key: cord-0051514-9xbndcry authors: Bock, Kirsten; Kühne, Christian Ricardo; Mühlhoff, Rainer; Ost, Měto R.; Pohle, Jörg; Rehak, Rainer title: Das Verfahren geht weit über „die App“ hinaus – Datenschutzfragen von Corona-Tracing-Apps: Einführung in Datenschutz-Folgenabschätzungen als Mittel, gesellschaftliche Implikationen zu diskutieren date: 2020-10-12 journal: Informatik Spektrum DOI: 10.1007/s00287-020-01313-z sha: 84b948f363bd750c19e507fe1f824d1155e22b69 doc_id: 51514 cord_uid: 9xbndcry Seit der Ausbreitung des SARS-CoV-2-Virus in Europa Anfang 2020 wir dan technischen Lösungen zur Eindämmung der Pandemie gearbeitet. Unter den verschiedenen Systementwürfen stechen jene hervor, die damit werben, datenschutzfreundlich und DSGVO-konform zu sein. Die DSGVO selbst verpflichtet die Betreiberïnnen umfangreicher Datenverarbeitungssysteme wie etwa Tracing-Apps zur Anfertigung einer Datenschutz-Folgenabschätzung (DSFA) aufgrund des hohen Risikos für die Rechte- und Freiheiten (Art. 35 DSGVO). Hierbei handelt es sich um eine strukturierte Risikoanalyse, die mögliche grundrechtsrelevante Folgen einer Datenverarbeitung im Vorfeld identifiziert und bewertet. Wir zeigen in unserer DSFA, dass auch die aktuelle, dezentrale Implementierung der Corona-Warn-App zahlreiche gravierende Schwachstellen und Risiken birgt. Auf der rechtlichen Seite haben wir die Legitimationsgrundlage einer freiwilligen Einwilligung untersucht und formulieren die begründete Forderung, dass der Einsatz einer Tracing-App gesetzlich geregelt werden muss. Weiterhin wurden Maßnahmen zur Verwirklichung von Betroffenenrechten nicht ausreichend betrachtet. Nicht zuletzt ist die Behauptung, ein Datum sei anonym, hoch voraussetzungsreich. Anonymisierung muss als ein kontinuierlicher Vorgang begriffen werden, der eine Abtrennung des Personenbezugs zum Ziel hat und auf dem Zusammenspiel von rechtlichen, organisatorischen und technischen Maßnahmen beruht. Der derzeit vorliegenden Corona-Warn-App fehlt es an einem solchen expliziten Trennungsvorgang. Unsere DSFA zeigt dabei auch die wesentlichen Defizite der offiziellen DSFA der Corona-Warn-App auf. Tracing-Apps. Diese sollen automatisiert die epidemiologisch relevanten Kontaktereignisse von Nutzer*innen aufzeichnen und es so erlauben, im Infektionsfall Einzelner zeitnah und rückwirkend die exponierten Kontaktpersonen warnen und isolieren zu können. Bislang wurde das sogenannte Contact-Tracing allein manuell von Mitarbeiter*innen der Gesundheitsbehörden vollzogen, also etwa anhand des Gedächtnisses der Infizierten und anschließender Warnung per Telefon. In einigen Ländern, etwa China, werden auch viele weitere Informationsquellen und Datenkategorien wie beispielsweise Kreditkartendaten oder Reiseinformationen genutzt. Diese mühsame Arbeit kann, so die Vision, durch den Einsatz von Apps wesentlich beschleunigt werden. Auch wenn die konkrete Tauglichkeit einer solchen App für diesen Zweck sowohl epidemiologisch als auch technisch noch umstritten ist und die Gefahr einer grundsätzlichen gesellschaftlichen Gewöhnung an Contact-Tracing besteht, soll es an dieser Stelle nicht um ein generelles "Ob", sondern ein "Wie" einer solchen App gehen. Denn erst bei der Betrachtung der konkreten technischen Umsetzung lassen sich individuelle und gesellschaftliche Konsequenzen analysieren. Die Erkenntnisse können dann wiederum in Form von Anforderungen zurück in die konkrete Ausgestaltung und Weiterentwicklung des gesamten Verfahrens fließen. Datenschutz und seine Verankerung in der Gesetzgebung ist ein Garant der Grundrechte und Grundfreiheiten im digitalen Zeitalter. Er bezieht sich nicht nur auf individuelle, sondern auch auf kollektive Rechte. Datenschutz hält auch die funktionelle Differenzierung moderner Gesellschaften aufrecht, indem er strukturelle Machtasymmetrien problematisiert und somit gesellschaftliche Grundfunktionen absichert [4] . Im Unterschied zu Fragen der IT-Sicherheit, die die verarbeitende Organisation schützt, geht es dem Datenschutz weniger um externe Angriffe auf Systeme und Daten, sondern primär um Grundrechtseinschränkungen bezüglich der betroffenen Personen durch die Datenverarbeitung selbst. Im Fokus steht deshalb nicht primär die "Privatheit" des einzelnen Datensubjekts, sondern die gesamtgesellschaftlichen, strukturellen Auswirkungen und Machteffekte einer Datenverarbeitung [7] . Eine Datenschutzanalyse geht somit prinzipiell von der verarbeitenden Organisation als der primären Risikoquelle aus, um den Blick von dort schließlich auch auf Plattformen, Dienstleister*innen, Nutzer*innen und externe Dritte zu richten [5] . Auch wenn viele Eigenschaften der Tracing-Apps, darunter ihre genaue Zweckbestimmung, mittlerweile feststehen, steht eine angemessene Analyse der datenschutz-und somit grundrechtsrelevanten Folgen dieses Vorhabens nach wie vor aus. Die offizielle Datenschutz-Folgenabschätzung (DSFA), die das Robert Koch-Institut (RKI) als verantwortliche Stelle kurz vor der Veröffentlichung der App vorlegte, ist aufgrund von wesentlichen methodischen, technischen und rechtlichen Defiziten dafür leider ungeeignet [2] . Dabei müssen die diversen Folgen schon vor einem breiten Einsatz detailliert diskutiert werden, insbesondere bei diesem nationalen bis europäischen Projekt zur großflächigen Kontaktnachverfolgung unter staatlicher Verantwortung. Für diese Art der Analyse gibt es in der europäischen Datenschutzgrundverordnung (DSGVO) das Instrument der Datenschutz-Folgenabschätzung. Dort heißt es in Art. 35 DSGVO ("Datenschutz-Folgenabschätzung"): (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für das methodische Vorgehen im Rahmen einer DSFA gibt es unterschiedliche Ansätze. In Deutschland wird dafür von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder das von ihr ausgearbeitete "Standard-Datenschutzmodell" (SDM) empfohlen, an dem auch wir uns im Folgenden orientieren. Dieses Modell verlangt zunächst eine Schwellenwertanalyse, um zu klären, inwiefern eine DSFA für ein gegebenes Datenverarbeitungssystem nicht nur gesellschaftlich wünschenswert, sondern auch datenschutzrechtlich gefordert ist. Weil mit den Contact-Tracing-Apps sowohl eine neuartige Technologie sowie personenbezogene Daten in großem Umfang und im Infektionsfall sogar medizinische Daten verarbeitet werden, ist dies hier unzweifelhaft der Fall. Trotzdem hatte noch bis zum April dieses Jahres während der grundsätzlichen Architekturdiskussion keine verantwortliche Stelle eine DSFA für eine der in Deutschland diskutierten Apps vorgelegt. Um die gebotene Aufmerksamkeit auf dieses Thema zu legen, haben wir, eine Gruppe von Wissenschaftler*innen und Datenschützer*innen, dann im April kurzerhand selbst eine Muster-DSFA zur Corona-App erarbeitet und in die öffentliche Diskussion eingebracht [1] . Die Struktur der vorgelegten DSFA folgt den Vorgaben des Kurzpapiers Nr. 5 der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, das Risikokalkül und die Bestimmung der Schutzmaßnahmen folgen dem Standard-Datenschutzmodell (SDM) [3] . Im ersten Schritt wird der Zweck des gesamten Datenverarbeitungsverfahrens definiert, in diesem Falle ausschließlich das Erkennen und Unterbrechen von Infektionsketten. Danach gilt es, den Kontext der Verarbeitung herauszuarbeiten. Dies umfasst nicht nur die allgemeine gesellschaftliche und politische Lage sowie technische Umstände, sondern auch explizit die verschiedenen Akteure und ihre Interessen. Erst auf dieser Grundlage kann später eine fundierte Analyse von Risiken und Angriffsszenarien erstellt werden. Sodann müssen Annahmen und Anwendungsfälle für die Verarbeitung erarbeitet werden, um daran anschließend die Verarbeitungstätigkeit im Detail zu beschreiben. Dabei ist zu beachten, das Verfahren in Teilschritte zu zerlegen sind, von denen nicht alle technikgestützt ablaufen müssen. Im vorliegenden Fall umfasst das Verfahren nicht nur die App, sondern auch die dazugehörigen Serversysteme, Fachanwendungen und Infrastrukturbestandteile wie K etwa Betriebssysteme oder technische Kommunikationsbeziehungen. Auf dieser Basis werden dann Rechtsgrundlagen und die Verantwortlichkeit der Verarbeitungstätigkeit diskutiert sowie rechtliche Anforderungen erarbeitet. All diese Vorarbeiten kombinierend, werden Schwachstellen, Gefahren und Risiken der Verarbeitung entwickelt. Damit sind Risiken bezüglich der Grundrechte der Betroffenen gemeint, und zwar aller Grundrechte. Auf dre Risikoanalyse aufbauend werden dann Schutzmaßnahmen für die Rechte der Betroffenen bestimmt und zuletzt Empfehlungen für die Verantwortlichen aufgeführt. Die Empfehlungen umfassen insbesondere die besonders problematischen Aspekte, etwa Risiken, für die keine Schutzmaßnahmen existieren. Aus Gründen der Minimierung des Grundrechtseingriffs und zur Vereinfachung der Analyse gehen wir in unserer DSFA von einem eng umrissenen Zweck für die Datenverarbeitung aus: die Warnung von Personen, die mit Infizierten Kontakt hatten. Die Grundfunktionalität einer solchen App wird im Idealfall umgesetzt, indem das Smartphone in regelmäßigen Abständen über den "Bluetooth Low Energy Beacons"-Standard wechselnde Zeichenfolgen (temporäre Kennungen, tempIDs) via Bluetooth versendet und entsprechend die temporären Kennungen (tempIDs) von anderen Apps empfängt, sofern diese örtlich nah genug sind. Diese Daten ermöglichen eine Kontaktnachverfolgung; aus Dauer und Nähe des Kontakts sowie der Krankheitsphase der infizierten Person soll ein Ansteckungsrisiko berechnet werden. Ortsinformationen, also zum Beispiel der GPS-Standort, werden durch dieses System nicht erhoben. Die zugrunde liegende Bluetooth-Funktionalität wird dabei durch das von Apple und Google im jeweiligen mobilen Betriebssystem bereitgestellte Exposure Notification Framework (ENF) bereitgestellt. An dieses grundlegende Prinzip zur Detektion von Kontaktereignissen mittels Bluetooth schließen sich nun technische Fragen an, in denen verschiedene Varianten diskutiert wurden. Im Mittelpunkt der Diskussion stand die Frage, ob die Berechnungen des individuellen Expositionsrisikos lokal auf den Mobiltelefonen der Nutzer*innen, oder serverseitig stattfindet. Damit hängt auch die Frage zusammen, wie genau die exponierten Nutzer*innen kontaktiert werden, um sie zu warnen. In der zentralen Architektur werden im Fall der positiven Testung alle Kontaktereignisse von der App der infizierten Person auf einen Server hochgeladen. Dieser Server berechnet das Expositionsrisiko für alle Kontakte dieser Person und informiert diese dann aktiv. Der Server bzw. die Infrastruktur hat in dieser Variante somit Kenntnis der Infizierten, derer Kontakte und des sozialen Graphen. Die dezentrale Architektur dagegen sieht vor, dass im Falle der positiven Testung nur die von der Person in den vergangenen 14 Tagen ausgesendeten temporären Kennungen (tempIDs) auf den Server geladen werden. Die anderen Apps laden sich regelmäßig einen Datensatz aller tempIDs von infizierten Nutzer*innen herunter und berechnen lokal auf ihrem Smartphone, ob ein Risiko der Ansteckung vorliegt. Der Server kennt in dieser Variante nur die temporären Kennungen der Infizierten, er kann weder ihre Kontakthistorie noch das Kontaktnetzwerk der Nutzer*innen nachvollziehen. Aus diesem Grunde ist die dezentrale Variante deutlich datenschutzfreundlicher (allerdings auch Datenverkehrsintensiver). Unsere DSFA betrachtet nur den dezentralen, grundrechtsschonenderen Ansatz, der von vielen europäischen Ländern wie etwa Österreich, Schweiz, Estland und seit Ende April auch von Deutschland verfolgt wird. Im Folgenden sollen vier wichtige Ergebnisse unserer DSFA vorgestellt werden, die leider nach wie vor relevant und aktuell sind. Datenschutz-Folgenabschätzung für die Corona-App. Version 1.6. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e FIfF veröffentlicht Analyse und konstruktive Kritik der offiziellen Datenschutzfolgenabschätzung der Corona-Warn-App -Von methodischen Fehlern und ausgeblendeten Risiken, Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e DSK (2020) Das Standard-Datenschutzmodell -Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, Version 2.0b Was schützt eigentlich der Datenschutz? -Warum DatenschützerInnen aufhören müssen von individueller Privatheit zu sprechen Risiken im Datenschutz Die Trennung von politischer, technischer und fachlicher Verantwortung in EDV-unterstützten Informationssystemen Datenschutz und Technikgestaltung Kirsten Bock Ass. jur. Kirsten Bock studierte Rechtswissenschaften in Kiel und Guildford/UK mit Schwerpunkt Rechtsphilosophie und Rechtslogik, arbeitet im aufsichtsbehördlichen Bereich und ist Mitglied in Arbeitsgruppen des europäischen Datenschutzausschusses (EDSA). Sie forscht zu ethischen und gesellschaftlichen Grundsatzfragen des Datenschutzes, der Zertifizierung und dem Standard-Datenschutzmodell (SDM). Sie ist Mitglied des FIfF