FIfF veröffentlicht Datenschutz-Folgenabschätzung (DSFA) für die Corona-App
Pressemitteilung vom 14. April 2020
„Es geht nicht um Privatsphäre, sondern es geht darum, eine Technik sozial beherrschbar zu machen.“ Dieses Datenschutzverständnis von Wilhelm Steinmüller (1934–2013), Datenschutzpionier und langjähriges FIfF-Mitglied, möchten wir, eine Gruppe Wissenschaftlerïnnen und Datenschützerïnnen im Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V., wieder stark machen.
Seit einigen Wochen kreist die Diskussion um die Eindämmung der Corona-Pandemie zunehmend um den Einsatz technischer Hilfsmittel. Es wird geplant, die Pandemie durch den Einsatz von Tracing-Apps für Smartphones einzudämmen. Diese Systeme sollen automatisiert die zwischenmenschlichen Kontakte aller Nutzerïnnen aufzeichnen und es so erlauben, die Infektionsketten des Virus schnell und effizient nachzuvollziehen, um möglicherweise exponierte Personen frühzeitig warnen und isolieren zu können.
Wir haben es angesichts der geplanten Corona-Tracing-Systeme mit einem gesellschaftlichen Großexperiment zur digitalen Verhaltenserfassung unter staatlicher Aufsicht in Europa zu tun. Die europäische Datenschutzgrundverordnung (DSGVO) verpflichtet die Betreiberïnnen umfangreicher Datenverarbeitungssysteme (zu denen auch ein Corona-Tracing-System zählen würde) zur Anfertigung einer Datenschutz-Folgenabschätzung (DSFA) im Falle eines hohen Risikos für die Grund- und Freiheitsrechte. Hierbei handelt es sich um eine strukturierte Risikoanalyse, die mögliche grundrechtsrelevante Folgen einer Datenverarbeitung im Vorfeld identifiziert und bewertet.
Wirksamkeit und Folgen entsprechender Apps sind noch nicht absehbar und es ist davon auszugehen, dass innerhalb der EU verschiedene Varianten erprobt und evaluiert werden. Die datenschutz- und somit grundrechtsrelevanten Folgen dieses Unterfangens betreffen potenziell nicht nur Einzelpersonen, sondern die Gesellschaft als Ganze. Aus diesem Grunde ist nicht nur die Anfertigung einer DSFA angezeigt, sondern insbesondere auch ihre Veröffentlichung – und eine öffentliche Diskussion. Da bisher keine der beteiligten Stellen eine allgemein zugängliche DSFA präsentiert hat und selbst die vorgelegten privacy impact assessments unvollständig bleiben, legen wir vom FIfF mit diesem Dokument eigeninitiativ eine solche Datenschutz-Folgenabschätzung als konstruktiven Diskussionsbeitrag vor.
Download der DSFA (Creative-Commons-Lizenz: Namensnennung, CC BY 4.0 Int.):
-
DE: Version 1.6 (PDF, 107 S., 1 MB), alle Versionen und weitere Informationen unter https://www.fiff.de/dsfa-corona
- EN: Version 1.6 (PDF, 97 p., 1 MB)
- ES: Solamente el resumen (PDF, 7 p., 86 kB)
- FR: Seulement le résumé (PDF, 7 p., 80kB)
Zusammenfassung und Ergebnisse
1. Die in den Diskussionen vielfach betonte Freiwilligkeit der App-Nutzung ist eine Illusion. Es ist vorstellbar und wird auch bereits diskutiert, dass die Nutzung der App als Voraussetzung für die individuelle Lockerung der Ausgangsbeschränkungen gelten könnte. Das Vorzeigen der App könnte als Zugangsbarriere zu öffentlichen oder privaten Gebäuden, Räumen oder Veranstaltungen dienen. Denkbar ist, dass Arbeitgeberïnnen solche Praktiken schnell adaptieren, weil sie mittels freiwillig umgesetzter Schutzmaßnahmen schneller ihre Betriebe wieder öffnen dürfen. Dieses Szenario bedeutet eine implizite Nötigung zur Nutzung der App und bedeutet erhebliche Ungleichbehandlung der Nicht-Nutzerïnnen. Weil nicht jede Person ein Smartphone besitzt, wäre hiermit auch eine Diskriminierung ohnehin schon benachteiligter Gruppen verbunden. Kirsten Bock vom FIfF kommentiert: „Die Einwilligung ist nicht das richtige Regelungsinstrument für die Nutzung der Corona App, weil deren Voraussetzungen nicht erfüllt sind. Der Gesetzgeber ist aufgerufen, das Nutzungsrisiko der App nicht auf die Bürgerïnnen abzuwälzen, sondern selbst die Voraussetzungen für eine freiwillige, sichere und grundrechtsverträgliche Lösung in einem Gesetz vorzugeben und die Bürgerïnnen so vor Grundrechtsverletzungen - auch durch Dritte - wirksam zu schützen.“ Martin Rost vom FIfF ergänzt prägnant „Von einer Einwilligung geht keine Schutzwirkung für Betroffene aus."
2. Ohne Intervenierbarkeit und enge Zweckbindung ist der Grundrechtsschutz gefährdet. So besteht ein hohes Risiko fälschlich registrierter Expositionsereignisse (falsch positiv), die zu unrecht auferlegte Selbst-Isolation oder Quarantäne zur Folge haben (zum Beispiel Kontaktmessung durch die Wand zwischen zwei Wohnungen). Um dem zu begegnen, bedarf es rechtlicher und faktischer Möglichkeiten zur effektiven Einflussnahme, etwa das Zurückrufen falscher Infektionsmeldungen, die Löschung falsch registrierter Kontaktereignisse zu einer infizierten Person und das Anfechten von infolge der Datenverarbeitung auferlegter Beschränkungen. Eine solche Möglichkeit sieht bisher keines der vorgeschlagenen Systeme vor. „Beim Datenschutz geht es genauso wenig um den Schutz von Daten, wie es beim Sonnenschutz um den Schutz der Sonne geht oder beim Katastrophenschutz um den Schutz von Katastrophen.“ spitzt Jörg Pohle vom FIfF zu.
3. Alle bislang erwähnten Verfahren verarbeiten personenbezogene Gesundheitsdaten. Das Verfahren besteht aus der Verarbeitung von Kontaktdaten auf den Smartphones, der Übermittlung dieser Daten auf einen Server nach der Diagnose einer Infektion und letztendlich deren Verteilung an alle anderen Smartphones zur Prüfung auf einen möglichen Kontakt mit Infizierten. Alle Daten auf einem Smartphone sind personenbezogen, nämlich bezogen auf die Nutzerïn des Gerätes. Weil nur diejenigen Personen Daten übertragen, die als infiziert diagnostiziert wurden, sind die übertragenen Daten zugleich Gesundheitsdaten. Somit unterliegen diese dem Schutz der DSGVO.
4. Anonymität der Nutzerïnnen muss in einem Zusammenspiel rechtlicher, technischer und organisatorischer Maßnahmen erzwungen werden. Nur durch einen mehrdimensionalen Ansatz kann der Personenbezug wirksam und irreversibel von den verarbeiteten Daten abgetrennt werden, so dass danach von anonymen Daten gesprochen werden kann. Allen derzeit vorliegenden Vorschlägen fehlt es an einem solchen expliziten Trennungsvorgang. "Wenn man sich hier nur auf technische Maßnahmen oder allein auf politische Beteuerungen verlässt, besteht ein großes Risiko der nachträglichen De-Anonymisierung." so Rainer Mühlhoff vom FIfF. Wir haben in dieser DSFA rechtliche, technische und organisatorische Anforderungen formuliert, deren Umsetzung in der Praxis eine wirksame und irreversible Trennung sicherstellen kann – nur unter diesen Voraussetzungen dürften die infektionsanzeigenden Daten ohne Personenbezug (iDoP) an alle Apps verbreitet werden.
Wesentliche Voraussetzung für Transparenz bezüglich der Umsetzung aller Datenschutz-Grundsätze nicht nur für Datenschutzaufsichtsbehörden, sondern gerade auch für die Betroffenen und die (Zivil-)Gesellschaft insgesamt ist die quelloffene Entwicklung von Server und Apps nebst allen ihren Komponenten beispielsweise als freie Software. Nur so kann es gelingen, Vertrauen auch bei jenen zu erzeugen, die nicht alle informationstechnischen Details verstehen. Ergriffene Maßnahmen müssen immer aktiv prüfbar gemacht und sauber dokumentiert werden.
Abschluss
Datenschutzanalysen betrachten die gesamte Verarbeitung von Daten, nicht nur die dabei eingesetzten Apps. „Die Grenzen der App sind nicht die Grenzen der Verarbeitung.“ erläutert Christian Ricardo Kühne vom FIfF. In der öffentlichen Diskussion und in den betrachteten App-Projekten wird Datenschutz nach wie vor auf den Schutz der Privatsphäre, also Geheimhaltung gegenüber Betreiberïnnen und Dritten, und auf Aspekte der IT-Sicherheit wie Verschlüsselung reduziert. Mit dieser Verengung der Sichtweise kommen die erheblichen, gesellschaftlich wie politisch fundamentalen Risiken, die wir in dieser Folgeabschätzung aufzeigen, nicht nur nicht in den Blick – sie werden zum Teil sogar verschleiert. „Aus dem Blickwinkel des Datenschutzes gehen die wesentlichen Risiken nicht von Hackerïnnen oder anderen Benutzerïnnen aus, sondern von den Betreiberïnnen des Datenverarbeitungssystems selbst.“ kommentiert abschließend Rainer Rehak, Vorstandsmitglied des FIfF.
Bei Fragen zu dieser Pressemitteilung wenden Sie sich bitte an die Autorïnnen oder an Rainer Rehak:
E-Mail: dsfa-corona [ät] fiff.de oder rainer.rehak [ät] fiff.de
Betreff: „PM DSFA Corona"
PGP: 0D66 63E5 70A3 964A EE60 D927 4427 CFE5 8C19 AE19 (Rainer Rehak)
Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.
Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. ist ein deutschlandweiter Zusammenschluss von gut 700 Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen. Unsere Mitglieder arbeiten überwiegend in informatiknahen Berufen, vom IT-Systemelektroniker bis hin zur Professorin für Theoretische Informatik. Das FIfF wirkt seit 1984 in vielen technischen und nichttechnischen Bereichen der Gesellschaft auf einen gesellschaftlich reflektierten Einsatz von informationstechnischen Systemen zum Wohle der Gesellschaft hin. Zu unseren Aufgaben zählen wir Öffentlichkeitsarbeit, sowie Beratung und das Erarbeiten fachlicher Studien. Zudem gibt das FIfF vierteljährlich die „FIfF-Kommunikation – Zeitschrift für Informatik und Gesellschaft“ heraus und arbeitet mit anderen Friedens- sowie Bürgerrechtsorganisationen zusammen.