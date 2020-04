Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) kommt nach einer Datenschutzfolgenabschätzung von verschiedenen Corona-Tracking-Vorhaben zu dem Schluss, dass eine zu große Technikgläubigkeit fatale Folgen für die Grundrechte haben könnte.

Zur Pandemie-Eindämmung könne es weit sinnvoller sein, "die staatliche Bestrebung und Kommunikation auf Maskennutzung und Erhöhung der Testkapazität auszurichten und nicht zu viel Hoffnung auf brauchbare Hilfe durch eine Corona-Tracing-App zu schüren.“ Die Informatiker und Datenschützer bestreiten, dass eine App der „entscheidende Schlüssel“ für die Lockerungen sein könne. Gerade in Notlagen gelte es "besonders wachsam" zu sein und "den schnellen Verlockungen einfacher technischer Lösungen für extrem komplexe soziale Probleme zu widerstehen".

Drei Architekturen betrachtet

Der Analyse des FIfF nach hängt es von der konkreten technischen Implementierung ab, wie stark in die Grundrechte der Bürger eingegriffen wird. In die engere Betrachtung ihrer Datenschutzfolgenabschätzung hatten sie die europäischen Projekte Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) und Decentralized Privacy-Preserving Proximity Tracing (DP-3T), die Corona-Datenspende-App des Robert-Koch-Instituts (RKI) sowie einen Vorschlag von CCC-Mitglied Linus Neumann für eine Kontaktdaten-App genommen.

Dabei unterscheiden die Experten drei Systemarchitekturen, die alle mit dem PEPP-PT-Framework kompatibel wären: Eine zentralisierte, teilweise dezentralisierte sowie eine komplett dezentralisierte Architektur. Sie betonen, dass mit der Entscheidung zwischen Zentralität und Dezentralität wesentliche Datenschutz-Konsequenzen verbunden sind.

Kein Vorschlag bietet Anonymität

Schwerpunktmäßig bezieht sich die Datenschutzfolgenabschätzung auf die komplett dezentralisierte Architektur, wie sie von Linus Neumann vorgeschlagen wurde. Ein zentrales Ergebnis der Untersuchung ist, dass alle betrachteten Frameworks "wichtige technische Merkmale und Verfahrenseigenschaften offenlassen, die mit wesentlichen datenschutzrelevanten Folgen verbunden sind“.

Das FIfF kommt in seiner Analyse zu dem Schluss, dass die Anonymität der Nutzer von keinem Vorschlag bisher wirklich umgesetzt werde: "Nur, wenn der Personenbezug wirksam und irreversibel von den verarbeiteten Daten abgetrennt wird, kann danach von anonymen Daten gesprochen werden." Doch ein solcher expliziter Trennungsvorgang fehle in allen Vorschlägen. Das FIfF hat daher in der Datenschutzfolgenabschätzung die rechtlichen, technischen und organisatorischen Anforderungen formuliert, deren Umsetzung in der Praxis eine wirksame und irreversible Trennung sicherstellen kann.

Keines der untersuchten Verfahren habe außerdem das Problem von fälschlich registrierten Ereignissen adressiert, warnt das FIfF. Dies könnte dann der Fall sein, wenn etwa ein Kontakt durch die Wand zwischen zwei Wohnungen gemessen wurde. Entsprechend müssten falsche Infektionsmeldungen zurückgerufen können und falsch registrierte Kontaktereignisse zu einer infizierten Person gelöscht werden können.

Unterschiedliche Erhebungen, unterschiedliche Zwecke

Nach der Analyse des FIfF scheidet für eine Infizierten-Warn-App eine technische Evaluation von GPS- oder Mobilfunk-Metadaten aus, da diese Daten für die Feststellung epidemiologisch relevanter Kontaktereignisse nicht genau genug sind. Nahbereichstechnologien wie etwa Bluetooth hingegen seien geeignet, weil sie für Entfernungsmessungen im Meterbereich gedacht sind. Für die Erstellung allgemeiner Bewegungsstatistiken einer Bevölkerung, mit denen die Einhaltung von Ausgangsbeschränkungen überprüft werden kann, sind GPS- oder Mobilfunk-Metadaten die Technik der Wahl, weil sie anders als Bluetooth einen Ortsbezug aufweisen.

Eine weitere Frage ist die der Erforderlichkeit. Denn wenn ein Zweck auch mit "milderen" technischen Mitteln erreicht werden kann, muss nach Artikel 25 DSGVO (Datenschutz durch Technikgestaltung) das mildere Mittel gewählt werden. So könnte etwa der Einsatz von Bluetooth erforderlich sein, wenn die Gesundheitsämter die Infektionsketten nicht mit anderen Mitteln schnell und effizient aufdecken können und eine App hinreichend erfolgversprechend scheint. Für die allgemeine Überprüfung der Einhaltung von Ausgangsbeschränkungen sind hingegen nur aggregiert-statistische Daten als milderes Mittel legitim. Detailliertere Daten wie etwa individuelle GPS-Messungen scheiden hier aus, weil sie eingriffsintensiver, aber nicht hilfreicher sind.

Konkreter Nutzen "nicht abschätzbar"

Schließlich muss das konkrete Ergebnis des App-Einsatzes im Verhältnis zu den eingeschränkten Rechten stehen. Bislang ist jedoch der Nutzen von Corona-Tracing-App-Entwürfen "überhaupt nicht abschätzbar", sagt das FIfF, weshalb es den Fokus auf Apps als Heilsbringer als "sehr problematisch" beurteilt – zumal ein theoretisch modellierter Effekt erst bei Nutzung durch mindestens 60 Prozent der Bevölkerung zu erwarten sei. Das FIfF weist darauf hin, dass in Singapur nur 13 Prozent der Menschen die individualisierte TraceTogether-App installiert hatten. Zwar könne eine datenschutzfreundliche Ausgestaltung die Akzeptanz erhöhen – wie auch die Drohung eines ansonsten länger andauernden Lockdowns. Eine verpflichtende Nutzung komme jedenfalls mit Blick auf den unklaren Nutzen nicht infrage. (axk)