"Epidemie-Fußfessel": Datenschützer gegen Handy-Tracking von Coronavirus-Infizierten

Die Telekom hat die Debatte über den Einsatz von Bewegungsdaten gegen SARS-CoV-2 befeuert. Experten bewerten das Risiko chinesischer Überwachungs-Verhältnisse.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 143 Beiträge

(Bild: estherpoon / shutterstock.com)

Von

Weltweit hat die Diskussion Fahrt aufgenommen, inwiefern mithilfe von Standortdaten von Mobiltelefonen die Welle an Coronavirus-Infizierungen eingedämmt werden kann. In Deutschland oder in Europa gibt es hier aber deutlich engere Vorgaben als etwa in China, Singapur oder Südkorea, sind sich Sachverständige weitgehend einig. Der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert betont etwa: "Für 'Epidemie-Fußfesseln' fehlt derzeit jede Rechtsgrundlage."

Hierzulande stricken das Robert-Koch-Institut (RKI) und andere Forschungseinrichtungen wie das Heinrich-Hertz-Institut der Fraunhofer Gesellschaft seit rund drei Wochen an einer einschlägigen datenschutzkonformen Lösung. RKI-Chef Lothar Wieler zeigte sich anfangs der Woche zuversichtlich, in Kürze ein "überzeugendes Konzept" präsentieren zu können. 25 Mitarbeiter aus zwölf Instituten bemühten sich ehrenamtlich um einen Ansatz, der technisch und datenschutzrechtlich möglich sei. Details dazu gibt es noch nicht.

Mehr zum Coronavirus:

Die Deutsche Telekom unterstützt das Vorhaben und hat dem RKI ein erstes Set an anonymisierten Handy-Daten ihrer Kunden übergeben. Dieser Schritt soll helfen, für eine Simulation der Ausbreitung von SARS-CoV-2 Bewegungsströme von Menschen in Deutschland nachzuvollziehen. Die US-Regierung spricht derweil mit Internetkonzernen wie Apple, Facebook und Google sowie Netzbetreibern über eine ähnliche Initiative, bei der auch aggregierte und anonymisierte Bewegungsdaten verwendet werden sollen.

Weichert geht davon aus, dass digitale Technik prinzipiell einen Beitrag leisten könnte, "um Betroffenen einen zusätzlichen Schutz vor einer Corona-Ansteckung zu bieten". Apps auf Mobilgeräten mit einer präzisen Lokalisierungsfunktion, wie sie etwa mit GPS gegeben sei, könnten die Nutzenden informieren, "wann und wo sie sich in einem Risikogebiet aufhalten". Mit Bluetooth-Lösungen sei es gar denkbar, Warnungen von Gerät zu Gerät bei räumlicher Nähe ohne zentrale Datenzusammenführung zu verschicken.

Die Anbieter seien dabei derzeit aber auf die bereitwillige Kooperation von vielen Beteiligten angewiesen, unterstreicht Weichert: "Niemand kann im Moment gezwungen werden, ein Smartphone zu nutzen und darauf spezifische Gesundheits-Apps zu installieren." Es wäre mehr als fraglich, wie eine Ortung von Infizierten gesetzlich erlaubt werden könnte, da ein solches Gesetz "erforderlich, geeignet und angemessen, also insgesamt verhältnismäßig sein müsste".

Lesen Sie auch

Das Infektionsschutzgesetz lässt sich laut dem Mitglied des Netzwerks Datenschutzexpertise genauso wenig für solche Zwecke heranziehen wie die Katastrophenschutzgesetze der Länder. "Wir leben – der Demokratie sei Dank – nicht in China, wo per digitaler Überwachung eine Totalkontrolle der Menschen möglich ist", konstatiert Weichert. Auch wenn der Gesetzgeber hier kurzfristig tätig werden wolle, müsse er Schutzmaßnahmen für die Betroffenen vorsehen. Sonst gäbe es "Widerstand in der Öffentlichkeit", was zugleich schädlich wäre "für die derzeit bestehende weitgehende Akzeptanz für die bisherigen staatlichen Maßnahmen zur Corona-Abwehr".

Zugriffe durch US-Firmen sowie Sicherheitsbehörden wie die Polizei müssten ausgeschlossen werden, konkretisiert der langjährige Praktiker die Anforderungen. Selbst bei einem Einbezug der Gesundheitsverwaltung sollte gewährleistet werden, dass die Daten "nicht zum Nachteil der Betroffenen genutzt werden". Generell müsse eine "strenge Zweckbindung" der sensiblen Bewegungsinformationen gewährleistet werden.

Rolf Schwartmann, Leiter der Kölner Forschungsstelle für Medienrecht, sieht jenseits auch nicht ganz unproblematischer "Datenspenden" etwas mehr Spielraum für Regulierer: Das deutsche Recht kenne zwar "kein 'allgemeines Pandemie-Recht', das die Befugnisse des Staates in Katastrophenfällen einheitlich regelt und Zuständigkeiten und Kompetenzen bündelt", betont auch er. Gleichwohl gebe es verschiedene Spezialgesetze, "die im Einzelfall die Befugnisse des Staates in derartigen Fällen erweitern".

Der Jurist denkt dabei etwa an das Infektionsschutzgesetz, das angesichts der Allgemeinheit drohender Gefahren Abwehrmaßnahmen wie eine allgemeine "Beobachtung" zulasse, das Bundespolizeigesetz sowie das Telekommunikationsgesetz. Letzteres erlaube es, gegebenenfalls Daten an eine Gefahrenabwehrbehörde der Länder zu übermitteln. Ob sich damit das Sammeln und Auswerten von Standortinformationen der Bevölkerung rechtfertigen lasse, sei jedoch "insgesamt fraglich". Aufgrund der Schwere des Grundrechtseingriffs müssten wohl kurzfristig weitere einschlägige Rechtsgrundlagen geschaffen werden.

"Technisch sind die Funkzellendaten viel zu ungenau, um damit Kontaktpersonen zu ermitteln", geben Martin Degeling und Christine Utz vom Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum zu bedenken. "Würden alle, die sich über einen längeren Zeitraum in der Nähe einer infizierten Person aufgehalten haben, benachrichtigt werden, wäre die Zahl viel zu hoch." Zugleich könne eine "großflächige Benachrichtigung" dazu führen, dass sich viele potenziell Betroffene aus Sorge bei den Gesundheitsämtern oder gar direkt im Krankenhaus meldeten, was das System weiter belasten würde.

Lesen Sie auch

"GPS-Daten werden in Deutschland nicht flächendeckend erhoben", stellen die beiden Wissenschaftler weiter klar. Um damit die Positionen von Nutzern etwa zur Kontrolle einer Ausgangssperre genau bestimmen zu können, wäre ein "Zwang zur Nutzung eines Smartphones mit einer bestimmten, mindestens teilstaatlichen App" vorauszusetzen. Im Zweifel dürften alle Betroffenen, die einen Verstoß planen, ihr Handy einfach zu Hause lassen oder sich auf die erlaubten Ausnahmen berufen. Auch in einer Krise müssten alle Maßnahmen verhältnismäßig sein.

Die Hauptfrage ist für Jörn Müller-Quade, Professor für Kryptographie und Sicherheit am Karlsruher Institut für Technologie, wie ein Missbrauch von Bewegungsdaten bei Anwendungen zur Gesundheitsvorsorge verhindert werden kann. Als Lösung komme es etwa in Frage, die Daten verschlüsselt zu speichern und den Schlüssel dazu auf mehrere Institutionen zu verteilen. Dies stelle sicher, dass wirklich nur im Krisenfall darauf zugegriffen werden könne. Nötig sei eine breite gesellschaftliche Debatte: "Ansonsten könnten einige eine umfangreiche Vorratsdatenspeicherung 'durch die Hintertür' befürchten."

Der EU-Abgeordnete Patrick Breyer kritisierte Telekommunikationsfirmen wie die Telekom, die österreichische A1 und Proximus in Belgien scharf "für die massenhafte Herausgabe" von Standortdaten: "Die Bewegungen der kompletten Bevölkerung vermeintlich anonymisiert zu überwachen, schützt niemanden vor Infektion, erlaubt aber eine bisher ungekannte Massenüberwachung." Hier droht laut dem Mitglied der Piratenpartei "ein Präzedenzfall zur Massenkontrolle nicht-öffentlicher Zusammenkünfte und Begegnungen geschaffen zu werden". Im nächsten Schritt könnten Personen nach Blockwart-Art wegen "auffälligen Verhaltens" automatisiert gemeldet werden. (jk)