Benutzerspezifische Werkzeuge
Sie sind hier: Startseite Presse Datenschutz-Risiken einer Corona-App: Komplettversion der Datenschutz-Folgenabschätzung (DSFA) nun in englischer Sprache verfügbar

Datenschutz-Risiken einer Corona-App: Komplettversion der Datenschutz-Folgenabschätzung (DSFA) nun in englischer Sprache verfügbar

PM vom 24. April 2020 – Zweifel am Nutzen der Corona-App bleiben – zentrale Variante unvertretbar, dezentrale birgt erhebliche Risiken – DSFA auch in englischer Sprache unter https://www.fiff.de/dsfa-corona

Die Fachdebatte um die konkrete, datenschutzgerechte Ausführung einer Corona-App hat sich in den letzten Tagen zugespitzt. Das sogenannte „Contact Tracing“ soll das Nachverfolgen von Infektionsketten und die Warnung eventuell infizierter Personen technisch unterstützen. Zunächst ging es dabei um die Warnung eventuell infizierter Personen, um die Corona-Pandemie einzudämmen. Mittlerweile werden weitere Zwecke diskutiert, die über das Nachverfolgen von Infektionsketten hinausgehen und noch tiefere Eingriffe in die Grundrechte bedeuten würden. Derweil bestehen an der Wirksamkeit einer solchen App zur Eindämmung der Pandemie noch immer Zweifel, wie etwa die Diskussion um falsche Positive durch Hauswände und variierende Bluetooth-Sendestärken zeigtAuch die Vorwürfe, dass sich in dem App-Vorhaben primär politischer Aktionismus zeigt und dass das Projekt einer Gewöhnung der Bevölkerung an Tracing-Vorhaben durch staatliche Organe dienen mag, konnten noch nicht ausgeräumt werden.null

Im Zuge der aktuellen Diskussion um eine Lockerung der Ausgangsbeschränkungen wird der Einsatz einer Corona-App als strategischer Baustein gehandelt und nun auch von der Bundesregierung erwogen. Gesundheitsminister Jens Spahn hat sich dabei zuletzt für die unter Datenschutzgesichtspunkten riskantere zentralisierte Architektur eines solchen Systems ausgesprochen – während Österreich, Estland und die Schweiz sich dem dezentralen System DP-3T angeschlossen haben. Mit der Veröffentlichung einer DSFA verfolgen wir das Ziel, die Diskussion für die weitreichenden Folgen dieser Entscheidungen zu sensibilisieren und einen Beitrag zur möglichst datenschutzfreundlichen Gestaltung dieser App zu leisten.

Zu den zentralen datenschutzrelevanten Fragen gehört dabei: Wie wird die Zweckbindung des Gesamtsystems abgesichert Wie kann die Zweckentfremdung, insbesondere auch durch die BetreiberInnen, mit technischen, organisatorischen und rechtlichen Mitteln verhindert werden? Entscheidend für das Gelingen einer datenschutzfreundlichen Corona-App wird es sein, den Zweck allein auf das Informieren potenziell infizierter Personen zu beschränken. Das Hinzufügen weiterer Zwecke – von epidemiologischen Studien über eine Passierschein-Funktion der Corona-App bis hin zur Quarantäne-Überwachung – ist aus Sicht des FIfF mit unverhältnismäßigen Risiken und Grundrechtseinschränkungen verbunden und deshalb nicht vertretbar. 

Die Frage von Zentralität vs. Dezentralität ist aufgrund des folgenden Umstands von entscheidender Bedeutung für den Datenschutz: In der zentralen Architektur koordiniert ein quasi „allwissender" Server alle Verfahrensaktivitäten: Er sammelt die Kontaktereignisse von allen infizierten NutzerInnen und versendet Warnungen an die entsprechend gefährdete Personen. In der dezentralen Architektur hat der Server hingegen keinen Zugriff auf Kontaktereignisse der NutzerInnen. Das Auffinden möglicher Infektionsereignisse übernehmen die Apps selbst; die dafür nötigen Berechnungen werden auf den Geräten der jeweiligen NutzerInnen durchgeführt. Würde eine staatliche Stelle flächendeckend Zugriff auf Kontaktereignisse infizierter und nicht-infizierter Personen erhalten, wäre das nicht nur eine erhebliche Datenschutzverletzung, sondern insbesondere auch eine für den Zweck gar nicht erforderliche Datenansammlung, also ein Verstoß gegen das Gebot der Datensparsamkeit. Bislang haben sich das Europäische Parlament, Österreich, Estland und die Schweiz für die dezentralisierte Variante ausgesprochen. „Deutschland unter Gesundheitsminister Spahn hingegen favourisiert noch das zentralisierte Modell. Wir vom FIfF möchten eindringlich auf die Gefahr hinweisen, dass sich an ein zentralisiertes System weitreichende Nachnutzungsmöglichkeiten anschließen werden, die erhebliche Missbrauchspotenziale erzeugen.“ warnt Kirsten Bock vom FIfF.

Da die dezentrale Variante gegenüber der zentralen deutlich zu bevorzugen, jedoch auch ihrerseits nicht frei von – teils gravierenden – Datenschutzrisiken ist, legt das FIfF für die dezentrale Architektur nun eine Muster-Datenschutz-Folgenabschätzung (DSFA) vor. Damit bezieht sich das FIfF auf eine Anforderung nach Art. 35 der Datenschutzgrundverordnung, die sich an die zukünftige verantwortlichen BetreiberIn einer solchen Datenverarbeitung richtet. Der Zweck dieser Muster-DSFA besteht darin, öffentlich zugänglich die Risiken für alle betroffenen Personen aufzuzeigen. „Hierbei weisen wir deutlich darauf hin, dass auch Personen von den Datenschutzrisiken betroffen sind, die die App gar nicht selbst verwenden.“ fügt Christian Ricardo Kühne vom FIfF hinzu. Des Weiteren präsentieren wir mit diesem Dokument Empfehlungen zur (Um-)Gestaltung des Verfahrens sowie Schutzmaßnahmen für eine ganze Liste möglicher Schwachstellen und Angriffe.

Mit dieser DSFA haben wir einen Maßstab gesetzt, an dem sich andere zukünftig messen lassen müssen, wenn ihre Datenverarbeitung ein hohes Risiko für Grundrechte und Freiheiten erzeugt, kommentiert Rainer Rehak vom FIfF. „Wir zeigen damit auch, dass DSFAen grundsätzlich veröffentlicht werden müssen, damit wir als Gesellschaft informiert über diese Risiken diskutieren können – und Druck auf die Verantwortlichen ausüben, damit sie unsere Grundrechte bei der Datenverarbeitung schützen., ergänzt Jörg Pohle, ebenfalls vom FIfF.

Mit dieser DSFA – die nun auch vollständig in englischer Sprache verfügbar ist – wollen wir auch die gesamteuropäische Datenschutz-Diskussion bereichern. Datenschutz ist der Garant für Grundrechtsschutz im digitalen Zeitalter – für alle Grundrechte, weit über eine „Privatsphäre“ hinaus. Download der DSFA (Creative-Commons-Lizenz: Namensnennung, CC BY 4.0 Int.):

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. ist ein deutschlandweiter Zusammenschluss von gut 700 Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen. Unsere Mitglieder arbeiten überwiegend in informatiknahen Berufen, vom IT-Systemelektroniker bis hin zur Professorin für Theoretische Informatik. Das FIfF wirkt seit 1984 in vielen technischen und nichttechnischen Bereichen der Gesellschaft auf einen gesellschaftlich reflektierten Einsatz von informationstechnischen Systemen zum Wohle der Gesellschaft hin. Zu unseren Aufgaben zählen wir Öffentlichkeitsarbeit, sowie Beratung und das Erarbeiten fachlicher Studien. Zudem gibt das FIfF vierteljährlich die „FIfF-Kommunikation – Zeitschrift für Informatik und Gesellschaft“ heraus und arbeitet mit anderen Friedens- sowie Bürgerrechtsorganisationen zusammen.