Bereits ein Drittel der Welt befindet sich im Lockdown-Modus, um die Verbreitung des Coronavirus einzudämmen. Viele Regierungen prüfen nun technische Lösungen, um die aktuellen Ausgangsbeschränkungen langsam aufheben zu können. Das Nonplusultra scheinen sogenannte Contact-Tracing-Apps zu sein, die durch die Nutzung von Handy-Bewegungsdaten die Rückverfolgung von Infektionsketten ermöglichen. Werden solche Apps vor ihrer Einführung jedoch nicht mit größter Vorsicht geprüft, haben sie das Potenzial, die Zukunft des Datenschutzes und anderer Menschenrechte grundlegend zu verändern. Auch im Fall einer Pandemie dürfen wir Europa nicht blind für die Dauerüberwachung freigeben.

Die Richtlinien der Europäischen Kommission zum Contact Tracing, die vor kurzem veröffentlicht wurden, stellen einen ersten Schritt zur Vermeidung eines solchen Überwachungsszenarios dar.

Es gibt zwar einige beschränkte Ausnahmen für die Einhaltung der DSGVO in einer Gesundheitskrise, jedoch dürfen Staaten diese nicht als Freibrief für die Umgehung bestehender rechtlicher Vorschriften heranziehen.

Anna Bacciarelli, Researcherin bei Amnesty International für die Themen künstliche Intelligenz und Big Data

Teilen

• Twitter
• Facebook
• E-Mail

Die Richtlinien wurden von den EU-Staaten gemeinsam mit der Kommission erarbeitet und stellen einen Leitfaden für Mitgliedsstaaten dar, die neue Methoden der Datenerfassung in einer Gesundheitskrise erkunden möchten. Sie sollen daran erinnert werden, trotz allem ihren Verpflichtungen im Bereich der Menschenrechte nachzukommen.

Dieser „gemeinsame europäische Ansatz“, der gemeinsame Standards und Kontrolle vorsieht, könnte bei einer großräumigen Umsetzung Mobilität zwischen den EU-Mitgliedsstaaten fördern und so das Wirtschaftswachstum ankurbeln.

Unsere Rechte IN Krisenzeiten

Der Leitfaden bestätigt, dass sämtliche eingesetzten Apps DSGVO-konform sein müssen. Die EU-Datenschutzbeauftragten sind sich einig, dass diese Forderung nicht nur realistisch, sondern auch wirklich notwendig ist.

Es gibt zwar einige beschränkte Ausnahmen für die Einhaltung der DSGVO in einer Gesundheitskrise, jedoch dürfen Staaten diese nicht als Freibrief für die Umgehung bestehender rechtlicher Vorschriften heranziehen.

Die internationalen Menschenrechtsnormen sind nach wie vor gültig. Jegliche Überschreitung im Bereich Datenschutz muss gesetzeskonform, notwendig und angemessen sein. Amnesty International und über 100 andere Menschenrechtsgruppen haben einige Vorgaben definiert, an die sich Staaten halten müssen, wenn sie erhöhte digitale Überwachungsmaßnahmen im Namen der Pandemiebekämpfung einführen wollen.

Die EU-Richtlinien befürworten die Achtung der Menschenrechte und die Einhaltung bestimmter Prinzipien bei der Datenerfassung. Sie laden die Staaten zu einem sanften Ansatz ein und empfehlen die freiwillige Nutzung der Apps bzw. ihre rasche Einstellung nach dem Ende der Krise. Es bestehen jedoch viele Unklarheiten bezüglich der im Leitfaden enthaltenen Vorschläge, die die Alarmglocken schrillen lassen.

Dezentralisierte Apps für verbesserten Datenschutz

Die Richtlinien wurden mit einer pauschalen Empfehlung für dezentralisierte Contact-Tracing-Apps veröffentlicht – wie etwa jener, die aus einer Partnerschaft zwischen Apple und Google entsteht. Solche Apps geben Regierungsbehörden sehr reduzierten Zugang zu persönlichen Daten. Sie sind die richtige Wahl, wenn es um den Schutz der Privatsphäre oder andere Menschenrechte geht.

Diese Empfehlung wurde jedoch von Anhänger*innen des Privacy-First-Ansatzes umgehend kritisiert.

Die vorgeschlagenen Richtlinien stellen bloß einen Leitfaden dar und Contact-Tracing-Apps können in ihrem Funktionsumfang und -design stark variieren. Die Vorschläge scheinen manchmal jedoch Apps zu befürworten, die sich nicht nur mit einer zentralisierten Regierungsdatenbank verbinden, sondern auch mit einer gesamteuropäischen Datenbank.

Dies würde im Hinblick auf die Menschenrechte einen großen Schritt in die falsche Richtung darstellen. Solche Apps öffnen Staaten Tür und Tor, um auf eine gewaltige Menge an sensiblen Informationen zuzugreifen. Sie würden ihnen die Gelegenheit geben, vormals anonyme Daten nicht nur national, sondern international zuordenbar zu machen, was Regierungen umfangreiche Möglichkeiten zur Diskriminierung gibt.

Contact-Tracing-Apps müssen in ihrem Funktionsumfang deutlich beschränkt sein. Ihr Zweck und ihre Einschränkungen müssen klar definiert sein. Die Staaten haben sonst einen riesigen Spielraum, die Funktionsweise der Apps schleichend auszuweiten: Sie könnten bestimmte Daten zum Beispiel „nur für den Fall der Fälle“ sammeln oder versuchen, Informationen mit bestehenden Datenbanken abzugleichen.

Strenge Kontrollen, dezentral & Freiwillig

Jegliche Contact-Tracing-App muss regelmäßig strengen Kontrollen durch unabhängige Datenschutzbehörden unterzogen werden, um sicherzustellen, dass die Nutzung der Apps mit den Menschenrechten und Datenschutznormen und -standards konform ist.

Die Richtlinien sprechen stets von der freiwilligen Nutzung dieser Art von Apps, jedoch wird gleichzeitig erwähnt, dass solche Apps nur dann sinnvoll sind, wenn sie von mehr als der Hälfte der Bevölkerung der Mitgliedsstaaten verwendet werden.

Wir können nur hoffen, dass die Staaten diese Vorschläge als Indikator für die notwendigen Einschränkungen von Contact-Tracing-Apps sehen und nicht als Ermutigung, ihrer Bevölkerung solche Apps aufzuzwingen. Die in Südkorea eingesetzte Contact-Tracing-App wird als Beispiel für eine besonders gelungene Anwendung gehandelt. Im Zuge ihrer Nutzung geben die User*innen jedoch umfangreiche Datenmengen an die Regierung weiter, was aus der Perspektive der Menschenrechte besorgniserregend ist.

Die EU-Kommission muss klarstellen, dass zum Schutz der Menschenrechte sämtliche Contact-Tracing-Apps einen dezentralisierten Ansatz verfolgen müssen. Um dem Staat kein Übermaß an Daten zukommen zu lassen, müssen die Richtlinien explizit festlegen, welche Daten unter welchen Umständen weitergegeben werden, wo und wie diese gespeichert werden sowie welche Art der Datenerfassung nicht durchgeführt wird.

Die EU-Datenschutzbeauftragten haben nun immerhin etwas mehr Klarheit geschaffen, wie Contact-Tracing-Apps, die auf Datenerfassung basieren, aussehen sollen. Aber nehmen die Staaten die Richtlinien auch ernst? Der gemeinsame europäische Ansatz läuft nicht gerade nach Plan. Frankreich hat Apple gebeten, Datenschutzmaßnahmen auszusetzen, um eine zentralisierte App einführen zu können. Österreich und die Schweiz haben sich heute für dezentralisierte Modelle entschieden. 

Die Niederlande veranstalteten einen „App-athon“, bei dem mehrere Apps dieser Kategorie getestet wurden. Dabei wurde die Komplexität der Materie deutlich und die Behörden mussten nach Interventionen von Amnesty und anderen einsehen, dass mehr Zeit für die App-Entwicklung nötig ist.

Damit diese Art der Technologie eingeführt werden kann, muss die Öffentlichkeit wissen, dass ihre Nutzung in ihrem eigenen Interesse ist.

Wir müssen wissen, dass Entwickler*innen, Betreiber*innen und Prüfer*innen solcher Apps in unserem besten Interesse handeln und unsere Menschenrechte während und auch nach der Krise schützen wollen. Besonders in Notsituationen können wir nicht davon ausgehen, dass Staaten die richtigen Entscheidungen treffen – wir brauchen zu jedem Zeitpunkt
Transparenz.

Noch ist unklar in welchem Ausmaß Tracing-Apps Druck auf Gesundheitssysteme ausüben können. Sie stellen nur ein Werkzeug dar, dass Staaten in der Pandemiebekämpfung einsetzen können. Diese Apps müssen aber sorgfältig geprüft werden, mit all ihren Einschränkungen und Schwächen, und dürfen niemals eingeführt werden, wenn dies auf Kosten der Menschenrechte geschieht.

Anna Bacciarelli ist Researcherin bei Amnesty International für die Themen künstliche Intelligenz und Big Data.