Kriterien für die Gewährleistung begründeten Vertrauens in Tracing-Apps

Nachdem in einem offenen Brief netzpolitische Organisationen diesen Entwicklungspfad heftig kritisierten (vgl. Beitrag zum Richtungsstreit unter den Corona-App-Entwicklern) und die Technologieunternehmen Apple und Google auf einen dezentralisierten Ansatz setzen (vgl. Beitrag Contact-Tracing – Google und Apple als Heilsbringer?), ist nun auch die Bundesregierung in diese Richtung eingeschwenkt. Denn die meisten Expert*innen sind sich mittlerweile einig, dass nur eine dezentrale Lösung begründetes Vertrauen ermöglichen kann. An dieser Stelle ist es wichtig, den Verweis auf die Notwendigkeit der Etablierung begründeten Vertrauens ernst zu nehmen. Denn Vertrauen ist nicht gleich Vertrauen. Zwar suggeriert die öffentliche Debatte zuweilen, dass die Schaffung von Vertrauen vordergründig auf die Gewinnung möglichst vieler freiwilliger App-Nutzer*innen abzielt. Ob die Vertrauensinvestition von Nutzer*innen aber tatsächlich gerechtfertigt ist und Tracing-Technologien vertrauenswürdig sind, wird bei dieser Perspektive auf Vertrauen allerdings vielfach ausgeblendet. Für die Schaffung begründeten Vertrauens kommt es daher darauf an, dass die Vertrauenserwartungennachweislicherfüllt werden, die Nutzer*innen an eine Tracing-App adressieren. Dazu sind die folgenden Kriterien von Bedeutung:

• Erstens setzt begründetes Vertrauen voraus, dass App-Entwickler*innen Verantwortung für eine vertrauenswürdige Technikentwicklung und Risikoprävention übernehmen. Neben einer angemessenen Umsetzung von Datenschutzvorgaben kommt es darauf an, dass im Rahmen der App-Entwicklung Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO durchgeführt werden. DSFA sehen eine Dokumentation der geplanten Datenverarbeitungsvorgänge vor. Ziel ist die frühzeitige Ermittlung von möglichen Risiken und die Etablierung von Maßnahmen zu ihrer Verringerung. Die Bedeutung von DSFA für die Entwicklung von Tracing-Apps haben jüngst auch Expert*innen aus Informatik und Datenschutz hervorgehoben. Im Rahmen von DSFA müssen App-Entwickler*innen auch die Prävention von kollektiven Risiken von Tracing-Apps reflektieren, die (noch) nicht vom geltenden Datenschutzrecht berücksichtigt werden. So muss etwa ausgeschlossen werden, dass anonymisierte Daten dazu genutzt werden, um gesellschaftliche Risikogruppen zu bestimmen, die dann einer gesonderten Überwachung unterstehen oder denen der Zugang zu bestimmten gesellschaftlichen Leistungen verwehrt wird.
• Zweitens ist es geboten, dass die Umsetzung von Datenschutz- und Risikopräventionsmaßnahmen von unabhängigen Instanzen wie Datenschutzaufsichtsbehörden evaluiert wird. Da sich die Vertrauenswürdigkeit von Tracing-Technologien im Zeitverlauf bewähren muss, müssen Kontrollen auch nach der Einführung einer Tracing-App fortlaufend aktualisiert werden. Dabei darf es nicht nur um standardisierte Kontrollen bezüglich der Erfüllung der Mindestanforderungen des Datenschutzes gehen. Vielmehr sollten Hersteller*innen von Tracing-Apps im Rahmen von unabhängigen Kontrollen nachweisen, dass sie proaktiv Verantwortung zur Risikoprävention übernehmen und die Gestaltungsoption wählen, die Datenschutz am besten verwirklicht.
• Drittens bedarf es einer angemessenen Vermittlung von Risikobewertung und Risikomanagement. Im Rahmen der Risikobewertung geht es um die Frage, ob ein Risiko für die Bevölkerung als hoch oder niedrig einzuschätzen ist. Datenschutzrisiken sollten dabei für verschiedene Gestaltungsvorschläge für Tracing-Technologien bewertet werden. Die aktuelle Entwicklung zeigt, dass hierfür eine zentrale Instanz wichtig ist, die verschiedene IT-Projekte koordiniert. Wie der Vorsitzende der Gesellschaft für Freiheitsrechte Ulf Buermeyer in einem Interview des Deutschlandfunks argumentiert, macht der langwierige Streit um dezentrale und zentrale Datenspeicherung auf den Bedarf für eine solche Steuerungsinstanz aufmerksam. Neben Risiken für den Privatheitsschutz müssen aber auch Risiken evaluiert werden, welche die Pandemieentwicklung betreffen. Die Einbeziehung der Epidemiologie stellt sicher, dass Tracing-Apps einen tatsächlichen Beitrag zur Pandemiebekämpfung leisten und ist unerlässlich, um Empfehlungen zur Dauer der Anwendung von Tracing-Apps zu geben. Im Rahmen des Risikomanagements wird sodann entschieden, welche Risiken zu welchen Kosten vertretbar sind, welche Bevölkerungsgruppen besonderen Schutz benötigen und welche Maßnahmen zur Prävention von Gesundheitsrisiken angemessen sind. Für eine Corona-Tracing-App ist zu gewährleisten, dass Grundrechtsschutz und Pandemiebekämpfung möglichst nicht zu einem Zielkonflikt führen (##Blogeintrag: Verfassungsrechtliche Grundlagen##). Um eine faire Vermittlung von gesundheitlichen, politischen, ethischen und ökonomischen Wertgesichtspunkten zu ermöglichen, sind bei Entscheidungen des Risikomanagements verschiedene Stakeholder einzubeziehen. Wichtig ist hierbei, dass Risikobewertung und Risikomanagement unabhängig voneinander sind. So sollte eine wissenschaftliche Risikobewertung beispielsweise nicht von vornherein von ökonomischen Erwägungen beeinflusst sein.
• Viertens erfordert begründetes Vertrauen, dass Vertrauensverletzungen von unabhängigen Kontrollinstanzen aufgedeckt und sanktioniert werden. Die Mobilisierung von Sanktionen zeigt an, dass die institutionalisierten Vertrauenskontrollen funktionieren. Darüber hinaus schaffen Sanktionspotenziale Anreize zur Erfüllung von hohen Datenschutzstandards.
• Fünftens setzt Vertrauen eine angemessene Informierung verschiedener Akteur*innen voraus. Hierbei ist es zunächst unabdingbar, dass Nutzer*innen über die Vertrauenswürdigkeit von Tracing-Apps in Kenntnis gesetzt werden. Wirksame Zertifizierungsmaßnahmen, die im Anschluss an unabhängige Kontrollen vergeben werden, können hier eine wichtige Rolle spielen. Begründetes Vertrauen erfordert dabei auch die Möglichkeit des Entzugs unbegründeten Vertrauens. Daher müssen unabhängige Instanzen wie Aufsichtsbehörden Nutzer*innen frühzeitig über Vertrauensverletzungen informieren. Wie nicht zuletzt die Entscheidung für einen dezentralisierten Ansatz gezeigt hat, ist es für die Entwicklung einer vertrauenswürdigen Tracing-Technologie wichtig, dass auf die Kritik und Präferenzen von Nutzer*innen und netzpolitischen Akteur*innen eingegangen wird.

Diese Kriterien machen deutlich, dass begründetes Vertrauen auf eine Feinabstimmung unterschiedlicher Instrumente und Institutionen angewiesen ist. Sobald wichtige Kriterien zur Gewährleistung von Vertrauen vernachlässigt werden, kann die Vertrauenswürdigkeit sämtlicher technischer und regulativer Bemühungen in Zweifel gezogen werden. Wir möchten daher dafür plädieren, dass der Fokus auf die Gestaltung von Institutionen gerichtet wird, welche die Kriterien zur Gewährleistung begründeten Vertrauens berücksichtigen.