten technischen Implementierung ab, wie stark in die Grundrechte der Bürger eingegriffen wird. In die engere Betrachtung ihrer Datenschutzfolgenabschätzung hatten sie die europäischen Projekte Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) und Decentralized Privacy-Preserving Proximity Tracing (DP-3T), die Corona-Datenspende-App des Robert-Koch-Instituts (RKI) sowie einen Vorschlag von CCC-Mitglied Linus Neumann für eine Kontaktdaten-App genommen.

Dabei unterscheiden die Experten drei Systemarchitekturen, die alle mit dem PEPP-PT-Framework kompatibel wären: Eine zentralisierte, teilweise dezentralisierte sowie eine komplett dezentralisierte Architektur. Sie betonen, dass mit der Entscheidung zwischen Zentralität und Dezentralität wesentliche Datenschutz-Konsequenzen verbunden sind.

Kein Vorschlag bietet Anonymität

Schwerpunktmäßig bezieht sich die Datenschutzfolgenabschätzung auf die komplett dezentralisierte Architektur, wie sie von Linus Neumann vorgeschlagen wurde. Ein zentrales Ergebnis der Untersuchung ist, dass alle betrachteten Frameworks "wichtige technische Merkmale und Verfahrenseigenschaften offenlassen, die mit wesentlichen datenschutzrelevanten Folgen verbunden sind“.

Das FIfF kommt in seiner Analyse zu dem Schluss, dass die Anonymität der Nutzer von keinem Vorschlag bisher wirklich umgesetzt werde: "Nur, wenn der Personenbezug wirksam und irreversibel von den verarbeiteten Daten abgetrennt wird, kann danach von anonymen Daten gesprochen werden." Doch ein solcher expliziter Trennungsvorgang fehle in allen Vorschlägen. Das FIfF hat daher in der Datenschutzfolgenabschätzung die rechtlichen, technischen und organisatorischen Anforderungen formuliert, deren Umsetzung in der Praxis eine wirksame und irreversible Trennung sicherstellen kann.

Keines der untersuchten Verfahren habe außerdem das Problem von fälschlich registrierten Ereignissen adressiert, warnt das FIfF. Dies könnte dann der Fall sein, wenn etwa ein Kontakt durch die Wand zwischen zwei Wohnungen gemessen wurde. Entsprechend müssten falsche Infektionsmeldungen zurückgerufen können und falsch registrierte Kontaktereignisse zu einer infizierten Person gelöscht werden können.

Unterschiedliche Erhebungen, unterschiedliche Zwecke

Nach der Analyse des FIfF scheidet für eine Infizierten-Warn-App eine technische Evaluation von GPS- oder Mobilfunk-Metadaten aus, da diese Daten für die Feststellung epidemiologisch relevanter Kontaktereignisse nicht genau genug sind. Nahbereichstechnologien wie etwa Bluetooth hingegen seien geeignet, weil sie für Entfernungsmessungen im Meterbereich gedacht sind. Für die Erstellung allgemeiner Bewegungsstatistiken einer Bevölkerung, mit denen die Einhaltung von Ausgangsbeschränkungen überprüft werden kann, sind GPS- oder Mobilfunk-Metadaten die Technik der Wahl, weil sie anders als Bluetooth einen Ortsbezug aufweisen.

Eine weitere Frage ist die der Erforderlichkeit. Denn wenn ein Zweck auch mit "milderen" technischen Mitteln erreicht werden kann, muss nach Artikel 25 DSGVO (Datenschutz durch Technikgestaltung) das mildere Mittel gewählt werden. So könnte etwa der Einsatz von Bluetooth erforderlich sein, wenn die Gesundheitsämter die Infektionsketten nicht mit anderen Mitteln schnell und effizient aufdecken können und eine App hinreichend erfolgversprechend scheint. Für die allgemeine Überprüfung der Einhaltung von Ausgangsbeschränkungen sind hingegen nur aggregiert-statistische Daten als milderes Mittel legitim. Detailliertere Daten wie etwa individuelle GPS-Messungen scheiden hier aus, weil sie eingriffsintensiver, aber nicht hilfreicher sind.

Konkreter Nutzen "nicht abschätzbar"

Schließlich muss das konkrete Ergebnis des App-Einsatzes im Verhältnis zu den eingeschränkten Rechten stehen. Bislang ist jedoch der Nutzen von Corona-Tracing-App-Entwürfen "überhaupt nicht abschätzbar", sagt das FIfF, weshalb es den Fokus auf Apps als Heilsbringer als "sehr problematisch" beurteilt – zumal ein theoretisch modellierter Effekt erst bei Nutzung durch mindestens 60 Prozent der Bevölkerung zu erwarten sei. Das FIfF weist darauf hin, dass in Singapur nur 13 Prozent der Menschen die individualisierte TraceTogether-App installiert hatten. Zwar könne eine datenschutzfreundliche Ausgestaltung die Akzeptanz erhöhen – wie auch die Drohung eines ansonsten länger andauernden Lockdowns. Eine verpflichtende Nutzung komme jedenfalls mit Blick auf den unklaren Nutzen nicht infrage.

[Update 16.04.2020 – 13:15 Uhr]

Linus Neumann stellte gegenüber dem FIfF und heise online klar, dass er als Jurymitglied des Hackathons "Wir vs Virus" in einem Blogpost lediglich auf einige WirVSvirus-Einreichungen hingewiesen habe, die sich zwischenzeitlich in der Initiative ITO zusammengeschlossen haben. Das FIfF wird dies in seinem Paper klarstellen, betont aber, dass Neumann in seinem Blogpost die Kernpunkte "sauber zusammengefasst" habe.

Europäischer Datenschutzbeauftragter schaltet sich in Diskussion ein

Rainer Rehak vom FIfF weist außerdem darauf hin, dass sich die angekündigte Freiwilligkeit der App-Nutzung leicht als Illusion herausstellen könnte: "Es ist vorstellbar und wird auch bereits diskutiert, dass die Nutzung der App als Voraussetzung für die individuelle Lockerung der Ausgangsbeschränkungen gelten könnte." So könne das Vorzeigen der App könnte als Zugangsbarriere zu öffentlichen oder privaten Gebäuden, Räumen oder Veranstaltungen dienen. Unternehmen könnten sich von freiwillig umgesetzten Schutzmaßnahmen versprechen, schneller ihre Betriebe wieder öffnen dürfen. Damit würden Arbeitnehmer aber implizit genötigt, die App zu nutzen, womit Nicht-Nutzer wiederum diskriminiert werden würden, warnt Rehak.

Der Europäische Datenschutzausschuss betonte nun in einer Stellungnahme an die Europäische Kommission, dass die "bloße Tatsache, dass die Verwendung der Ermittlung von Kontaktpersonen auf freiwilliger Basis erfolgt, nicht bedeutet, dass die Verarbeitung personenbezogener Daten durch die Behörden notwendigerweise auf dieser Zustimmung beruht." Behörden können auf Basis nationaler Gesetze die Apps nutzen. Die Ausschuss-Vorsitzende Andrea Jelinek stellt klar, dass die Nutzung der App durch die Bürger freiwillig bleiben muss und dass diese die App "nach Belieben" installieren und deinstallieren können sollen. Die Apps dürften weder "sozialen Alarm" verbreiten noch zu irgendeiner Art der Stigmatisierung führen, mahnt der Ausschuss. Außerdem müssten die Informationen und Benachrichtigungen korrekt sein.

Die EU-Kommission hatte den Datenschutzausschuss gebeten, ihren Entwurf zu einer "Anleitung für Apps zur Unterstützung des Kampfes gegen die COVID-19-Pandemie" zu kommentieren, die den Einsatz von Corona-Apps auf europäischer Ebene koordinieren soll. In ihrer Stellungnahme wies Jelinek zudem darauf hin, dass Corona-Tracking-Apps, die Kontakte mit positiv getesteten Personen aufdecken sollen, nicht dazu verwendet werden dürfen, auch die Bewegungen ihrer Nutzer zu erfassen. Dies würde gegen das Prinzip der Datensparsamkeit verstoßen. Damit gingen "erhebliche Risiken für die Sicherheit und den Datenschutz" einher. Zur Geolokalisierung zur Bekämpfung der Corona-Pandemie will der Ausschuss in der in nächsten Tagen eigene Leitlinien veröffentlichen. Dem Prinzip der Datensparsamkeit würde außerdem eine dezentralisierte Lösung verbunden mit einer lokalen Datenspeicherung auf den Geräten der Nutzer eher entsprechen als eine zentralisierte Speicherung.

Die Ausschuss-Vorsitzende Andrea Jelinek betont, dass die geplanten technischen Lösungen von Fall zu Fall "eingehend" geprüft werden müssten und die europäischen Datenschutz-Aufsichtsbehörden bereits während der Entwicklung konsultiert werden sollten. Die implementierten "privacy by design"- und "privacy by default"-Mechanismen müssten im Rahmen einer Datenschutzfolgenabschätzung dokumentiert werden, auch sollte der Quellcode öffentlich zugänglich gemacht werden. (axk)