Das Robert-Koch-Institut bittet uns per App um Datenspenden, um mehr über das Corona-Virus herauszufinden. Das Bundesgesundheitsministerium möchte eine Tracing-App entwickeln, um Menschen besser informieren zu können, ob sie in Kontakt mit jemandem waren, der oder die mit dem Corona-Virus Sars-CoV-2 infiziert ist. Das hat bereits im Vorfeld zu heftigen Diskussionen geführt. Der Grund war der nicht geklärte Umgang mit den gesammelten Daten.

HIER DEN PODCAST ANHÖREN:

HIER DEN ARTIKEL ZUM PODCAST LESEN:

Das Interview mit Marit Hansen habe ich am 5. Mai 2020 geführt. Seitdem stattgefundene Entwicklungen sind in diesem Gespräch nicht berücksichtigt.

Marit Hansen ist die Datenschutzbeauftragte des Landes Schleswig-Holstein und Diplom-Informatikerin. Ihr Job ist es, sich solche Apps genau anzusehen und zu bewerten, ob sie die gesetzlichen Datenschutzbestimmungen einhalten, und ob es irgendwelche Probleme bei der Speicherung und Nutzung der Daten geben könnte. Ihre Arbeit findet ihr auch im Corona-Blog des „Forum Privatheit“. Sie ist also die perfekte Ansprechpartnerin, wenn es darum geht, sich die Hintergründe zum Thema Corona-Apps mal genauer erklären zu lassen. Denn im Zuge der App-Entwicklung fliegen immer wieder Begriffe umher, die ähnlich klingen, aber einen deutlichen Unterschied in der Bewertung der Apps aus datenschutzrechtlicher Perspektive machen. Zum Beispiel Tracking oder Tracing. Oder Pseudonymisierung versus Anonymisierung von Daten.

„Datenschutz ist ein sehr wichtiger Punkt. Bei allen Apps sowieso. Aber besonders bei allem, was mit Gesundheitsdaten zu tun hat.“

Marit Hansen, Landesdatenschutzbeauftragte in Schleswig-Holstein

Ob und wie viel Datenschutz in eine App eingebaut ist, entscheidet sich schon bei der Entwicklung. Die Forderung an die App-Entwickler lautet eigentlich „Datenschutz by design“. Klingt super, steht aber manchmal den Interessen der App-Entwickler:innen entgegen. Denn Daten sind wertvoll. Sie ermöglichen zum Beispiel, die Vorlieben und das Nutzungsverhalten der Anwender:innen besser kennenzulernen und uns so mit passenden Produkten oder Dienstleistungen zu bewerben. Das klingt erst mal nach einem guten Service, kann aber durchaus problematisch sein. Wer das genauer wissen möchte, dem empfehle ich den Denkangebot-Podcast von Katharina Nocun. Sie erklärt in Folge 6 „Gläserner Kunde“ genau, was Unternehmen aus unseren Daten herauslesen können und warum das problematisch sein kann.

Auch jetzt während der Corona-Pandemie gibt es viele Unternehmen und Start-Ups, die sich zum Ziel gesetzt haben, eine Corona-App zu entwickeln, um Daten zu sammeln. Zum Beispiel für die wissenschaftliche Erforschung von Verbreitungswegen. Welche Daten dazu herangezogen werden sollen und welche Ziele mit den Apps verfolgt werden, ist dabei allerdings unterschiedlich. Nicht alle dieser Apps sind datenschutztechnisch relevant. Zum Beispiel, wenn es darum geht, in einer Region anzuzeigen, wie viele Intensivbetten aktuell noch frei sind. Bei der Berechnung einer solchen Zahl sind keine persönlichen, gesundheitsbezogenen Daten notwendig. Deshalb müssen Datenschützer da auch nicht so genau draufgucken.

Wenn allerdings personenbezogene Daten involviert sind, dann möchten Datenschützerinnen und Datenschützer sehr genau wissen, welche Daten erhoben werden, wo diese Daten für wie lange gespeichert werden, wer diese Daten speichert, ob die Daten verschlüsselt gespeichert werden, ob sie anonymisiert oder pseudonoymisiert werden und so weiter. Personenbezogene Gesundheitsdaten sind zum Beispiel solche Daten, die wir bei uns über Fitnesstracker messen lassen oder eine Health App. Dazu gehören Körpertemperatur, Herzfrequenz, Schlafrhythmus, Bewegungsintensität oder auch Menstruationsdaten, die in einigen Apps hinterlegt werden können.

Was Gesundheitsdaten über uns aussagen können

Auf genau solche Daten möchte das Robert-Koch-Institut (RKI) gerne zugreifen und bittet deshalb darum, diese Daten, die wir von uns erheben, für die Forschung zu spenden. Dazu können Interessierte eine App des RKI auf das Smartphone herunterladen und dieser App mittels einer Schnittstelle (API) für den Datentransfer erlauben, auf die gespeicherten Gesundheitsdaten in der entsprechenden Fitness- oder Gesundheitsapp zuzugreifen. Jetzt könnte man sagen: Ich erhebe die Daten ja ohnehin von mir, wer die jetzt hat, ist mir egal. Das heißt, mir ist egal, ob die jetzt ein Unternehmen von mir hat, weil die dort gespeichert werden oder ob eine Regierungsbehörde die hat, weil die damit Forschung betreiben möchte. Eine schöne Diskussion darüber, warum das problematisch ist, könnt ihr euch übrigens im COSMO Tech Podcast vom 14. April 2020 anhören.

Die App-Entwickler waren aber nicht nur an den Gesundheitsdaten interessiert. Gerade wenn es darum geht, die Ausbreitungswege des Virus nachzuverfolgen, sind natürlich Standortdaten hoch interessant. Also: Welche Person hat sich wann genau wo aufgehalten. Welche Personen waren wie lange gemeinsam in einem Raum. Welche dieser Personen zeigt Auffälligkeiten, wie zum Beispiel eine erhöhte Temperatur, die auf eine Infektion hindeuten könnte? Oder im Fall einer vom Gesundheitsamt verordneten Quarantäne könnte auch nachverfolgt werden, ob die Person sich an die Auflagen gehalten und wirklich nicht das Haus verlassen hat. Mit diesen Daten würden sich Personen umfangreich tracken lassen. Und selbst, wenn die persönlichen Daten nicht übermittelt werden, könnten sie sich aus den Standortdaten im Zweifel rekonstruieren lassen.

„Da kamen auch gleich ganz großspurige Ideen aus dem Gesundheitsministerium: Am besten kann man doch feststellen, wenn man genau weiß, welche Person, wo, wann war und wer noch da war, dann kann man doch am besten feststellen, wer hat sich angesteckt.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Grundsätzlich ist das Interesse an solchen Daten natürlich nachvollziehbar. Die Frage ist, ob wir diese Form der Überwachung wirklich wollen, wer dann diese Daten von uns haben soll und ob diese Daten überhaupt dabei helfen können, eine Ausbreitung zu verhindern. Genau darüber ist bei der App-Entwicklung für das Bundesgesundheitsministerium ein Streit ausgebrochen. Dort sollte eine Art Warn-App entwickelt werden, die Menschen darüber informiert, wenn sie Kontakt mit einer Sars-CoV-2 infizierten Person hatten. Die Diskussion ist hoch komplex und es gibt daran gleich mehrere Kritikpunkte.

Inzwischen ist das Bundesgesundheitsministerium – auch aufgrund heftiger Proteste von Datenschutzaktivist:innen und Entwickler:innen des Chaos Computer Club – von dieser Idee wieder abgerückt. Statt eines umfangreichen Trackings, also der dezidierten, personenbezogenen Standortverfolgung, wird nun an einer Tracing-App gearbeitet. Beim Tracing werden keine personenbezogenen Daten erhoben. Es kann lediglich nachvollzogen werden, ob sich zwei Smartphones nah beieinander aufgehalten haben und für wie lange. Wo das war, wem diese Smartphones gehören und wann das stattgefunden hat, das lässt sich nicht ermitteln.

„Man muss nicht den genauen Ort wissen, man muss nicht die Zeit wissen und schon gar nicht den Namen. Man muss nur wissen: Sind die Smartphones mit diesen Apps eine gewisse Zeit nah genug beieinander gewesen.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Dazu bekommen die Smartphones über eine App eine eindeutig identifizierbare Nummer (ID) zugewiesen. Die kann sogar mehrmals am Tag wechseln. Die App kann dann registrieren: Aha, Smartphone 12345 war für 15 Minuten in unmittelbarer Nähe von Smartphone 67890. Dazu wird aber nicht der genaue Standort verwendet, sondern die Bluetooth-Schnittstelle. Also die Schnittstelle, mit der wir auch unsere Kabellosen Kopfhörer oder Boxen mit dem Smartphone verbinden können. Die Reichweite ist verhältnismäßig gering.

Die Person, der das Smartphone 67890 gehört, bekommt drei Tage später die Information, dass sie positiv auf Sars-CoV-2 getestet wurde. Dann schickt die App automatisch eine Information an das Smartphone, das die ID 12345 hatte. Damit bleiben die Besitzer:innen der Smartphones weiter anonym, bekommen aber eine Mitteilung, dass sie sich möglicherweise infiziert haben könnten und können so zum Beispiel durch einen Test überprüfen, ob sie sich tatsächlich mit Sars-CoV-2 infiziert haben.

„Contact-Tracing ist zwar eine ziemlich unsichere Basis. Aber das ist besser, als dass man von allen alles speichert, wer sich wo längs bewegt hat. Zum Beispiel, weil da ja auch draus hervor geht, wofür interessiert man sich. War man beim Fußballspiel. Oder bei einer politischen Demonstration. Ist man zum Arzt gegangen, bei welchem? All das könnte man aus den Ortsdaten sehen.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Was weder beim Tracking noch beim Tracing festgestellt werden kann: Sind sich die Personen wirklich nahe gekommen? Haben sie eine Maske getragen? Ist jemand angehustet worden? Hatte die infizierte Person überhaupt Symptome? All das wären wichtige Parameter, um realistisch einschätzen zu können, wie hoch das Risiko einer Ansteckung tatsächlich ist. Die berechtigte Frage ist also – egal ob viele oder wenige Daten erhoben werden – was kann die App überhaupt aussagen? Und wenn die Aussagekraft eh gering ist, reicht dann nicht auch ein Minimum an Daten statt alles über die Person wissen zu müssen. Denn bislang ist so eine App noch nicht in der Praxis erprobt, weshalb niemand wirklich weiß, ob das Ganze funktioniert.

Ein weiterer Kritikpunkt ist übrigens die Bluetooth-Schnittstelle. Zum einen, weil die von den Smartphonebesitzern aktiviert und deaktiviert werden kann – es besteht also keine dauerhafte Verbindung. Zum anderen sind die Schnittstellen, über die sich verschiedene Geräte erkennen und verbinden können, nicht immer sauber entwickelt und deshalb anfällig für Hacking. Weshalb zum Beispiel dazu geraten wird, die Bluetooth-Schnittstelle eben nicht dauerhaft für jeden zugänglich zu machen. Bei den meisten Smart Devices lässt sich das einstellen, ob sie zum Beispiel für jeden erreichbar sein sollen, nur für Kontakte oder nur für registrierte Geräte. Für eine Tracing-App wäre es aber notwendig, dass die Bluetooth-Schnittstelle dauerhaft erreichbar ist, wenn sie auch mit fremden Geräten interagieren soll. Und das ist unter anderem ein Grund dafür, dass die Tracing-App nicht eine ID pro Smartphone vergibt, sondern eben wechselnde IDs. So ähnlich, als würdet ihr für jede Transaktion beim Online-Banking eine neue TAN bekommen, die nur für einen bestimmten Zeitraum gültig ist.

Anonymisierte vs. pseudonymisierte Daten

Ein weiterer Streitpunkt bei der Speicherung von Daten, die mit Hilfe von Corona-Apps erhoben werden, ist die Art und Weise der Speicherung dieser Daten, damit sie zum einen nicht auf Personen zurückgeführt werden können, zum anderen aber trotzdem die richtigen Personen informiert werden im Falle von Auffälligkeiten oder eben Kontakt mit einer Person, die sich mit Sars-CoV-2 infiziert hat.

„Es gibt aus Datenschutzsicht ganz feine Definitionen dafür und die echte Welt benutzt ein bisschen andere und das bringt schon viele Durcheinander.“

Marin Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Datenschützer sind immer dann mit von der Partie, wenn es eben um personenbezogene Daten geht. Das kann der Name an, aber auch das, was eine Person gerade trägt, kann zu den persönlichen Daten gezählt werden. Das heißt: Persönliche Daten sind nicht zwingend nur das, was wir in irgendwelche Adressfelder im Netz tippen können. Marit Hansen hat bei unserem Skype-Gespräch eine blaue Bluse an mit einem Blümchenmuster. Am Tag unseres Gesprächs ist sie die einzige Person, die eine solche Bluse im Haus des Unabhängigen Datenschutzzentrums von Schleswig-Holstein trägt. Das heißt, mit der Information: „Mensch, mit blauer Bluse und Blümchenmuster“ kann Marit Hansen eindeutig identifiziert werden. In einer Fußgängerstraße in Kiel könnten zum Beispiel drei Personen mit dieser Bluse herumlaufen. Damit kann Marit Hansen zwar nicht mehr eindeutig identifiziert werden, aber der Kreis der Personen, die Marit Hansen sein könnten, kann auf nur drei von mehreren Hundert in der Fußgängerzone eingeschränkt werden (zumindest bevor Maßnahmen zur Kontaktbeschränkung ausgesprochen wurden). Weil diese Information „Person mit blauer Bluse mit Blümchenmuster“ sich schon auf eine konkrete Person beziehen lässt, gilt das Datenschutzrecht. Das ist zum Beispiel dann relevant, wenn es um Videos von Überwachungskameras geht.

Bei anonymen Daten gilt das Datenschutzrecht nicht. Weil darin keine personenbezogenen Daten enthalten sind. Die Information: „Aktuell sind 15.000 Frauen und 16.000 Männer auf den Straßen unterwegs“ lässt sich ohne weitere Informationen nicht auf eine konkrete Person zurückführen. Um Daten derart zu anonymisieren, dass wirklich keine Rückschlüsse auf einzelne Personen mehr gemacht werden können, werden in mehrstufigen Verfahren Informationen aus Datensätzen rausgelöscht.

„Die gute Technik Anonymisierung heißt, wir nehmen so viel raus, dass nur noch anonyme Daten übrig sind. Zum Beispiel würde man nur noch wissen, wie viele Leute reingependelt sind in eine Stadt, aber nicht mehr: Wer ist jetzt genau wo längs gegangen und hat noch in welches Schaufenster geschaut.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Ab wann ein Datensatz als anonym gilt, ist sehr verschieden. Wenn es zum Beispiel um Menschen mit seltenen Krankheiten geht, sind die Personen natürlich trotzdem schnell zu finden, weil sie per se eben selten sind, das heißt, der zugrunde liegende Datensatz ist bereits sehr klein. Oder in weniger dicht besiedelten Gebieten, da reichen bereits wenige Merkmale in einem Datensatz, um den dann doch wieder auf eine bestimmte Person zurückführen zu können.

Eine gute Anonymisierungstechnik ist deshalb so, dass die erhobenen Daten nachher eben nicht mehr beliebig auswertbar sind. Also dass sie zum Beispiel für ein bestimmtes, klar umrissenes Forschungsprojekt genutzt werden können, aber ein Unternehmen, dass diese Daten zu Werbezwecken nutzen wollen würde, damit nichts mehr anfangen könnte. Das heißt, die Utility, die Nützlichkeit der Daten sinkt, dafür steigt auf der anderen Seite der Schutz der persönlichen Daten.

Wann Pseudonymisierung sinnvoll ist

Im medizinischen Bereich ist es aber zum Beispiel zwingend notwendig, einen Datensatz auf eine bestimmte Person zurückführen zu können. Zum Beispiel bei einer Diagnose, die durch einen Labortest bestimmt wird. Trotzdem sollen die Laborangestellten nicht wissen, wessen Probe sie da gerade untersuchen. In dem Fall wird die Probe, aus der dann zum Beispiel ein Datensatz gewonnen werden kann wie „Person X, wohnhaft in ABC-Stadt ist mit Sars-CoV-2 infiziert und an Covid-19 erkrankt“ pseudonomisiert. Sie bekommt also vorübergehend eine Identifikationsnummer. Und diese kann am Ende der Untersuchungen wieder einer bestimmten Person zugeordnet werden. Aber zum Beispiel erst wieder durch den behandelnden Arzt.

Auch, um einen Krankheitsverlauf genau nachverfolgen zu können, ist es wichtig, Datensätze wieder einer bestimmten Person zuordnen zu können, ohne, dass jederzeit alle Beteiligten wissen, um wen es sich konkret dabei handelt. Zum Beispiel bei einer Krebserkrankung in deren Verlauf ja mehrere Labortests gemacht werden, um zum Beispiel Tumormarker zu bestimmen oder die Entwicklung bestimmter Blutwerte, etc.

„Das ist ein guter Schutz. Aber man kommt bei der Pseudonymisierung immer wieder zurück auf eine Person und das kann auch sehr sinnvoll sein.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Bei der Pseudonymisierung gilt das Datenschutzrecht. Denn die damit verbundenen Daten sind personenbezogen. Das heißt: Die Pseudonymisierung schützt die persönlichen Daten durch eine Art Codierung oder Verschlüsselung davor, von allen am Auswertungsprozess Beteiligten auf eine bestimmte Person zurückgeführt zu werden. Aber: Es gibt die Möglichkeit – zum Beispiel eben durch die behandelnde Ärztin oder den Arzt – diese verschlüsselten Daten wieder einer ganz bestimmten Person zuzuordnen. Und das ist ja auch sinnvoll, sonst gäbe es zwar am Ende eine Diagnose, aber es wüsste halt niemand, wem die jetzt mitgeteilt werden muss.

Wenn wir jetzt über Daten von Fitness-Trackern besprechen, die zum Beispiel auch die Temperatur der Trägerin oder des Trägers ermitteln, ist es wichtig, in welcher Form diese Daten verarbeitet werden. Wenn die Daten im Laufe der Verarbeitung so anonymisiert werden, dass am Ende nur ein Durchschnittswert steht, ist das unproblematisch, sagt Marit Hansen. Also zum Beispiel: Die Durchschnittstemperatur der Bevölkerung, die da gerade ihre Daten spendet, ist 37,4 Grad. Aber: Wenn jetzt zum Beispiel der Verlauf der Fieberkurve getrackt wird, das heißt, wenn die Temperaturdaten über einen Zeitverlauf von einzelnen Personen erhoben wird, dann lassen sich doch wieder persönliche Daten zurückverfolgen. Und diese Daten können ausreichen, um auf einzelne Personen zurückzukommen, obwohl man nie einen Namen hinterlegt hat. Das gilt bei Temperaturdaten zum Beispiel für menstruierende Personen, weil sich die Temperatur im Laufe des Zyklus verändert. Und damit können zum Beispiel Informationen gewonnen werden, ob die Verwender:innen einer Fitness-App sich im gebärfähigen Alter befinden, ob eine Schwangerschaft besteht, ob eine bestehende Schwangerschaft beendet (Geburt) oder abgebrochen wurde (Abort), etc.Solche Daten können in Ländern, in denen es zum Beispiel ein Abtreibungsverbot gibt, ernsthafte Folgen für die betroffenen Frauen haben. Auch deshalb ist es zum Beispiel essentiell zu wissen, wo die Daten gespeichert werden, in welcher Form und wer Zugriff darauf hat.

„Es wird oft unterschätzt. Vielfach kommt man gar nicht darauf, was noch in den Daten steckt.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Und dann ist es auch noch entscheidend, wer welche Daten wo und wie lange speichert. Und damit sind wir beim nächsten Streitpunkt rund um die Apps. Denn auch hier geht es um Vertrauen in das Unternehmen, die Institution oder die Behörde, die Daten sammelt, speichert und auswertet.

Wo die Daten gespeichert werden

Eben dieser Ort der Datenspeicherung war ein weiterer Diskussionspunkt rund um die Entwicklung der Tracing-App, die sich das Bundesgesundheitsministerium unter Minister Jens Spahn wünscht. Das Problem: Soll der Staat tatsächlich Zugriff auf umfangreiche Gesundheitsdaten von Personen haben? Wie kann sichergestellt werden, dass diese Daten nicht durch einen Leak oder Hack veröffentlicht werden? Was, wenn ein Unternehmen diese Daten im Auftrag des Staates speichert? Wie kann sichergestellt werden, dass dieses Unternehmen mit den gesammelten Daten nicht doch noch andere Dinge erhebt oder die Daten anderweitig nutzt, um daraus Profit zu schlagen? Und auch hier stellt sich die Frage, wie diese Daten vor unbefugtem Zugriff gesichert werden können.

„Das Datenschutzrecht ist erstmal technikneutral. Das bedeutet trotzdem, dass da ganz viele Anforderungen mitschwingen. Nicht nur an Technik, sondern auch an die Organisationen.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Konkret heißt das, es muss entschieden werden: Sollen die Daten zentral oder dezentral gespeichert werden? Dort, wo Daten zentral gespeichert werden, können sie auch zentral geschützt werden. Datenschutzrechtlich heißt das, das Unternehmen oder die juristische Person, die auf die Daten aufpassen muss, wird verpflichtet, besonders hohe Sicherheitsstandards zu gewährleisten. Dazu gehören nicht nur technische Zugangsbeschränkungen, sondern auch physische, wie zum Beispiel eine Pforte mit Personenkontrolle oder auch Brandschutz, damit die Daten nicht vernichtet werden. Aber der Datenschutz betrachtet nicht nur die Möglichkeiten des Schutzes von Daten, sondern hat auch die Möglichkeiten des Missbrauchs im Blick bei zentraler Speicherung.

„Aber Achtung: Wenn das jetzt das Bundesinnenministerium ist und das sammelt alle Daten von allen Deutschen oder Facebook, das sammelt alle Daten von noch viel, viel, viel mehr Personen, und alles mögliche läuft an einer Stelle zusammen, dann ist aus Datenschutzsicht nicht vorherrschend, das kann man doch besonders gut schützen und kontrollieren, sondern das bietet ja dann auch nochmal Missbrauchspotential, das ist so nicht gewollt.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Bei der denzentralen Speicherung werden die Daten nicht alle an einem Ort gespeichert, zum Beispiel der Serverfarm von Facebook, sondern an vielen verschiedenen Orten, zum Beispiel nur auf dem Smartphone selbst. Im Prinzip, sagt Marit Hansen, ist ein einzelnes Smartphone aber viel schlechter abzusichern. Zum Beispiel, weil die Nutzer:innen ihre Software oder die Apps nicht auf dem aktuellen Stand halten und deshalb Sicherheitslücken nicht geschlossen werden. Oder weil kein Virenschutz verwendet wird. Oder auch keine Datensicherung. Das ist sehr individuell, wie ernst Menschen in der Beziehung Datensicherung und Datenschutz nehmen. Trotzdem gibt es bei einer zentralen Speicherung noch größeres Missbrauchspotential, weil dort insgesamt mehr Daten von mehr Personen zusammenkommen.

Bei der Entwicklung der Tracing-App sollen deshalb die Daten dezentral, das heißt auf den Smartphones des Nutzer:innen gespeichert werden. Das heißt, die pseudonymisierten Kontaktdaten – also die wechselnden Identifikationsnummern der Smartphones, die sich in einem bestimmten Abstand zueinander befunden haben – werden nur auf dem Mobiltelefon gespeichert. Das klingt auf den ersten Blick ziemlich sicher, aber auch hier müssen einige Fragen beantwortet werden. Zum Beispiel, ob der ID-Generator einem bestimmten Muster folgt und ob dieses Muster erraten werden und dadurch geknackt werden kann, um dann doch wieder auf Einzelpersonen schließen zu können.

Und am Ende gibt es auch hier eine Möglichkeit, trotz aller Verschlüsselung doch noch an bestimmte Personendaten zu kommen. Dafür nennt Marit Hansen ein Beispiel. Gesetzt den Fall, bei einer Hausdurchsuchung würde die Polizei das Smartphone konfiszieren. Auf diesem Smartphone ist eine Contact-Tracing-App. Auf Befragung der Polizei, mit welchen Personen in der letzten Zeit Kontakt bestanden hat, verweigert der Smartphone-Besitzer oder die -Besitzerin die Antwort. Die Frage, die sich Datenschützer jetzt stellen: Gibt es eine Möglichkeit, über die installierte App und die auf dem Smartphone gespeicherten Daten doch noch herauszufinden, mit dem die Person Kontakt hatte?

„Das ist erstmal so ein Gedankenmodell, was in Deutschland sogar auch funktioniert, aber in anderen Staaten sogar viel wahrscheinlicher wäre. Das muss man auch mal bedenken, wir haben ein Weltproblem, nicht nur im deutschen Rechtsstaat muss alles funktionieren.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Lässt man jetzt mal die konkreten gesetzlichen Bestimmungen zum Thema Onlinedurchsuchung außen vor, könnte das Gedankenmodell wie folgt fortgesetzt werden: Über das Smartphone des oder der Verdächtigen wird eine Nachricht ausgelöst: „Ich bin positiv auf Sars-CoV-2 getestet worden. Melde dich mal bei der und der Adresse oder ruf mal die und die Nummer an, da wirst du dann beraten.“. Und dann hätte man relativ schnell eine bestimmte Anzahl von Kontakten ermittelt, ohne konkret vorher die Namen gewusst zu haben oder die Identifikationsnummern der Smartphones zu kennen.

„Man hat doch dann Möglichkeiten an die Person zu kommen, es steckt also der Personenbezug drin.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Apps bieten keinen Schutz vor Corona-Infektion

Was bei der Diskussion um die Corona-Apps auch oft in den Hintergrund gerät ist die Frage, was bringt sie eigentlich wofür? Und das ist eine Frage, die aktuell noch gar nicht sicher beantwortet werden kann. Denn die App schützt eben nicht vor einer Ansteckung. Also die sagt nicht: Geh nicht da und da hin, da sind grade Smartphonebesitzer:innen, die mit dem Coronavirus infiziert sind. Das würde wir stark in den Bereich Überwachung gehen. Die App kann im Prinzip nur in die Vergangenheit gucken und gibt kein Live-Update.

„Die Abstand-halten-Regelung ist bestimmt immer noch die beste und Maske kann dazu beitragen, es gibt viele Maßnahmen. Das mit der App ist eben nur so ein „Add-On“, also vielleicht bringt’s was, vielleicht nicht. Vielleicht bringt das die Leute sogar dazu, dass die sich risikoreicher verhalten.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Spannend findet Marit Hansen übrigens, dass Apple und Google gerade bei der Entwicklung von datenschutzkonformen Corona-Apps mitmachen, indem sie zum Beispiel bestimmte Schnittstellen konfigurieren. Damit betreiben die Konzerne eigentlich gerade Weltpolitik, sagt die Datenschutzbeauftragte. Und zwar im Sinne der Nutzerinnen und Nutzer. Das heißt, die Unternehmen haben Datenschutz als Verkaufsargument erkannt. Und das ist das Neue daran. Und das wurde auch entwickelt, obwohl Regierungen gerne eine zentrale Sammlung gehabt hätten.

„Google und Apple haben sich gegen eine zentrale Sammlung entschieden.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Das Versprechen, den Datenschutz stärker zu berücksichtigen, geht sogar so weit, dass Appel und Google in ihren App-Stores keine Anwendungen zulassen wollen, die Zugriff auf die dezentral auf dem Smartphone gespeicherten Daten haben wollen und dabei unternehmerische beziehungsweise kommerzielle Interessen verfolgen. Denen werden also keine Schnittstellen angeboten, um Daten abzugreifen.

Trotzdem sind auch an diesen Schnittstellen in der Vergangenheit Fehler passiert, so dass andere Apps dann doch auf diese Daten zugreifen konnten. Das sollte so nicht passieren und manchmal sind das auch Kinderkrankheiten in der Entwicklung, aber es kann halt trotzdem passieren. Und darüber muss man sich bei der Verwendung von solchen Apps einfach bewusst sein.

Damit solche Fehler schnell erkannt werden können, wünschen sich Datenschützer:innen, dass der Quellcode offen gelegt wird. Also open source ist, so dass jederzeit die Möglichkeit besteht, nachzuschauen und nachzuvollziehen, welche Daten eine App genau sammelt, wo die gespeichert werden und welchen anderen Apps zum Beispiel Zugriff gewährt wird oder wie sicher die Schnittstellen sind. Diese Transparenz schafft Vertrauenswürdigkeit.

Gerade da, wo der Quellcode nicht öffentlich und theoretisch für jede:n verfügbar ist, sind viele Menschen misstrauisch. Denn das könnte unter Umständen heißen, dass es etwas zu verbergen gibt. Zum Beispiel nämlich, dass die Daten abgegriffen werden – sei es von Unternehmen oder auch durch den Staat.

Die konzentrierte Diskussion ist hilfreich

Grundsätzlich schätzt Marit Hansen die aktuelle Diskussion um Datenschutz und Transparenz sehr. Denn es wird nicht nur ein neues Bewusstsein geweckt für die Themen. Mit der Umsetzung besserer Datenschutzstandards zum Beispiel in Smartphone-Software können auch neue Forderungen gestellt werden, die bis dahin nur selten gehört und noch seltener umgesetzt wurden. So sind wir möglicherweise der Forderung nach einem „Datenschutz by design“ mit der Entwicklung der verschiedenen Corona-Apps einen Schritt näher gekommen. Auch, weil sich besonders anhand der Contact-Tracing-Apps ganz konkrete Fragen gestellt haben, die jetzt eben mit dezentraler Speicherung und weiteren Datenschutzmaßnahmen beantwortet werden.

Die Corona-Datenspende-App des RKI würde Marit Hansen übrigens zum Zeitpunkt des Gesprächs (5. Mai 2020) nicht empfehlen. Das liegt aber ganz grundsätzlich daran, dass die Datenschutzexpertin keine Fitness-Tracker empfehlen würden. Weil die eben oft nicht Open Source sind und damit nicht konkret nachvollziehbar ist, was mit den gesammelten Daten eigentlich passiert.

„Ich bin durchaus bereit, meine eigenen Daten der medizinischen Forschung bereit zu stellen, aber eben nicht über solche Fitness-Tracker.“

Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holstein

Egal, um welche App es am Ende geht: Marit Hansen ist wichtig, dass möglichst viel offen gelegt wird. Damit eine offene Diskussion über die Verwendung und den Nutzen dieser Corona-Apps geführt werden kann. Denn nur das schafft am Ende das Vertrauen, dass die Daten zweckgebunden verwendet werden und kein Missbrauch betrieben werden kann. Dazu gehört auch, möglichst frühzeitig Datenschutzexpert:innen in die Entwicklung mit einzubinden und die Fragen, die sie stellen, ernst zu nehmen. Denn nur dann werden am Ende auch viele Menschen diese Apps verwenden und zuverlässige Aussagen gewonnen werden können.

Anmerkung: Im Podcast sprechen wir auch noch über mögliche weitere Anwendungen von Corona-Apps und ob Menschen mit überstandener Corona-Infektion etwa mehr Bewegungsfreiheit bekommen sollen als Menschen, die sich noch nicht infiziert haben und was das für die Bevölkerung bedeutet. In diesem Zuge sei auf den ARD-Korrespondenten Steffen Wurzel hingewiesen, der unter anderem über die Verwendung solcher Apps in China berichtet:

Weiterführende Links: