Christof Tschohl

Die „Stopp Corona“-App des Österreichischen Roten Kreuzes - Erfahrungsbericht über ein DS-GVO-Leuchtturmprojekt


Ing. Dr. iur. Christof Tschohl ist wissenschaftlicher Leiter des Research Institute - Digital Human Rights Center in Wien.

ZD 2020, 329   Selten ist der Menschheit eine Phase des historischen Umbruchs so gegenwärtig wie dieser Tage. Seit das SARS-CoV-2 oder kurz Corona-Virus eine weltweite Pandemie ausgelöst hat, erleben wir Eingriffe in unsere Freiheit in einem dystopischen Ausmaß. Dennoch besteht weitgehend noch immer ein relativ breiter gesellschaftlicher Konsens über die Notwendigkeit und Angemessenheit der tiefgreifenden Maßnahmen zum Schutz der allgemeinen Gesundheit, wenngleich der öffentliche Diskurs allerorts an Intensität und Brisanz zunimmt. Die Grundrechte sind dabei die Pfeiler der Verfassung, um auch in außergewöhnlichen Situationen die unantastbare Würde und die Freiheit aller Menschen zu wahren.

Die Freiheit im Ausnahmezustand

Datenschutz wirkt dabei wie ein Katalysator für alle Grundrechte. Der risikobasierte Ansatz des europäischen Datenschutzrechts zwingt die Verantwortlichen dazu, den Kontext der Verarbeitung zu berücksichtigen und die bestehenden Risiken aus der Perspektive der Betroffenen zu bewerten. „Die Freiheit als Anspruch des Individuums und als Zustand einer Gesellschaft wird bestimmt von der Qualität der Informationsbeziehungen“, postuliert der ÖVfGH im Zentrum seiner Begründung zur Aufhebung der Vorratsdatenspeicherung in Österreich (ÖVfGH E. v. 27.6.2014 - G 47/2012-49 u.a.) in Folge der Nichtigerklärung der zu Grunde liegenden EU-Richtlinie durch den EuGH wegen Verletzung der GRCh (EuGH ZD 2014, 296 m. Anm. Petri - Digital Rights Ireland Ltd.). In diesem Verfahren stand seinerzeit der „Krieg gegen den Terror“ als erklärtes politisches Ziel im Fokus - ähnlich wie das Corona-Virus ein diffuser und allgegenwärtiger gemeinsamer Feind.

 

Technologie ist die Antwort ...

... auf dem Weg in eine „neue Freiheit“, die immer häufiger im Diskurs anzutreffen ist und großes Potenzial zur selbsterfüllenden Prophezeiung birgt. Der Big-Data-Ansatz setzt typischerweise auf multifunktionale technologiebasierte Instrumente, die ebenso der Rückverfolgung von Infektionsketten durch Gesundheitsbehörden (contact tracing) dienen wie der Durchsetzung von Beschränkungen. Die frühen Reaktionen von Staaten wie China oder Israel zeigten bereits die besorgniserregenden technologischen Möglichkeiten. Standortdaten der Mobilfunkanbieter (die zum sog. „contact tracing“ tatsächlich nicht geeignet sind) und vernetzte Videoüberwachung, in Echtzeit sowie auf Vorrat zur nachträglichen Informationsgewinnung, wurden als mächtige Waffe zur raschen Bekämpfung der Pandemie identifiziert und implementiert. Sollte der Zweck also doch die Mittel heiligen?

 

... aber was war nochmal die Frage?

Die Antwort hängt vom konkreten (!) Zweck und den zur Erfüllung gewählten Mitteln ab. Die Prinzipien des Datenschutzes (vgl. Art. 5 DS-GVO) verlangen, dass jede konkrete Datenverarbeitung nur im mildesten Ausmaß zur Erreichung eines legitimen und konkreten Zwecks erfolgt und hierfür auch tatsächlich geeignet und verhältnismäßig ist, wobei das Transparenzgebot auch die Differenzierung unterschiedlicher Sachverhalte fordert (vgl. insbesondere Art. 7 Abs. 2 DS-GVO). Das „contact tracing“ ist streng zu unterscheiden von einem freiwilligen und anonymen „Frühwarnsystem“ für bestätigte SARS-CoV-2-Infektionen. Besonders die Ausforschung von Personen via Mobilfunk-Standortdaten zur Überwachung der Ausgangsbeschränkungen konstituiert einen völlig anderen Sachverhalt. Das Datenschutzrecht schließt die Zulässigkeit nicht a priori aus, fordert aber in jedem Fall hohe Sachlichkeit, Sorgfalt und Transparenz als Grundlage der finalen rechtlichen Beurteilung.

 

Die österreichische „Stopp Corona“-App mit „eingebautem Datenschutz“

Mitte März 2020, während die Grenzkontrollen zwischen Deutschland und Österreich wieder eingerichtet wurden, erregte das Österreichische Rote Kreuz (OeRK) Aufmerksamkeit mit der Ankündigung einer App zur anonymisierten Verständigung zur raschen Unterbrechung der Infektionskette ohne jegliche Verarbeitung von Standortdaten. Die Idee erfuhr bald durch wissenschaftliche Untersuchungen der Universität Oxford zum Nutzen dieser Methode eine sachliche Bestätigung. Als Berater und zu dieser Zeit (temporär als Karenzvertretung) persönlich in der Rolle des Datenschutzbeauftragten des OeRK-Generalsekretariats war ich in die Konzeption der „Stopp Corona“-App eingebunden und mit meinem Team für eine DS-GVO-konforme Gestaltung zuständig. Den Weg beschreibt Art. 35 DS-GVO mit der obligatorischen Datenschutz-Folgenabschätzung (DSFA) in Verbindung mit dem Grundsatz „Datenschutz durch Technikgestaltung“ nach Art. 25 DS-GVO. Schon vor einer entsprechenden Empfehlung durch den EDSA Ende April 2020 hatten wir die Entscheidung umgesetzt, den DSFA-Bericht zu veröffentlichen und mit jeder neuen Version der App zu aktualisieren.

 

Vertrauen durch neue Maßstäbe

Die bloße Rechtmäßigkeit der „Stopp Corona“-App nach den Vorgaben der DS-GVO war nicht ausreichend. Auf Basis einer dezentralen Architektur sollte das gesamte System so gestaltet werden, dass weder der Regelbetrieb noch ein Fehler- oder Missbrauchsfall zur Verwirklichung von Risiken führen könnten, die das Vertrauen der Menschen in diese Anwendung nachhaltig erschüttern würden. Es ging also darum, ein Leuchtturmprojekt zu schaffen, das schon in der Überschrift mit dem höchsten Datenschutzniveau wirbt, anstatt das Thema mit dem Verweis auf das schwerwiegende Schutzgut der öffentlichen Gesundheit minimalistisch abzuhandeln und den Diskurs zu vermeiden. Es galt, sich jeder Kritik zu stellen, durch eine transparente Gestaltung das Vertrauen der Menschen zu gewinnen und damit möglichst viele zu einer freiwilligen Teilnahme zu motivieren.

Die DSFA behandelt dazu nicht nur individuelle Risiken, sondern insbesondere auch Fragen der gesellschaftlichen Auswirkungen und blickt sozusagen über den sprichwörtlichen Tellerrand hinaus. Dabei war immer vom schlimmsten Fall auszugehen, dass jemand -- etwa ein beauftragter Dienstleister oder der Verantwortliche selbst -- in unbefugter Weise z.B. Datenströme (Metadaten) aufzeichnet, die bestimmungsgemäß nur durchgeleitet werden sollten. Weit verbreitete Instrumente wie z.B. die Google Firebase Crashlytics Dienste oder reCPTCHA waren von vornherein tabu. An diesem Maßstab gemessen müssten wohl zahlreiche derzeit als vertrauenswürdig geltende Apps den Betrieb bis zur Reparatur sofort aussetzen ...

 

Beitrag zum europäischen Diskurs

Nach einem Stufenplan wurden daher bereits in der ersten Entwicklungsphase bekannt kritische Datenschutzaktivisten mit technischer Expertise eingeladen, schon vor der geplanten Veröffentlichung des (server- und client-seitigen) Quellcodes eine fundierte Codeanalyse durchzuführen. Ein gemeinsamer Bericht der bekannten Datenschutz-NGOs noyb.eu (von und mit Max Schrems) und epicenter.works sowie der Forschungseinrichtung SBA Research lieferte insgesamt 25 Empfehlungen für Verbesserungen, stellte aber die Rechtmäßigkeit des bisherigen Betriebs nicht in Frage. Die meisten Empfehlungen wurden innerhalb von zwei Tagen umgesetzt und der Quellcode sodann der Öffentlichkeit zur Verfügung gestellt. Offenbleiben mussten vorerst jene Kritikpunkte, deren Behebung einer Schnittstelle auf Ebene der Betriebssysteme Android bzw. iOS bedurfte. Dennoch ist die „Stopp Corona“-App des OeRK nunmehr die einzige laufende App dieser Art mit einem guten Datenschutzzeugnis nach fundierter externer Prüfung - und damit ein früher „proof of concept“ für eine datenschutzfreundliche und trotzdem rasche Lösung des Problems.

Besonders wichtig war für das OeRK eine klare Positionierung im prominenten Richtungsstreit zwischen dem dezentralen und dem zentralen Ansatz. Damit ist gemeint, ob es im Zuge eines „digitalen Handshake“ technisch notwendig ist, die Kontakte an einen zentralen Server zu kommunizieren, oder ob diese Vorgänge nur zwischen den Geräten „peer to peer“ stattfinden und lokal gespeichert werden. Letzteres entspricht dem Gebot der Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO), wenn es technisch zur Zweckerreichung umsetzbar ist. Eine fundierte Grundlage lieferten europäische Wissenschaftler i.R.d. Open-Source-Initiative DP-3T , die schon im März 2020 den Maßstab für den dezentralen Ansatz formte. Die paneuropäische Plattform PEPP-PT  war dagegen mit einem zentralen Ansatz auch in Deutschland bei einem hohen öffentlichen Druck der sachlichen Argumente dem dezentralen Modell unterlegen . Die Arbeit aus DP-3T prägte wesentlich die gemeinsame Entwicklung der Schnittstelle von Apple und Google für Contact-Tracing-Apps i.S.e. dezentralen Lösung. Ab Mitte Juni 2020 ist diese Schnittstelle auch in der OeRK-App umgesetzt und damit ein dezentrales Modell umgesetzt. Zur Validierung der Meldung einer Infektion ist allerdings weiterhin die Angabe einer Mobiltelefonnummer erforderlich. Eine einheitliche und zuverlässige Kodierung valider Testergebnisse seitens der Gesundheitsbehörden würde eine datenschutzfreundliche Lösung (z.B. durch QR-Codes) mit letzter Konsequenz ermöglichen.

 

Der Wesensgehalt der Freiheit

Der intensive öffentliche Diskurs über Datenschutz auf höchstem Niveau hat zwar zur Optimierung der App geführt, aber das Vertrauen der Menschen in Österreich eher gestört, sodass die App bis Redaktionsschluss bei etwas über 600.000 Nutzern (bei einer ca. 8 Mio. starken Bevölkerung) stagniert - und das obwohl die Lösung aus dem Ausland betrachtet als „best practice“ gilt . Wiederholte Andeutungen über eine mögliche Verpflichtung zur Nutzung der App aus den Reihen einer Regierungspartei waren sicher nicht hilfreich, obwohl das OeRK sich davon stets aktiv distanziert hat und nur ein freiwilliges Modell für zielführend hält. Ein engagierter zivilgesellschaftlicher Diskurs ist jedenfalls ein unabdingbares Element, wenn der Wesensgehalt der Freiheit in Europa unangetastet bleiben soll. Dass auch Massenmedien einen kritischen Diskurs ohne Marktschreierei sachlich wiedergeben, bleibt nicht nur im Datenschutz ein aufrichtiger Wunsch.