Dennis-Kenji Kipker

EAID: Digitalisierung in Pandemiezeiten: Besser mit (weniger) Datenschutz?


ZD-Aktuell 2021, 04438      Anlässlich des Europäischen Datenschutztags 2021 führte die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) am Abend des 1.2.2021 eine virtuelle Diskussionsveranstaltung durch, die vom Vorsitzenden der EAID und Bundesbeauftragten für den Datenschutz und die Informationsfreiheit a.D., Peter Schaar, moderiert wurde. Geladene Podiumsteilnehmer waren Prof. Dr. Thomas Petri, Bayerischer Landesbeauftragter für den Datenschutz, Prof. Dr. Katharina Zweig, Universität Kaiserslautern, Henning Tillmann, D64, Zentrum für digitalen Fortschritt in Berlin, Dr. Jasper Littmann, Norwegian Institute of Public Health in Oslo, und Dominik Wörner, Geschäftsführer der DarfIchRein GmbH, München.

Die Corona-Pandemie hat Homeoffice, Homeschooling und digitale Kommunikation in den Mittelpunkt des Interesses gerückt. Zugleich stellt sich die Frage, wie digitale Werkzeuge zur Eindämmung des Infektionsgeschehens und zur Organisation der gerade begonnenen Impfkampagne beitragen können. Die zunehmende Bedeutung digitaler Verfahren rückt auch den Datenschutz stärker in den Fokus des öffentlichen Interesses. Behindert er sinnvolle Lösungen oder trägt er umgekehrt dazu bei, dass neue Arbeits- und Kommunikationsformen akzeptiert werden?

Erster Sprecher des Abends war Petri, der den Datenschutz in der Pandemiebekämpfung in seinem Statement anhand zweier Beispiele illustrierte. So sei ein wichtiger Aspekt die Datenübermittlungspflicht an die GKV – hier zog er einen Vergleich mit Israel und argumentierte, dass es immer eine einfache Argumentation sei, den Datenschutz als übermäßige Einschränkung anzusehen. Als zweites Beispiel führte er das Homeschooling und die damit verbundene Frage der Datenschutzkonformität von Telekonferenz-Lösungen an. Hier sei es widersinnig, dem Lehrpersonal die Verantwortung dafür zu überantworten, dass bisher genutzte Anwendungen Schwachstellen im Datenschutz aufwiesen. Vielmehr sei es wichtig, für den Zeitraum, in dem innerhalb der Länder keine eigene Videokonferenzlösung zur Verfügung stehe, auf Einwilligungsbasis auf die technischen Lösungen von Drittanbietern zurückzugreifen. Falls keine Einwilligung der Erziehungsberechtigten zu erlangen sei, müsse diskriminierungsfrei ein qualitativ annähernd gleiches Bildungsangebot unterbreitet werden. Ein weiteres aktuelles Problem beim Homeschooling sei der Registrierungszwang mit Klarnamen: Unbefugte Dritte, die in den Unterricht gelangten, könnten so eine Vielzahl personenbezogener Daten abgreifen. Hier bestehe für den Bildungsträger eine Fürsorgepflicht gegenüber den Schülern.

Tillmann von D64 erläuterte sodann die Funktionsweise der aktuellen Corona-Warn-App und wies in dem Zusammenhang darauf hin, dass die Corona-App keine Wunderlösung sei – in diesem Sinne müsse auch vor einer übermäßigen Erwartungshaltung gewarnt werden. Bei der deutschen Corona-Warn-App handle es sich nur um einen Baustein in der Pandemiebekämpfung, und es werde mit viel Technikunverständnis über die App gesprochen. Mit Blick auf die technische Funktionsweise der App sei es überdies wichtig, die zentrale Rolle von Google und Apple zu verstehen, denn die App basiere mit ihrem dezentralen, serverunabhängigen Ansatz auf einem technischen Verfahren, das von diesen Softwarekonzernen bereitgestellt werde. Somit werde der Funktionskern des Programms nicht von SAP, der Telekom oder dem RKI bereitgestellt. Auch verschiedene andere Warn-Apps basierten auf dieser technischen Schnittstelle. Ein eigener Ansatz für eine Warn-App sei demgegenüber nur schwer realisierbar, weil man stets auf die technischen Gegebenheiten des Betriebssystems angewiesen sei. Deshalb habe sich mittlerweile auch Frankreich dazu entschieden, den eigenständigen App-Ansatz wieder zu verwerfen, nachdem die erste App nicht richtig funktionierte. Letztlich sei die deutsche Corona-Warn-App im Juni 2020 zwar gut gestartet, man habe es im Herbst jedoch verpasst, wichtige Erweiterungen rechtzeitig vorzunehmen, so z.B. das Kontakttagebuch und die Cluster-Erkennung, die insbesondere für die „zweite Welle“ wichtig gewesen wäre. Es gebe jedoch verschiedene technische Lösungen zur Cluster-Erkennung, ohne dabei den Datenschutz zu benachteiligen. Auch die Aussage, dass in Asien beim Corona-Tracing nicht auf den Datenschutz geachtet werde, entspreche nur der halben Wahrheit.

Dritte Panelteilnehmerin des Abends war Zweig von der Universität Kaiserslautern. Sie referierte in ihrem Eingangsstatement zur Frage, wie die KI zur Pandemiebekämpfung beitragen könne, und ob dies mit dem Datenschutz vereinbar sei. Dabei stellt sie dar, dass auch die technischen Möglichkeiten der KI nicht grenzenlos seien, und wies auf eine „Entzauberung“ des Themas hin. Bestes Beispiel sei in diesem Zusammenhang die öffentlich medienwirksam vermarktete Husten-Covid-App, die auf Studienergebnissen basierend verlässlich asymptomatisch Erkrankte erkennen soll. Problematisch sei in diesem Zusammenhang aber der Datensatz, der zum Erlernen der KI verwendet werde, denn die KI würde in einer Welt angelernt, die nur aus Erkrankten und Gesunden bestünde, aber keine anderen, auch chronischen Atemwegserkrankungen berücksichtige. Insoweit sei die Frage der tatsächlichen Funktionsfähigkeit dieser App kritisch zu sehen. Aus dieser Erkenntnis gehe hervor, dass die Datensätze begrenzt sind, und KI daher nicht beliebig kontextnah sein könne. Wesentliches Problem dabei sei, dass aus Daten der Vergangenheit ein statistisches Modell für menschliches Verhalten erstellt werden müsse. Die Entwicklung und Verwendung von KI müsse zudem immer in einem weiteren Kontext gesehen werden, zu dem auch die DS-GVO gehöre, und damit auch die Technikfolgenabschätzung als flankierende Maßnahme.

Littmann vom Norwegian Institute of Public Health gab einen Einblick in die Pandemiebekämpfung in Norwegen und die dazu eingesetzten digitalen Mittel. Grundsätzlich stelle sich dabei die Ausgangslage jedoch anders als in Deutschland dar, da Norwegen deutlich geringer von den Auswirkungen der Pandemie betroffen sei. Auch hätte das Land eine andere Herangehensweise beim Datenschutz und bei der Verwendung von digitalen Lösungen – sei aber dennoch als Mitglied des Europäischen Wirtschaftsraums den Anforderungen aus der DS-GVO verpflichtet. In Norwegen gebe es für nationale Gesundheitskrisen ein sog. „Bereitschaftsregister“, das die zeitnahe Kopplung aller nationalen Register ermögliche, die personenbezogene Daten enthalten. Hierzu gehöre auch die zentrale norwegische Personennummer. Hierdurch sei es möglich, nahezu sofort zentrale Aussagen zu treffen, z.B. mit Blick auf die Kontaktnachverfolgung, die Feststellung des Impffortschritts und die Information der Beteiligten. Außerdem gebe es bei der Vorfallsbearbeitung kaum Zeitversetzung. Die Kopplungen und Datenbestände würden nach Ende der Notlage sodann wieder gelöscht.

Wörner, Geschäftsführer der DarfIchRein GmbH, präsentierte abschließend ein neues digitales Produkt zur Erfassung von Kontaktdaten, das u.a. als Ergebnis aus dem Hackathon der Bundesregierung „WirVsVirus“ im vergangenen Jahr hervorgegangen ist. Das System, das ursprünglich zur Kontaktdatenerfassung für gastronomische Betriebe konzipiert war, werde mittlerweile an deutschlandweit insgesamt 3.400 Standorten eingesetzt, so auch in Gerichten, öffentlichen Einrichtungen wie Schwimmbädern, Museen und in zahlreichen anderen Branchen. Bisher seien über das Produkt insgesamt 2,4 Mio. sog. „Check-ins“, also Kontakteintragungen, erfolgt. Neue Features würden entwickelt, so z.B. für Personen ohne Smartphones oder für Szenarien an den Universitäten. Die App sei Auftragsverarbeiter und daher dem EU-Datenschutz verpflichtet. Wörner stellte in dem Zusammenhang das umfassende Datenschutz- und Datensicherheitskonzept der App vor. Zum Abschluss seines Vortrags präsentierte er mehrere Abschlussthesen, u.a. sollten die Corona-Verordnungen der Länder ein Gebot oder die Empfehlung zur Verwendung bestimmter digitaler Lösungen beinhalten, außerdem sollte der Datenfluss zu den Gesundheitsbehörden standardisiert und sicherer gemacht werden.

Dr. Dennis-Kenji Kipker ist Geschäftsführer der CERTAVO GmbH – international compliance management, wissenschaftlicher Geschäftsführer des IGMR an der Universität Bremen, Legal Advisor für den VDE e.V. – Abt. CERT@VDE – in Frankfurt/M. und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.