Für das Motto „Move fast and break things“ ist eher das Silicon Valley bekannt und weniger das als behäbig verschriene Österreich. So lässt die Meldung doppelt aufhorchen, der größte österreichische Mobilfunkanbieter, A1, habe auf eigene Faust die Bewegungsprofile seiner Handynutzer der Regierung übergeben.
Die Maßnahme soll im Kampf gegen die Ausbreitung des Corona-Virus helfen, wenn auch nur mittelbar. Herangezogen wurden laut einem Unternehmenssprecher die anonymisierten Daten offenbar nur dazu, um zu überprüfen, inwieweit sich Österreicher an die jüngst ausgerufene Ausgangssperre halten. Tatsächlich sollen A1-Nutzer ihren Bewegungsradius „signifikant“ eingeschränkt haben, verglichen mit Zahlen vor dem Ausgehverbot.
„A1 stellt diese Analysen in Krisenzeiten relevanten staatlichen Stellen zum Wohle der Allgemeinheit zur Verfügung“, erklärte der Netzbetreiber in einer Stellungnahme. Die Lösung sei „DSGVO-konform und TÜV geprüft“ – eine Einschätzung, die Datenschützer wie Wolfie Christl in Zweifel ziehen. Zudem lasse sich weder aus dem Telekomgesetz noch aus dem Epidemiegesetz eine entsprechende Rechtsgrundlage ableiten, sagte der Datenschutzrechtler Christof Tschohl dem Standard.
Standortdaten auch hierzulande im Gespräch
Mit ähnlichen Ansätzen versuchen derzeit staatliche Einrichtungen weltweit, die Ausbreitung der Krankheit in den Griff zu bekommen. Hierzulande preschten Anfang des Monats das Robert-Koch-Institut und das Heinrich-Hertz-Institut der Fraunhofer-Gesellschaft vor. Demnach sollte gemeinsam mit dem Bundesgesundheitsministerium ein Plan entwickelt werden, mit den Standortdaten infizierter Handynutzer deren Kontaktpersonen zu ermitteln. Letztere sollten dann informiert und gegebenenfalls in Quarantäne gesteckt werden.
Mobilfunkbetreiber und Datenschützer winkten umgehend ab: Da die ursprünglichen Überlegungen vorsahen, die Verbreitungswege mithilfe von Funkzellenabfragen nachzustellen, hieß es abwechselnd „Unfug“ oder „illegal“. Solche Abfragen würden insbesondere in Ballungsgebieten zu viele Menschen erfassen, um daraus etwas Sinnvolles herauslesen zu können. Und manche Netzanbieter wie 1&1 sammeln gar keine Bewegungsdaten von Kunden, sagte ein Unternehmenssprecher gegenüber netzpolitik.org.
In den vergangenen beiden Wochen hat sich die Lage jedoch drastisch verändert. Die Zahl der Corona-Ansteckungen ist erwartungsgemäß nach oben geschnellt, Bundesländer haben Schulen und Kitas geschlossen, immer mehr Menschen arbeiten von Hause. Nimmt man sich Österreich oder das schwer gebeutelte Italien zum Vorbild, dürfte auch auf Deutschland eine de-facto-Ausgangssperre zukommen.
„Überzeugendes Konzept“ in Bälde
Dennoch arbeitet das Robert-Koch-Institut weiterhin in diese Richtung. Er sei „sehr optimistisch“, sagte heute der RKI-Chef Lothar Wieler auf einer Pressekonferenz, in Kürze ein „überzeugendes Konzept“ vorlegen zu können. Seit drei Wochen sollen sich 25 Leute aus zwölf verschiedenen Institutionen ehrenamtlich den Kopf darüber zerbrechen. Auf jeden Fall sei es „technisch möglich und auch datenschutzrechtlich möglich“, sagte Wieler.
Was genau derzeit diskutiert wird, bleibt bis auf Weiteres unbekannt. „Wir können zu dem Projekt noch keine weiteren Informationen geben, es ist sehr im Fluss“, sagte eine RKI-Sprecherin auf Anfrage von netzpolitik.org.
Grundsätzlich stehen sich der Schutz personenbezogener Daten und Maßnahmen zur Bekämpfung der Infektion nicht entgegen, stellte kürzlich die Datenschutzkonferenz klar. In dem Gremium versammeln sich die Datenschutzaufsichtsbehörden des Bundes und der Länder. Unter anderem haben sie Hinweise für Arbeitgeber und Dienstherren veröffentlicht, wie sich die legale Verarbeitung personenbezogener Daten und die Corona-Pandemie unter einen Hut bringen lässt.
Genauigkeit der Standortdaten fraglich
„Im Einzelnen kommt es auf die genaue Ausgestaltung der jeweiligen Maßnahme an“, sagt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, gegenüber netzpolitik.org. Zum Beispiel müsse sie geeignet sein. „Bei der Verarbeitung von Standortdaten ist durchaus fraglich, ob diese Daten genau genug sind, um Infektionsketten nachverfolgen zu können.“
Nun könnte man auch gezielt eine Smartphone-App anbieten, mit der sich auch eine informierte Einwilligung abholen ließe. Dies wäre dann rechtlich einwandfrei – aber nur, wenn sich dies auf die App beschränkt. „Datenschutzrechtlich wäre es sehr problematisch, wenn nicht nur die Daten derjenigen erhoben werden sollen, die sich die App herunter geladen und in die Datenverarbeitung eingewilligt haben“, sagt Kelber. „Zum Beispiel von Personen, die sich mit ihrem Smartphone in der Nähe aufgehalten haben und eben nicht in die Datenverarbeitung eingewilligt haben.“
Drakonischer Ansatz in Israel
Im internationalen Vergleich scheint die hiesige Debatte freilich erstaunlich sachlich und nüchtern abzulaufen. In Israel gilt beispielsweise seit Sonntag eine Notstandsregelung. Diese gibt dem Inlandsgeheimdienst Schabak die Mittel in die Hand, ohne unabhängige richterliche Kontrolle die Standortdaten von sämtlichen israelischen Handynutzern auszuwerten. Sollte sich aus diesen ergeben, dass sich ein Nutzer für länger als zehn Minuten in der Nähe einer infizierten Person aufgehalten hat, schickt das Gesundheitsministerium eine SMS mit der Aufforderung, sich in Quarantäne zu begeben. Die Einhaltung der Auflage soll ebenfalls vom Geheimdienst kontrolliert werden.
Ob solche drakonischen und technikgestützten Ansätze letztlich gegen die Ausbreitung des Corona-Virus helfen, bleibt vorläufig offen. Kritiker befürchten unabhängig davon jetzt schon eine Verlängerung der derzeit für 30 Tage anberaumten Maßnahme. Gegenüber der taz sagte Jonathan Klinger, Anwalt und Rechtsberater der Bewegung Digitale Rechte in Israel: „Sobald das System aufgebaut ist, ist es unwahrscheinlich, dass es schnell wieder abgebaut wird.“