„Datenschutz by Design“ – dafür setzt sich das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) seit Jahrzehnten ein. Bisher waren Konzepte für innovative Datenschutztechnik hauptsächlich in akademischen Papieren zu finden. Obwohl die Datenschutz-Grundverordnung „Datenschutz durch Technikgestaltung“ fordert, finden die Ideen bisher nur selten den Weg in die Praxis. Für die Contact-Tracing-App ist „Datenschutz by Design“ möglich – und auch nötig.
Weltweit wird zurzeit als einer von vielen Bausteinen zur Pandemie-Bekämpfung das „Contact Tracing“ diskutiert, um Menschen zu warnen, die sich mit dem neuartigen Corona-Virus angesteckt haben könnten. Damit soll per App auf dem Smartphone mitgespeichert werden, wenn Nahkontakte mit anderen Menschen bestanden, die ebenfalls eine solche App einsetzen. Stellt sich später heraus, dass bei solchen Begegnungen eine der beteiligten Personen infiziert war, können die anderen per App benachrichtigt werden – auch wenn man einander nicht kennt.
Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat sich mit den Konzepten eingehend beschäftigt: „Das Contact Tracing funktioniert wie eine Art digitales Tagebuch mit Einträgen über Nahkontakte auf dem Smartphone, die später abgeglichen werden können.
Eine solche App kann in Ergänzung zu anderen Pandemie-Maßnahmen hilfreich zur Eindämmung sein. Das wird aber nur funktionieren, wenn die Nutzerinnen und Nutzer ein berechtigtes Vertrauen in die App haben können – und dafür ist „Datenschutz by Design“ wesentlich. Das bedeutet zum Beispiel, dass Namen und Orte nicht gespeichert werden und alles verschlüsselt abgelegt wird. Entscheidend für ein Abschätzen des Missbrauchsrisikos ist dabei die Frage, wo die Daten beim Abgleich gespeichert sind und ob damit zusätzliche Auswertungen – bis hin zur Überwachung – ermöglicht werden.“
Grundlegend für die technische Entwicklung ist die Architektur des Systems: Die Kontaktdaten werden zunächst nur auf den Smartphones der Nutzerinnen und Nutzer gesammelt. Die Frage ist, ob Abgleich und Benachrichtigung der möglicherweise Betroffenen über einen zentralen Server realisiert werden oder ob der Abgleich dezentral in den Apps der Nutzerinnen und Nutzer geschieht und nur die Nutzenden selbst das Ergebnis erfahren.
Dieser Richtungsstreit „zentral – dezentral“ wurde besonders deutlich, als am 20.04.2020 Datenschutzforscherinnen und –forscher aus aller Welt, von denen viele an verschiedenen Entwicklungsprojekten zu Contact Tracing beteiligt sind, ihre Bedingungen an ein solches App-Design in einem offenen Brief formulierten: Insbesondere dürfe eine Contact-Tracing-App nur dem Zweck dienen, Kontakte nachzuverfolgen, und vollständige Transparenz und Datenminimierung seien zu gewährleisten. Sie betonen, dass bei mehreren Gestaltungsoptionen diejenige zu wählen sei, die Datenschutz am besten gewährleistet.
Am 21.04.2020 hat der Europäische Datenschutzausschuss (EDSA), in dem die Datenschutz-aufsichtsbehörden von Bund und Ländern – auch Hansens Team – mitarbeiten, klargestellt, dass die Einhaltung von datenschutzrechtlichen Vorgaben unverzichtbar ist. Dies ist nicht zuletzt deshalb wichtig, um ein berechtigtes Vertrauen in der Bevölkerung herstellen zu können, das zwingende Voraussetzung für die Akzeptanz einer freiwilligen Lösung ist. Es gehört zu den Aufgaben der nationalen Gesetzgeber, sicherzustellen, dass diese Freiwilligkeit auch tatsächlich besteht. Personen, die eine solche Anwendung nicht nutzen wollen oder können, dürfen dadurch keinerlei Nachteile erleiden Auch muss sichergestellt sein, dass eine Verarbeitung nur für die im Vorfeld festgelegten Zwecken erfolgt. Wie bei allen anderen derartigen Maßnahmen gilt auch hier, dass eine zeitliche Befristung notwendig ist.
Weil ein App-Einsatz mit hohen Risiken für die Rechte und Freiheiten betroffener Personen verbunden ist, muss zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden, deren Veröffentlichung der EDSA nachdrücklich empfiehlt. Unter den zahlreichen Bedingungen, die der EDSA aufführt, findet sich ebenso wie bei den Datenschutzforscherinnen und –forschern die Forderung nach weitestgehender Transparenz. Der Quellcode der Anwendung und des Backends müssen offen sein (Open Source); ebenso müssen die technischen Spezifikationen veröffentlicht werden, um eine Überprüfung zu ermöglichen.
Der EDSA hebt hervor, dass das Prinzip der Datenminimierung und das Prinzip des Datenschutzes by Design sorgfältig zu berücksichtigen sind. Wie bereits in seinem Schreiben an die Europäische Kommission am 14.04.2020 stellt der EDSA in diesem Zusammenhang fest, dass der Grundsatz der Datenminimierung bei einem dezentralen Ansatz besser gewahrt werde.
Dies ist auch aus Hansens Sicht wichtig: „Es gilt, das Risiko einer Identifizierung der betroffenen Personen zu minimieren – auch im Hinblick auf unbefugte Zugriffe, die bei zentralen Infrastrukturen alle Teilnehmenden betreffen würden. Das entsprechende Know-how sowie tragfähige Konzepte sind da. Diese Früchte teilweise jahrelanger Forschungsarbeit jetzt nicht zu ernten und gerade solche Konzepte nicht zu berücksichtigen, die Datenschutz durch ausgefeilte Technik in hohem Maße befördern, wäre ein großes Versäumnis.“
Hansen begrüßt die Transparenz der bisherigen Arbeiten der Datenschutzforscherinnen und –forscher: „Durch die Offenlegung von Konzepten, die ehrliche Diskussion von möglichen Risiken und Gegenmaßnahmen und die Bereitstellung von Quellcode wird es den Datenschutzaufsichtsbehörden und der interessierten Öffentlichkeit ermöglicht, die Ergebnisse zu überprüfen und weiterzuentwickeln. Wichtig ist auch, dass nicht jeder im stillen Kämmerlein an seiner eigenen Lösung strickt, sondern taugliche und datenschutzwahrende Modelle weltweit interoperabel funktionieren können. Die ersten Schritte dafür sind getan: Die „Datenschutz by Design“-Expertinnen und –Experten verschiedener Projekte haben sich zusammengetan und kooperieren im Sinne einer guten Gesamtlösung mit eingebautem Datenschutz.“
Auch vom deutschen Gesundheitsministerium wünscht sich Hansen ein deutliches Bekenntnis zu „Datenschutz by Design“, Datenminimierung und maximaler Transparenz.
Weiterführende Informationen:
Europäischer Datenschutzausschuss (14.04.2020):
EDPB Letter concerning the European Commission’s draft Guidance on apps supporting the fight against the COVID-19 pandemic, https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-concerning-european-commissions-draft-guidance-apps_en
Europäischer Datenschutzausschuss (21.04.2020):
Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_de
Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V.:
Datenschutz-Folgenabschätzung für die Corona-App (V1.0 vom 14.04.2020, mehrere Aktualisierungen):
https://www.fiff.de/dsfa-corona-file/
Datenschutzforscherinnen und –forscher zum Contact Tracing:
• Joint Statement on Contact Tracing (20.04.2020):
https://cispa.saarland/de/2020/04/20/joint-statement-on-contact-tracing.html
• „Decentralized Privacy-Preserving Proximity Tracing (DP-3T)“:
https://github.com/DP-3T
• „A Global Coalition for Privacy-First Digital Contact Tracing
Protocols to Fight COVID-19 (TCN Coalition)“:
https://tcn-coalition.org/
• „Private Automated Contact Tracing“:
https://pact.mit.edu/
• „CovidSafe“:
https://covidsafe.cs.washington.edu/
Die Informationen der Landesbeauftragten für Datenschutz zu Themen der Corona-Pandemie werden unter dem folgenden Link bereitgestellt und regelmäßig aktualisiert: