Seit Wochen diskutiert Deutschland über Corona-Apps. Die Anwendungen sollen das Nachverfolgen von Infektionsketten erleichtern und dabei helfen, die Kontaktpersonen von Covid19-Erkrankten zu informieren. Doch die Verunsicherung ist groß: Wie weit lässt man den Staat mit den Programmen auf das eigene Smartphone? Wer garantiert für die Sicherheit der sensiblen Informationen über Gesundheitszustand und soziale Netzwerke? Was, wenn Regierungen der Versuchung nicht widerstehen können und doch mehr Informationen über Bürger:innen sammeln wollen als angekündigt?
„Wer in dieser Zeit eine Corona-App auf den Markt bringt, muss Transparenz schaffen“, fordert deshalb Benjamin Bergemann vom Verein Digitale Gesellschaft. Der Politikwissenschaftler gehört zu einer Reihe von Aktivist:innen, die in der Krise auf das Potenzial eines neuen und zugleich alten Datenschutzinstruments hinweisen. Es könnte helfen, die Vertrauensfrage zu beantworten: die Datenschutz-Folgenabschätzung (DSFA).
Was sperrig klingt, ist im Grunde einfach erklärt: Wer in der EU Datenverarbeitungen plant, die mit einem potenziell hohen Risiko für Grundrechte und Freiheiten einhergehen, ist nach der Datenschutzgrundverordnung (DSGVO) verpflichtet, vorab eine umfassende Selbstkontrolle durchführen. In Rahmen dieser Folgenabschätzung müssen Unternehmen, Vereine und staatliche Stellen systematisch auflisten, welche Verarbeitungsprozesse sie für die persönlichen Daten zu welchem Zweck planen. Außerdem müssen sie Risiken für die Betroffenen analysieren und Maßnahmen beschreiben, mit denen sie diese Risiken minimieren.
Transparenz ermöglicht Kontrolle, Kontrolle schafft Vertrauen
Die Folgenabschätzung ist Teil des sogenannten Risiko-basierten Ansatzes der DSGVO. Sie soll dem sperrigen Gesetz eine gewisse Flexibilität ermöglichen: Datenverarbeiter:innen müssen sich vorab selbst intensiv Gedanken machen und eigenständig Schutzmaßnahmen entwickeln. Wenn sie zu dem Schluss kommen, dass das Risiko trotzdem hoch bleibt, müssen sie die Aufsichtsbehörden konsultieren.
Eine Veröffentlichung der DSFA allerdings sieht die Datenschutzgrundverordnung nicht vor. Benjamin Bergemann hat deshalb beim Robert Koch-Institut eine Anfrage nach dem Informationsfreiheitsgesetz (IFG) gestellt, um die Folgenabschätzung der Datenspende-App aus den Aktenordnern der Infektionsbehörde zu befreien. „Es gibt ein hohes öffentliches Interesse daran, nachzuvollziehen, dass die App datenschutzfreundlich entwickelt wurde. Die vom Robert Koch-Institut veröffentlichten Datenschutzinformationen erfüllen diesen Anspruch nicht“, so Bergemann. Auch der Chaos Computer Club kritisierte die mangelhafte Transparenz der Anwendung.
Einen anderen Weg ist das Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung gegangen. Da die Corona-Tracing-Apps in Deutschland selbst noch nicht fertiggestellt sind, haben die Datenschützer:innen des Vereins einfach selbst eine Folgenabschätzung erstellt – ein Debattenbeitrag über die gesellschaftlichen Risiken dieser Technologien, der den Macher:innen der App gleichzeitig als konkrete Anregung dienen soll.
In dem gut hundert Seiten starken Dokument kamen die Expert:innen schon sehr früh in der Debatte zu dem Schluss, dass es aus Sicht des Datenschutzes erhebliche Unterschiede mit sich bringt, ob ein dezentrales oder ein (teil-)zentralisiertes Modell umgesetzt wird. Doch auch beim dezentralen Modell stellt die Folgenabschätzung erhebliche Risiken fest, für die der Verein jeweils konkrete Schutzmaßnahmen vorschlägt.
Licht in die Black Box bringen
Moderne Informations- und Kommunikationstechnologien sind für die wenigsten Menschen gänzlich durchschaubar. Eigentlich würde man erwarten, dass die allgegenwärtigen Datenschutzerklärungen hier einen Beitrag leisten würden. Ihre Veröffentlichung ist nach der DSGVO zwar verpflichtend, doch weil sie meist nicht zur Aufklärung, sondern zur rechtlichen Absicherung verfasst werden, erfüllen sie diesen Anspruch nur selten.
Gerade bei komplexen datenbasierten Systemen, die heute oft die Label Big Data oder Künstliche Intelligenz tragen, könnte die DSFA deshalb eine Möglichkeit sein, gesellschaftliche Auswirkungen überhaupt erst diskutierbar zu machen. „Viele solcher Systeme operieren als ‚Black Boxes‘ – undurchsichtige Software-Werkzeuge, die sich aussagekräftiger Überprüfung und Verantwortlichkeit entziehen“, schrieben Kate Crawford und Meridith Whitthaker 2018 in einem Bericht über automatisierte Entscheidungssysteme [PDF]. Die Forscherinnen des US-amerikanischen Think Tanks AI NOW brachten deshalb „Algorithmic Impact Assesments“ ins Spiel. Folgenabschätzungen, die dem Privacy Impact Assessment der DSGVO nicht unähnlich sind.
Tatsächlich steht die DSFA in der Tradition der parlamentarischen Technik-Folgenabschätzung, bei der es nicht nur um einzelne Datenverarbeitungen, sondern um die Diskussion gesellschaftlicher Konsequenzen geht. Vor dem Hintergrund der Debatte um die kommerzielle Nutzung von Atomenergie habe sich die Technik-Folgenabschätzung seit Anfang der 70er Jahre etabliert, um „die Chancen und Risiken der Technik für die Gesellschaft sowie deren Akzeptanz […] unter einem ganzheitlichen und damit interdisziplinären Winkel“ zu erforschen, erklärt das Forschungsprojekt „Forum Privatheit“ in einem White Paper [PDF].
Bereits seit Ende 70er Jahre sei dann auch die Datenschutz-Folgenabschätzung, bei der es stärker um die Risiken einzelner Datenverarbeitungsvorgänge geht, in einigen deutschen Datenschutzgesetzen angelegt gewesen. Sie habe in der Praxis jedoch nie wirklich Wirkung entfaltet. Erst mit der Datenschutzgrundverordnung wird der alten Idee neues Leben eingehaucht.
Als führe man den TÜV in der eigenen Garage durch
Ein Gespräch mit Stefan Brink zeigt: Überall angekommen ist das noch nicht. Doch die Zahl der Datenverarbeiter:innen, die selbstständig eine DSFA durchführen, nehme kontinuierlich zu, berichtet der Landesdatenschutzbeauftragte von Baden-Württemberg. Wann das notwendig ist, definiert die DSGVO nicht genau, Orietierung geben Handreichungen der Aufsichtsbehörden. Im Vergleich zu den Vorabkontrollen, die das alte Bundesdatenschutzgesetz vorgesehen hatte, habe sich die Zahl der Folgenabschätzungen jedenfalls mehr als verdoppelt, so Brink.
Bislang behalten Datenverarbeiter:innen die Dokumente jedoch lieber für sich. Eine Praxis, die auch Lea Pfau vom Transparenzportal Frag den Staat kritisiert. Es sei nur schwer vorstellbar, dass Verantwortliche in der Selbstprüfung jemals zu dem Ergebnis kämen, dass sie die Aufsichtsbehörde konsultieren müssen, weil sie das Risiko nicht in den Griff bekommen: „Das wäre ungefähr so, als würde man den TÜV für sein Auto in der eigenen Garage selbst durchführen.“
Eine Veröffentlichung der Abschätzung erfülle jedoch nicht nur eine Kontrollfunktion. Die Transparenzmaßnahme könne zudem die Qualität des Datenschutzes verbessern, weil es einen Feedback-Kanal gebe. Das gelte besonders im Fall der Corona-Apps: „Das öffentliche Interesse geht hier einher mit einem erheblichen Maß an vorhandener Expertise“, so Pfau.
„Wer nach außen demonstrieren will, dass man Datenschutz kapiert hat, hat mit Veröffentlichung der Folgenabschätzung ein ideales Werbemittel, um die eigene Seriosität zu demonstrieren“, findet auch Stefan Brink, der in Baden-Württemberg nicht nur Beauftragter für Datenschutz, sondern auch für Informationsfreiheit ist. „Anstatt sich wegzuducken, kann man sich demonstrativ offen zeigen. Nach dem Motto: Prüft uns, macht Verbesserungsvorschläge.“ Brink bestätigt derweil, dass es so gut wie nie vorkomme, dass Unternehmen seine Behörde in Folge der internen Folgenabschätzung konsultieren würden.
“Security by Obscurity“ ist eine schlechte Ausrede
Zumindest die Datenschutz-Folgenabschätzung von Behörden seien in der Regel IFG-pflichtig, bestätigt Stefan Brink. Dass das in der Praxis durchaus anders aussehen kann, zeigt ein Fall aus der Redaktion von netzpolitik.org: Als Kollegin Anna Biselli beim Bundesamt für Migration und Flüchtlinge per IFG die Datenschutz-Folgenabschätzungen von IT-Assistenzsystemen anfragte, mit der etwa die Herkunft von Asylbewerber:innen plausibilisiert werden soll, wurde sie zunächst fast ein ganzes Jahr hingehalten. Am Ende wurde die Anfrage abgelehnt, da die Bekanntgabe des Inhalt der Folgenabschätzung die öffentliche Sicherheit gefährden könne. Dritte könnten mit ihr „mögliche Sicherheitslücken der Datenverarbeitung“ aufspüren und ausnutzen.
Dieses Argument bekomme er öfter zu hören, sagt Datenschutz-Aktivist Benjamin Bergemann. Doch davon solle man sich nicht blenden lassen: „Wer auf Security by Obscurity setzt, hat ohnehin ein Problem.“ IT-Sicherheitsarchitekturen sollten nicht davon abhängen, dass sie undurchschaubar seien. Allerdings könne man über die Detailtiefe der Informationen einer veröffentlichten DSFA diskutieren, da hier nicht der einzelne Verarbeitungsvorgang, sondern der Grundrechtsschutz insgesamt im Vordergrund stehe.
Diese Sichtweise unterstützt auch die Rechtsanwältin Nina Diercks. Sie berät regelmäßig Unternehmen in Datenschutzfragen und auch bei der Erstellung von DSFA. Da die Folgenabschätzung ohnehin in vielen Fällen vorgenommen werden müsse, sei der Weg zur Veröffentlichung nicht mehr weit. Notfalls könnten Verantwortliche die Folgenabschätzung um sicherheitsrelevante Aspekte bereinigen und eine leicht abgespeckte Variante veröffentlichen, so Diercks.
Österreich macht es vor
Dass das Robert Koch-Institut die Folgenabschätzung der Datenspende-App nicht proaktiv veröffentliche, sei wenig vertrauensbildend, findet Diercks. Auch Bergemann sieht die Behörden bei Corona-Apps in einer Bringschuld. „Das sind Hochrisiko-Technologien, die flächendeckend eingesetzt werden sollen. Da muss der Staat gegenüber den Bürgern nachweisen, dass sie grundrechtskonform funktionieren.“
Folgenabschätzungen seien kein Allheilmittel, doch sie würden Technologien und ihre Folgen überhaupt erst diskutierbar machen – „eine Voraussetzung dafür, dass wir sie gesellschaftlich kontrollieren können.“ Inzwischen fordert auch der Europäische Datenschutzausschuss [PDF], also das Gremium aller nationalen Datenschutzaufsichtsbehörden der EU, die Veröffentlichung der Folgenabschätzungen für Tracing-Apps.
Wie das konkret aussehen kann, demonstriert in Österreich das Rote Kreuz. Schon früh hatte die Organisation zusammen mit der Beratungsfirma Accenture in der Alpenrepublik die „Stopp Corona“-App an den Start gebracht. Mitte April wurde die gut 100 Seiten starke Folgenabschätzung veröffentlicht. Mehrere NGOs konnten zudem den (inzwischen ebenfalls veröffentlichten) Source Code einsehen und haben die Anwendung auf dieser Basis geprüft [PDF].
Ihr Fazit: Es gibt Verbesserungsvorschläge, aber alles in allem ist die Anwendung sicher und datenschutzfreundlich. Wer dem Urteil der Expert:innen nicht traut, kann sich nun immerhin selbst ein Bild machen. Denn Vertrauen ist gut – Kontrolle ist besser.
Sehr schön. Danke.
Ergibt sich aus der Forderung „public money, public code“ nicht zwangsläufig, dass im Vorfeld der Software-Entwicklung eines Projekts eine DSFA veröffentlich werden muss?
Open Source erfordert m.E., dass es einen Konsens zu den Datenschutzaspekten eines Projekts gibt. Es wäre ja wenig zielführend, wenn man Code veröffentlicht, der hinterher wegen grundlegender Datenschutzfragen zerpflückt oder sogar beerdigt wird.
Vermutlich müsste ein grobes Grundgerüst einer DSFA bereits Bestandteil der Ausschreibung eines Projekts sein.
Ich zucke bei Projekten mit Gesundheitsdaten z.B. jedesmal zusammen wenn das Wort „App“ fällt. Die Welt der Mobilgeräte wird zu 99% von Google und Apple beherrscht. Für eine DSFA betrachtet man u.A. die Betreiberrisiken und müsste dann eigentlich schon im Ansatz zu der Erkenntnis kommen, dass diese Plattformen große Risiken für die Verarbeitung von Gesundheitsdaten bergen.
Man hörte schon „unabhängige Prüfung der App sei nicht geplant, sie sei ja Open Source“. Das ist erbärmlich, vor allem so früh! Natürlich gehört ein unabhängiges bezahltes code review aller Teile dazu.
Nach wie vor bedrohlich hat sich bei dem Thema Handy-Tracking wieder einmal gezeigt, was vielen Politikern wie z.B. Spahn, Medien und Wirtschaftsführern der Datenschutz wert ist. Hätten diese doch gerne anfangs unverzüglich Bewegungsdaten aller Bürger gespeichert und überwacht mit dem perfiden Argument, wenn es um Leben und Tod geht, muß der Datenschutz zurückstecken. Nicht nur, dass deren Lösungen (auf Basis von Funkzellen-Auswertungen und/oder von Verkehrs- und Standortdaten) gar nicht hilfreich gewesen wären. Sie hatten sich noch nicht mal die Mühe gemacht, nach alternativen, datenschutzkonformen und zielführenden Lösungen zu suchen bzw. suchen zu lassen.
Glücklicherweise gab es einige kluge Politiker und Experten, die einen solchen Fehltritt noch einmal verhindert haben, auch wenn der Nutzen eines – auf einer intelligenten, dezentralen datenschutzfreundlichen Bluetooth-Lösung basierenden Handy-Tracings in der Praxis noch nicht bewiesen ist. Denn was man aus Süd-Korea und Singapur vor allem und zuallererst lernen kann: das Tracking von Ansteckungsketten ist vor allem personalintensiv!
Allerdings schien zwischendurch diese vielversprechende Entwicklung – auch entgegen den Beschlüssen des EU-Parlaments – doch noch von den Überwachungsfetischisten gekapert zu werden. Sie wollten den Datenschutz links liegen lassen, den sie als „kryptographische Eleganz“ – wie es der Digitalrat der Bundesregierung ausdrückte (hat der Rat ein Rad ab?) – denunzierten. Sie können es eben nicht lassen!
Herr Spahn hatte sich zunächst dieser offensichtlich „uneleganten“ zentralen Corona-App-Lösung angeschlossen, ist aber, viel zu spät, mittlerweile – aufgrund der vielfachen Proteste – eingeknickt. Wer weiß für wie lange?
Was sollen die Bedenken? Der Datenschutz bei Apps, die freiwillig gehandhabt werden, interessiert mich weniger. Somit kann jeder selber entscheiden ob er das Tool runter lädt und seine Daten „spendet“.
Äh: Der Antreiz, die App überhaupt zu installieren?
Die rechtlichen Konsequenzen für Benutzer für allerlei Haupt- und Randfälle sind ja noch nicht einmal klar.
>> Robert Koch-Institut die Folgenabschätzung der Datenspende-App nicht proaktiv veröffentliche …
Auf Nachfrage musste Herr Wieler, Leiter der Robert – Koch – Instituts, zugegeben, das die Datenspende-App überhaupt nicht datenschutzrechtlich geprüft war zu dem Zeitpunkt, als sein Institut ganz Deutschland aufrief, die App zu installieren und Daten zu spenden. Stattdessen hatte ein Mitarbeiter Wielers, der hausintern den Datenschutz verantwortet, sein Placet gegeben. In öffentlichen Verlautbarungen wurde mit Formulierungen wie „mit den Datenschützern abgestimmt“ impliziert, dass eine datenschutzrechtliche Prüfung und Freigabe durch offizielle Stellen durchaus erfolgt war.
Ohne die App überhaupt zu kennen – als einige Tage später herauskam, dass das Robert Koch – Institut nicht nur die (vom Nutzer freigegebenen) aktuellen Daten des Trackers kopiert, sondern sich ganz ohne Nutzerfreigabe – die Rechte an zum Teil jahrelangen Datensammlungen in Apple Health einräumt – wurde abgewiegelt, bei nächsten Update werde man das wohl ändern.