Daten­schutz by Design“ – dafür setzt sich das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein (ULD) seit Jahr­zehn­ten ein. Bis­her waren Kon­zep­te für inno­va­ti­ve Daten­schutz­tech­nik haupt­säch­lich in aka­de­mi­schen Papie­ren zu fin­den. Obwohl die Daten­schutz-Grund­ver­ord­nung „Daten­schutz durch Tech­nik­ge­stal­tung“ for­dert, fin­den die Ideen bis­her nur sel­ten den Weg in die Pra­xis. Für die Con­ta­ct-Tra­cing-App ist „Daten­schutz by Design“ mög­lich – und auch nötig.

Welt­weit wird zur­zeit als einer von vie­len Bau­stei­nen zur Pan­de­mie-Bekämp­fung das „Con­ta­ct Tra­cing“ dis­ku­tiert, um Men­schen zu war­nen, die sich mit dem neu­ar­ti­gen Coro­na-Virus ange­steckt haben könn­ten. Damit soll per App auf dem Smart­pho­ne mit­ge­spei­chert wer­den, wenn Nah­kon­tak­te mit ande­ren Men­schen bestan­den, die eben­falls eine sol­che App ein­set­zen. Stellt sich spä­ter her­aus, dass bei sol­chen Begeg­nun­gen eine der betei­lig­ten Per­so­nen infi­ziert war, kön­nen die ande­ren per App benach­rich­tigt wer­den – auch wenn man ein­an­der nicht kennt.

Marit Han­sen, die Lan­des­be­auf­trag­te für Daten­schutz Schles­wig-Hol­stein, hat sich mit den Kon­zep­ten ein­ge­hend beschäf­tigt: „Das Con­ta­ct Tra­cing funk­tio­niert wie eine Art digi­ta­les Tage­buch mit Ein­trä­gen über Nah­kon­tak­te auf dem Smart­pho­ne, die spä­ter abge­gli­chen wer­den kön­nen. Eine sol­che App kann in Ergän­zung zu ande­ren Pan­de­mie-Maß­nah­men hilf­reich zur Ein­däm­mung sein. Das wird aber nur funk­tio­nie­ren, wenn die Nut­ze­rin­nen und Nut­zer ein berech­tig­tes Ver­trau­en in die App haben kön­nen – und dafür ist ‚Daten­schutz by Design‘ wesent­lich. Das bedeu­tet zum Bei­spiel, dass Namen und Orte nicht gespei­chert wer­den und alles ver­schlüs­selt abge­legt wird. Ent­schei­dend für ein Abschät­zen des Miss­brauchs­ri­si­kos ist dabei die Fra­ge, wo die Daten beim Abgleich gespei­chert sind und ob damit zusätz­li­che Aus­wer­tun­gen – bis hin zur Über­wa­chung – ermög­licht wer­den.“

Grund­le­gend für die tech­ni­sche Ent­wick­lung ist die Archi­tek­tur des Systems: Die Kon­takt­da­ten wer­den zunächst nur auf den Smart­pho­nes der Nut­ze­rin­nen und Nut­zer gesam­melt. Die Fra­ge ist, ob Abgleich und Benach­rich­ti­gung der mög­li­cher­wei­se Betrof­fe­nen über einen zen­tra­len Ser­ver rea­li­siert wer­den oder ob der Abgleich dezen­tral in den Apps der Nut­ze­rin­nen und Nut­zer geschieht und nur die Nut­zen­den selbst das Ergeb­nis erfah­ren.

Die­ser Rich­tungs­streit „zen­tral – dezen­tral“ wur­de beson­ders deut­lich, als am 20.04.2020 Daten­schutz­for­sche­rin­nen und –for­scher aus aller Welt, von denen vie­le an ver­schie­de­nen Ent­wick­lungs­pro­jek­ten zu Con­ta­ct Tra­cing betei­ligt sind, ihre Bedin­gun­gen an ein sol­ches App-Design in einem offe­nen Brief for­mu­lier­ten: Ins­be­son­de­re dür­fe eine Con­ta­ct-Tra­cing-App nur dem Zweck die­nen, Kon­tak­te nach­zu­ver­fol­gen, und voll­stän­di­ge Trans­pa­renz und Daten­mi­ni­mie­rung sei­en zu gewähr­lei­sten. Sie beto­nen, dass bei meh­re­ren Gestal­tungs­op­tio­nen die­je­ni­ge zu wäh­len sei, die Daten­schutz am besten gewähr­lei­stet.

Am 21.04.2020 hat der Euro­päi­sche Daten­schutz­aus­schuss (EDSA), in dem die Daten­schutz­auf­sichts­be­hör­den von Bund und Län­dern – auch Han­sens Team – mit­ar­bei­ten, klar­ge­stellt, dass die Ein­hal­tung von daten­schutz­recht­li­chen Vor­ga­ben unver­zicht­bar ist. Dies ist nicht zuletzt des­halb wich­tig, um ein berech­tig­tes Ver­trau­en in der Bevöl­ke­rung her­stel­len zu kön­nen, das zwin­gen­de Vor­aus­set­zung für die Akzep­tanz einer frei­wil­li­gen Lösung ist. Es gehört zu den Auf­ga­ben der natio­na­len Gesetz­ge­ber, sicher­zu­stel­len, dass die­se Frei­wil­lig­keit auch tat­säch­lich besteht. Per­so­nen, die eine sol­che Anwen­dung nicht nut­zen wol­len oder kön­nen, dür­fen dadurch kei­ner­lei Nach­tei­le erlei­den Auch muss sicher­ge­stellt sein, dass eine Ver­ar­bei­tung nur für die im Vor­feld fest­ge­leg­ten Zwecken erfolgt. Wie bei allen ande­ren der­ar­ti­gen Maß­nah­men gilt auch hier, dass eine zeit­li­che Befri­stung not­wen­dig ist.

Weil ein App-Ein­satz mit hohen Risi­ken für die Rech­te und Frei­hei­ten betrof­fe­ner Per­so­nen ver­bun­den ist, muss zwin­gend eine Daten­schutz-Fol­gen­ab­schät­zung durch­ge­führt wer­den, deren Ver­öf­fent­li­chung der EDSA nach­drück­lich emp­fiehlt. Unter den zahl­rei­chen Bedin­gun­gen, die der EDSA auf­führt, fin­det sich eben­so wie bei den Daten­schutz­for­sche­rin­nen und –for­schern die For­de­rung nach wei­test­ge­hen­der Trans­pa­renz. Der Quell­code der Anwen­dung und des Backends müs­sen offen sein (Open Source); eben­so müs­sen die tech­ni­schen Spe­zi­fi­ka­tio­nen ver­öf­fent­licht wer­den, um eine Über­prü­fung zu ermög­li­chen.

Der EDSA hebt her­vor, dass das Prin­zip der Daten­mi­ni­mie­rung und das Prin­zip des Daten­schut­zes by Design sorg­fäl­tig zu berück­sich­ti­gen sind. Wie bereits in sei­nem Schrei­ben an die Euro­päi­sche Kom­mis­si­on am 14.04.2020 stellt der EDSA in die­sem Zusam­men­hang fest, dass der Grund­satz der Daten­mi­ni­mie­rung bei einem dezen­tra­len Ansatz bes­ser gewahrt wer­de.

Dies ist auch aus Han­sens Sicht wich­tig: „Es gilt, das Risi­ko einer Iden­ti­fi­zie­rung der betrof­fe­nen Per­so­nen zu mini­mie­ren – auch im Hin­blick auf unbe­fug­te Zugrif­fe, die bei zen­tra­len Infra­struk­tu­ren alle Teil­neh­men­den betref­fen wür­den. Das ent­spre­chen­de Know-how sowie trag­fä­hi­ge Kon­zep­te sind da. Die­se Früch­te teil­wei­se jah­re­lan­ger For­schungs­ar­beit jetzt nicht zu ern­ten und gera­de sol­che Kon­zep­te nicht zu berück­sich­ti­gen, die Daten­schutz durch aus­ge­feil­te Tech­nik in hohem Maße beför­dern, wäre ein gro­ßes Ver­säum­nis.“

Han­sen begrüßt die Trans­pa­renz der bis­he­ri­gen Arbei­ten der Daten­schutz­for­sche­rin­nen und –for­scher: „Durch die Offen­le­gung von Kon­zep­ten, die ehr­li­che Dis­kus­si­on von mög­li­chen Risi­ken und Gegen­maß­nah­men und die Bereit­stel­lung von Quell­code wird es den Daten­schutz­auf­sichts­be­hör­den und der inter­es­sier­ten Öffent­lich­keit ermög­licht, die Ergeb­nis­se zu über­prü­fen und wei­ter­zu­ent­wickeln. Wich­tig ist auch, dass nicht jeder im stil­len Käm­mer­lein an sei­ner eige­nen Lösung strickt, son­dern taug­li­che und daten­schutz­wah­ren­de Model­le welt­weit inter­ope­ra­bel funk­tio­nie­ren kön­nen. Die ersten Schrit­te dafür sind getan: Die ‚Daten­schutz by Design‘-Expertinnen und –Exper­ten ver­schie­de­ner Pro­jek­te haben sich zusam­men­ge­tan und koope­rie­ren im Sin­ne einer guten Gesamt­lö­sung mit ein­ge­bau­tem Daten­schutz.“

Auch vom deut­schen Gesund­heits­mi­ni­ste­ri­um wünscht sich Han­sen ein deut­li­ches Bekennt­nis zu ‚Daten­schutz by Design‘, Daten­mi­ni­mie­rung und maxi­ma­ler Trans­pa­renz.

Wei­ter­füh­ren­de Infor­ma­tio­nen:

Daten­schutz­for­sche­rin­nen und –for­scher zum Con­ta­ct Tra­cing:

Die Infor­ma­tio­nen der Lan­des­be­auf­trag­ten für Daten­schutz zu The­men der Coro­na-Pan­de­mie wer­den unter dem fol­gen­den Link bereit­ge­stellt und regel­mä­ßig aktua­li­siert:

https://​www​.daten​schutz​zen​trum​.de/​c​o​r​o​na/