Datenschutz-Folgenabschätzung (DSFA) für Corona-Apps veröffentlicht

Gesunde_daten/ April 14, 2020/ alle Beiträge, Datenschutz in Zeiten von Corona, Gesundheitsdatenschutz, staatliche Überwachung / Vorratsdatenspeicherung/ 1Kommentare

Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. hat auf der Basis der öffentlich verfügbaren Daten und Informationen eine umfangreiche Datenschutz-Folgenabschätzung (DSFA) für die in Entwicklung befindlichen Corona-Apps vorgelegt, In einer Pressemitteilung vom 14.04.2020 stellt FifF fest:

Wirksamkeit und Folgen entsprechender Apps sind noch nicht absehbar und es ist davon auszugehen, dass innerhalb der EU verschiedene Varianten erprobt und evaluiert werden. Die datenschutz- und somit grundrechtsrelevanten Folgen dieses Unterfangens betreffen potenziell nicht nur Einzelpersonen, sondern die Gesellschaft als Ganze. Aus diesem Grunde ist nicht nur die Anfertigung einer DSFA angezeigt, sondern insbesondere auch ihre Veröffentlichung – und eine öffentliche Diskussion. Da bisher keine der beteiligten Stellen eine allgemein zugängliche DSFA präsentiert hat und selbst die vorgelegten privacy impact assessments unvollständig bleiben, legen wir vom FIfF mit diesem Dokument eigeninitiativ eine solche Datenschutz-Folgenabschätzung als konstruktiven Diskussionsbeitrag vor.

Zusammenfassung und Ergebnisse

  1. Die in den Diskussionen vielfach betonte Freiwilligkeit der App-Nutzung ist eine Illusion. Es ist vorstellbar und wird auch bereits diskutiert, dass die Nutzung der App als Voraussetzung für die individuelle Lockerung der Ausgangsbeschränkungen gelten könnte. Das Vorzeigen der App könnte als Zugangsbarriere zu öffentlichen oder privaten Gebäuden, Räumen oder Veranstaltungen dienen. Denkbar ist, dass Arbeitgeberïnnen solche Praktiken schnell adaptieren, weil sie mittels freiwillig umgesetzter Schutzmaßnahmen schneller ihre Betriebe wieder öffnen dürfen. Dieses Szenario bedeutet eine implizite Nötigung zur Nutzung der App und bedeutet erhebliche Ungleichbehandlung der Nicht-Nutzerïnnen. Weil nicht jede Person ein Smartphone besitzt, wäre hiermit auch eine Diskriminierung ohnehin schon benachteiligter Gruppen verbunden… Die Einwilligung ist nicht das richtige Regelungsinstrument für die Nutzung der Corona App, weil deren Voraussetzungen nicht erfüllt sind. Der Gesetzgeber ist aufgerufen, dass Nutzungsrisiko der App nicht auf die Bürgerïnnen abzuwälzen, sondern selbst die Voraussetzungen für eine freiwillige, sichere und grundrechtsverträgliche Lösung in einem Gesetz vorzugeben und die Bürgerïnnen so vor Grundrechtsverletzungen – auch durch Dritte – wirksam zu schützen
  2. Ohne Intervenierbarkeit und enge Zweckbindung ist der Grundrechtsschutz gefährdet. So besteht ein hohes Risiko fälschlich registrierter Expositionsereignisse (falsch positiv), die zu unrecht auferlegter Selbst-Isolation oder Quarantäne zur Folge haben (zum Beispiel Kontaktmessung durch die Wand zwischen zwei Wohnungen). Um dem zu begegnen, bedarf es rechtlicher und faktischer Möglichkeiten zur effektiven Einflussnahme, etwa das Zurückrufen falscher Infektionsmeldungen, die Löschung falsch registrierter Kontaktereignisse zu einer infizierten Person und das Anfechten von infolge der Datenverarbeitung auferlegter Beschränkungen. Eine solche Möglichkeit sieht bisher keines der vorgeschlagenen Systeme vor. Beim Datenschutz geht es genauso wenig um den Schutz von Daten, wie es beim Sonnenschutz um den Schutz der Sonne geht oder beim Katastrophenschutz um den Schutz von Katastrophen
  3. Alle bislang erwähnten Verfahren verarbeiten personenbezogene Gesundheitsdaten. Das Verfahren besteht aus der Verarbeitung von Kontaktdaten auf den Smartphones, der Übermittlung dieser Daten auf einen Server nach der Diagnose einer Infektion und letztendlich deren Verteilung an alle anderen Smartphones zur Prüfung auf einen möglichen Kontakt mit Infizierten. Alle Daten auf einem Smartphone sind personenbezogen, nämlich bezogen auf die Nutzerïn des Gerätes. Weil nur diejenigen Personen Daten übertragen, die als infiziert diagnostiziert wurden, sind die übertragenen Daten zugleich Gesundheitsdaten. Somit unterliegen diese dem Schutz der DSGVO. 
  4. Anonymität der Nutzerïnnen muss in einem Zusammenspiel rechtlicher, technischer und organisatorischer Maßnahmen erzwungen werden. Nur durch einen mehrdimensionalen Ansatz kann der Personenbezug wirksam und irreversibel von den verarbeiteten Daten abgetrennt werden, so dass danach von anonymen Daten gesprochen werden kann. Allen derzeit vorliegenden Vorschlägen fehlt es an einem solchen expliziten Trennungsvorgang. “Wenn man sich hier nur auf technische Maßnahmen oder allein auf politische Beteuerungen verlässt, besteht ein großes Risiko der nachträglichen De-Anonymisierung.”…

In einer summarischen Bewertung erklärt FifF: „Datenschutzanalysen betrachten die gesamte Verarbeitung von Daten, nicht nur die dabei eingesetzten Apps. Die Grenzen der App sind nicht die Grenzen der Verarbeitung… In der öffentlichen Diskussion und in den betrachteten App-Projekten wird Datenschutz nach wie vor auf den Schutz der Privatsphäre, also Geheimhaltung gegenüber Betreiberïnnen und Dritten, und auf Aspekte der IT-Sicherheit wie Verschlüsselung reduziert. Mit dieser Verengung der Sichtweise kommen die erheblichen, gesellschaftlich wie politisch fundamentalen Risiken, die wir in dieser Folgeabschätzung aufzeigen, nicht nur nicht in den Blick – sie werden zum Teil sogar verschleiert. Aus dem Blickwinkel des Datenschutzes gehen die wesentlichen Risiken nicht von Hackerïnnen oder anderen Benutzerïnnen aus, sondern von den Betreiberïnnen des Datenverarbeitungssystems selbst….“

1 Kommentar

  1. Siehe dazu folgende Artikel des Handelsblatt-Journalisten Norbert Häring in seinem Blog:

    Event 201 und die Bekämpfung von Fake News (mit 2 Fortsetzungen)

    12. 04. 2020 / 13. 04. 2020 | In einem Beitrag der “Zeit” zu Verschwörungstheorien um Covid-19 fand ich einen Link zu einem sehr interessanten Video über die Inhalte der Corona-Pandemie-Simulation “Event 201” von Oktober 2019. Dort wurde nicht nur über den Lockdown, Reisebeschränkungen und die wirtschaftlichen Schäden diskutiert, sondern auch darüber, wie man gegen Fake News vorgehen sollte.

    Bill Gates beschreibt Covid-19 als ersten Anwendungsfall der Known-Traveller-Horrorvision des Weltwirtschaftsforums

    11. 04. 2020 | Das Weltwirtschaftsforum, der Club der größten multinationalen Unternehmen, arbeitet an einer globalen Überwachungsarchitektur. Einstiegsprojekt ist das Known-Traveller-Digital-Identity-Programm (KTDI). In einem offenbar nachträglich bereinigten Interview vom 24. März beschreibt Microsoft-Gründer Bill Gates, wie Covid-19 ein erster globaler Anwendungsfall für diese Infrastruktur sein könnte.

    Der Kampf gegen das Virus und die abweichende Meinung

    9. 04. 2020 | Henry Mattheß. Die Ereignisse um das Coronavirus SARS-CoV-2 werfen ein Schlaglicht auf das derzeitige gesellschaftliche Klima, insbesondere in Politik und Medien. Wer neben den medizinischen Corona-Alarmstatisken auch den Umgang der Gesellschaft mit der jetzigen Situation beobachtet, dem können sich schnell grundsätzliche Fragen stellen.

    Die totalitäre Horrorvision des Weltwirtschaftsforums wird wahr gemacht

    8. 04. 2020 | Beim jährlichen Milliardärsstelldichein in Davos Anfang 2018 wurde ein im Auftrag des Weltwirtschaftsforums erstelltes Pilotprojekt für die Überwachung von Flugreisenden beschlossen, das ich damals als “totalitäre Horrorvison” vorstellte. Ein nun veröffentlichter Nachfolgebericht zeigt, dass der Club der größten multinationalen Konzerne eifrig und erfolgreich daran arbeitet, die Regierungen und die EU in die Umsetzung dieser Horrorvision einzuspannen.

    Über das RKI und die Gefahren des Zwecklügens

    8. 04. 2020 | Seit drei Monaten kämpft die Welt mit Covid 19. Seit mindestens zwei Monaten muss es allen Fachleuten klar sein, dass Gesichtsmasken eine wichtige Hilfe bei der Eindämmung der Ansteckung sind. Seit 6. April gilt in Jena und Österreich Maskenpflicht. Aber der Chef des Robert Koch-Instituts (RKI), Lothar Wieler, hat bis zuletzt abgewiegelt und betont, wie wenig sie angeblich helfen. Das war und ist unverantwortlich.

    https://norberthaering.de/

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*