Der Weg zu einer europäischen Tracing App - Datenschutz und Pandemiebekämpfung vereinen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Der Weg zu einer europäischen Tracing App – Datenschutz und Pandemiebekämpfung vereinen (28.04.2020) I. Hintergrund zur Entwicklung einer Tracing App zur Pandemiebekämpfung Die Entwicklung einer Tracing-App wird schon seit einigen Monaten von verschiedenen Institutionen und Wissenschaftlern vorangetrieben. Das angestrebte Ziel ist die App-basierte Nachverfolgung von Covid19-Infizierten, um letztlich durch Informationen Infektionsketten durchbrechen zu können. Die große Zahl der Infizierten und der Kontaktpersonen stellt die Gesundheitsämter und Behörden bei der Nachverfolgung von Infektionsketten und bei der Informierung potentiell Infizierter derzeit vor kaum zu bewältigende Herausforderungen. Die Einführung einer App-basierten Nachverfolgung von Infizierten kann eine weitgehende Unterstützung darstellen, die im Falle ihres Erfolges auch die Rücknahmen von Grundrechtseinschränkungen ermöglichen kann. Mit einer derartigen App können sich Infizierte als solche kenntlich machen und weitere Personen können schnell über einen möglichen Kontakt mit eben dieser infizierten Personen informiert werden. Grundlage des Erfolges einer solchen App ist, dass • die Infizierten als solche bekannt sind, • die Infizierten ihren Status als Infizierte der App melden, • eine breite Verbreitung und Nutzung der App in der Bevölkerung, • Akzeptanz der App in der Bevölkerung durch weitreichenden Datenschutz und Datensicherheit. In der aktuellen Debatte rund um die Einführung der Tracing App stehen nun vor allem drei Modelle bzw. Architekturstrukturen zur Auswahl. Alle Modelle setzen auf eine freiwillige Installation und Verwendung und verwenden die Bluetooth Low Energy Technologie. Als größtes Projekt kann PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) angesehen werden. Dieses Projekt wurde von rund 130 europäischen Wissenschaftlern und Institutionen entwickelt. Mit Thomas Wiegand, Leiter des Fraunhofer Heinrich-Hertz-Instituts, Marcel Salathé, Epidemiologe an der EPFL in Lausanne, und Chris Boos, Gründer der KI-Firma Arago und Mitglied im Digitalrat der Bundesregierung traten drei prominente Persönlichkeiten für PEPP-PT ein. Marcel Salathé hat jedoch gemeinsam mit einigen anderen Wissenschaftlern, darunter auch das deutsche Helmholtz-Zentrum für Informationssicherheit CISPA und die belgische KU Leuven, PEPP-PT verlassen und sich dem anderen gesamteuropäischen Projekt DP-3T (Decentralised Privacy-Preserving Proximity Tracing) angeschlossen. PEPP-PT setzt auf die Speicherung der Daten in einer zentralen Serverstruktur. Die mobilen Endgeräte senden die Daten dabei pseudonymisiert an einen zentralen Server, der diese
Daten weiterverarbeiten kann. In einem offenen Brief zeigten sich rund 300 besorgt über mögliche Gefährdungen und die Missbrauchsmöglichkeiten einer zentralen Speicherung personenbezogener Daten. Außerdem wurde PEPP-PT mangelnde Offenheit und Transparenz vorgeworfen. Das Projekt DP-3T wurde von einem Kernteam aus 25 Wissenschaftlern und Forschungseinrichtungen verschiedener europäischen Staaten entwickelt. Anfangs unterstützen die Entwickler von DP-3T in einem losen Bündnis auch die Initiative PEPP-PT. Nach Kritik an der mangelnden Transparenz und besonders einer unterschiedlicher Architekturstruktur bei der Speicherung der Daten besteht kaum noch eine Verbindung zwischen PEPP-PT und DP-3T. Die Architekturstruktur bei DP-3T setzt auf eine gänzlich dezentrale Datenverarbeitung. Die Datenverarbeitung erfolgt also direkt auf den mobilen Endgeräten und die so weiterverarbeiteten Daten werden – beispielsweise im Falle einer gemeldeten Infektion – an weitere mobile Endgeräte weiterversendet. Eine Speicherung auf einem zentralen Server erfolgt nicht. Die dritte in Betracht kommende Tracing-App ist die österreichische „Stop Corona“-App. Diese App wurde durch die österreichische Niederlassung des Unternehmens Accenture programmiert und wird durch das österreichische Rote Kreuz verantwortet. Stop Corona setzt auch auf die Freiwilligkeit der Nutzer und auf eine Datenübertragung via Bluetooth. Die Kontaktpersonen der Infizierten können mittels eines manuellen „Digitalen Handshakes“ nachverfolgt und informiert werden. Dazu kann jeder, der die App nutzt, mit seinen Kontakten einen digitalen Handshake, also eine Verbindung der mobilen Endgeräte, herstellen. Der digitale Handshake kann auch automatisch erfolgen, wenn der Nutzer diese Funktion einstellt. Dann sucht das mobile Endgerät dauerhaft nach anderen Stopp-Corona-Nutzern in der Umgebung. Sollte nun eine Person erfahren, dass sie sich mit dem Covid19-Virus infiziert hat, kann sie dies in der App angeben. Daraufhin werden alle Kontaktpersonen, also Personen, die einen digitalen Handshake ausgetauscht haben, informiert. Das österreichische App-Modell setzt auf eine dezentrale Datenverarbeitung, speichert die Daten aktuell aber noch auf einem zentralen Server. Es ist geplant, ähnlich wie es das Projekt DP-3T vorsieht, zukünftig einen gänzlich dezentralen Ansatz anzuwenden. II. Datenschutzstandards müssen gewährleistet sein Eine Einführung einer Tracing-App sollte sich aus einer datenschutzpolitischen Perspektive an verschiedenen Aspekten orientieren. Erst mit der Einhaltung der notwendigen Datenschutzstandards und rechtlichen Standards kann das Vertrauen der Bevölkerung in die App hergestellt und schlussendlich eine breite Nutzung erreicht werden. 2
a) Freiwilligkeit Entgegen einiger früherer Meinungen, unter anderem auch des Bundesgesundheitsministers Jens Spahn, herrscht in der allgemeinen politischen Wahrnehmung die Einschätzung, dass das erforderliche Vertrauen der Bevölkerung in eine solche Anwendung nur durch eine freiwillige Nutzung erreicht werden kann. Freiwillig muss dabei sowohl die Installation, als auch die Einstellung der notwendigen Berechtigungen erfolgen. Von einer allgemeinen Installation einer nicht aktivierungsbedürftigen App auf alle mobilen Endgeräte der Bevölkerung oder von einer Vorinstallation auf neuen mobilen Endgeräte wie es zum Beispiel der Bundesvorsitzende der Jungen Union Tilman Kuban in die Debatte eingebracht hat, muss Abstand genommen werden. Um die Freiwilligkeit und die breite Nutzung der App in der Bevölkerung gleichermaßen sicherzustellen, kann jedoch das Aufspielen einer noch aktivierungsbedürftigen der App im Rahmen eines Softwareupdates einen richtigen Weg darstellen. Voraussetzung hierfür ist, dass die Anbieter die Grundeinstellung der App so vornehmen, dass diese ohne bewusste Aktivierung durch den Nutzer nicht zur Anwendung kommt. Außerdem muss dem Nutzer auch bekannt sein, welche Berechtigungen für die erfolgreiche Nutzung der App erteilt werden müssen. Hierzu zählen unter anderem der Zugriff auf den internen und externen Speicher, das automatische Ein- und Ausschalten des Bluetooth oder die Datenspeicherung bzw. Weiterverarbeitung. Der Nutzer muss dauerhaft die Möglichkeit haben, einzelne oder auch alle Berechtigungen zu widerrufen. Auch die vollständige Deinstallation der App durch den Nutzer muss jederzeit möglich sein. Eine Freiwilligkeit der App-Nutzung muss auch über den Vorgang der Installation hinaus gesichert sein. Es darf beispielsweise nicht dazu kommen, dass die Nutzung der App als zwingend Voraussetzung bestimmter Institutionen und Dienstleister de facto verpflichtend wird. Eine solche verpflichtende Nutzung könnte z.B. im ÖPNV, im Einzelhandel, am Arbeitsplatz oder beim Besuch einer Arztpraxis drohen. Den Zugriff auf Daten der App durch andere Institutionen und Dienstleister lehnen wir grundsätzlich ab. b) Datenverarbeitung und -speicherung Den drei zuvor aufgeführten Apps ist gemein, dass ihnen eine Bluetooth-basierte Datenübertragung zugrunde liegt. Jeder Nutzer erhält ständig eine zufällige, temporär erstellte ID. Diese ID ändert sich in einem Intervall von x Minuten (z.B. jede halbe Stunde). Sobald ein Nutzer dann direkt mit einem andern Nutzer in Kontakt tritt, tauschen die Geräte die jeweils aktuelle ID aus und speichern diese auf dem anderen Gerät. Von einem direkten Kontakt kann ausgegangen werden, wenn sich die Kontaktpersonen in einem Abstand von eineinhalb bis zwei Metern zueinander befinden. Die Liste der pseudonymisierten IDs wird verschlüsselt auf den jeweiligen Geräten gespeichert. Die Speicherdauer muss vorab festgelegt werden und die bekannte Inkubationszeit des Virus berücksichtigen. 3
Sollte ein Nutzer daraufhin Kenntnis von einer persönlichen Infektion mit dem Covid19-Virus erhalten findet eine Information der getroffenen Kontaktpersonen, also der gespeicherten pseudonymisierte IDs, statt. An diesem Punkt lässt sich der Hauptunterschied zwischen PEPP- PT und DP-3T erklären: Variante 1: PEPP-PT Die PEPP-PT-Technologie speichert die pseudonymisierten IDs der Infizierten auf einem zentralen Server. Die App jedes Nutzers gleicht in regelmäßigen Abständen die eigene ID- Kontaktliste mit der Liste des Servers ab. Wenn der Nutzer Kontakt mit einer betroffenen ID des Servers hatte, wird dieser umgehend durch den Server über den Kontakt mit einer solchen ID informiert. Variante 2: DP-3T Gibt der Nutzer in der App an, mit dem Covid19-Virus infiziert zu sein, schickt seine App die zuvor für ihn erstellten IDs an alle Apps im Netzwerk. Die übrigen Apps gleichen dann diese IDs mit der lokal in jeder App gespeicherten ID-Liste ab. Sollte eine Übereinstimmung auftreten, wird der Nutzer über den Kontakt mit einer Infizierten Person informiert. Eine Speicherung der Daten auf einem zentralenalen Server findet nicht statt. c) Datenschutz im Sinne der DSGVO und den Leitlinien des EDPB Entscheidend bei der Einführung einer Tracing App, unabhängig von der Architekturstruktur, ist die Gewährleistung einer Konformität mit der europäischen Datenschutzgrundverordnung. Die bereits genannten Modelle greifen auf pseudonymisierte Daten zurück. Im Sinne der DSGVO ErwG 26 S. 6 kann nicht von einer Datenanonymisierung gesprochen werden. Die DSGVO ist entsprechend anzuwenden. Sowohl PEPP-PT als auch DP-3T sehen eine Speicherung der temporär erstellten IDs auf dem Endgerät der Corona-App-Nutzer vor. Auch wenn diese temporären IDs als sogenannte Hash-Werte, also als nicht zurückrechenbare und nicht zufällig erratbare digitale Quersumme der temporären IDS gespeichert werden, liegt nach Maßgabe der DSGVO aber immer noch ein Pseudonym vor und nicht etwa ein anonymes Datum. In diesem Fall greift DSGVO Art. 4 Nr. 5: „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;“ 4
Aufgrund der temporär erstellten IDs und einer Verschlüsselung der Hash-Werte soll verhindert werden, dass eine ID einem Nutzer klar zugeordnet werden kann. Erst wenn der Nutzer sich gegenüber der App als infiziert zu erkennen gibt, werden die Hash-Werte mit den kontaktierten IDs abgeglichen. Ausgeschlossen werden muss, dass die Liste der temporären IDs bzw. der Hash-Werte auf dem mobilen Endgeräte durch einen Hackerangriff offengelegt und einer tatsächlichen Person zugeordnet werden kann. Hier gilt es also, die Datensicherheit, nicht nur bei der Weiterverarbeitung, sondern auch bei der Speicherung auf dem mobilen Endgerät, zu gewährleisten. Zudem ist die Beachtung der in diesem Zusammenhang vom Europäischen Datenschutzausschuss (EDPB) am 21.04.2020 erlassenen Leitlinien zu garantieren. Der EDPB weist darauf hin, dass Standortdaten nur innerhalb der Vorgaben von Art. 6-9 der sog. ePrivacy Richtlinie (2002/58/EG) verarbeitet werden dürfen. Im Zusammenhang mit der Lokalisierung von Personen verweist der EDPB zudem an die Datenschutzprinzipien, insbesondere Datensparsamkeit und den Schutz durch technisch-organisatorische Maßnahmen (privacy by design und by default). d) Kritik an den Systemen Beide System haben sowohl Vor- und Nachteile. Grundsätzlich muss gewährleistet sein, dass die lokal gespeicherten IDs nicht zurückzuverfolgen sind und verschlüsselt gespeichert werden. Besonders der zur Verfügung gestellte Server im PEPP-PT Modell muss diese Datenschutzstandards gewährleisten, da es sich bei den gespeicherten Daten um die IDs infizierter Personen handelt, die einem besonderen Datenschutz unterliegen. Sollte der Server in staatlicher Hand sein, muss gewährleistet sein, dass die dort vorhandenen Daten ausschließlich zum Zwecke der Pandemieeindämmung verwendet werden. Ein Erstellen von Gruppen- und Bewegungsprofile oder ein Zugriff der Sicherheitsbehörden muss für alle Zeiten und auf allen Ebenen gänzlich ausgeschlossen werden. Auch bei dem Modell DP-3T lässt sich Kritik äußern. Da in diesem Modell von einer zentralen Datenverarbeitung abgesehen wird, kommunizieren alle Geräte im Netzwerk miteinander. Jedes Gerät kann also nachvollziehen von welchem Gerät eine Warnmeldung ausgegangen ist. Es muss daher technisch ausgeschlossen werden, dass eine Rückverfolgung des Nutzers oder ein Erstellen eines individuellen Bewegungsprofil erfolgt. Auch im Rahmen der Kooperation mit Google und Apple, welche die notwendigen Schnittstellen in den Betriebssystemen bereitstellen müssen, muss sicherstellt sein, dass die gespeicherten Daten nicht durch Google und Apple zu anderen Zwecken genutzt werden. Eine Kompatibilität zwischen den Betriebssystemen muss gewährleistet werden. 5
III. Unsere zwölf Bedingungen für eine Tracing-App Die Einführung einer Tracing-App ist unter Einhaltung aller datenschutzrechtlicher Vorgaben sinnvoll und notwendig zur weiteren Eindämmung des Covid19-Virus. Für den Einsatz einer solchen App müssen folgende Bedingungen erfüllt sein: 1. Für eine größtmögliche Datensicherheit ist einzig eine dezentrale Datenspeicherung auf den mobilen Endgeräten denkbar. Eine zentrale Speicherung auf einem Server lehnen wir ab. 2. Es muss sich um eine aktivierungsbedürftige handeln, die nicht allgemein auf sämtlichen mobilen Endgeräten der Bürgerinnen und Bürgern installiert oder auf Neugeräten vorinstalliert wird, sondern entweder bewusst heruntergeladen werden muss oder im Zuge eines Softwareupdates installiert wird. 3. Es muss staatlicherseits zugesagt werden, dass die mittels der App gesammelten Daten zu keinem Zeitpunkt durch Sicherheitsbehörden oder andere staatliche Stellen verwendet werden. 4. Ein Zugriff auf die Daten der App durch Gesundheitsbehörden darf nur in der Form erfolgen, dass Schwarmdaten, wie beispielsweise die Gesamtanzahl der in der App als infiziert Gemeldeten oder der in häuslicher Isolation Befindlichen, gemeldet werden, die keiner einzelnen pseudonymisierten ID zugeordnet werden können. 5. Die App muss in eine gesamteuropäische Lösung eingebettet werden. Die deutschen Forschungsinstitute müssen an der weiteren Entwicklung beteiligt sein. 6. Die App muss den Anforderungen der DSGVO sowie der Leitlinie des Europäischen Datenschutzausschusses (EDPB) genügen und dem Kriterium der Datensparsamkeit entsprechen. 7. Von einer persönlichen Standortlokalisation und der Erstellung von Bewegungsprofilen muss Abstand genommen werden. Die technische Grundlage bildet z.B. die reichweitenschwache Bluetooth-Technologie. Eine Verknüpfung mit Funkzellen-, GPS-, oder Social-Media-Daten muss ausgeschlossen werden. 8. Die App muss leicht bedienbar sein und zu jeder Zeit deaktiviert werden können. Einzelne der App erteilte Berechtigungen müssen zu jeder Zeit von jedem Nutzer widerrufen werden können. Durch eine übersichtliche Darstellung muss die Verwendung der Daten beschrieben werden. 9. Die Nutzung der App darf nicht zwingende Voraussetzung für die Nutzung anderer Institutionen und Dienstleistungen sein. Ein Zugriff auf Daten der App durch Institutionen und Dienstleister ist grundsätzlich auszuschließen. 10. Eine potentielle Beobachtung der Datenkommunikation darf nicht dazu führen, dass diese auf einzelne Nutzer oder auf Nutzer-Beziehungen zurückzuführen ist. 11. Durch die Offenlegung des Quelltext der App soll eine gesellschaftliche Transparenz und Überprüfbarkeit ermöglicht werden. NGOs und wissenschaftliche Institutionen sollen auch nach der Entwicklung in die stetige Evaluation der App einbezogen werden. 6
12. Die ID-bezogenen Daten müssen nach spätestens vier Wochen gelöscht werden. Sobald das RKI vom Vorliegen einer Herdenimmunität gegen das Covid19-Virus ausgeht, jedoch spätestens mit Ablauf des 31. Dezember 2021, sind sämtliche mittels der App erhobene Datenbestände zu löschen und die App ist zu deaktivieren. 7
Sie können auch lesen