key: cord-034677-40k68edc authors: Jahnel, Tina; Gerhardus, Ansgar; Wienert, Julian title: Digitales Contact Tracing: Dilemma zwischen Datenschutz und Public Health Nutzenbewertung date: 2020-11-05 journal: Datenschutz Datensich DOI: 10.1007/s11623-020-1367-0 sha: doc_id: 34677 cord_uid: 40k68edc Seit Juni 2020 gibt es in Deutschland die Corona-Warn-App als sog. Contact-Tracing-App, welche dank ihres hohen Datenschutzniveaus eine breite Akzeptanz in der Bevölkerung genießen soll. Der hohe Grad des Datenschutzes hat allerdings zur Folge, dass Möglichkeiten zur Datenerhebung stark eingeschränkt sind und damit Aussagen über die Wirksamkeit und potentielle Risiken einer solchen App nur in äußerst geringem Maße möglich sind. Zukünftig sollte sichergestellt werden, dass neben der Einhaltung datenschutzrechtlicher Prinzipien auch Daten zur Bewertung des Nutzens von Contact-Tracing-Apps erhoben werden können. Dafür sollten die Nutzer*innen von Anfang an einbezogen werden, die Kommunikation transparent und klar erfolgen und Ergebnisparameter klar definiert werden. Gleichzeitig sprach sich in der Umfrage eine Mehrheit der Teilnehmer dafür aus, dass die durch die App erhobenen Daten in anonymisierter Form der Forschung zur Verfügung gestellt werden sollten. Hohe Datenschutzstandards können das Vertrauen positiv beeinflussen. Umgekehrt verhindert ein hohes Datenschutzniveau aber das Sammeln und Auswerten von epidemiologisch relevanten Daten und erschwert damit die Wirksamkeitsbewertung aus Public-Health-Perspektive. Bei der Entwicklung einer Contact-Tracing-App ist daher eine Abwägung zwischen dem Schutz der Privatsphäre und dem potentiellen Public-Health-Nutzen nötig. Bei der deutschen Corona-Warn-App wurde ein sehr hohes Datenschutzniveau angesetzt, um die Akzeptanz und Nutzungsbereitschaft zu erhöhen. Die Downloadzahlen zeichneten zunächst ein positives Bild: In den ersten drei Wochen nach der Veröffentlichung der App am 16. Juni 2020 wurde die App rund 15,2 Millionen Mal heruntergeladen. Danach kamen allerdings nur noch wenige neue Downloads dazu (Zahl: 18,4 Millionen, Stand: 22.09.2020) (5), auch wenn die Ergebnisse einer wiederholten Online-Befragung von Internet-Nutzer*innen durch die TU München und die Initiative D21 zeigen, dass die Akzeptanz für die deutsche Corona-Warn-App seit Juni 2020 generell gestiegen ist (6) . Insbesondere ist die Sorge vor staatlicher Überwachung durch die App zurückgegangen: Bei der Befragung im August 2020 befürchteten weniger Menschen, dass die App ungewollt private Daten sammelt und weitergibt als im Juni (Juni: 57%; August: 44%). Allerdings denkt nur eine Minderheit, dass die Corona-Warn-App einen relevanten positiven Effekt auf den Verlauf der Pandemie in Deutschland haben wird: Nur noch 23 Prozent erwarteten im August, dass sich mithilfe der App die Zahl der Neuinfektionen reduzieren lässt (Juni: 29%). Etwa die Hälfte (51%) der Befragten stimmte der Aussage zu, dass die Corona-Warn-App nichts ändern wird, im Juni gaben dies nur 41% an. Es ist allerdings nicht klar, ob die niedrigere Downloadrate durch die gesunkene Nutzenerwartung verursacht wird. Die eigentliche Nutzungsrate mag in der Realität auch viel geringer als die Downloadrate sein, da mehrfaches Runterladen für das gleiche Smartphone nicht getrennt ausgewiesen wird. Auch wird nicht erhoben, wie viele der heruntergeladenen Apps auch tatsächlich dauerhaft in Betrieb sind. Eine geringere Nutzung würde wiederum den potentiellen Nutzen der App weiter senken. Um den Nutzen messen und bewerten zu können, müssen Daten zur Verfügung stehen, welche aufgrund der gewählten Datenschutzstandards nur in äußerst eingeschränktem Maße zur Verfügung stehen. Der vorliegende Beitrag beschäftigt sich mit dem Spannungsfeld zwischen der Nutzenbewertung einer Contact-Tracing-App und dem Datenschutzniveau. Speziell wird auf Kriterien der Nutzenbewertung im Sinne der Evaluationsforschung und den hierfür notwendigen Daten eingegangen. Auf dieser Basis diskutieren wir, ob es Mittelwege geben könnte, bei denen der Schutz der individuellen Daten gewährleistet ist und gleichzeitig Public-Health-relevante Daten zur Nutzenbewertung der App gesammelt und ausgewertet werden können. Grundsätzlich kann die Datenverarbeitung von Contact-Tracing-Apps zentral oder dezentral erfolgen, mit jeweils unterschiedli-chen Implikationen für den Schutz der persönlichen Daten (7) . In der Funktionalität sind sich beide Ansätze ähnlich: Mittels Bluetooth Low Energy (BLE) sendet ein Smartphone seine eigene Geräte-ID an nahe gelegene Smartphones während es gleichzeitig die IDs der anderen Geräte empfängt und über einen definierten Zeitraum speichert. Zusammen mit der ID wird der Abstand zwischen den Geräten und die Dauer des Kontakts zwischen den einzelnen Smartphones erfasst. Wurde eine Person positiv auf das Virus getestet, wird eine Infektionswarnung an sämtliche Geräte versendet, die über einen bestimmten Zeitraum Kontakt mit dem Smartphone der infizierten Person hatten. Beide Konzepte nutzen einen zentralen Server, allerdings in unterschiedlichen Intensitätsgraden. Beim zentralen Ansatz erstellt der Server mit erfolgter Registrierung durch die Nutzer*innen eine permanente ID für das entsprechende Gerät. Dabei handelt es sich um pseudonymisierte und damit personenbezogene Daten. Im Infektionsfall werden sämtliche vom Smartphone der infizierten Person gesammelten Daten auf den Server geladen, die Infektionsgefahr eingeschätzt und die mit der infizierten Person in Kontakt gekommenen App-Nutzer*innen informiert. Die dafür notwendigen Geräte-IDs der fremden Nutzer*innen liegen bereits griffbereit auf dem Server. Ändern sich Erkenntnisse zum Infektionsgeschehen, kann das auf einem zentralen Server schnell umgesetzt werden. Beim dezentralen Ansatz hingegen erfolgen sämtliche Schritte zur Datenverarbeitung nur auf dem jeweiligen Smartphone. Im Gegensatz zu den permanenten IDs im zentralen Ansatz werden hierbei flüchtige Geräte-IDs zur Identifizierung verwendet, die direkt auf dem Smartphone generiert werden und sich nach wenigen Minuten aktualisieren. An den zentralen Server wird ausschließlich die flüchtige Geräte-ID der infizierten Person kommuniziert. Die Smartphones sämtlicher App-Nutzer*innen gleichen die Liste der IDs der positiv getesteten Personen mit den eigenen IDs ab. Die Auswertung und Warnung vor einem Infektionsrisiko der Nutzer*innen erfolgt dezentral auf dem jeweiligen Smartphone. Bei einer dezentralen Lösung müssen die Nutzer*innen, sobald es eine neue App-Version gibt, selbst aktiv werden und die Updates auf ihre Geräte spielen. Neue Erkenntnisse zum Infektionsgeschehen in Form von App-Aktualisierungen müssen dann erst auf allen Geräten ankommen, sonst kann es zu unterschiedlichen Risikoeinschätzungen und daher auch zu Warnungen auf Basis unterschiedlicher Parameter kommen. Der dezentrale Ansatz bedeutet eine höhere Datensouveränität und -sicherheit im Vergleich zu einem zentralen Datenverarbeitungsansatz, da alle persönlichen Daten stets auf dem eigenen Gerät verbleiben und die Kontakt-IDs ausschließlich lokal und anonym verknüpft werden. Der Nachteil des dezentralisierten Ansatzes ist, dass die Art der Nutzung oder die Auswirkungen der Nutzung nicht bewertet werden können, da der Zugang zu den Daten limitiert ist. Auch wenn Modellierungsstudien die theoretische Wirksamkeit von Contact-Tracing-Apps in verschiedenen Situationen gezeigt haben, bleibt eine Nutzenbewertung im Rahmen einer empirischen Evaluation der entwickelten Contact-Tracing-App notwendig, um 1) mehr über die Ausbreitung von SARS-CoV-2 zu erfahren und 2) zu bewerten, welchen Anteil die App daran hat, Infektionsketten zu unterbrechen. Der Mehrwert der App innerhalb des gesamten Kontaktverfolgungssystems könnte u.a. anhand folgender Parameter bewertet werden: (a) wie viele der durch die App benachrichtigen Personen durch manuelle Kontaktverfolgung nicht gefunden worden wären, (b) welcher Anteil der durch die App benachrichtigen Personen im Vergleich zu den aktuellen Durchschnittswerten tatsächlich positiv auf COVID getestet wird, (c) wie viel schneller Personen über die App benachrichtigt werden als durch manuelle Kontaktverfolgung. Bei einem dezentralen Ansatz stehen dafür allerdings nur in begrenztem Maße Daten aus der App selbst zur Verfügung. Vor dem Hintergrund der Nutzenbewertung und nachzuweisenden Wirksamkeit von Contact Tracing Apps, wie der Corona-Warn-App, stellt sich die Frage, was als ein positiver Eff ekt definiert und gemessen werden kann. Aufschluss hierzu bietet unter anderem die Evaluationsforschung, welche im Allgemeinen als die systematische Anwendung empirischer Forschungsmethoden zur Bewertung des Konzeptes, des Untersuchungsplanes, der Implementierung und der Wirksamkeit sozialer Interventionsprogramme verstanden wird (8) . Zentrale Aspekte sind dabei, dass der Evaluationsgegenstand, hier die Corona-Warn-App, hinsichtlich seiner Wirksamkeit überprüft werden soll -es soll geprüft werden, ob die intendierten Ziele der Corona-Warn-App auch erreicht wurden. Entsprechend erfüllt eine Evaluation hier primär eine Kontrollfunktion, aber auch eine Entscheidungs-(z.B. "Soll die Corona-Warn-App weiter betrieben oder sogar ausgebaut werden?") bzw. Legitimationsfunktion (z.B. "War das Aufb ringen öff entlicher Gelder im gegebenen Umfang angemessen?") (9) . Um an diesen Evaluationszielen arbeiten zu können, ist es erforderlich, dass die Merkmale und Ziele des Evaluationsgegenstandes konkretisiert und objektivierbar gemacht werden, wofür prinzipiell Daten benötigt werden. Entsprechend der Zielsetzung der Corona-Warn-App wäre eine verbesserte Kontaktpersonennachverfolgung ein wichtiges Ergebnis, was sich z. B. an einer wirksamen Unterbrechung von Infektionsketten widerspiegeln würde. Weitere Voraussetzungen und eine Konkretisierung der Ziele für eine Evaluation der Corona-Warn-App können Rahmenkonzepte wie das Evidence Standards Framework for Digital Health Technologies (DHT) des National Institute for Health and Care Excellence (NICE) (10) bieten. Hierbei werden digitale Technologien und Evaluationsanforderungen aufgrund ihres Grades der Interaktion klassifi ziert, was dazu führt, dass sich konkrete Anforderungen je nach Ausgestaltung der Corona-Warn-App unterscheiden können, wobei den Anforderungen der niedrigeren Stufe(n) ebenso entsprochen werden muss wie in ggf. höheren Stufen, in denen sich die Technologie verorten lässt (Abbildung 1). Aufgrund eines aktuell nicht sehr hohen Interaktionsniveaus der Corona-Warn-App mit den Nutzer*innen der Anwendung ließe sich diese aller Voraussicht nach auf der Ebene 2 des NI- . Auch kann man nicht ausschließen, dass ältere Smartphones im Umlauf sind, welche nicht mit der App kompatibel sind. Ebenfalls ist nicht bekannt, wie oft die App wieder deinstalliert wurde. Bezugnehmend auf eine bekannte Simulationsstudie der Oxford University, welche aufzeigt, dass Contact-Tracing-Apps als ergänzende Strategie bereits ab einer Nutzer*innenquote von 15% in der Gesamtbevölkerung als unterstützende Maßnahme, zusätzlich zu Hygienemaßnahmen, in der Pandemiebekämpfung Wirkung entfalten können (2, 11) , kann die derzeitige Nutzer*innenquote als positiv bewertet werden. Allerdings würde dies zu den oben bereits genannten Annahmen zusätzlich voraussetzen, dass die App korrekt und durchgängig genutzt wird und positive Testergebnisse auf einen Corona-Test auch über die App gemeldet werden. Es muss davon ausgegangen werden, dass unter realen Bedingungen eine deutlich geringere Nutzer*innenquote erreicht wurde, weshalb die hier vorgestellten Schätzungen von einer wissenschaftlichen Evaluationsperspektive als kritisch und aufgrund der hohen Ungewissheit als wenig aussagekräftig anzusehen sind. Wie viele Menschen andere tatsächlich gewarnt haben und wie viele über die App darüber informiert wurden, dass sie möglicherweise einen oder mehrere Risikokontakte hatten, kann nicht genau gesagt werden. Dies ist auf den datensparsamen dezentralen Ansatz der App zurückzuführen. Nimmt man beispielsweise an, dass 80% der 18,4 Millionen Downloads auch aktive Nutzer*innen sind, wären das 17,7% der deutschen Bevölkerung. Geht man nun davon aus, dass sich App-Nutzer*innen genauso oft infizieren wie Nicht-Nutzer*innen, müssten seit Einführung der App also 17,7% der Infektionen über die App gemeldet worden sein, sofern jedes positive Testergebnis auch in die App eingegeben worden wäre. Seit Veröffentlichung der App (Stand 09.10.2020) (12) wurden insgesamt 111.545 Neuinfektionen gemeldet. Von diesen 17,7% sind 19.743 Fälle, die über die App hätten gemeldet werden sollen. Wie viele positive Testergebnisse tatsächlich in die App übermittelt wurden, ist unbekannt. Geht man allerdings von der Anzahl der ausgegebenen TeleTans aus (die Anzahl der ausgegebenen QR-Codes ist nicht bekannt), wur-den bislang 4.373 positive Testergebnisse an die App übermittelt (Stand 22.09.2020) (5) . Das sind 22,1% der Fälle, die potentiell an die App hätten übermittelt werden können. Das würde bedeuten, dass nur rund ein Fünftel der positiv getesteten Nutzer*innen ihr Testergebnis auch an die App übermittelt hätten. Da aufgrund des dezentralen Ansatzes der App keine Daten zu den benutzten TeleTans und QR Codes zur Verfügung stehen, ist nicht bekannt, wie viele Alarme tatsächlich ausgelöst und mögliche Infektionsketten dadurch unterbrochen worden sind. Unter dem Strich steht, dass nicht genau gesagt werden kann, wie wirksam die Corona-Warn-App ist. Aufgrund der geschätzten Zahl der Nutzer*innen und der vorliegenden Simulation der Oxford University könnte diese aber einen hypothetischen Mehrwert als unterstützende Maßnahme in der Pandemiebekämpfung haben. Zwar wurden durch eine generelle Neuausrichtung der Corona-Warn-App von einem zentralen Ansatz hin zu einem dezentralen Ansatz anfängliche Bedenken von Experten hinsichtlich des Datenschutzes ausgeräumt und somit das Vertrauen der Bevölkerung in die App vermutlich erhöht, allerdings ging dies zulasten einer Evaluation der Corona-Warn-App. Relevante Evaluationsziele können nicht messbar ausgewertet werden und Evaluationsanforderungen, wie z. B. im NICE Framework definiert, können aufgrund fehlender Daten und Informationen nicht erfüllt werden. Es lässt sich festhalten, dass die Corona-Warn-App ohne die erhöhten Datenschutzmaßnahmen womöglich weniger Vertrauen und Akzeptanz in der Bevölkerung und damit deutlich weniger Downloads erzeugt hätte. Damit zeigt die Corona-App ein Dilemma auf, das auch andere digitale gesundheitliche Technologien aufweisen. Ohne (berechtigtes) Vertrauen der Nutzer*innen in den Datenschutz fehlt die Akzeptanz, die für eine breite Nutzung notwendig ist. Umgekehrt kann ein hohes Level im Datenschutz dazu führen, dass die Technologie weniger nutzenbringend ist und/oder ihre Effektivität nicht bestimmt werden kann. Dies ist ein besonderes Problem bei Technologien, die ein gewisses Mindestmaß an Nutzer*innenraten aufweisen müssen, um wirksam zu sein -eine typische Voraussetzung bei Maßnahmen, die auf die Bevölkerung und nicht nur auf Individuen abzielen. Um in Zukunft besser vorbereitet zu sein, sollten Lehren aus der Entwicklung der Corona-Warn-App dieser Pandemie gezogen und der Frage nachgegangen werden, ob es einen Mittelweg für eine Contact-Tracing-App gibt, die den Datenschutzanforderungen entspricht, es aber gleichzeitig erlaubt, epidemiologischrelevante Daten auf freiwilliger Basis zu sammeln. Zum einen ist der Einbezug der Nutzer*innen von Anfang an notwendig, um die Präferenzen und Bedürfnisse potentieller Nutzer*innen und verschiedener Nutzer*innengruppen zu ermitteln. Darauf aufbauend ist eine klare und transparente Aufklärung und Kommunikation darüber notwendig, was mit den gesammelten Daten geschieht und wie sie gesichert beziehungsweise vor Missbrauch geschützt werden. Damit kann man den Datenschutzbedenken besser gerecht werden und einen Kompromiss zwischen Datenschutz und Datenerhebung herstellen. Weiterhin ist die Entwicklung eines Evaluationsrahmens und Implementierungsplans zwingend notwendig. Dafür müssen unter Einbezug realistischer Annahmen über Downloads, Nutzung etc. vorab klare Definitionen der Ergebnisparameter erstellt sowie Analyserahmen und Modellan-nahmen formuliert werden. Ein Abbruch der Entwicklung einer App sollte erfolgen, wenn sich herausstellt, dass die notwendigen Voraussetzungen (Vertrauen, Nutzungsbereitschaft und Bereitschaft, Daten für Forschungszwecke bereitzustellen) für den erfolgreichen Einsatz der App nicht erfüllt werden können. Ob und in welchem Ausmaß die Corona-Warn-App ihren Zweck, Infektionsketten zu unterbrechen, erfüllt hat, ist aufgrund ihrer datensparsamen Konstruktion unbekannt. Das bedeutet jedoch nicht, dass die App per se ein Misserfolg sein muss. Wie die Modellierungsstudien gezeigt haben, hat digitales Contact-Tracing das Potential, das Infektionsgeschehen positiv zu beeinflussen, aber dieses Potential muss auch gemessen werden können. Wir bedanken uns für die Unterstützung durch den Leibniz Wis-senschaftsCampus Bremen Digital Public Health (lsc-diph.de), der gemeinsam von der Leibniz Gemeinschaft (W4/2018), der Freien Hansestadt Bremen und dem Leibniz-Institut für Präventionsforschung und Epidemiologie -BIPS gefördert wird. Quantifying SARS-CoV-2 transmission suggests epidemic control with digital contact tracing Im Spannungsfeld zwischen Sicherheit und Freiheit. HMD Praxis der Wirtschaftsinformatik Akzeptanz App-basierter Kontaktnachverfolgung von Covid-19 Infektionsketten digital unterbrechen mit der Corona-Warn-App 2020 eGovernment Monitor 2020. Corona-Warn-App: Einstellungen und Akzeptanz der Bevölkerung 2020 Apps zum Contact Tracing bei COVID-19-Fällen 2020 Evaluation: A systematic approach Evidence Standards Framework for Digital Health Technologies Configurations of a Digital Contact Tracing App: A report to NHSX 2020