Das Schlechteste aus zwei Welten

Drohendes Datenschutzdebakel beim digitalisierten Contact Tracing

Die Auseinandersetzung zum Contact Tracing geht in die nächste Runde: Nachdem letztes Jahr ein breiter, öffentlicher Diskurs zum Thema die Medien wochenlang dominierte, herrscht trotz eklatanter Grundrechtsverletzung mehrheitlich Funkstille in der Politik und der Allgemeinheit; nur ein paar Berner Gastronom:innen machen Radau. Bereits vor einem Jahr hat die Digitale Gesellschaft wichtige Grundsätze zum Umgang mit Daten beim Contact Tracing veröffentlicht, die wir nachfolgend entsprechend den Erkenntnissen aus einem Jahr Pandemieerfahrung erneut aufgreifen wollen.

Zentrale Datenbanken

Seit vorgestern weigern sich einige Dutzend Gastrobetriebe im Raum Bern, die Contact Tracing-Daten ihrer Gäste an die zentrale Datenbank des Kantons zu übermitteln. Sie fordern, den Missbrauch der Daten mittels dezentraler Speicherung technisch auszuschliessen und so diesen «Grundrechtseinschnitt» ihrer Gäste einzustellen. Diese mutige Aktion des Kollektivs Gastrostreik ist die Reaktion auf den Entscheid des Berner Regierungsrates von letzter Woche, als erster Kanton eine gesetzliche Grundlage für die zentrale Speicherung von Kontaktdaten zu schaffen – entgegen allen prominent diskutierten Grundsätzen, auf die sich Politiker:innen und Datenschutzfachleute letztes Jahr geeinigt haben.

Im Gegensatz zu den weitreichenden Datenschutzbestimmungen des Proximity Tracings, bei dem eine dezentrale Architektur der Datenspeicherung unmissverständlich im angepassten Epidemien­gesetz festgehalten wurde, wird eine dezentrale Lösung beim Contact Tracing nicht vorgeschrieben. Da aktuell jedoch die Digitalisierung dieser gesamten Pandemiemassnahme (de facto als Voraussetzung für die Wiedereröffnung der gesamten Gastrobranche) angestrebt wird, sollten auch beim Contact Tracing dieselben Grundsätze wie beim Proximity Tracing gelten.

Contact Tracing vs. Proximity Tracing

Das Proximity Tracing bezeichnet die Nachvollziehbarkeit von Begegnungen mittels Abstandsdaten über Bluetooth und einer App, die man freiwillig herunterlädt und nutzt. Das Contact Tracing ist die obligatorische Aufnahme aller Kontaktdaten in beispielsweise der Gastrobranche. Im letzten Sommer wurde das Contact Tracing meist noch mittels altmodischen Zetteln durchgeführt. Nun soll dieser Prozess digitalisiert werden.

Während die gesetzliche Grundlage des Proximity Tracings im angepassten Epidemiengesetz im Artikel 60a den datenschutzrechtlichen Grundsätzen von Datensparsamkeit, dezentraler Speicherung und Open Source entspricht, fehlen solche Bestimmungen für das Contact Tracing im entsprechenden Artikel des Epidemiengesetzes wie auch der Covid-19-Verordnung besondere Lage. Die gesetzliche Grundlage für die zentrale Lösung des Berner Regierungsrates ist in der Verordnung über Massnahmen zur Bekämpfung der Covid-19-Epidemie, die sie nur beschliessen konnte, weil die im Proximity Tracing geltenden Schutzbestimmungen in der gesetzlichen Grundlage des Contact Tracings fehlen.

Bedauerlicherweise scheint auch der EDÖB von dezentralen und datensparsamen Lösungen nicht überzeugt, und verlautet gestern im 20 Minuten: «Nicht jedes Anwendungsszenario kann mit einer dezentralen Lösung oder anonymisierten Speicherung umgesetzt werden.» Fakt ist: Beim Contact Tracing liessen sich die Daten jedoch relativ simpel auch mittels der dezentralen Speicherung von mindestens zwei Schlüsselpaaren sogar zentral speichern. So wären die Daten für das Contact Tracing verfügbar – müssten jedoch durch die Gesundheitsbehörde und den Gastrobetrieb freigeschaltet werden.

In Tat und Wahrheit fand hier also klammheimlich ein Paradigmenwechsel statt, der – anders als beim Proximity Tracing – politisch nicht debattiert wurde. Zu allem Überfluss werden diese zentral abgespeicherten Daten vorgängig von dutzenden privaten Apps erfasst, die teilweise bereits durch Datenschutz-SuperGAUs aufgefallen sind, aber noch nie durch öffentliche Sicherheitstests oder Datenschutzanalysen geprüft wurden. Diese enorme Sicherheitslücke, kombiniert mit dem Mangel an Datenschutzbestimmungen im Contact Tracing, bedeutet, dass im Kanton Bern die schlechtesten Aspekte beider Welten vereint wurden.

Grundsätze der Nützlichkeit und Zweckgebundenheit

Was heute selbstverständlich – weil bereits mehrfach ausdiskutiert – sein sollte, ist der Grundsatz der Nützlichkeit und Zweckgebundenheit: Die Daten und die App dürfen dabei ausschliesslich zur Eindämmung der Covid-19-Epidemie eingesetzt werden. Jede weitergehende Nutzung der App muss verboten und technisch unterbunden werden. Der Einsatz muss auf die Dauer der Epidemie begrenzt werden. Auch das Datenschutzrecht schreibt vor, dass nur die für das Erreichen eines Zwecks absolut notwendigen Daten erfasst werden dürfen.

Auf zentrale Bearbeitung von Personendaten, bei denen letztlich darauf vertraut werden muss, dass die zentrale Infrastruktur sicher und sachgemäss betrieben wird, ist beim Proximity Tracing wie auch beim Contact Tracing zu verzichten. Die Berner Verordnung widerspricht zwar nicht per se dem Epidemiegesetz, da der dort gewährte Spielraum rechtmässig ausgeschöpft wird, verstösst jedoch gegen das datenschutzrechtliche Konzept Privacy-by-Design: Datenschutz durch Technik verpflichtet die Behörden, während der Entwicklung einer Lösung bereits die datenschutzfreundlichere Architektur zu wählen. Selbstverständlich verspricht der Sprecher des Berner Gesundheitsamtes, solche Suchanfragen – obwohl technisch absolut möglich – würden von seiner Behörde nicht gemacht.

Gute und schlechte Alternativen

Als (schlechte) Alternative zu der zentralen Berner Lösung haben die Bundesverwaltung und diverse Kantone an der privaten App «Mindful», jedoch mit eigener, zentraler Datenbank, Interesse gezeigt. Dies hat das Online-Magazin Republik in der vergangenen Woche recherchiert. Verschiedene Funktionen wie Rückwärts- und Vorwärtstracing, aber auch Cluster-Erkennung erlauben es den Kantonen, die in der jeweiligen Situation passende Methode flexibel auszuwählen.

Zwar vielseitig einsetzbar, scheitert auch diese private Konkurrenzdatenbank kläglich am Datenschutz, den der Geschäftsleiter von «Mindful» nach eigenen Angaben von externen Sicherheitsexperten habe prüfen lassen. Danach obliegt es den Datenschutzbehörden, die Rechtmässigkeit dieser Apps zu überprüfen, da sich der Bund der Verantwortung im Datenschutz geschickt entzogen hat. Im Übrigen spielt es keine Rolle, ob die datenschutzrechtlich heiklen Datenbanken von den Kantonen selbst oder aber von privaten Dritten betrieben werden. 

Eine Alternative für diesen zentralen Ansatz im Contact Tracing ist die App «NofityMe», die von der ETH Lausanne erarbeitet wurde und in die SwissCovid-App eingebaut werden könnte. Teilnehmende an Veranstaltungen würden über die App einen QR-Code scannen, der nur lokal auf dem Smartphone gespeichert wird und somit an keinen zentralen Server gelangt. Wird jemand im Anschluss positiv getestet, werden alle teilnehmenden Personen über die App darüber informiert.

Richtigerweise werden also nicht mehr nur diejenigen, die lange und nahe genug bei der infizierten Person waren, benachrichtigt, was schliesslich auch den neueren Erkenntnissen zur Verbreitung des Virus› dank Aerosolen in Innenräumen entspricht. «NotifyMe» wird daher ebenfalls als Ersatz der Zettellisten verstanden, und hat auch dank dezentraler Datenspeicherung eine Prozessumkehr zur Folge: Da die von der App informierten Personen nicht mehr anhand Kontaktlisten identifiziert werden können, müssen sie sich selbst beim Contact Tracing Team melden. Selbstverständlich entsteht dadurch die Gefahr, dass sich so weniger Menschen «freiwillig» in Quarantäne begeben.

Fazit

Vor einem Jahr hielten wir fest: «Je nach Umsetzung könnte das Contact Tracing zu einem dystopischen Überwachungsstaat führen, oder es kann nützliche Dienste zur Pandemiebekämpfung leisten und gleichzeitig Privatsphäre und Datenschutz respektieren.»

Dass nach über einem Jahr Pandemie die beschriebenen Grundsätze scheinbar noch nicht im Kanton Bern angekommen sind und entgegen dem Gleichbehandlungsgebot auch nicht automatisch analog auch auf andere, ähnliche Sachverhalte angewendet werden, ist erstaunlich. Sollten in nächster Zeit die umfangreichen Schutzbestimmungen für das Proximity Tracing gemäss dem Epidemiengesetz nicht auch auf das Contact Tracing (beispielsweise durch Anpassung der Covid-19-Verordnung besondere Lage) Anwendung finden, dürfen die Kantone die Rechtsanwendung des Datenschutzgesetzes nicht aussen vor lassen und müssen den Grundsatz Privacy-by-Design befolgen.