Eine Kontaktnachverfolgung von möglichen Covid-19-Infizierten mit Handydaten muss nicht zu mehr Überwachung führen, sondern kann auch datenschutzfreundlich ausgestaltet werden. Johannes Abeler, Matthias Bäcker und Ulf Buermeyer skizzieren in einem Gastbeitrag einen grundrechtsfreundlichen Regelungsvorschlag zur aktuellen Debatte.
In einem rasch betriebenen Gesetzgebungsverfahren haben Bundestag und Bundesrat das „Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ verabschiedet. Das Gesetz schafft im Infektionsschutzgesetz weitreichende – und teilweise nicht unbedenkliche – Befugnisse des Bundesgesundheitsministeriums, um einer „epidemischen Lage von nationaler Tragweite“ zu begegnen.
Eine Regelung zur Abfrage von Funkzellen-Daten ist in dem verabschiedeten Gesetz hingegen nicht mehr enthalten. Die ursprünglich vorgesehene Regelung sollte den Gesundheitsbehörden ermöglichen, „zum Zwecke der Nachverfolgung von Kontaktpersonen“ „technische Mittel“ einzusetzen und von den Anbietern von Telekommunikationsdiensten Verkehrs- und Standortdaten herauszuverlangen. Die Begründung des Gesetzentwurfs verwies hierzu auf „internationale Erfahrungen“ etwa in Südkorea. Standortdaten von Mobilfunkgeräten könnten dazu genutzt werden, infizierte Personen und ihre Kontaktpersonen gezielt zu lokalisieren und zu informieren sowie Infektionsketten zu rekonstruieren.
Diese Regelung tritt nun vorerst nicht in Kraft, ist aber auch nicht endgültig vom Tisch. Nach der Verabschiedung des neuen Gesetzes im Bundestag betonte der Bundesgesundheitsminister in einer Pressekonferenz nochmals, die Bundesregierung wolle zur Kontaktnachverfolgung auf Handydaten zurückgreifen.
Epidemiologischer Hintergrund: Der Sinn schneller Kontaktnachverfolgung
Das erklärte Ziel der Bundesregierung ist, die Menschen, die mit Corona-infizierten Personen in Kontakt gekommen sind, möglichst rasch zu benachrichtigen, damit sie sich testen lassen und in Quarantäne begeben. Dieses Ziel ist aus epidemiologischer Sicht wohlbegründet. Eine schnelle Kontaktnachverfolgung ist eine zentrale Voraussetzung dafür, den gegenwärtigen Lockdown in absehbarer Zeit zu lockern.
Zwar gibt es noch viele Wissenslücken zu dem Coronavirus. Aber bisher deuten die Daten darauf hin, dass etwa die Hälfte aller Ansteckungen erfolgen, bevor typische Symptome wie Husten oder Fieber auftreten. Es reicht also nicht, Personen erst in Quarantäne zu schicken, wenn sie Symptome zeigen. Um die Infektionsketten zu durchbrechen, müsste man direkt nach einer Corona-Diagnose umgehend alle Personen kontaktieren, die sich in unmittelbarer Nähe der infizierten Person aufgehalten haben. Nach bisherigen Erkenntnissen besteht bei einem Aufenthalt im Umkreis von etwa 1,5 bis 2 Metern um eine infizierte Person ein besonders großes Risiko sich zu infizieren. Ließe sich feststellen, welche Menschen sich so nahe gekommen sind, könnte man frisch angesteckte, aber noch nicht symptomatische Personen finden und durch ihre Quarantäne verhindern, dass sie weitere Personen anstecken. Mathematische Modelle der Epidemie zeigen, dass eine schnelle Kontaktnachverfolgung, kombiniert mit einem großangelegten Virus-Test-Programm, die Epidemie nicht nur verzögern, sondern vollständig eindämmen könnte. Eine hinreichend schnelle Kontaktnachverfolgung ist allerdings analog nicht möglich, sondern nur digital erreichbar.
Von nutzlosen und gefährlichen Daten
Die vorerst zurückgestellte Regelung aus dem Gesetzentwurf zur Änderung des Infektionsschutzgesetzes trägt zu diesem sinnvollen Ziel jedoch nichts erkennbar Sinnvolles bei.
Es ist nicht nachvollziehbar, welchen Beitrag die Verkehrs- und Standortdaten, die die Gesundheitsbehörden bei den Anbietern von Telekommunikationsdiensten erheben können sollten, zur Kontaktnachverfolgung erbringen. Die Telekommunikationsunternehmen verfügen im Wesentlichen über zwei Kategorien von Daten: Funkzellendaten sowie Verkehrsdaten einzelner Telekommunikationsverbindungen. Mit Hilfe der Funkzellendaten lassen sich Mobiltelefone grob lokalisieren – allerdings viel zu ungenau, um tatsächlich Kontaktpersonen zu identifizieren, die sich mit einiger Wahrscheinlichkeit infiziert haben können: Funkzellen umfassen eine Fläche von mindestens mehreren tausend Quadratmetern, in ländlichen Gegenden sogar von mehreren Quadratkilometern. Über physische Kontakte, die ein Infektionsrisiko bergen, sagen sie daher kaum etwas aus. Würde man alle Personen warnen und unter Quarantäne stellen, die sich zu einem bestimmten Zeitpunkt in derselben Funkzelle wie eine infizierte Person aufgehalten haben, wäre in kürzester Zeit der allgemeine Lockdown annähernd wiederhergestellt. Die Daten über Telekommunikationsverbindungen wiederum ermöglichen etwa personen- und gruppenbezogene Aussagen über soziale Vernetzungen von Individuen, aber nicht unbedingt über physische Kontakte, auf die es für die Kontaktnachverfolgung ankommt.
Soweit die Entwurfsregelung einen Einsatz „technischer Mittel“ ermöglichen sollte, ist völlig unklar, um welche Mittel es sich handeln könnte und welche Daten mit ihnen erhoben werden sollen. Heikel ist daran, dass eine Kontaktnachverfolgung technisch auf unterschiedliche Weise realisiert werden kann und die verschiedenen technischen Modalitäten sehr unterschiedliche Datenschutzrisiken bergen. Eine seriöse verfassungsrechtliche Bewertung eines solchen gesetzlichen „Blankoschecks“ lässt sich daher kaum vornehmen. Die dadurch ermöglichten Eingriffe in Grundrechte könnten indes sehr weit reichen. So soll das in dem Gesetzentwurf als Vorbild hervorgehobene südkoreanische Modell auf der Verknüpfung einer Vielzahl von Datenquellen beruhen. Hierzu zählen neben Mobilfunkdaten auch Datenbestände von Kreditkartenunternehmen und Bilddaten von Videoüberwachungsanlagen. Zudem werden die früheren Aufenthaltsorte infizierter Personen veröffentlicht, was in mehreren Fällen zur Preisgabe sensibler (nicht krankheitsbezogener) Informationen über namentlich bestimmbare Personen führte. Zur Bekämpfung der Corona-Pandemie wird der dortigen Bevölkerung damit zugemutet, großflächige Datenerfassungen und erhebliche Risiken für ihre Privatsphäre hinzunehmen.
Eine datensparsame und epidemiologisch vorzugswürdige Alternative
Nun könnte man meinen, der Ausnahmefall der Corona-Krise rechtfertige auch extreme Gegenmaßnahmen. Immerhin geht es darum, Leben und Gesundheit einer großen Zahl von Menschen zu schützen. Zudem erscheinen die Eingriffe in den Datenschutz bei dem südkoreanischen System der Kontaktnachverfolgung weniger schwerwiegend als die weitreichenden Freiheitseinschränkungen und wirtschaftlichen Belastungen, die der gegenwärtige Lockdown mit sich bringt. Auch in existenziellen Gefährdungslagen gilt jedoch, dass von mehreren gleich geeigneten Mitteln zur Gefahrenabwehr dasjenige zu wählen ist, das am wenigsten intensiv in Grundrechte eingreift.
Nach unserer Überzeugung ist eine schnelle und effiziente Kontaktnachverfolgung möglich, ohne in einem zentralen Datenbestand eine riesige Menge sensibler Daten zu sammeln.
Ein System zur Kontaktnachverfolgung kann so gestaltet werden, dass die meisten benötigten Datenverarbeitungen nicht zentral, sondern lokal auf den Mobiltelefonen der Teilnehmer*innen stattfinden. Lediglich die Benachrichtigung im Infektionsfall müsste zentral veranlasst werden, und auch dabei könnten Daten verwendet werden, die eine Identifikation der Kontaktpersonen der infizierten Nutzerin durch die zentrale Benachrichtigungsstelle praktisch ausschließen. Das System käme zudem ohne die besonders sensiblen Standortdaten aus.
Als Vorbild eines datensparsamen Corona-Tracking-Systems kann dabei das App-Konzept der Regierung von Singapur dienen, das den Grundsatz Privacy by Design bereits weitgehend berücksichtigt und das wir hier mit einigen Modifikationen vorstellen.
Die zentrale Idee dabei ist einfach: Es ist egal, wo man in Kontakt mit einer infizierten Person gekommen ist. Ob im Bus oder am Arbeitsplatz, angehustet ist angehustet. Das heißt, dass man besonders sensible Daten wie GPS-, Funkzellen- oder andere Standortdaten nicht benötigt. Stattdessen ist allein entscheidend, dass sich zwei Menschen in infektionsgefährlicher Weise nahe gekommen sind. Dies wiederum kann man durch Verwendung der Technologie Bluetooth Low Energy feststellen, indem man festhält, welche anderen Handys sich in unmittelbarer physischer Nähe befinden. Der Nachteil von Bluetooth, dass es nur über wenige Meter Kontakt herstellen kann, wird hier zum Vorteil.
Konkret würde das Tracking so funktionieren: Möglichst viele Menschen installieren freiwillig eine App auf ihrem Handy. Die App generiert mit kryptographischen Mitteln alle halbe Stunde eine neue temporäre ID. Sobald ein anderes Handy mit der App in unmittelbarer Nähe ist, empfangen beide Handys die temporäre ID der jeweils anderen App-Installation und speichern sie. Diese Liste mit IDs anderer App-Installationen wird auf beiden Handys lokal und verschlüsselt gespeichert (siehe Abbildung 1). Sobald bei einem der App-User eine Coronavirus-Infektion diagnostiziert wird, bittet die diagnostizierende Ärztin den Nutzer, die lokal gespeicherten Daten an den zentralen Server zu übertragen (siehe Abbildung 2). Falls der Nutzer zustimmt, erfährt der zentrale Server, mit welchen anderen temporären IDs dieses Handy in Kontakt war. Der Server kann aus diesen IDs zwar nicht entschlüsseln, welche Menschen sich dahinter verbergen, er kann aber alle betroffenen Handys informieren. Diese Benachrichtigung kann dabei ganz ohne Ansehen der Personen verschickt werden, die die Handys nutzen. Denn um eine Nachricht auf dem Handy anzeigen zu können sind keinerlei personenbezogene Daten erforderlich. Es genügt vielmehr ein sogenanntes PushToken, gleichsam eine digitale Adresse des Handys, um eine Push-Nachricht auf das Gerät zu schicken. Dieses PushToken wird bei der Installation der App auf dem Handy generiert. Zugleich hinterlegt die App sowohl das PushToken als auch die temporären IDs, die sie im Laufe der Zeit aussendet, auf einem zentralen Server – in Deutschland beispielsweise beim Robert-Koch-Institut. Auf diese Weise können die Handys allein anhand von temporären IDs und PushTokens adressiert werden, ohne dass die Identität der Personen feststellbar wäre, die diese Handys bei sich tragen.
Wenn ein Handy also in der Nähe eines „infizierten“ Handys war, erhält der User des Handys einen Alarm, verbunden mit der Anweisung, sich umgehend in Quarantäne zu begeben. Die Person müsste sich dann noch mit ihrem lokalen Gesundheitsamt in Verbindung setzen, um einen schnellen Corona-Test zu veranlassen, damit sie entweder die Quarantäne verlassen kann oder damit ihre Kontaktpersonen informiert werden können (siehe Abbildung 2).
Im gesamten Prozess erfährt niemand die Identität der Kontaktpersonen: Nicht die Personen, mit denen die App-User in Kontakt waren, nicht das lokale Gesundheitsamt und nicht einmal der zentrale Server, da die App nicht mit einer Identität verbunden ist. Standortdaten werden zu keiner Zeit erhoben oder gespeichert.
Wie erwähnt ist dieses Konzept nicht unsere Idee – Singapur hat vor gut einer Woche eine ganz ähnliche App herausgebracht, und mehrere europäische Länder arbeiten an vergleichbaren Apps. Wir sind nicht mit allen Details der Singapurer App und der dort praktizierten Nachverfolgung von Kontakten einverstanden. So ist dort zum Beispiel jede App-Installation mit der Telefonnummer des Nutzers verbunden und somit identifizierbar, was nicht erforderlich und daher aus Gründen der Datensparsamkeit abzulehnen ist. Das grundsätzliche Konzept erscheint uns aber überzeugend. So eine App könnte eine Kontaktverfolgung deutlich wirksamer implementieren als ein System, das auf Funkzellendaten oder Standortdaten basiert, denn beide Kategorien von Daten erlauben keine Positionsbestimmung mit der erforderlichen Präzision von höchstens zwei Metern. Und gleichzeitig wäre ein solches Konzept datenschutzrechtlich einwandfrei.
Datensparsamkeit schafft Akzeptanz
Im Fall der Kontaktnachverfolgung dürfte, wie oben beschrieben, die datensparsame Lösung auch epidemiologisch effektiver sein, weil sie genauer als alle anderen vorgeschlagenen Lösungen erlaubt, tatsächlich festzustellen, wer sich auf 1,5 bis 2 Meter nahe gekommen ist. Zudem sind alle erfolgversprechenden Systeme zur digitalen Kontaktnachverfolgung mittels Mobilfunkdaten darauf angewiesen, dass die Nutzer*innen mitspielen, indem sie eine App installieren oder zumindest ihr Mobiltelefon mit sich führen. Die Wirksamkeit solcher Systeme hängt darum auch von der Akzeptanz in der Bevölkerung ab. Diese Akzeptanz dürfte sich durch eine datensparsame Lösung steigern lassen. Eine in der letzten Woche durchgeführte repräsentative Umfrage hat ergeben, dass 70% der Befragten eine solche App auf ihrem Mobiltelefon installieren würden (Disclosure: Diese Studie wird vom Mitautor Johannes Abeler geleitet). Der am häufigsten genannte Grund gegen eine Installation ist die Sorge, dass die App als Vorwand für eine stärkere Überwachung nach dem Ende der Epidemie genutzt werden könnte (siehe Abbildung 3). Wenn die Bundesregierung erreichen will, dass die App von vielen Menschen installiert wird, dann sollte sie diese Sorge ernst nehmen und auf das Tracking von Standortdaten oder Funkzellendaten verzichten. Technisch möglich ist es.
Fazit: Verhältnismäßigkeit statt Rhetorik vom Ausnahmezustand
In der jetzigen Krise müssen wir auf absehbare Zeit mehr und weitergehende Grundrechtseingriffe hinnehmen als wir es aus normaleren Zeiten gewohnt sind. Trotzdem gibt es keinen Grund, mit einem pauschalen “whatever it takes” den Ausnahmezustand auszurufen und hergebrachte rechtsstaatliche Schutzmechanismen über Bord zu werfen. Auch unter hohem Zeitdruck müssen möglichst freiheitliche und datensparsame Lösungen entwickelt werden. Dies gilt für den rechtlichen Rahmen des gegenwärtigen Lockdown ebenso wie für die Datenverarbeitungen, die dazu beitragen sollen, dass dieser Lockdown aufgehoben werden kann. Für die Kontaktnachverfolgung haben wir dies oben exemplarisch zu zeigen versucht. Es ist dabei durchaus denkbar, dass sich im Zuge der Krisenbewältigung neben der heute bereits absehbaren Notwendigkeit, Begegnungen von Menschen nachzuverfolgen, weitere Erkenntnisziele ergeben. Dann wäre zu untersuchen, welche weiteren Datenverarbeitungen erforderlich sind, um sie zu erreichen, und auf welche verzichtet werden kann.
Die Suche nach einer möglichst datensparsamen Lösung ist nicht nur ein Gebot des Grundrechtsschutzes. Sie wird vielfach sogar zur Effektivität und Effizienz des jeweiligen Datenverarbeitungssystems beitragen: Nur ein System, dem die Menschen vertrauen können, weil es sie nicht ausspäht und sie keinen Repressalien unterwirft, birgt das Potential für eine wirklich breite Unterstützung in der Bevölkerung. Die Bundesregierung muss die Menschen in Deutschland mitnehmen.
Johannes Abeler ist Associate Professor am Department of Economics der Universität Oxford und Tutorial Fellow am dortigen St. Anne’s College.
Matthias Bäcker ist Professor für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht an der Johannes Gutenberg-Universität Mainz.
Ulf Buermeyer ist ehrenamtlicher Vorsitzender der Gesellschaft für Freiheitsrechte e.V. (GFF) und im Hauptberuf Referent der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung des Landes Berlin, wo er ein Transparenz-System für Funkzellenabfragen entwickelt. Der Beitrag gibt nur seine persönliche Auffassung wieder.