27. Apr 2020, Marit Hansen
„Herzlichen Glückwunsch an euch Datenschützer!“ Huch? Wir Datenschützer werden meist nicht so nett begrüßt. Mein Bekannter erklärt es: Es geht um das Contact-Tracing bei der Coronavirus-Pandemie: Smartphones sollen per Bluetooth wechselnde IDs austauschen und sie lokal abspeichern. Stellt später einer der Beteiligten eine COVID-19-Infektion fest, kann er die Nahkontakte der letzten Zeit per App informieren.
Google und Apple haben sich zusammengetan und am 10.04.2020 angekündigt, gemeinsam Programmierschnittstellen (APIs) und Funktionalität auf Betriebssystemebene für ihre Plattformen bereitzustellen, die auf den meisten Mobilgeräten wie Smartphones oder Tablets im Einsatz sind. Datenschutz und Sicherheit werden, so haben die Internet-Riesen versprochen, „central to the design“ sein. Schon am 28.04.2020 sollen die Resultate der Öffentlichkeit vorgestellt werden.
Große Konzerne haben erkannt, dass Datenschutz ein Verkaufsargument ist
Und warum nun die Gratulation? „Na, wenn ihr nicht immer jahrelang bei den globalen Firmen mehr Datenschutz eingefordert hättet, wäre jetzt kaum von ‚Privacy by Design‘ die Rede.“ Über die letzten Jahre haben tatsächlich viele Unternehmen Datenschutzexpertinnen und –experten verschiedener Disziplinen angeheuert: um die Datenschutzanforderungen zu verstehen und umzusetzen, um an neuen Techniken zu forschen, sie weiterzuentwickeln und in den praktischen Einsatz zu bringen. Große Konzerne handeln nicht aus Altruismus, sondern im eigenen Geschäftsinteresse und aus dem Zweckmäßigkeitsgedanken heraus, dass für eine breite Verwendung ein gewisses Vertrauen in sie und in ihre Produkte nötig ist – und dabei spielt Datenschutz mittlerweile eine entscheidende Rolle.
In dem „Joint Statement on Contact Tracing“ vom 20.04.2020, das von mehr als 300 Datenschutzforscherinnen und -forschern unterschrieben wurde(siehe Beitrag „Richtungsstreit unter Tracing-App-Entwicklern“), gibt es sogar Applaus für Google und Apple: „To aid the development of contact tracing without a centrally controlled database that holds private information on individuals, Google and Apple are developing infrastructure to enable the required Bluetooth operations in a privacy protective manner. Teams building the privacy protective schemes fully support this effort as it simplifies—and thus speeds up—the ability to develop such Apps. We applaud this initiative and caution against collecting private information on users.“
Ob Datenschutz tatsächlich eingebaut wurde, kann man erst überprüfen, wenn alle Informationen vorliegen
Stimmt es denn überhaupt, dass hier Datenschutz vorbildlich eingebaut wird? Genau wird man dies erst überprüfen können, wenn die Detailinformationen vorliegen, aber die bisherigen Aussagen und Veröffentlichungen zu den Spezifikationen (Bluetooth, Verschlüsselung, API) klingen vielversprechend. Das „Exposure Notification System“ soll so funktionieren, dass temporäre Bluetooth-Kennungen der Nahkontakte auf dem eigenen Smartphone gesammelt und diese – ebenfalls nur auf dem eigenen Gerät – mit mindestens einmal täglich abgerufenen Kennungen zu festgestellten Infektionen abgeglichen werden. Google und Apple kündigen Folgendes an (FAQ 1.0 von April 2020):
Damit würden noch nicht automatisch alle Forderungen des Europäischen Datenschutzausschusses vom 21.04.2020 erfüllt, jedoch klingt dies nach einer geeigneten Basis für die Apps und deren Einsatz, für die die europäischen Datenschützer ihre Bedingungen formuliert haben („Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak“, vgl. auch Beitrag “Bedürfen Corona-Tracing-Apps einer gesetzlichen Grundlage?“).
Noch am 24.04.2020 hieß es vonseiten der Bundesregierung, dass die – zu dem Zeitpunkt anscheinend noch präferierte – Wahl der zentralen Architektur für eine Contact-Tracing-App ein Vertrauen in diejenige (staatliche) Stelle erfordere, die den zentralen Server pflegt. Beim dezentralen System müsse man dagegen Google und Apple vertrauen. Das klingt danach, als müsse man sich entscheiden: Vertrauen in den Staat oder Vertrauen in Google und Apple.
„Jeder, der sich für Google oder Apple entschieden hat, ist ein Stück weit von diesen Konzernen abhängig“
Die Wahrheit ist, dass jeder, der sich für eine Plattform von Google und Apple entschieden hat, damit ein Stück weit von diesen Konzernen abhängig ist. Dies zeigt sich beispielsweise daran, dass die Nutzenden in der Regel die eigenen App-Stores von Google oder Apple nutzen (müssen), um die Apps auf dem Smartphone zu verwalten. Abhängig ist man auch von Updates des Betriebssystems oder anderer zentraler technischer Funktionen, die essentiell dafür sind, dass gefundene Sicherheitslücken geschlossen werden, aber auch ein Vehikel zum Unterschieben unerwünschter Software darstellen könnten. Sinnvoll sind sicherlich Schritte weg von der Abhängigkeit und hin zu einer digitalen Souveränität – nur sieht die aktuelle Realität anders aus.
Egal, mit welchem Konzept ein Contact-Tracing umgesetzt wird: Wer das Betriebssystem beherrscht, kann sich prinzipiell Zugriffsmöglichkeiten verschaffen
Könnten Google und Apple prinzipiell an die Daten auf dem Smartphone herankommen? Definitiv ja: Es läge in ihrer Macht, ihre Systeme so zu bauen. Völlig egal, mit welchem Konzept ein Contact-Tracing umgesetzt wäre und ob es überhaupt verwendet wird. Hier ist die öffentliche Kontrolle wichtig: Wenn unbefugte Zugriffe oder ein anderweitiger Missbrauch der Technik durch einen der Konzerne bekannt würden, wäre dies nicht auf die leichte Schulter zu nehmen. Abgesehen davon, dass es sich um einen Datenschutzverstoß handelte, der vermutlich zu einem hohen Bußgeld führen würde, würden die User empfindlich reagieren und Firmen und Behörden diese Technik aus ihren Netzen verbannen.
Hoffnungsvoll stimmt das Versprechen, dass das System ausschließlich für das Contact-Tracing durch Apps der Gesundheitsbehörden verwendet werden soll (siehe Beitrag „Wofür sind GPS-Daten hilfreich und notwendig?“). Also nicht für andere Apps. Und nicht für Werbezwecke. Und erst recht nicht als Basis für etwaige eigene Geschäftsinteressen im Gesundheitsbereich!
Damit man Google und Apple gar nicht erst einen Missbrauch der Daten unterstellen kann, werden diese Unternehmen bei der Bluetooth-Contact-Tracing-Technik ein hohes Interesse daran haben, dass die Daten nicht bei ihnen landen. Sie werden also wohl keine Contact-Tracing-Server bereitstellen, sondern nur die Grundfunktionalität für Apps anbieten, bei denen andere – z.B. berechtigte staatliche Stellen wie Gesundheitsämter – besondere Rollen für ein Contact-Tracing wahrnehmen können, ohne dass die Kontaktlisten auf Server hochgeladen werden.
Auch Bluetooth hat seine Tücken
Werden die Lösungen zum Contact-Tracing den maximalen Datenschutz vorsehen? Das ist schon deswegen schwierig, weil Bluetooth an sich bei den Datenschützern keine Jubelstürme auslöst. Auch wenn viele Leute Bluetooth bequem finden und es gerne nutzen, ist die Funktionalität nicht gerade unter der Maxime Datenschutz und Sicherheit implementiert worden (zu Sicherheitsproblemen der letzten Jahre: BSI Broschüre „Drahtlose Kommunikation“, BSI Pressemitteilung zu Bluetooth von 2017, Beitrag „Bluetooth is bad and you should stop using it“, zu unerwünschtem Tracking siehe das White Paper „Tracking“ des Forum Privatheit).
Die gute Nachricht: Auch dies ist den Entwicklern im Bereich Contact-Tracing bewusst. Es gilt, die Datenschutz- und Sicherheitsrisiken bei der Verwendung von Bluetooth ausreichend einzudämmen.
Google und Apple in Regierungsfunktion?
Dennoch hört man Kritik: Wieso maßen sich Internet-Unternehmen an, in eigener Herrschaft über die Funktionalität ihrer marktdominierenden Plattformen zu bestimmen, die Auswirkungen auf staatliche Aufgaben haben können? Zumindest solche wichtigen Entscheidungen mit Bezug zu Infektionsschutz und Gefahrenabwehr müssten doch von jeder Regierung nach ausführlicher Diskussion im demokratischen Prozess getroffen werden –die dann von den Herstellern gehorsam umzusetzen wären. Oder – um eine kleinteilige Zersplitterung in Einzellösungen zu vermeiden – man beauftragt damit Standardisierungsgremien. Leider kostet dies viel Zeit, und auch dann ist nicht garantiert, dass alle rechtsstaatlichen Anforderungen und Wünsche – besonders die der Datenschützer – angemessen berücksichtigt wurden. So wird die nötige Diskussion im Schnellverfahren über soziale Medien und die Presse ausgetragen. Ein Blick hinter die Kulissen zeigt, dass der überwiegende Teil der Datenschutzbeauftragten in Europa nicht auf Augenhöhe in die Diskussionen der Regierungen einbezogen war oder gar um Rat gefragt wurde. In dieser Situation haben Google und Apple geliefert – und sich für ein Systemdesign entschieden, das ihren Nutzerinnen und Nutzern eine Kontrolle über ihre Daten auch in Ländern ermöglichen kann, in denen die Prinzipien von Demokratie oder Rechtsstaat nicht ausgeprägt sind. Deswegen der Applaus der Datenschutzforscherinnen und –forscher.
Ob aber auch künftige Design-Entscheidungen das Gemeinwohl in den Fokus nehmen? Nicht immer wird dies im Einklang mit den Geschäftsinteressen stehen – daher ist hier ein großes Fragezeichen angebracht. Aber: Google und Apple – eigentlich Konkurrenten im Mobilsektor – haben sich in einer weltweiten Notsituation zusammengetan und stimmen sich ab, damit ihre Systemänderungen als Basis für ein Contact-Tracing interoperabel funktionieren. Sie werden sich künftig gefallen lassen müssen, dass die Öffentlichkeit genauer hinschaut, wenn sie ihre Systeme verändern, und in besonderen Situationen auch einfordern wird, im Rahmen ihrer Möglichkeiten tätig zu werden. Ebenso darf die Zusammenarbeit beider Unternehmen, die zusammen praktisch den kompletten Markt der Smartphone-Betriebssysteme beherrschen, nicht dazu führen, dass anderen, etwa datenschutzfreundlicheren, Ansätzen der Marktzutritt verwehrt oder erschwert wäre.
Für welche Lösung man sich auch immer entscheidet: Das Datenschutzkonzept muss am Ende durch unabhängige Instanzen überprüft werden
Egal, wer solche wichtigen Konzepte, Spezifikationen und Implementierungen entwickelt, ist nicht nur eine Nachvollziehbarkeit (Stichworte: Open Specification, Open Source, Reproducible Builds) wichtig, sondern all dies muss auch wirklich durch unabhängige Instanzen überprüft werden. Dann können Datenschutzbehörden aus aller Welt ebenso wie die interessierte Öffentlichkeit feststellen, ob Datenschutz und Sicherheit eingebaut sind und damit eine ausreichende Vertrauenswürdigkeit gegeben ist.
Marit Hansen ist Landesbeauftragte für Datenschutz in Schleswig-Holstein und leitet das Unabhängige Landeszentrum für Datenschutz in Kiel. Sie ist Mitglied im vom Bundesministerium für Bildung und Forschung (BMBF) geförderten „Forum Privatheit”.
Corona-Apps: „Mir ist wichtig, dass viel offengelegt wird!“
[…] Contact-Tracing und Apple als Heilsbringer (Forum Privatheit vom 27.04.2020) […]
https://mensch-frau-nora.de/corona-apps-transparenz-datenschutz-marit-hansen/
Bezieht sich der Kommentar auf den Beitrag?
Denn darin steht etwas über “Vertrauenswürdigkeit”:
“Egal, wer solche wichtigen Konzepte, Spezifikationen und Implementierungen entwickelt, ist nicht nur eine Nachvollziehbarkeit (Stichworte: Open Specification, Open Source, Reproducible Builds) wichtig, sondern all dies muss auch wirklich durch unabhängige Instanzen überprüft werden.”
Das ist – mit Verlaub – weder eine fixe Idee, noch erschließen sich die Gründe für diese Aussage nur Datenschutzbeauftragten.
Aber zum Thema Vertrauen (ob auf Basis einer Vertrauenswürdigkeit oder nicht) finden Sie in diesem Blog weitere Beiträge 🙂
Mein Kommentar bezog sich teils auf den Beitrag, teils auf den Debattenverlauf insgesamt. Interessanterweise ist PEPP-PT zum Teil daran gescheitert, dass man anfangs den Mund zu voll genommen hat und im weiteren Verlauf aus mutmaßlich vernünftigen Gründen zurückruderte. Zugleich schoben sich mit Apple und Google Akteure als unumgehbar in den Vordergrund, die hierzulande nicht immer als uneingeschränkt vertrauenswürdig gelten. Jetzt stecken wir rhetorisch in der Klemme, denn ein spezifischer Ansatz steht als alternativlos und einzig potenziell vertrauenswürdig im Raum, der vom Handeln dieser Akteure bestimmt wird. Dass das nicht explodiert, liegt vielleicht nur daran, dass sich Apple und Google in der Vergangenheit aus Nutzersicht im Großen und Ganzen vertrauenswürdig verhalten haben.
Ich würde dabei auch nicht allzu strikt zwischen Vertrauen und Vertrauenswürdigkeit trennen. Letztlich muss sich jede Theorie der objektiven Vertrauenswürdigkeit an der Empirie des tatsächlich (nachhaltig) entgegengebrachten Vertrauens messen lassen. Unabhängige Überprüfungen können die Informationsbasis für fundierte Vertrauensentscheidungen stärken. Zwingend notwendig sind sie dazu jedoch nicht und individuelle Vertrauensentscheidungen können Fremdurteile auch ignorieren und übergehen.
Woher kommt eigentlich die fixe Idee, Datenschutz oder auch Open Source schaffe Vertrauen? Wir erleben doch täglich das Gegenteil, jedenfalls hinsichtlich des formalen europäischen Datenschutzes. So warnen Datenschutzbeauftragte zum Beispiel aus Gründen, die sich nur ihnen erschließen, vor Diensten wie WhatsApp, deren Programmcode auch nicht offenliegt, aber viele Menschen vertrauen diesen Diensten dennoch, und das wohl zu Recht. Umgekehrt ist mein Vertrauen in jede Form der automatisierten Kontaktverfolgung im Zuge des Zentral-vs-dezentral-Dramas in den Keller gefallen, weil ich viele Narzissten sah und wenig echte Anforderungsanalyse. Inzwischen glaube ich nicht einmal mehr daran, dass es überhaupt bald eine akzeptabel funktionierende App geben wird. Wir wissen ja schon von der Gesundheitstelematik und vom elektrischen Personalausweis, wie Regierungsprojekte enden, die den technischen Datenschutz in den Mittelpunkt rücken und darüber die Realität in Form der Nutzerinnen und Nutzer vergessen. Das versucht man jetzt offenbar erneut. Wir werden solche Pleiten so oft wiederholen, bis mal jemand versteht, dass kein Problem primär ein Datenschutzproblem ist und dass man Designprozesse nicht mit abhängigen Dimensionen des Entwurfsraums wie Datenschutz, Sicherheit, Performance usw. beginnen kann.