Corona-Tracing-Apps: Freiwilligkeit bedeutet nicht Freiwilligkeit

Experten warnen vor Haftungsfolgen und potenziellen strafrechtlichen Ermittlungen beim Einsatz von Lösungen zur Kontaktverfolgung. Eine Pflicht sei undenkbar.

In Pocket speichern vorlesen Druckansicht 367 Kommentare lesen
Corona-Tracing-Apps: "Freiwilligkeit bedeutet nicht Freiwilligkeit"

(Bild: Elizaveta Galitckaia / Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Nachdem der Richtungsstreit über einen zentralen oder dezentralen Ansatz bei der geplanten App zum Nachverfolgen von Coronavirus-Infektionsketten beendet ist, diskutieren Deutschland und seine Nachbarländer weitere Stolpersteine. Bei deren Einsatz könnten Folgeschäden entstehen, erklärte der österreichische Rechtsinformatiker Nikolaus Forgó am Donnerstag bei einer Online-Konferenz der Stiftung Datenschutz. Wer etwa eine Warnung über einen mögliche Infektion und Quarantäneauflagen ignoriere, dem drohten "strafrechtliche Ermittlungen".

Mehr zum Coronavirus:

"Freiwilligkeit bedeutet nicht Freiwilligkeit", verwies Forgó auf ein prinzipielles Problem mit der in Demokratien meist angeführten Einwilligungsgrundlage für Nutzer einer Lösung wie der österreichischen Stopp-Corona-App. Es gelte hier, auch potenzielle Haftungskonsequenzen mitzudenken. Generell sei bisher gar nicht beweisen, dass eine solche Anwendung überhaupt "epidemiologisch sinnvoll ist".

Auf Basis seiner "Bemerkungen zu datenschutzrechtlichen Rahmenbedingungen des Einsatzes von Tracing-Apps" empfahl der Jurist daher im Einklang mit hiesigen Rechtswissenschaftlern, dass "die freiwillige Nutzung gesetzlich abgesichert werden müsste, um die Konsequenzen zu regeln". Festzuschreiben sei etwa ein Diskriminierungsschutz für alle, die ein solches Programm nicht verwenden wollen. Geregelt werden sollte auch, was mit den erhobenen Daten geschehe und wann diese unwiderruflich gelöscht würden.

Es sei sonst durchaus denkbar, dass die Freiwilligkeit faktisch ausgehebelt werde, weil Dritte – ohne rechtliche Grundlage – den Einsatz der App verlangten oder beförderten, schreibt Forgó in seinem Papier. Eine Behörde, eine Hochschule sowie Restaurant- oder Supermarktbetreiber könnten die Installation etwa zur Voraussetzung gängiger Dienstleistungen machen.

Er hätte diese Diskussion schon viel früher erwartet, konstatierte Chris Boos als Mitinitiator des PEPP-PT-Konsortiums. Die Debatte müsse sich wegbewegen von reinen Abwägungen rund um die Privatsphäre hin zu umfassenderen Effekten des technischen Nachverfolgens. Wichtig sei auch die Frage, wie man die Menschen motivieren könne, "solidarisch zu sein".

"Man muss befürchten, dass es Drucksituationen indirekter Art geben kann", räumte der Bundesdatenschutzbeauftragte Ulrich Kelber ein. "Bei exklusiven Vorrechten" für App-Nutzer werde die Freiwilligkeit in Frage gestellt. Den Ruf nach einer klaren rechtlichen Aufspielpflicht lehnte er aber entschieden ab: "Das kann ich mir in einem Rechtsstaat nicht vorstellen." Sonst müsse etwa geklärt werden, ob es eine Ordnungswidrigkeit oder Strafbarkeit sei, wenn sich Bürger der Technik verweigerten. Offen bleibe auch, was passiere, wenn jemand Bluetooth nicht einschalte, der Akku leer sei oder das Smartphone beim Gang zur Toilette im Restaurant am Tisch bleibe.

"Die Bundesregierung muss die große Werbetrommel rühren", schätzt Kelber daher und setzt auf weitere vertrauensbildende Schritte. Die App leiste ja wahrscheinlich einen Beitrag dazu, "dass wir Infektionsketten noch schneller identifizieren und andere Maßnahmen etwas weniger strikt führen können". Wichtig sei es aber, die Anwendung "simpel zu halten". Es wäre hochgefährlich im Sinne der Akzeptanz, darauf noch weitere Funktionen wie ein Quarantäne-Tagebuch, einen Immunitätsausweis oder Tracking mit Bewegungsdaten aufzupropfen.

Online-Konferenz der Stiftung Datenschutz mit Frederick Richter von der Stiftung Datenschutz, Chris Boos, Ulrich Kelber, Ninja Marnau, Jens Redmer & Sarah Spiekermann-Hoff

(Bild: Screenshot)

Jens Redmer von Google unterstrich, dass der Konzern und Apple bei ihren kürzlich als Alpha-Versionen veröffentlichten Schnittstellen fürs Kontakt-Tracing "immer das Prinzip Freiwilligkeit" voraussetzten und dieses in den Nutzungsbedingungen für App-Entwickler festgeschrieben werde. Bluetooth sei zwar für die Abstandmessung "das beste Schlechteste, das wir haben". Nötig sei darüber hinaus aber ein Verifikationssystem, um Kontakte automatisch und "anonym" benachrichtigen zu können. Dieses müssten die Regierungen entwerfen und dabei auch verhindern, dass Trolle den Ansatz ad absurdum führen könnten.

Der von dem Duo geplante "Schmierstoff" für Tracing-Apps werde per Update automatisch eingespielt und mit dem Abklingen der Krise wieder deaktiviert, erläuterte Redmer. Selbst werde Google nicht die Android-Nutzer anstupsen, sich einschlägige Anwendungen zu installieren. Es werde aber sicher "eine große Medienkampagne" sowie "Unterstützung von vielen Unternehmen" dafür geben. Zugleich dämpfte die Führungskraft Erwartungen aus der Politik, dass 100 Prozent der Smartphone-Besitzer mitmachen; Mit 40 oder 50 Prozent ließen sich "schon gute Teilaussagen" treffen.

Entsetzt zeigte sich die Wiener Wirtschaftsinformatikerin Sarah Spiekermann-Hoff über den Vorschlag aus der Spitze der CDU/CSU-Fraktion für einen Steuerbonus für Nutzer von Corona-Warn-Apps: "Das ist Erpressung, da dürfen wir niemals hin." Wer seine Daten für "andere Vorteile" abgebe, beflügele den Überwachungskapitalismus.

Die Professorin, die in einer Excel-Tabelle einen Bewertungsmechanismus für die Datenschutzfreundlichkeit und Funktionsfähigkeit von Corona-Programmen veröffentlicht hat, würde sich selbst nie eine "Tracing-Geschichte" aufs Handy laden. Für den Abgleich von IDs im Hintergrund komme doch immer eine Serverinfrastruktur ins Gespräch. Regierungen sollten dafür aber zumindest nicht Cloud-Speicher von Amazon oder Microsoft verwenden, wie es in Österreich derzeit der Fall sei.

Gegen jegliche Begehrlichkeiten, "Bluetooth-Tracing nach Corona für andere Zwecke zu verwenden", wandte sich Ninja Marnau vom Helmholtz-Zentrum für Informationssicherheit CISPA. Aus datenschutzrechtlicher Sicht sei es essenziell, "von Freiwilligkeit auszugehen", ergänzte Thomas Zerdick von der Europäischen Datenschutzbehörde. Die Datenschutz-Grundverordnung (DSGVO) erlaube es aus Gründen eines wichtigen öffentlichen Interesses zwar auch, "eine Datennutzung vorzuschreiben". Diese Bedingung sehe er momentan aber nicht gegeben. (bme)