Von Peter Schaar

In der Diskussion über die Maßnahmen zur Eindämmung der Coronapandemie gerät zunehmend der Datenschutz ins Visier. Ist die zweite Coronawelle und der weiterhin starke Anstieg der Infektionszahlen darauf zurückzuführen, dass in Deutschland – anders als in in einigen südostasiatischen Staaten – nicht sämtliche verfügbaren personenbezogenen Daten zusammengeführt und genutzt werden?

Eine Warnung möchte ich vorwegschicken: Elektronische Werkzeuge wie WarnApps können nur Puzzleteile der Pandemiebekämpfung sein, unabhängig davon, wie sie im einzelnen funktionieren. Entscheidend ist das Gesamtkonzept, in das sie eingebettet sind: Dazu gehören Regeln zur Kontaktvermeidung genauso wie sinnvolle Teststrategien und Hygienemaßnahmen.

Freiwilligkeit und Anonymität

Im Mittelpunkt der Kritik steht die Corona-WarnApp. Deutschland setzt auf die Freiwilligkeit der elektronischen Kontaktverfolgung. Die WarnApp ist so ausgestaltet, dass sie die mittels der bluetooth low energy (BLE) ermittelten Kontakte anonym und nur dezentral auf dem Smartphone erfasst und die Nutzer bei als gefährlich bewerteten Risikokontakten mit positiv getesteten Personen warnt. Es liegt in der Verantwortung der Smartphone-Nutzer, sich testen zu lassen. Die Testlabore sollen die Testergebnisse elektronisch an die WarnApp übertragen, soweit die Nutzer damit einverstanden sind.

Bisher haben etwa 23 Millionen Smartphone-Nutzer die WarnApp heruntergeladen. Dies sind zwar nur knapp die Hälfte der Besitzer entsprechend ausgestatteter Smartphones, aber deutlich mehr als in allen anderen europäischen Ländern. Die auf zentraler Speicherung beruhende französische Stop-Covid-App brachte es — trotz deutlich alarmierenderer Infektionszahlen — von Juni bis Mitte Oktober nur auf 2,5 Millionen Downloads. Die datenschutzfreundlichere zweite Version der App („TousAntiCovid“) wurde innerhalb eines Monats immerhin 4,5 Millionen Mal geladen. In Norwegen wurde die von der Regierung empfohlene „SmitteStop“ mit Erfassung der Standortdaten zwar zunächst 1,5 Millionen Mal geladen, jedoch kaum genutzt. Wegen der niedrigen Akzeptanz und wegen datenschutzrechtlicher Bedenken entschied sich die norwegische Regierung Ende September, SmitteStop zurückzuziehen und setzt seitdem auf dezentrale anonyme Kontaktverfolgung. Da inzwischen die meisten EU-Staaten diese Technik verwenden, können die Kontaktdaten auch bei Auslandsaufenthalten erfasst und ausgewertet werden.

Diese Erfahrungen zeigen, dass die Forderungen zu kurz greifen, durch zentrale, verpflichtende und datenschutzinvasive Techniken die Pandemie effektiv zu bekämpfen. Zudem führt die nähere Betrachtung der asiatisch-pazifischen Modellstaaten zu ernüchternden Ergebnissen: Der rigorose chinesische Weg einer lückenlosen Verhaltensüberwachung durch Zusammenschaltung von Kreditkartennutzung, Zahlungs- und Ortungsverfahren, elektronischer Gesichtserkennung und  Zugangskontrollsystemen und deren Durchsetzung mit militärisch-polizeilichen Mitteln wäre mit unseren Vorstellungen einer demokratisch-rechtsstaatlichen Gesellschaft nicht vereinbar. Dies gilt auch für die etwas weniger einschneidende südkoreanische Variante. Aber auch der Hinweis auf andere pazifische Staaten führt in die Irre, denn er blendet die Besonderheiten dieser Staaten aus: In Asien ist die Bereitschaft der Menschen, stets Maske zu tragen  und sich amtlichen Weisungen zu beugen, deutlich stärker ausgeprägt als in den westlichen Staaten. Neuseeland und Australien haben ihre Erfolge vor allem einer rigorosen Einreisesperre und äußerst harten Quarantäne-Regeln zu verdanken. Dies gilt auch für Taiwan, Süd-Korea und Japan. Anders als diese Staaten hat Deutschland eine Vielzahl von (durchlässigen) Außengrenzen.

Schließlich würde ein Umschwenken auf eine zentrale, überwachungsorientierte Technik bedeuten, dass auf die durch die Smartphone-Hersteller bereitgestellte Kontakt-Tracing Technik auf BLE-Basis verzichtet werden müsste. Dies hätte zur Konsequenz, dass ein effektives Kontakt-Tracing mit Apple-Geräten nicht mehr möglich wäre, da die Kontaktinformationen bei iPhones nur sporadisch ermittelt würden.

Was ist zu tun?

Angesichts der Forderungen nach Einschränkung eines „überzogenen“ Datenschutzes sollte nicht ausgeblendet werden, dass es eine Reihe von sinnvollen Ergänzungen der CoronaWarnApp gibt, die ohne nennenswerte Einschränkung des Datenschutzes realisiert werden könnten.

Dazu gehört etwa die Erkennung von Infektionsclustern und das Versenden entsprechender Warnungen an Nutzer, die sich zum Zeitpunkt eines Kontaktes mit einer positiv getesteten Person in deren Nähe aufgehalten haben (ohne dass es sich dabei um einen „Hochrisikokontakt“ gehandelt haben muss). Um ein solches Feature zu realisieren, wäre es lediglich erforderlich, die bereits vorhandenen, auf den Smartphones gespeicherten Daten anhand der Zeitstempel der Kontaktinformationen intelligenter auszuwerten.

Völlig unproblematisch und sehr sinnvoll wäre es, die WarnApp besser in die Test-Infrastrukturen einzubinden. Dazu gehört zum einen, dass endlich sämtliche Testlabors die Testergebnisse automatisiert an die WarnApp übermitteln können. Zudem könnten positiv getestete Nutzer mit Informationen versorgt werden, wo und wann sie sich testen lassen können. Ideal wäre es, dies mit einem Web-Basierten Terminmanagement zu koppeln.

Auf freiwilliger Basis geführte Kontakttagebücher, gegebenenfalls unter Einbeziehung von mittels QR – Code erfassten Aufenthaltsorten, würden die Kontaktverfolgung im Falle einer Positivtestung erleichtern.

Die über die WarnApp bereitgestellten Informationen und die von den Nutzern erbetenen Einwilligungen könnten besser strukturiert werden. Speziell sollte auf doppelte Einwilligungen in dieselben Sachverhalte verzichtet werden.

Schließlich sollten die Arbeiten zur Entwicklung an speziellen elektronischen Armbändern intensiviert werden, welche die Basisfunktionen der WarnApp bereitstellen, damit diejenigen, die kein teures und modernes Smartphone besitzen, sich am elektronischen Kontakttracing beteiligen könnten und über Hochrisikokontakte informiert werden.

Übernahme mit freundlicher Genehmigung des Autors. Dieser Beitrag ist erschienen auf: www.EAID.de

Über Gastautor:innen (*):

Unter der Kennung "Gastautor:innen" fassen wir die unterschiedlichsten Beiträge externer Quellen zusammen, die wir dankbar im Beueler-Extradienst (wieder-)veröffentlichen dürfen. Die Autor*innen, Quellen und ggf. Lizenzen sind, soweit bekannt, jeweils im Beitrag vermerkt und/oder verlinkt.