Corona-AppsEU-Abgeordnete hinterfragen Contact Tracing

Europäische Staaten wollen die Pandemie mit Kontaktverfolgungs-Apps bekämpfen. Deutsche Europapolitiker sind skeptisch, ob das wirklich freiwillig und mit ausreichendem Datenschutz ablaufen kann.

Keime unter dem Mikroskop
Die Pandemie kann auch das demokratische System schwächen – Gemeinfrei-ähnlich freigegeben durch unsplash.com CDC

EU-Abgeordnete von SPD, Grünen, FDP, Piraten und Linken pochen beim Einsatz von Apps zur Kontaktverfolgung gegen die Corona-Pandemie auf die Wahrung von Grundrechten. Abgeordnete und Stimmen aus der Zivilgesellschaft äußerten gegenüber netzpolitik.org Befürchtungen, dass die Krise eine Schwächung des europaweiten Datenschutzes bedeuten könnte.

In Deutschland befürwortet die Bundesregierung sogenanntes Contact Tracing in Form einer weitgehend anonymisierten Verfolgung möglicher Kontakte zu Infizierten, via Bluetooth-App auf freiwilliger Basis.

In zumindest zwölf EU-Ländern sind Apps zur Corona-Bekämpfung in Vorbereitung. Die EU-Kommission schlägt einen Werkzeugkasten für Contact-Tracing-Apps vor. Sie drängt etwa darauf, dass Apps in den Mitgliedsstaaten untereinander verwendbar sein sollen. Dazu könnte eine von Google und Apple angekündigte Programmierschnittstelle beitragen.

Während sich zahlreiche Staaten auf eine Lockerung ihrer Pandemie-Maßnahmen vorbereiten, hoffen die EU-Kommission und Regierungen, dass die Kontaktverfolgung per App dabei helfen kann, die Ausgangsbeschränkungen schrittweise abzubauen.

Der Werkzeugkasten der Kommission hält unter Berufung auf Erfahrungen in Singapur und eine Schätzung der Universität Oxford fest, dass rund 60 bis 70 Prozent der Bevölkerung solche Apps installierten müssten, damit sie effektiv sind. Offen sind auch einige mögliche technische Probleme und Sicherheitsfragen.

Menschenrechtsaktivist*innen befürchten, allzu großes Vertrauen in Contact Tracing könnte angeblich „freiwillige“ Apps bald praktisch verpflichtend machen. „Es ist nicht einfach, eine freiwillige von einer obligatorischen Nutzung von Apps zu unterscheiden, da das Konzept der Zustimmung der Nutzer im Kontext einer Gesundheitskrise recht verschwommen erscheint“, warnt etwa Estelle Massé von der NGO Access Now gegenüber netzpolitik.org.

Offene Fragen bei Contact Tracing

Ihre Bedenken werden von deutschen Abgeordneten im EU-Parlament geteilt. Die SPD-Abgeordnete Birgit Sippel sieht bei Contact Tracing noch viele offene Fragen.

Birgit Sippel
Birgit Sippel - Alle Rechte vorbehalten European Union 2018 - Source : EP

„Wenn etwa das Recht, das Haus zu verlassen, oder die U-Bahn zu nutzen, an die Nutzung einer App gekoppelt wird, dann können wir nicht mehr von Freiwilligkeit sprechen“, sagt die Abgeordnete, die im Justizausschuss des EU-Parlaments federführend an Gesetzen zu elektronischen Beweismitteln und Privatsphäre in der Kommunikation arbeitet.

Der Abgeordnete Moritz Körner von der FDP sagte, Apps zu Kontaktverfolgung könnten Menschenleben retten. „All diese Maßnahmen müssen jedoch im Einklang mit der europäischen Datenschutzgrundverordnung (DSGVO) stattfinden“, sagt Körner. Das sieht auch die Kommission so, die Umsetzung von Contact Tracing in den verschiedenen EU-Staaten wirft allerdings Fragen auf.

Für die Grüne Alexandra Geese ist der freiwillige Einsatz von Tracing-Apps an bestimmte Bedingungen geknüpft. Sie legte auf ihrer Webseite einen Anforderungskatalog an, angelehnt an die zehn „Prüfsteine“ des Chaos Computer Club. Geese fordert, die Nutzung der App müsse nicht nur freiwillig sein, es dürfe auch keine verpflichtenden Folgen daraus geben.

Die Linken-Abgeordnete Cornelia Ernst stellt klar, dass es sich bei Informationen über den Gesundheitszustand von Kontaktpersonen um besonders schützenswerte Daten handelt. „Wer, wie, wo diese Daten verarbeitet, ist entscheidend. Und vor allem, dass die Daten für nichts anderes genutzt werden dürfen“, schrieb Ernst an netzpolitik.org.

Bisher sei wenig über die Folgen von Warnungen durch Contact-Tracing-Apps nachgedacht worden, wirft der Piraten-Abgeordnete Patrick Breyer ein, der im EU-Parlament in der Fraktion der Grünen sitzt.

Patrick Breyer
Patrick Breyer - CC0 kryp

„Die Apps werden wahrscheinlich Zehn- oder Hunderttausende von Personen benachrichtigen, die zur Arbeit oder zum Einkaufen unterwegs waren. Es ist absehbar unmöglich für diese, sich testen zu lassen. Die Wirkung kann kaum mehr sein als weit verbreitete Besorgnis oder sogar Panik. Zudem ist menschlicher Kontakt nur eines der Infektionsrisiken.“

Der Schlüssel zur Eindämmung des Virus liegt nach Ansicht von Breyer nicht in Tracing-Technologie, sondern darin, dass sich jeder selbst schütze, infizierte Personen isoliert würden und es viel mehr Tests gebe.

Klares Nein zur Ausgangskontrolle per App

Polen setzt indes auf mehr als nur Kontaktverfolgung. Dort nutzt die Regierung bereits seit März eine App namens „Heim-Quarantäne“, um die verpflichtende Selbstisolation nach Auslandsreisen zu überprüfen. Betroffene müssen die App installieren und über zwei Wochen hinweg jederzeit auf Zuruf binnen 20 Minuten Bilder hochladen, um ihren Aufenthaltsort nachzuweisen. Jenseits von Europa setzen Länder wie China und Russland in der Krise sogar weit umfassendere Überwachungsmaßnahmen ein.

Auch in Westeuropa rufen einige rechte Politiker bereits nach härteren Schritten. „Was ist uns wichtiger? Datenschutz oder, dass Menschen wieder normal aus dem Haus können? Datenschutz oder Leben zu retten?“, fragte Österreichs Kanzler Sebastian Kurz polemisch.

Das Urteil der von uns befragten deutschen Abgeordneten fällt indes klar gegen verpflichtende Apps zur Kontrolle der Ausgangsbeschränkungen aus, wie sie in Polen zum Einsatz kommen. „Das sind drakonische Überwachungsmaßnahmen, die in einer Demokratie weder notwendig noch sonstwie gerechtfertigt sind“, sagt die Linken-Politikerin Ernst.

Ähnlich sehen das auch die Abgeordneten von SPD und FDP. „Apps zur Kontrolle von Ausgangssperren bei Einzelpersonen sind in der aktuellen Situation nicht verhältnismäßig“, betont der Liberale Körner.

„Ich lehne die Verfolgung von Menschen durch die Erstellung von individualisierten Bewegungsprofilen ab, egal, ob dies auf Grundlage einer Einwilligung oder eines Gesetzes geschieht – es fehlt einfach die Verhältnismäßigkeit“, sagt die SPD-Politikerin Sippel.

Ulrich Kelber
Ulrich Kelber - CC-BY-SA 3.0 Sven Teschke

Diese Haltung wird auch von Datenschutzbehörden bekräftigt. „Ich kann mir nicht vorstellen, wie eine Verpflichtung in einer liberalen Gesellschaft durchgesetzt werden kann“, sagte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem Webinar des Branchenverbandes ITI. „Es wäre lächerlich zu glauben, dass sich in Europa das Selbe wie in China machen lässt.“

Für die Grüne Geese ist die Coronakrise eine Chance für Europa, seine Werte zu zeigen. „Wir befinden uns an einem Scheideweg. Wir haben die wertvolle Gelegenheit zu zeigen, dass wir auch ohne die Schaffung einer Überwachungsinfrastruktur effektiv diese Krise bewältigen können.”

Nicht an DSGVO rütteln

Abgeordnete und Experten warnen davor, die Coronakrise als Mittel für eine Einschränkung des Datenschutzes zu gebrauchen. Verbreiteten Mutmaßungen in Brüssel zufolge verschiebt die EU-Kommission ihre Evaluierung der Datenschutzgrundverordnung wegen Corona. „Das ist verständlich, es darf aber keinesfalls ausgenutzt werden, um die DSGVO zu schwächen“, sagt die SPD-Abgeordnete Sippel.

Die europäischen Datenschutzregeln seien kein Hemmnis in der Corona-Krise, sondern Garant für grundrechtliche Mindeststandards. „Daran zu rütteln wäre fatal“, sagt Sippel.

Der Piraten-Abgeordnete Patrick Breyer sagt, eine verschobene Evaluierung der DSGVO wäre „bedauerlich“. Als Gold-Standard für Regulierung sei diese eine weltweite Erfolgsgeschichte, die sich nun in der Krise bewähre.

Ähnlich sieht das Estelle Massé von Access Now. Die Krise habe gezeigt, dass die Datenschutzregeln der EU flexibel genug für die Datennutzung in der Gesundheitskrise seien und dennoch Grundrechte bewahrten. Die Reaktion auf die Pandemie zeige aber, wie schwer für Datenschutzbehörden noch die Abstimmung ihres Vorgehens sei, sie bräuchten daher eine verbesserte Zusammenarbeit und mehr Ressourcen.

Florian Glatzner vom Bundesverband der Verbraucherzentralen (vzbv) betont, die Coronakrise dürfe auch bei laufenden Gesetzgebungsverfahren wie der lange aufgeschobenen ePrivacy-Reform nicht zu einer Verschlechterung des Schutzniveaus gegenüber früheren Entwürfen von vor der Krise führen.

„Auch vor dem Hintergrund, dass durch die geplanten Kontaktverfolgungs-Apps künftig vermutlich mehr Menschen Bluetooth ständig aktiviert haben werden, wäre der schnelle Abschluss einer datenschutzfreundlichen ePrivacy-Verordnung wichtig, die dem Risiko des ‚Offline-Trackings‘ über diese Technologie – beispielsweise in Innenstädten oder im Handel – klare Grenzen setzt und Vertrauen stiftet“, betont der Verbraucherschützer.

Datenschutz sei in der Krise kein Hindernis, sondern eine Hilfe, sagt Glatzner. „Im Gegenteil: ist das Datenschutzniveau zu niedrig, leidet das Vertrauen der Menschen in Staat und Unternehmen – und damit auch die Akzeptanz für Maßnahmen, wie beispielsweise die angesprochene App zur Verfolgung von Infektionsketten.“

Vertreter der EU-Institutionen äußern sich abwartend. Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski sagte in dem Webinar von ITI, in der Krise könne keine Entscheidung über langfristige Änderungen getroffen werden. Jetzt sei „nicht die Zeit für Debatten“ über eine Änderung des Datenschutzes.

Eine englischsprachige Version dieses Artikel erschien unterstützt von der Heinrich-Böll-Stiftung.

Korrektur vom 17. April 2020: Die Passage zur Evaluierung der DSGVO wurde nachträglich berichtigt.

Korrektur vom 30. April 2020: Es wurde richtiggestellt, dass es sich bei ITI um einen Branchenverband handelt, nicht um einen Thinktank.

8 Ergänzungen

  1. Wenn alle Stränge reißen, einfach die Werbemafia fragen, die haben das schon in Feldversuchen durchgeführt (Ultraschall).

  2. Neben diesen im Artikel aufgeführten „Praktikabilitätsproblemen“ möchte ich weitere „aus der Praxis“ tägliche Probleme hinweisen,
    – dass mir nicht klar ist , ob auch jugendliche/Kinder solch eine App nutzen dürfen (müssen ??) …
    – dass ein Handy mit Strom betrieben wird und die Batterie mal leer sein kann, ohne dass ich es gleich merke …
    – dass ich mich an einem Ort befinde, wo ausdrücklich erwaret wird, dass ich mein Handy ausschalte oder nicht bei mir tragen kann (Schule, Kirche, Arbeitsplatzbedingungen, Flugzeug, Kino, Theater, Schwimm-/Strandbad, Sport, etc…) …
    – dass mein Handy kein Speicherplatz mehr hat …
    – dass mein Handy in „fremde Hände“ gelangt (vergessen, verloren, gestohlen, …) …

    Am 16.04.20 wies Heise.de/security in einem Artikel darauf hin , dass das BSI vor dem Verlust von „Gesundheitsdaten“ auf dem Handy warnt, wenn mein Handy „kompromittiert“ würde ….

    https://www.heise.de/newsticker/meldung/IT-Sicherheit-BSI-warnt-vor-hohen-Risiken-bei-Gesundheits-Apps-4704094.html

    Der Artikel schlussfolgerte, dass ich zwar Geld ersetzt bekommen kann, aber meine Gesundheitsdaten unwiderruflich in der Welt sind.

    1. „wo ausdrücklich erwaret wird, dass ich mein Handy ausschalte“

      Dann schaltet man in den nicht-stören-Modus und erfüllt diese erwartung dadurch. Oder in den Flugzeugmodus mit BT.

      1. Ja, stimmt.
        Dann müsste es z.B. in der Gebrauchsanleitung der App entsprechende Hinweise geben.
        Einfach ausschalten (so handhabe ich es) ist einfacher u schneller. Diesen Hinweis erhält i.a. jeder per „Ansage“ (mündl./schriftl.).

  3. „in Form einer weitgehend anonymisierten Verfolgung möglicher Kontakte“

    Das ist falsch. „Weitgehend anonymisiert“ gibt es nicht. Es gibt anonym ode rnicht anonym. Nicht anonym ist identifizierbar. Genau das haben wir hier. Anonym heißt nicht erkennbar.. Irgendeine Nummer zu vergeben ist pseudonym, rückänderbar, so identifizerbar. Das ist nicht anonym.

    „Nicht an DSGVO rütteln“. Als wenn uns die DSGVO schützen würde. Lest sie mal. Der Staat darf uns ausspionieren wie er will.

  4. Ich bin schockiert, auf welcher Ebene diese Diskussion allgemein geführt wird (Dieser Artikel ist einer der deutlich besseren die ich zum Thema gelesen habe).

    Das es anscheinend mehr um technische Einzelheiten geht, als um die Frage, ob eine solche Applikation nicht grundsätzlich unzulässig ist. Glauben wir wirklich, dass Daten seit 2013 (Snowden, ihr erinnert Euch) sicherer geworden sind und nicht von jedem genutzt werden können, wenn er nur den richtigen Preis dafür zahlt?
    Und selbst in den „richtigen“ Händen haben solche Daten nichts zu suchen. Wenn die App erstmal installiert ist, schaut die Gesundheitspolizei bestimmt in jedem Jahr mal genauer hin. Wissenschaftler lieben Daten. Ich bin selbst Ingenieur und arbeite viel mit Statistik. Ich schließe mich da nicht aus.

    Und wen wollen wir schützen? Die demente Oma im Altenheim, die wir auch schon vorher jede Woche mindestens zweimal besucht haben, damit es ihr gut geht, oder etwa nicht? Ich denke was alte und kranke Menschen brauchen ist Zuwendung und anständige Versorgung. Das sollten wir uns was Kosten lassen statt das, was unserem Staatshaushalt nach der Krise übrig ist, den Datenkraken und Pharmakonzernen hinterherzuwerten und dabei das letzte bisschen Freiheit zu verlieren!

    Mein Puls stabilisiert sich gerade wieder auf etwas niedrigerem Niveau!

  5. Welche Pilotversuche gibt es eigentlich? Welche Prototypen?

    Viele Fragen, die im Artikel und darüberhinaus aufgeworfen werden, lassen sich mit kleinen Studien besser beantworten als mit langen Diskussionen:
    – wie viele Kontakte werden pro Tag, pro Woche erfasst – und wie viele nicht? Wie zuverlässig ist die Erfassung? Wie hoch ist der Anteil der Falscherfassungen (Kontakte durch Scheiben, Wände, Masken etc.)
    – welche Daten fallen an, welche Datenmengen müssen gespeichert und übertragen werden?
    – wie stark werden Datenvolumen, Batterielaufzeit, Handyperformance beeinflusst durch die Messung. Welcher Anteil der verfügbaren Handys ist mit der erforderlichen Technologie ausgestattet? Welcher Anteil der Bevölkerung hat sein Handy ständig dabei?
    – (wie) können die Anforderungen von ccc, Datenschützern und anderen Stakeholdern eingehalten und trotzdem eine sichere Funktion erreicht werden?

    Die Softwareentwicklung hat sich in den letzten Jahrzehnten dramatisch geändert. Die bisherige Diskussion legt allerdings die Befürchtung nahe, dass ausgerechnet bei einem der wichtigsten IT-Projekte des Jahrhunderts alle modernen Erfahrungen über Bord geworfen und stattdessen eine App mit Methoden entwickelt werden soll, die ein Desaster praktisch garantieren.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.