STOPCOVID: Reise einer umstrittenen Anwendung

STOPCOVID: Reise einer umstrittenen AnwendungEs vergeht kein Tag, an dem nicht in Frankreich wie auch anderswo die Frage der „Lockerung der Ausgangsbeschränkungen“ für die Bevölkerung im Zusammenhang mit der Rückverfolgung des Virus und der Personen, die es übertragen, aufgeworfen wird.

Jüngste Entwicklungen erwähnen die Erstellung einer Datei zur Verfolgung infizierter Personen, deren Details der CNIL zur Überprüfung vorgelegt werden.

Die Medien berichteten auch von einer Pattsituation zwischen GAFAM und der Regierung bei der Umsetzung der äußerst tugendhaften „StopCovid“-Anwendung.

Können wir uns angesichts der derzeitigen Aussetzung der parlamentarischen Debatten zu dieser Anwendung ein klares Bild von den Problemen und Auswirkungen einer solchen digitalen Überwachung machen?

Handelt es sich um eine Frage der nationalen Souveränität, eine Frage der Datenkontrolle oder, prosaischer ausgedrückt, um „einfache“ technische Entscheidungen?

Die Frage ist wichtig, weil sie nicht nur Frankreich betrifft, sondern die meisten europäischen Länder und andere Staaten, die versuchen, die Pandemie in den Griff zu bekommen.

Protokolle und ihre Auswirkungen auf die Datenverarbeitung

Das Projekt PEPP-PT (Privacy Preserving Proximity Tracing) sollte ursprünglich eine harmonisierte und rechtskonforme Entwicklung von Anwendungen in Europa ermöglichen.

Ziel ist es, eine Person über die Bluetooth-Technologie ihres Smartphones darüber zu informieren, dass sie Kontakt mit einer infizierten Person hatte, ohne deren Geolokalisierung zu erfassen.

Während PEPP-PT zunächst auf Zustimmung stieß, distanzierten sich mehrere hundert Wissenschaftler davon und sprachen sich in einem offenen Brief für ein Protokoll aus, das auf einem dezentralen Ansatz wie DP-3T (Decentralized Privacy Preserving Proximity Tracing) basiert, sodass die Daten lokal gespeichert bleiben: Dies würde bessere Garantien hinsichtlich der Datensicherheit und hinsichtlich der Risiken eines Datenmissbrauchs durch Dritte oder einer Verwendung für andere Zwecke bieten.

Wir sollten nicht vergessen, dass die lokale Speicherung von Daten ein Grundsatz der Verhältnismäßigkeit und des eingebauten Datenschutzes ist, der auch in anderen Zusammenhängen, beispielsweise bei der Verarbeitung biometrischer Daten, Anwendung findet.

Die CNIL hat zu diesem Thema eine klare Position, die insbesondere in ihrer Mitteilung zur Verwendung biometrischer Daten durch Smartphones oder am Arbeitsplatz zum Ausdruck kommt. 

Die von Google und Apple implementierten Tools wurden (insbesondere) mit dieser im DP-3T-Protokoll empfohlenen lokalen Speicherperspektive entwickelt, um eine übermäßige Nutzung der Daten von den Laptops der Benutzer zu verhindern.

Das Problem besteht darin, dass Frankreich (und zunächst auch Deutschland, das seine Meinung inzwischen geändert hat) eine Anwendung auf Basis des Robert-Protokolls (für ROBust und datenschutzfreundliches Proximity Tracing) entwickelt, die nicht mit den von Apple und Google vorgeschlagenen Funktionen und spezifischen Anforderungen in Bezug auf Bluetooth und Datenzentralisierung funktionieren kann (die Einzelheiten werden hier klar erläutert).

Dies bedeutet nicht automatisch, dass die französische Anwendung gegen Datenschutzgrundsätze verstößt: Es wurden Garantien (insbesondere hinsichtlich der Pseudonymisierung) gegeben, und die CNIL hat, obwohl sie einige Anmerkungen machte, eine positive Stellungnahme abgegeben.

Doch während Frankreich Vorkehrungen trifft, wie viele andere mehr oder weniger demokratische Länder würden die von Apple und Google angebotenen „à la carte“-Funktionen nutzen, um ihre Bevölkerung noch viel intensiver zu überwachen?

Dies erklärt – zum Teil – die Zurückhaltung der Internetgiganten und die derzeitige Sackgasse in der Situation.

Die Präsidentschaft des Europäischen Rates hat diesen Punkt auf die Tagesordnung ihrer Tagung am 5. Mai gesetzt, bei der die Telekommunikationsminister der EU versuchen werden, einen gemeinsamen Ansatz zu finden.

Der rechtliche Rahmen

Über diese technischen Aspekte hinaus wirft die Verwaltung von Kontaktdaten über diese Art von Anwendung allgemeine rechtliche Fragen auf: Lassen Sie uns von Anfang an klarstellen, dass die Daten nicht anonym, sondern pseudonymisiert sind, was zur Anwendung der DSGVO und der Grundsätze des Schutzes von Telekommunikationsdaten führt.

Neben der Freiwilligkeit der Nutzung der Anwendung darf der Staat derartige sensible Daten nur verarbeiten, wenn er hierzu durch eine spezielle Rechtsgrundlage ermächtigt ist.

Darüber hinaus muss die Transparenz der Verarbeitung gewährleistet, die Daten gesichert und ihre Löschung innerhalb strenger Fristen geplant werden.

Ob CNIL, EDPB (Gruppe der europäischen „CNILs“), der Europäische Datenschutzbeauftragte (EDSB) in seiner Anhörung im Senat am 27. April oder der Europarat – die Aufsichtsbehörden weisen darauf hin, dass kein System Schwachstellen und Risiken einer erneuten Identifizierung vollständig vermeiden kann, unabhängig davon, ob es sich um ein zentrales oder dezentrales System handelt.

Sie sind sich zwar einig, welche Vorsichtsmaßnahmen bei der Gestaltung und Nutzung von Anwendungen zu treffen sind, betonen aber vor allem den nicht trivialen Charakter dieser Art von Instrumenten und weisen auf das Risiko hin, dass Notsituationen länger andauern und sich die Bevölkerung an eine latente Überwachung gewöhnt. 

In diesem Sinne können wir Studierende anführen, die sich heute daran gewöhnen müssen, dass ihr Lehrer bei einer Online-Klausur regelmäßig Screenshots ihres Terminals macht, und die diese Art des Eindringens in anderen Kontexten möglicherweise als normal empfinden.

Es geht daher vor allem darum, der grundsätzlichen Frage nach der Notwendigkeit der Maßnahme, ihrer Wirkung und ihrer Verhältnismäßigkeit angesichts der Auswirkungen auf die Grundrechte Einzelner nicht auszuweichen.

Und außerdem:

• In Frankreich:

Neben einer beträchtlichen Anzahl von Praxisblätter zum Pandemiemanagement Im Kontext der wissenschaftlichen Forschung, der Arbeitsbeziehungen und der Verfolgung von Einzelpersonen hat die CNIL gerade eine öffentliche Konsultation zu den Rechten Minderjähriger im digitalen Umfeld. Dies ist bis zum 1. Juni 2020 geöffnet.

• Europa und International:

Der Europäische Datenschutzausschuss (EDSA)) wurden mehrere Dokumente verabschiedet, die Behörden und Unternehmen beim Datenmanagement im Kontext der Pandemie Orientierung bieten sollen: Der Schwerpunkt lag dabei insbesondere auf den Bedingungen für die Verarbeitung von Daten zu medizinischen Forschungszwecken, auf der internationalen Übermittlung dieser Daten sowie auf der Verfolgung und Lokalisierung über mobile Endgeräte.

Auf internationaler Ebene sind Dokumente aller Behörden auf der Website der Global Privacy Assembly verfügbar.

BEUC (Europäischer Verbraucherverband) hat am 21. April eine gemeinsame Aktion mit mehr als 40 Verbraucherrechts- und -freiheitsorganisationen hinsichtlich der weit verbreiteten Überwachung durch die Adtech-Branche und des digitalen Trackings angekündigt.

Belgien : Die Datenschutzbehörde hat eine 50.000 € Strafe wegen Verstoßes gegen den Grundsatz der Unabhängigkeit des Datenschutzbeauftragten : Die Streitkammer war daher der Ansicht, dass die Kumulierung dieser Funktion mit denen des Direktors der Abteilungen Risiko, Revision und Compliance einen Interessenkonflikt darstelle.

Niederlande: Die niederländische Aufsichtsbehörde verhängte Ende April ihre höchste Geldstrafe in Höhe von 725 000 €, gegen ein Unternehmen, das Fingerabdrücke seiner Mitarbeiter ohne wirkliche Begründung in Bezug auf die Sicherheit.

Anne Christine Lacoste

Die auf Datenschutzrecht spezialisierte Anwältin war Leiterin der Abteilung für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.

Im Zuge der Ausweitung der Telearbeit hat die Behörde zudem einen sehr detaillierten Vergleich der wichtigsten Videokonferenzsysteme hinsichtlich des Datenschutzes durchgeführt. Online ist nur die niederländische Version verfügbar, weshalb wir die inoffizielle englische Übersetzung vollständig beifügen (danke an Christopher Schmidt). Ergänzt werden sollte diese Liste auch durch die Tixeo-Lösung, die von der CNIL in ihren Empfehlungen zu Videokonferenzen erwähnt und von der ANSSI zertifiziert wurde.