Internationale Perspektiven zu automatisiertem Contact-Tracing

Zentrale und dezentrale Ansätze

Wie Pollyanna Sanderson (Future of Privacy Forum) erläuterte, existiert mittlerweile ein breites Spektrum von digitalen Ansätzen zur Corona-Bekämpfung, die hinsichtlich der Tiefe des Privatheitseingriffs erheblich variieren. Am „minimalen“ Ende des Spektrums liegen freiwillige, Bluetooth-basierte Apps mit dezentraler Datenspeicherung (wie etwa die deutsche Corona-Warn-App) die Nutzer nur über mögliche Kontakte mit Infizierten benachrichtigen sollen. Dieser Ansatz (und nur dieser) wird von der Apple/Google Schnittstelle unterstützt und scheint sich in Europa durchgesetzt zu haben. Am anderen Ende liegt der vor allem in Asien verfolgte „Maximal-Ansatz“. Hier werden vielfältige Daten (z.B. aus Funkzellen, Überwachungs-kameras, etc.) zwingend erhoben und zentral gespeichert und ausgewertet. Südkorea, dessen Ansatz Professor Haksoo Ko (Seoul National University) vorstellte, und Taiwan gelten als Paradebeispiele.

Interessant ist, dass Apple und Google trotz ihres Rufs als „Datenkraken“ letztlich den dezentralen, maximal datenschutz-freundlichen Ansatz unterstützten, trotz Protesten etwa der französischen und lettischen Regierungen. Sanderson vermutete, dass zwei Gründe hierfür ausschlaggebend gewesen sein dürften: zum einen der zunehmende Datenschutz-Druck, unter dem die Konzerne allgemein stehen; zum anderen, die (auch technisch begründete) Schwierigkeit, einmal programmierte Überwachungskapazitäten nur bestimmten und nicht allen Staaten zugängig zu machen (etwa Demokratien aber nicht Diktaturen). Gleichzeitig ist die Tatsache, dass Apple und Google – aufgrund ihrer Kontrolle über Schnittstellen und Betriebssysteme – hier Entscheidungen fällen, die eigentlich demokratischen Parlamenten zustehen, aus demokratietheoretischer Sicht mehr als problematisch.

Europäische Erfahrungen

Die europäische Debatte über Contact-Tracing Apps und der Wettlauf zwischen zentralen und dezentralen Ansätzen wurde von Dan Bogdanov (Cybernetica AS) nachgezeichnet. Er hob hervor, dass die meisten Staaten anfangs eine zentrale Lösung favorisierten. Dass sich schließlich die dezentrale, datenschutzfreundlichere Lösung durchsetzte, ginge dabei nicht nur auf Entscheidungen von Apple und Google zurück, sondern vor allem auch auf die Mobilisierung von Teilen der Zivilgesellschaft. Eine kritische Frage, die dies aufwirft, ist welche gesellschaftlichen Gruppen dabei Gehör fanden: überraschenderweise erfuhren Datenschutz-Bedenken relativ viel Aufmerksamkeit. Aber galt dies auch in ausreichendem Maße für die Anliegen von gesundheitlichen Risikogruppen oder sozial Schwachen?

Interessant in diesem Zusammenhang war die Anmerkung von Professor Teresa Scassa (University of Ottawa), dass Inklusion und soziale Gleichheit in der Debatte um Tracing Apps eher weniger Beachtung gefunden hatten. Dabei erfordert Zugang zur App ein Smartphone – das viele Menschen aber weiterhin nicht besitzen. Alternativen, etwa die Verteilung Bluetooth-fähiger Armbänder, wären aber trotzdem nicht im Gespräch.

Erhellend war auch die Diskussion um die Rolle der DSGVO und der Aufsichtsbehörden. Corona war ein „Stress-Test“ für Europas Gesetze und Institutionen, so Giuseppe D’Acquisto (GARANTE, ital. Datenschutzbehörde). Doch die DSGVO habe sich bewährt: Die Datenschutz-Grundsätze und das Prinzip des data protection by design and default waren keine Hindernisse sondern im Gegenteil Garanten für die Effektivität und Vertrauenswürdigkeit von Tracing-Apps.

Die Rolle der Aufsichtsbehörden

Dabei stellte sich die Frage nach der Rolle der Aufsichtsbehörden bei der App-Gestaltung. Inwiefern konnten oder sollten sie hier selbst „Hand anlegen“ wenn es bei der Gestaltung einerseits schnell gehen musste – andererseits verschiedene App-Modelle u.U. von den Behörden neutral geprüft und bewertet werden müssten?

Jill Clayton (Datenschutzbeauftragte der Provinz Alberta) betonte, es sei nicht ihre Aufgabe, Empfehlungen für bestimmte Apps auszusprechen, sondern lediglich diese auf ihre Gesetzeskonformität zu bewerten.

Ann Cavoukian (ehem. Datenschutzbeauftragte der Provinz Ontario) mahnte Pragmatik an. Dass Entwickler belastbare Orientierungshilfen bekämen sei wichtiger als das behördliche Neutralität „tadellos“ gewahrt bliebe. Wichtig wäre aber die Kommunikation klarer Bewertungskriterien. Zumindest letzterem stimmte auch D‘Acquisto zu: Die Behörden müssten „das erste und das letzte Wort haben“: Es gelte, klare Gestaltungsprinzipien zu artikulieren; Interpretationshilfe, was diese Regeln bedeuten, zu leisten; und schließlich eine neutrale Bewertung vorzunehmen, ob die Apps regelkonfom sind. Darüber hinaus aber sollten sich die Behörden nicht aktiv in die App-Gestaltung einbringen.

~~~~~~~~~~

[1] Das Canadian Anonymization Network CANON (https://deidentify.ca/) ist Zusammenschluss öffentlicher und privater Datenverarbeiter um Verfahren zur Datenanonymisierung weiterzuentwickeln.

[2] Videomittschnitte der Panels und die Folien der Referenten sind hier verfügbar.