Datenspende-App: Datenschutz als rhetorischer Spielball

Bild: RKI

Zwei der beliebtesten Kunstgriffe politischer Rhetorik helfen dabei, das Vertrauen der Bürger in die sog. Datenspende-App des Gesundheitsministeriums zu fördern

Datenschützer und IT- Experten weisen auf zahlreiche schwerwiegende Datenschutzmängel der sog. Datenspende-App hin. Trotzdem lassen hunderttausende Menschen weiterhin ihre Gesundheitsdaten an das Robert-Koch-Institut übermitteln.

Von den vielen Gründen, die es dafür geben mag, ist einer sicherlich die professionelle Regierungskommunikation, die frühzeitig die Wahrnehmung vom Datenschutzniveau dieser App mitgeprägt hat.

Am 8. April kommt es auf der Regierungspressekonferenz zu einem interessanten Wortgefecht über das Datenschutzniveau der am Vortag eingeführten "Datenspende-App". Konkret geht es um die Frage von Pseudonymisierung oder Anonymisierung - zwei Begriffe des Datenschutzrechts:

'Pseudonym' bedeutet, dass die Person unter Hinzuziehung von gesondert aufbewahrten Informationen wieder identifiziert werden kann. Pseudonymisierte Daten gehören deshalb zu den personenbezogenen Daten, deren Verarbeitung in den Anwendungsbereich der Datenschutzgrundverordnung fällt. 'Anonym' bedeutet dagegen, die betroffene Person kann nicht oder nur mit sehr hohem Aufwand wieder identifiziert werden.1

Bei der sog. Datenspende-App hat sich das Gesundheitsministerium mit der bloßen Pseudonymisierung der Gesundheitsdaten für bis zu 10 Jahre also für das niedrigere Datenschutzniveau entschieden.

Die stellvertretende Regierungssprecherin (stvR) aber stellt das Datenschutzniveau der App im folgenden kurzen Rededuell (ab Min. 30:04) mit einem Journalisten (J) so dar:

stvR: Die gestern vorgestellte Anwendung dient ja zu einer anonymen-
J: pseudonym
stvR: -Erkennung von Infektionsschwer-
J: pseudonym
stvR: -punkten.
J: Entschuldigung, pseudonym, also das ist noch ein kleiner Unterschied.
stvR: anonym
J: Ähm, es wird auf pseudonym hingewiesen, also man kann theoretisch-
stvR: Ja, aber - [Ermahnung der Konferenzleiterin, nicht gleichzeitig zu sprechen]
stvR: Aber das, was man daran erkennen will, sind Infektionsschwerpunkte. Da werden ja keine Personen nachverfolgt.
(ab Min. 30:04)

An dieser Stelle streicht der Jounalist die Segel. Für den Zuschauer sieht es so aus, als habe die Regierungssprecherin argumentativ die Oberhand behalten. Und dieser Irrtum entsteht so:

Während der Journalist in Bezug auf die App sachgerecht den Begriff der Pseudonymisierung verteidigt und damit auf die Möglichkeit der Re-Identifikation hinweist, löst die Regierungssprecherin den Begriff 'anonym' aus seinem datenschutzrechtlichen Bedeutungskontext und versucht ihn durch eine unmerkliche Bedeutungsverschiebung so zu reframen, dass er problemlos auf die App des Robert-Koch-Instituts bezogen werden kann:

'Anonym' bezieht sich nicht mehr auf den weitestgehenden Ausschluss der Möglichkeit der Re-Identifikation, sondern stattdessen auf die angegebene Absicht des Robert-Koch-Instituts ("dient zu"/ was man "erkennen will"), eine Re-Identifikation nicht vornehmen zu wollen. Die verkündete Absicht aber ist für die Frage nach dem Datenschutzniveau irrelevant, sie spielt keine Rolle für die Beurteilung, ob es sich um pseudonymisierte oder anonymisierte Daten handelt.

Die stellvertretende Regierungssprecherin hat hier sehr elegant eine Form der Ignoratio Elenchi (fallacy of irrelevant conclusion) vorgeführt. Im Ergebnis geht der Unterschied zwischen anonymisierten und pseudonymisierten Daten, auf den der Journalist zurecht hinweist ("also das ist noch ein kleiner Unterschied"), verloren.

Dasselbe geschieht einen Tag zuvor auf der Pressekonferenz des Robert-Koch-Instituts bei der Vorstellung der App:

Die Daten sind pseudonymisiert. Das heißt: Das Robert-Koch-Institut hat keine Kenntnis über den Namen und die Anschrift des Nutzers.

Lothar Wieler

Was der Leiter des Robert-Koch-Instituts hier als eine Art Bedeutungsdefinition von pseudonymisierten Daten nennt, ist nicht das spezifische Merkmal pseudonymisierter Daten, sondern das gemeinsame Merkmal von pseudonymisierten und anonymisierten Daten. Seiner Begriffsdefinition fehlt also die hinreichende Bestimmtheit durch die Nennung des unterscheidenden Merkmals: Dass zwar das Robert-Koch-Institut den Namen nicht kennt, aber die Möglichkeit der Re-Identifikation gegeben ist.

Der rhetorische Kunstgriff ist in diesem Fall folgender: Die Definition von 'Pseudonymisierung' wird so weit ausgedehnt, bis sie die Alternative der Anonymisierung begrifflich gleich mit umfasst und damit als Alternative bedeutungslos macht (fallacy of suppressed correlative).

Durch die Verwendung von Fehlschlüssen als rhetorisches Mittel gelingt es in beiden Fällen, die bloße Pseudonymisierung der Daten als faktische Anonymisierung darzustellen. Man kann davon ausgehen, dass dieses Spiel mit Begriffsbedeutungen die Wahrnehmung vieler Bürger vom Datenschutzniveau der "Datenspende-App" mitgeprägt hat - übrigens auch die Wahrnehmung von Journalisten: Sowohl die ARD-Tagesschau (Min. 1:37) als auch das ZDF-heute (Min. 7:26) informierten die Zuschauer am 07. April irrtümlich darüber, dass man die Daten per App "anonym" übertragen könne. (Brigitta Engel)