reuters/Kai Pfaffenbach

kurzum

Datenschutz „by design“

Автор: Pavel Usvatov

Eine Zwischenbilanz zur deutschen Corona-Warn-App

Mithilfe der Corona-App sollen Covid-19-Infektionswege nachvollziehbar werden. Länder auf der ganzen Welt haben diese Apps eingeführt. Wir schauen nach Südosteuropa, Asien, Lateinamerika, Nahost sowie Nordafrika und nach Subsahara-Afrika. Wie steht es um die rechtlichen Rahmenbedingungen vor Ort? Wie steht es um die praktische Umsetzung? Welche Probleme sind aufgetreten?

Die Entwicklung und Einführung der Corona- Warn-App in Deutschland ist von einer angeregten fachlichen und politischen Diskussion begleitet worden, die auch in vielen anderen europäischen Ländern und teilweise auch außerhalb der EU in ähnlicher Weise geführt wurde. Besonders kontrovers wurden die Anforde-rungen an die Funktionsweise des Warnprogramms erörtert, die erfüllt sein müssen, damit die App mit den Grundrechten der Nutzer und dem Datenschutz vereinbar ist. Im Unterschied zu den Regierungen vieler anderer Staaten entschied sich die deutsche Bundesregierung für die sog. Tracing-App und gegen eine Tracking-Lösung, die eine Überwachung der Nutzer ermöglichen würde.1 Die deutsche Lösung stellt mit ihrem dezentralen Ansatz bei der Datenspeicherung, einem Verzicht auf Datenübertragung und Ortung, der Open-Source-Architektur und Freiwilligkeit der Nutzung eine passgenaue technische Lösung dar, die den Bedenken der Nutzer Rechnung trägt, die über die Freigabe ihrer Daten selbst bestimmen wollen („Datenschutz by design“2).

Internationaler Vergleich

Wie fundamental sich der deutsche Ansatz „Datenschutz by design“ von Überwachungs-Apps, die diesen Namen tatsächlich verdienen, etwa im asiatischen Raum (besonders in China, aber auch in Indien), im Nahen Osten oder in Lateinamerika unterscheidet, untersuchen mehrere Autoren in der aktuellen Publikationsreihe der KAS „Coronaperspektiven“.3 Viele Corona-Apps in den genannten Ländern und Regionen speichern und übertragen bei der Registrierung und im Rahmen der folgenden Nutzung nicht nur den Namen, Telefonnummer, Alter und Geschlecht, sondern oftmals auch die GPS-Ortungsdaten. Die Corona-Tracking-App in Bahrain beispielsweise führt eine Beinahe-Live-Ortung der Standorte der Nutzer durch und lädt die GPS-Koordinaten auf einen zentralen Server hoch. Die App BeAware Bahrain war sogar mit einer landesweiten Live-Fernsehsendung namens „Are You at Home?“ verknüpft, in der Preise an Personen vergeben wurden, die während des Ramadans zu Hause blieben. In Südkorea erlaubt der Gesetzgeber durch spezielle Regelungen zur Infektionsbekämpfung den Zugriff auf detaillierte persönliche Daten, darunter Kreditkartentransaktionen bei den Banken oder Mobiltelefon-Standortdaten bei Telekommunikationsbetreibern. Und in Singapur funktioniert die SafeEntry-App wie ein nationales digitales Check-in-System, das an allen Arbeitsplätzen genutzt werden muss.

Berechtigte Kritik von IT-Experten

Trotz des datenschutzfreundlichen Ansatzes der deutschen Warn-App haben IT-Experten auch an dieser Lösung Kritik geäußert und moniert, „dass externe Angreifer detaillierte Bewegungsprofile […] erstellen und […] Personen identifizieren können.“4 Es gebe ferner noch Schwachstellen in der Datenschutzfolgenabwägung (Art. 35 DSGVO).5 Solche Kritik unterscheidet sich aber fundamental von der Kritik an den Tracking-Apps in anderen Regionen der Welt: Die geäußerten Bedenken richten sich hierzulande nicht gegen den Staat, sondern gelten der möglichen missbräuchlichen Nutzung der Daten durch privatwirtschaftliche Unternehmen.6

Grundrechtsschutz „by design“ in Deutschland

Die Sorgen davor, dass die Nutzerdaten durch Unternehmen zweckwidrig verwendet werden könnten, sind grundsätzlich berechtigt. Viele Anbieter haben ganz generell Schwierigkeiten, ihre Dienste in Übereinstimmung mit der DSGVO zu bringen.7 Dieses Anliegen unterscheidet sich aber grundlegend von den Vorstellungen eines Teils der Bevölkerung, dass Corona-Maßnahmen dazu dienen sollen, eine staatliche Dauerüberwachung einzuführen und eine „Diktatur“ zu errichten.8 Eine staatliche Überwachung mittels der aktuellen deutschen Corona-Warn-App ist ausgeschlossen – „by design“. Durch den Ansatz, den Quellcode offen zu legen, hat die Bundesregierung zudem für eine maximal mögliche Transparenz gesorgt. GPS-Daten werden weder erfasst noch übertragen. Angesichts aller anderen Apps, die auf den Smartphones (vor)installiert sind und rund um die Uhr umfangreiche Daten sammeln und an die Anbieter übermitteln, sollte die Corona-Warn-App den geringsten Anlass zur Sorge um die Grundrechte geben.


 

1 Beim „tracing“ (engl. u. a. Verfolgung, Aufzeichnung) geht es um die Erfassung der Information, ob und wann es zu einem Kontakt mit einer infizierten Person gekommen ist; es erfolgt, anders als beim „tracking“, keine Geolokalisierung oder Aufzeichnung des Ortes der Nutzer.

2 www.datenschutz-praxis.de/fachartikel/die-deutsche-corona-warn-app.

3 Jason Chumtong, Handytracking gegen COVID-19, A&A Nr. 386, April 2020; Pavel Usvatov et al., Mit dem Smartphone gegen Viren, in: Coronaperspektiven, September 2020.

4 TU Darmstadt, Universitäten Marburg und Würzburg, www.faz.net/aktuell/rhein-main/forscher-entdecken-sicherheitsluecke-bei-corona-apps-16812694.html.

5 FIfF e. V., Analyse und konstruktive Kritik der offiziellen Datenschutzfolgenabschätzung der Corona-Warn-App, Version 1.0 – 29. Juni 2020, S. 3, 5f., www.fiff.de/presse/ dsfa-corona-cwa.

6 Vor allem das Google-Apple-Protokoll, GAP, soll anfällig für die Erstellung von Bewegungsprofilen sein, und diese Unternehmen können die IT-Schnittstellen einseitig gestalten, www.faz.net/aktuell/rhein-main/forscher-entdecken-sicherheitsluecke-bei-corona-apps-16812694.html.

7 www.haufe.de/compliance/management-praxis/defizite-bei-umsetzung-der-dsgvo-in-deutschen-unternehmen_230130_500666.html.

8 Vgl. nur die jüngste Demonstration in Berlin am 30. August 2020, www.tagesschau.de/inland/corona-demo-berlin-131. html.

Поделиться

Статьи
reuters/Kai Pfaffenbach
24 сентября 2020 г.
Mehr lesen