Covid-19 und die neuen Überwachungstechniken

Selbst wo die Daten anonym bleiben sollen, kann Misstrauen aufkommen, wenn man die Zusammenarbeit der britischen Gesundheitsbehörde mit Firmen wie Palantir und Faculty zum Aufbau einer umfassenden Datenbank mit auch persönlichen medizinischen Daten betrachtet

Die Coronavirus-Pandemie setzt einen Schub an Überwachungstechnologien frei, die legitimiert werden, weil sie individuell und gesellschaftlich gesundheitliche Gefahren reduzieren oder präventiv diese vermeiden und wieder Normalität gewährleisten sollen. Wie immer sie auch gemeint sind, so sind sie für Firmen nicht nur kommerziell interessant, sondern ergänzen die (Weiter)Entwicklung einer Vielzahl von Überwachungs- und Verfolgungstechniken, die mit der Pandemie nicht zusammenhängen, aber mit den neuen Techniken verbunden werden können.

Tracing Apps können Aufschluss geben, wer mit wem wann Kontakt hatte oder gerade hat, Immunitätsausweise könnten die Zugang zu Räumen für bestimmte Menschen öffnen oder schließen, die direkte Erfassung physiologischer Daten etwa über die Ohrensensoren der TU München, die Körpertemperatur, Sauerstoffsättigung des Blutes, Atemfrequenz und Puls überwachen, bietet Aufschluss über die gesundheitliche, aber auch emotionale Verfassung von Menschen. Es geht um die Überwachung von Massen und die Steuerung des Verhaltens.

Massenüberwachung in China, aber auch in den Demokratien Indien und Südkorea

Das ist beispielsweise in China der Fall, wo die Menschen, in den Städten durch ein dichtes Netz an Kameras mit Gesichtserkennung identifizierbar, für die Corona-App ihre ID- und Telefonnummer angeben und einen Fragebogen über ihre Gesundheit und ihre Reisegeschichte ausfüllen müssen. Das wird dann irgendwie überprüft, um jedem Bürger eine Farbe zuzuweisen: grün für ungefährlich und freie Bahn, gelb für den Aufenthalt in der Nähe eines Infizierten, erfasst durch Bluetooth, und rot für verpflichtende Quarantäne. Verbunden damit ist die Geolokalisierung durch GPS, eine zentrale Speicherung der Daten und ein QR-Code, den sich Geschäfte, Restaurants oder andere Einrichtungen zunutze machen können, um zu selektieren, wen sie einlassen und wen nicht. Für die Benutzung öffentlicher Verkehrsmittel, den Eintritt in Flughäfen, Arbeitsplätzen und auch Wohngebäuden ist das Scannen des QR-Codes verpflichtend.

Indien hat mit der App Aarogya Setu ("Gesundheitsbrücke") das chinesische Konzept übernommen, alle öffentlichen Angestellten müssen sie benutzen, auch Menschen, die mit Zügen reisen wollen, müssen sie vorweisen. Weitere Verpflichtungen sind vorgesehen, beispielsweise für die Benutzung von U-Bahnen. Wer kein Smartphone hat, wie in Indien hunderte Millionen, hat dann Pech gehabt.

In Südkorea gibt es Apps wie Corona 100m, die zeigen, an welchem Ort sich ein Infizierter, dessen Nationalität, Alter und Geschlecht angegeben wird, befinden und wann die Infektion bestätigt wurde. Zudem warnt die App, wenn man sich ab einer Entfernung von 100 Metern einem Ort nähert, an dem sich zuvor ein Infizierter aufgehalten hat. Andere Apps überwachen die Bewegungen von Infizierten oder Infizierte, die sich in Heimquarantäne befinden. Mitarbeiter des Gesundheitsministeriums können auch die Bewegungen von bestätigt Infizierten nachverfolgen, indem sie die Bilder von Überwachungskameras und Kreditkartentransaktionen auswerten.

Wie vertrauenswürdig sind die europäischen Apps mit der Google/Apple-Schnittstelle?

In Europa zieht man Tracing Apps vor, die freiwillig eingesetzt werden, um über die Bluetooth-Schnittstelle festzustellen, ob der Nutzer sich längere Zeit in einer gefährlichen Nähe von anderen Personen aufgehalten hat. Die Entfernung wird durch die Signalstärke bestimmt und ist irrtumsanfällig. Die Smartphones mit den Apps tauschen dann mit dem Google/Apple-Protokoll wechselnde, verschlüsselte und täglich wechselnde ID-Codes (Temporary Exposure Key) aus und speichern diese für 14 Tage auf den Geräten (dezentral). Ein Nutzer, der sich infiziert hat, kann seine IDs an den zentralen Server schicken, von diesem können diese IDs von den Apps anderer Nutzer abgerufen werden, um diese zu warnen, dass sie sich möglicherweise in der Vergangenheit angesteckt haben. Dazu wird die persönliche Risikostufe geändert und der Nutzer aufgefordert, sich testen zu lassen und sich zu isolieren.

Angeblich findet der Abgleich der IDs nur dezentral auf den einzelnen Smartphones statt, die Nutzer können sich nicht gegenseitig identifizieren, auch nicht, wer sich infiziert hat. Lokalisierungsdaten werden nicht erfasst. Aus den Tracing-Daten sollen auch nicht die Bewegungen der Nutzer etwa von Behörden oder Lauschern rekonstruiert werden können. Vertrauen muss man aber Google und Apple. Beide Konzerne wollen das Kontaktprotokoll schon einmal ins Betriebssystem einbauen - dann steht es auch anderen Zwecken offen. In Deutschland soll die Tracing oder Corona App ab nächster Woche verfügbar sein, sagte Gesundheitsminister Jens Spahn. Er hofft darauf, dass Millionen die App herunterladen.

Die EU-Kommission hätte gerne einen Standard für alle Tracing Apps durchgesetzt, um sie grenzüberschreitend einsetzen zu können, aber die Länder entwickeln jeweils selbständig und Frankreich, Tschechien sowie Polen wollen die Daten auch zentral speichern. Durch die nationalstaatlichen Lösungen scheitern angeblich die Systeme daran, länderübergreifend die Infektionsmeldungen weiterzugeben. Wenn man also im Ausland in räumlicher Nähe zu einem Infizierten war, können die IDs zwar gespeichert werden, aber die Server, auf die die Daten geladen und von denen sie abgerufen werden, kommunizieren nicht miteinander. Wenn ein Deutscher mit einem infizierten Österreicher in Ischgl über längere Zeit in kurzer Entfernung gesprochen hat, wird ihn also die App nicht warnen.

Fließen Daten aus der britischen Tracing App in eine für den NHS von Palantir und Faculty entwickelte umfassende Datenbank mit ein?

Zwar ist Großbritannien nicht mehr in der EU, eine Nachricht aus dem Land könnte aber doch das Vertrauen der Menschen in den Umgang mit persönlichen und medizinischen Daten erschüttern. Die britische Gesundheitsbehörde NHS hat den Firmen Faculty und Palantir Zugang zu den Daten der Patienten eröffnet, um angeblich Echtzeit-Informationen über die Pandemie zu erhalten, die notwendig seien, um sie zu bekämpfen. Kooperiert wird auch mit Amazon, Google und Microsoft, die aber nur Programme und Cloud-Service liefern. Nach dem Ende der Pandemie würden die Daten wieder gelöscht oder nach den ursprünglichen NHS-Regeln behandelt werden. Die Firmen sollen nach NHS die Daten nicht kontrollieren und sie selbst weiterbenutzen ader an andere weitergeben dürfen.

Bereits im April waren dem Guardian Verträge zugespielt worden. Danach wurden den Firmen gestattet, nicht nur Daten über Krankenhauseinweisungen, Verfügbarkeit von Notfallbetten, Bestellungen von Atemgeräten oder Sauerstoffvorräten, sondern auch große Mengen von persönlichen Daten von Patienten bis hin zum Inhalt von Anrufen beim NHS zu verarbeiten. Die Daten sollen zwar anonymisiert sein, aber sie können Angaben zum Geschlecht, zur Postleitzahl, zu Symptomen oder zur Verschreibung von Medikamenten enthalten, und sie kommen in eine zentrale Datenbank.

Die Big-Data-Firma Palantir wurde u.a. von Peter Thiel gegründet, der Donald Trump nahesteht. Die Firma arbeitet eng mit Geheimdiensten und Sicherheitsbehörden zusammen. Die britische KI-Firma Faculty arbeitet eng mit der britischen Regierung zusammen und unterstützte die Vote Leave-Kampagne. Im Mai wurde bekannt, dass die Regierung Faculty zusammen mit Palantir im Zuge der Pandemie-Bekämpfung den Zugriff auf große Mengen an Patientendaten gewährt hat. In einem Vertrag sollten Daten von Sozialen Medien, Stromrechnungen und Kreditkarten ausgewertet werden, um Trends zu erkennen und interaktive Dashboards für die Regierung zu entwickeln.

Zur Ankündigung der Tracing App schrieb der NHS:

Ebenso wir der NHS bestrebt ist, jeder Zeit Ihre Gesundheitsdaten vertraulich zu behandeln, wird er auch die App-Daten sichern. Die Geheimhaltung der Patientendaten ist in den NHS eingebaut. Sie ist einer unserer zentralen Werte.

NHS

Allerdings besteht der Verdacht, dass Daten der Tracing App, die von der US-Firma Pivotal entwickelt werden, in die von Palantir und Faculty Datenbank einfließen könnten. Nach der Datenschutzüberprüfung DPIA hat Pivotal auch Zugang zur Datenbank für bestimmte Aufgaben. Die Regierung hat bislang eine direkte Antwort auf die Frage verweigert, ob Daten der App in die Datenbank einfließen oder beide Projekte kooperieren.

Foxglove und openDemocracy hatten Einsicht in die Verträge aufgrund des Informationsfreiheitsgesetzes beantragt, was die Regierung schließlich gewährte, um einer angekündigten Klage zu entgehen. Ursprünglich war vorgesehen, dass Palantir und Faculty beim Aufbau der Datenbank (Covid Datastore) Rechte auf geistiges Eigentum beanspruchen konnten und ihre KI-Programme an den Daten trainieren konnten.

Nach den Forderungen nach Transparenz wurden die Verträge aber angeblich noch einmal überarbeitet, wie die Regierung sagt. Die neuen Verträge wurden aber nicht offengelegt. Nach der Regierung sollen die Rechte auf geistiges Eigentum ausschließlich bei NHS liegen, die Firmen dürfen angeblich aus einem Programm, das während des Projekts entwickelt wurde, keinen kommerziellen Nutzen ziehen und es nicht anderweitig einsetzen.

Cori Crider, der Gründer von Foxglove, traut den Aussagen nicht, solange die neuen Verträge nicht vorgelegt werden. Unverständlich sei auch, warum die Regierung nach der Informationsfreiheitsanfrage gesagt hatte, sie müsse vor der Freigabe der Dokumente erst die "kommerziellen Interessen" der Firmen prüfen: "Die Vorstellung, dass die 'kommerziellen Interessen' von Amazon oder Palantir mehr Gewicht haben könnten als das Recht der Öffentlichkeit auf Einsicht in diesen Datendeal ist, ehrlich gesagt, verrückt", kommentierte Crider. Überdies besteht die Sorge, dass das Projekt mitsamt der Übergabe der NHS-Daten an private Firmen ein Schritt sein könnte, die überlastete und chronisch unterfinanzierte Gesundheitsbehörde weiter zu privatisieren. (Florian Rötzer)