In den letzten Tagen wird die Nutzung von Daten zur Bekämpfung der Corona-Pandemie immer stärker diskutiert.
Wir haben daher ein ad hoc Paper v0.2 (PDF, Deutsch) bzw ad hoc Paper v0.3 (PDF, Englisch) zur Einhaltung der DSGVO verfasst und wollen diese Möglichkeit nutzen, um einen ersten Überblick über die datenschutzrechtlichen Grundlagen bei all diesen Ideen und Projekten zu geben.
Übersicht über diverse Maßnahmen
Viel wird über diverse Corona-Maßnahmen geredet, die durch die Nutzung von Daten die Verbreitung des Virus eindämmen sollen. Dazu gehören zum Beispiel:
- Informationsportale (wie z.B. Informationen zur Selbstdiagnose oder Karten von Risikogebieten),
- Anonyme Datenauswertungen (insb. von Handynetzen),
- Apps die versuchen, mögliche Ansteckungssituationen aufzuzeichnen (Contact Tracing),
- Apps die Quarantänemaßnahmen überprüfen sollen, bis hin zu
- Versuche über diverse Daten wie z.B. Handyortung infizierte Personen zu verfolgen.
noyb hat in einem Artikel auf GDPRhub.eu eine erste Übersicht über konkrete Apps und Projekte in Europa und darüber hinaus zusammengetragen, um auch hier etwas Licht ins Dunkel zu bringen. Die meisten Systeme sind jedoch weit von "Big Data" oder "chinesischen Verhältnissen" entfernt.
DSGVO erlaubt Nutzung von Daten im Fall von Epidemien – die Frage ist nicht ob, sondern wie.
Einen generellen Konflikt zwischen dem Datenschutz (insbesondere der DSGVO) und der Nutzung von Daten im Kampf gegen eine Epidemie besteht – entgegen vielen ersten Berichten – nicht. Aussagen wie jene, dass der Datenschutz „zurückstehen“ muss (so etwa Bitcom-Chef Achim Berg) sind daher wohl eher einem falschen Verständnis der Rechtslage geschuldet.
Max Schrems, ehrenamtlicher Vorsitzender von noyb: „Die DSGVO sieht die Datenverarbeitung im Kampf gegen Epidemien ausdrücklich vor. Der Datenschutz muss hier also nicht ‚zurückstehen‘, sondern einfach nur eingehalten werden.“
Artikel 6(1)(d) und 9(2)(i) der DSGVO legitimieren nach den Erwägungsgründen der DSGVO die Verarbeitung von Daten etwa für den Kampf gegen „grenzüberschreitende Gesundheitsgefahren“ oder für die „Überwachung von Epidemien“.
Die DSGVO hat jedoch auch Regeln, wie der Eingriff in die Grundrechte der Menschen auch beim Kampf gegen Corona auf ein Mindestmaß reduziert werden kann.
Max Schrems: „Die Gesetze sehen die Datennutzung im Kampf gegen Corona vor, aber mit Maß und Ziel. Das Gesetz beschränkt die Nutzung von Daten auf das absolut Notwendige. Gemeinsam mit Konzepten wie ‚Privacy by Design‘ ist es möglich, dass man rechtlich saubere Apps und Systeme entwickelt, die beim Kampf gegen diese Epidemie helfen. Die Frage ist also nicht, ob das möglich ist, sondern wie man es ordentlich macht.“
Dabei gibt es viel Raum zwischen überbordender Totalüberwachung und der Sammlung und spezifischen Auswertung von ganz bestimmten wichtigen Informationen. Die Nutzung von Daten kann dabei grundrechtlich auch das „gelindere Mittel“ im Vergleich zu den aktuellen Ausgangsbeschränkungen darstellen.
Schrems: „Freiwillige Apps die zum Beispiel auf einem lokal gespeicherten und verschlüsselten Selbst-Tracking basieren, das nur im Falle eines positiven Tests ausgewertet wird, sind sicher machbar. Das entspricht dann eher dem eigenverantwortlichen Mitnehmen eines Lawinen-Piepsers als einer zentralen Totalüberwachung.“
Um Projekte bei der Umsetzung von datenschutzkonformen Lösungen zu unterstützen hat noyb ein ad hoc Paper zu Contact Tracing Apps veröffentlicht.
Vertrauen ist notwendig für den Erfolg
Menschen müssen Technik im Kampf gegen Corona vertrauen können, damit genug Menschen mitmachen. Dies kann etwa durch Maßnehmen wie eine gute Verschlüsselung der Daten, der Speicherung von Daten im Machtbereich des Nutzers und die Offenlegung des Quellcodes („Open Source“) erreicht werden.
Schrems: „Diese Ansätze funktionieren nur, wenn es in großer Teil der Gesellschaft mitmacht. Dafür brauchen wir Systeme die die Daten beim Nutzer belassen und von außen überprüfbar sind. Wenn das ordentlich gemacht wird, kann man solche Systeme durchaus empfehlen.“
Realistischer Zugang zu technischen Möglichkeiten
Verwunderlich ist aktuell vor allem der unbeirrte Technikglaube in manchen Aussagen. So sind komplexere Anwendungen, wie das "Contact Tracing" nach einer Infektion nicht ohne hoch spezifische Daten machbar. Vorschläge, wie beispielsweise die Ansteckungsgefahr zwischen zwei Personen anhand von Mobilfunkdaten zu berechnen, sind wohl eher Wünsche als technisch realistisch.
Horst Kapfenberger, Informatiker bei noyb: „Die Positionsdaten der Mobilfunkprovider sind aufgrund ihrer Ungenauigkeit etwa für die Ermittlung von möglichen Ansteckungen absolut ungeeignet. Wir können mit ungenauen Basisdaten keine aussagekräftigen Modelle bauen.“
Hinzu kommen weiterhin bestehende Unklarheiten zur Verbreitung des Corona-Virus. Es gibt derzeit verschiedene und oft sehr vage Informationen zu den Verbreitungswegen und Zeitabläufen des Virus. Je unklarer Parameter rund um die Verbreitung des Virus sind, desto weniger genau können spezifische Risikokontakte, mittels technischer Lösungen, errechnet werden.
Es besteht die Gefahr, dass die Nutzer*innen in einer Lawine von irrelevanten Warnungen und Informationen untergehen („Information Overload“). Es ist daher wichtig vorab zu klären, welche Daten in welcher Qualität für ein gewisses Ziel realistisch zu erhalten sind.
Max Schrems: „Hier geht es nicht darum, dass ein System eine interessante Werbung errät, sondern um die Gesundheit der Bevölkerung. Wir brauchen daher spezifische, genaue und richtige Informationen. Für eine Statistik reichen oft grobe und anonyme Daten. Für Versuche Infektionsketten aufzuzeichnen braucht man allerdings hoch genaue Daten, die man lokal und verschlüsselt bei den Usern speichern kann.“
