Menschenrechtsaktivist/-innen befürchten, allzu großes Vertrauen in Contact Tracing könnte angeblich „freiwillige“ Apps bald verpflichtend machen. Es ist nicht einfach, eine freiwillige von einer obligatorischen Nutzung von Apps zu unterscheiden, da das Konzept der Zustimmung der Nutzer im Kontext einer Gesundheitskrise recht verschwommen erscheint (Estelle Massé von NGO Access Now, netzpolitik.org).
Abgeordnete und Experten warnen davor, die Coronakrise als Mittel für eine Einschränkung des Datenschutzes zu gebrauchen. Verbreiteten Mutmaßungen in Brüssel zufolge verschiebt die EU-Kommission ihre Evaluierung der Datenschutzgrundverordnung wegen Corona. Verständlich, es darf aber keinesfalls ausgenutzt werden, um die DSGVO zu schwächen.
Die europäischen Datenschutzregeln sind kein Hemmnis in der Corona-Krise, sondern Garant für grundrechtliche Mindeststandards.
Ein Impfstoff gegen das Coronavirus ist noch nicht in Sicht. Ein kompletter Lockdown bis dahin ist ebenso wenig praktikabel. Abhilfe soll mit Technologie geschaffen werden.
Wie soll das gehen? Smartphones sollen dabei helfen, Personen zu erkennen, die in Kontakt mit einer infizierten Person waren, damit diese selber in Quarantäne gehen können, bevor sie weitere Menschen anstecken. Vor allem in Asien wurden Lösungen entwickelt, die auf die GPS- und Verbindungsdaten der Smartphones zugreifen.
In Europa hingegen machen sich Bedenken breit, wie solche Apps mit dem Schutz der Privatsphäre der Bürger zu vereinbaren seien. Eine paneuropäische Arbeitsgruppe von Forschern und Industrievertretern formierte sich erstaunlich schnell. Unter dem Namen PEPP-PT planten sie, eine Lösung zu entwickeln, die diesen Bedenken Rechnung trägt – bis sich die Gruppe in zwei Lager spaltete, die jeweils unterschiedliche Ansätze verfolgte: eine zentrale und eine dezentrale Lösung zur Datenspeicherung.Im Betrieb sollen sich das zentrale und das dezentrale Protokoll nicht unterscheiden: In beiden Fällen strahlen die Smartphones in regelmäßigen Abständen verschlüsselte IDs über Bluetooth aus. Andere Smartphones, die dieselbe oder eine kompatible Tracing-App installiert haben, hören gleichzeitig auf solche Nachrichten und speichern alle IDs ab, die sie empfangen konnten (nzz.ch).
Konkret soll die Anwendung so aussehen: Menschen haben freiwillig die App heruntergeladen und begegnen sich, dabei sind sie für 15 Minuten weniger als zwei Meter voneinander entfernt. Mittels Bluetooth erkennen ihre Smartphones die jeweils anderen und speichern die Kontakte anonymisiert auf einem Server, der etwa vom Robert-Koch-Institut betrieben werden könnte. Wenn einer von ihnen Tage später positiv auf Corona getestet wird, kann er das in die App eingeben. Alle fraglichen Kontaktpersonen erhalten dann einen Push als Warnhinweis aufs Handy (hessenschau.de).
Sie wissen nicht, wer die oder der Infizierte ist oder wo der Kontakt stattfand. Die App erhebt keine Bewegungsdaten über GPS.
Bei Datenschutzforscher/-innen bleibt die Forderung nach weitestgehender Transparenz. Der Quellcode der Anwendung und des Backends müssen offen sein (Prinzip: Open Source), ebenso müssen die technischen Spezifikationen veröffentlicht werden, um eine Überprüfung zu ermöglichen.
Das Prinzip der Datenminimierung und jenes des „Datenschutzes by Design“ sind hierbei auf jeden Fall zu berücksichtigen.
„Privacy by Design“ bedeutet, dass entsprechende Software und Hardware von Grund auf so konzipiert und entwickelt wird, dass relevante Datenschutzmaßnahmen von Anfang an berücksichtigt werden. Die Technikgestaltung orientiert sich in allen Bereichen an den Datenschutzanforderungen (piwikpro.de).
Fraglich ist, wo die Schwelle für den Einsatz solcher Technologie liegt. Datenschutz kann versagen bzw. unterlaufen werden. Das kennen wir alle. Bei der nächsten Krise – sagen wir nicht so schlimm wie die derzeitige Pandemie – sollen wir da auch gleich überwacht werden? Wo befindet sich die Hemmschwelle?
Wir wollen hoffen, dass Corona nicht den Anfang eines Überwachungsstaates bedeutet …