Die Bundesregierung hat sich bisher nicht konkret geäußert, ob und welche Tracking-App sie im Kampf gegen die Ausbreitung des SARS-CoV-2-Virus (Corona) einsetzen möchte. Momentan begrüßt die Bundesregierung die europäische Initiative PEPP-PT, an der auch das Robert-Koch-Institut (RKI) und Fraunhofer Heinrich-Hertz-Institut (HHI) beteiligt sind, prüft aber noch deren Einsatz und Tauglichkeit.
Die einzige konkrete Idee der Bundesregierung – von Bundesgesundheitsminister Spahn beschrieben – bezog sich auf Standortdaten der Telekommunikationsunternehmen. Sie war aus zwei Gründen problematisch:
- Eine solche Maßnahme stellt einen krassen Verstoß gegen Grundrechte dar und lässt Verhältnismäßigkeit und Rechtsgrundlage vermissen;
- Für das erklärte Ziel ist die Maßnahme komplett unnütz: Denn in einer Funkzelle können auch 200-300.000 Menschen gleichzeitig sein, ohne Angabe der Nähe zu einer bestimmten Person. Personen können durchaus auch 400 Meter entfernt sein – also ohne Infektionsgefahr. Eine Kontaktverfolgung ist so nicht möglich.
Diese Maßnahme wurde deshalb zu Recht aus dem Gesetzesentwurf zur Änderung des Infektionsschutzgesetz wieder entfernt.
Was sich aber mit Blick in andere Länder und die Vergangenheit sagen lässt: Etliche Länder nutzen solche Apps oder Handydaten, um Kontakte zu tracken oder sogar die Einhaltung von Quarantäne zu überwachen, manche verbinden das mit weiteren Daten wie Kameraüberwachung im öffentlichen Raum – die meisten dieser Ansätze sind weder mit dem deutschen Grundgesetz noch der europäischen DSGVO vereinbar.
Es wird (wie immer) auch in Deutschland jede Gelegenheit genutzt, Zugriff auf Daten zu bekommen, wenn der Widerstand in der Bevölkerung gerade sehr klein ist. Mal nimmt man dafür die Debatte zu Kinderpornographie, mal zu islamistischem Terror und jetzt die Angst vor der Pandemie. Wir werden uns gegen grund- und datenschutzrechtlich bedenkliche Ansätze stellen – das lässt sich aber auch verhindern, denn es gibt Community getriebene Ansätze, die sehr hohen Datenschutzanforderungen genügen, keinerlei personenbezogene Daten mit irgendwem teilen, auf vollständiger Freiwilligkeit basieren, und dennoch das Ziel erreichen können, potenziell Infizierte früher zu erkennen und Infektionsketten zu unterbrechen.
Eine solche App wird in Singapur verwendet, man könnte sie 1:1 in Deutschland einsetzen – oder eine der Apps, die nach gleichen Prinzipien in Deutschland gerade von der Open Source Community entwickelt werden. In Singapur wird allerdings zusätzlich die Handynummer erhoben, das ist aber nicht erforderlich und sollte in Deutschland nicht so gemacht werden.
Die diskutierten datenschutzfreundlichen Apps befürwortet auch der Bundesdatenschutzbeauftragte Ulrich Kelber und sie entsprechen der bisherigen Position der Fraktion DIE LINKE. zu netzpolitischen Fragen:
- Privacy by Design: keine Erhebung von Bewegungsprofilen, keine Weitergabe von Namen, Adressen, Telefonnummern, keine Weitergabe von personenbezogenen Gesundheitsdaten an Dritte, automatische Löschung vorhandener Daten nach wenigen Tagen (14 oder 21 Tage);
- Open Source;
- Gemeinwohlorientiert;
- Selbstbestimmt und freiwillige Nutzung.
Wie könnte eine solche App funktionieren, die unseren demokratischen und datenschutzrechtlichen Grundsätzen entspricht?
- Die App orientiert sich im Design an „TraceTogether“ aus Singapur (nur ohne Erhebung der Telefonnummer);
- Die App wird freiwillig runtergeladen;
- Die Bluetooth-Funktion am Handy wird angeschaltet;
- Bluetooth generiert häufig wechselnde Zufalls-IDs für sich selbst, die in einer Art Logbuch im eigenen Handy abgelegt werden;
- Wenn das eigene Gerät in der Nähe eines anderen Gerätes mit der gleichen App ist, werden die jeweiligen Zufalls-IDs ausgetauscht und auch in das Logbuch abgelegt;
- Im Logbuch steht also kein Ort, kein Name, keine Telefonnummer, sondern nur eine Zufallszahl (Bluetooth ID des eigenen und anderer Geräte) mit Zeitstempel;
Aus diesen Daten lassen sich zwei wesentliche Informationen ablesen: wie lange war ein Gerät in der Nähe und wie nah war es – denn nur das sind die relevanten Daten: wer war länger als 15 Minuten weniger als zwei Meter nah an einer infizierten Person dran.
Ist ein Mensch nachgewiesen mit SARS-CoV-2 infiziert, kann er (muss aber nicht) Kontakt mit dem Gesundheitsamt aufnehmen und Zugang zu Daten auf dem Logbuch im Smartphone ermöglichen. Dabei werden aber nicht alle Daten auf dem Logbuch übertragen, sondern nur die relevanten Daten – also nur Bluetooth-IDs (Zufallszahlen) von Geräten, die tatsächlich länger als 15 Minuten und weniger als zwei Meter in der Nähe waren.
Das Gesundheitsamt kann dann über eine Push-Funktion in der App eine Information schicken, die nur bei den Handys angezeigt wird, die in ihren Logbüchern die jeweiligen Zufalls-IDs als eigene ID gespeichert haben. Das Gesundheitsamt weiß also weiterhin nicht, wer diese Kontakte sind, wo sie leben, wie sie heißen, welche Telefonnummer sie haben. Diese Push-Nachricht sollte eine Warnung enthalten und eine Aufforderung, beispielsweise: „Sie hatten vor 3 Tagen Kontakt zu einer nachweislich mit SARS-CoV-2 (Corona) infizierten Person, bitte begeben Sie sich in häusliche Quarantäne, halten Sie sich insbesondere von gefährdeten Personen fern, und lassen sie sich testen, so wie sie Symptome verspüren, auch wenn diese leicht sind.“
Dieses Beispiel zeigt, dass es sehr wohl möglich ist, datenschutzsensible Tracking-Apps zu entwickeln, die durch hohe Akzeptanz und große Verbreitung stark dazu beitragen können, SARS-CoV-2-Infizierte noch in der Inkubationszeit zu erreichen, dadurch früher als bisher zu testen und Infektionsketten zeitig zu unterbrechen. Das kann Leben retten und unser Gesundheitssystem entlasten.
Eine App allein ist aber kein Selbstläufer, denn es müssen weitere Bedingungen erreicht werden, um den Einsatz effektiv und angemessen zu gestalten:
- Es muss ausreichend Testkapazität geben – bis hin zum Rechtsanspruch, dass jede:r, der eine solche Push-Nachricht vom Gesundheitsamt erhält, sich auch testen lassen kann – mindestens dann, wenn irgendwelche Symptome (auch leichte) auftreten;
- Diese Tests müssen selbstverständlich von der jeweiligen Krankenkasse übernommen werden;
- Es muss Rechtssicherheit für diejenigen geben, die der quasi behördlichen Push-Nachricht Folge leisten, sich in häusliche Quarantäne zu begeben. Diese Menschen dürfen also nicht durch Lohnausfall oder Kündigung oder ähnliches vom Arbeitgeber bestraft werden dürfen, wenn sie ihre Tätigkeit im Home Office nicht ausführen können;
- Man muss sich bei Bedarf und auf Wunsch bestätigen lassen können, dass man eine amtliche Aufforderung zur häuslichen Quarantäne erhalten hat, denn eine solche amtliche Aufforderung ist auch Voraussetzung für bestimmte Entschädigungszahlungen nach dem Infektionsschutzgesetz z.B. für Selbständige mit Einnahmeausfällen. Dafür müssen Prozesse entwickelt werden.
Alle anderen Varianten von Handy-Daten Tracking, die personenbezogene Daten erheben und unverhältnismäßig sind, lehnt die Fraktion DIE LINKE. ab, denn Grundrechte heißen schließlich Grundrechte, weil sie immer gelten, also auch in Krisenzeiten. Sie ohne Notwendigkeit aufzuweichen, wäre ein schäbiges Ausnutzen der Angst von Menschen und wird auf unseren heftigen Widerstand treffen.
Sinnvolle Vorschläge unterstützen wir jedoch aktiv. Auch wir wollen Menschenleben retten und wenn es geht auch mit Technologie, solange das ohne jeden Abstrich bei Grundrechten und Datenschutz möglich ist. Wichtig ist es jedoch, im Detail darauf zu achten, dass die oben skizzierten Anforderungen an solche Apps nicht unterlaufen werden und schlussendlich doch personenbezogene Daten erhoben werden oder gar in falsche Hände geraten. Ob die App der europäischen Initiative, die zur Zeit von der Bundesregierung auf Tauglichkeit getestet wird, tatsächlich in allen Details den beschriebenen Anforderungen an den Datenschutz entspricht, werden wir genau bewerten können, wenn sie konkret verfügbar ist.