 |
# taz.de -- Corona und Datenschutz: Die falsche Erzählung |
|
|
|
> Für die Coronabekämpfung müssen wir auf Datenschutz verzichten, heißt es |
|
> oft. Doch das ist ein Kurzschluss: Man kann beides verbinden. |
|
|
 |
Bild: Friseurbesuch: nur mit Angabe von persönlichen Daten bei Terminbuchung u… |
|
|
|
Ein Friseurbesuch vor der Pandemie sah so aus: Hingehen, Haare schneiden |
|
lassen, zahlen, fertig. Wer dabei einen Salon ohne Terminbuchung wählte und |
|
die Summe in bar beglich, bekam eine neue Frisur ohne persönlichen Daten zu |
|
hinterlassen. |
|
|
|
Heute dagegen muss man einen Termin buchen, unter Angabe von Telefonnummer |
|
und/oder E-Mail-Adresse. [1][Beim Schnelltesttermin] muss man zudem auch |
|
noch Postadresse und Geburtsdatum angeben. Und außerdem noch den |
|
Personalausweis vorlegen, damit sich niemand den Test für eine andere |
|
Person organisieren kann. |
|
|
|
All diese Daten akkumulieren sich auf Servern, bei Cloud-Diensten oder auf |
|
unternehmenseigenen Rechnern. Wie lange sie dort liegen, wie sie geschützt |
|
und mit welchen anderen Daten verknüpft sind und ob eine auf Papier |
|
geführte Kontaktliste oder ein Ausdruck je einen Aktenvernichter von innen |
|
sehen wird – das ist für Betroffene kaum zu erkennen. |
|
|
|
In den vergangenen Monaten war in Sachen Datenschutz vor allem eine |
|
Erzählung vorherrschend: Der Schutz der Privatsphäre in Europa im |
|
Allgemeinen und in Deutschland im Speziellen schwäche die Bekämpfung der |
|
Pandemie. |
|
|
|
Doch wenn man genauer hinschaut, entpuppen sich die angeführten Argumente |
|
als haltlos. So würde etwa, um ein häufig bemühtes Beispiel zu nennen, eine |
|
Überwachung sämtlicher Bürger:innen per GPS oder Mobilfunkzellen |
|
keineswegs dazu führen, Infektionsketten schneller zu unterbrechen. Denn |
|
die damit gewonnenen Standortdaten wären zu ungenau. |
|
|
|
## Luft nach oben |
|
|
|
Und doch hat sich diese Erzählung durchgesetzt. Dabei ist das Problem eher |
|
umgekehrt. Diverse Maßnahmen im Rahmen der Pandemiebekämpfung führen zu |
|
einer Aushöhlung des Datenschutzes. Dabei bauen Datenschutz-Kritiker:innen |
|
gern Fallen, die dazu führen sollen, den Schutz der Privatsphäre und die |
|
Bekämpfung der Pandemie gegeneinander zu stellen. Dabei sollte die Frage |
|
doch lauten: Wie kann man beides so gut wie möglich miteinander |
|
vereinbaren? Da ist aktuell noch Luft viel nach oben. |
|
|
|
Erstes Beispiel: Schnelltests. Die Testzentren erheben bei der |
|
Terminbuchung oder Anmeldung in der Regel folgende Daten: Vor- und |
|
Nachname, Wohnadresse, E-Mail-Adresse, Telefonnummer und Geburtsdatum. Das |
|
ganze Paket also, und niemand scheint sich in den betroffenen Zentren mal |
|
gefragt zu haben, ob sie all diese Daten brauchen. |
|
|
|
Diese Frage wäre aber nicht nur sinnvoll, sondern auch Pflicht. So schreibt |
|
die europäische Datenschutzgrundverordnung in Artikel 5 den Grundsatz der |
|
Datensparsamkeit vor. Was also ist davon wirklich nötig? Die |
|
E-Mail-Adresse, um das Testergebnis zu schicken. Name und Geburtsdatum, um |
|
die Identität der getesteten Person zu verifizieren. Der Rest ist |
|
überflüssig. |
|
|
|
## Datensparsamkeit nutzt |
|
|
|
Zudem könnten die erhobenen Daten spätestens nach Ablauf der Gültigkeit des |
|
Tests, also 24 Stunden nach der Durchführung, gelöscht werden. Das in |
|
Kombination mit Datensparsamkeit hätte noch einen weiteren Vorteil: Ein |
|
Angriff oder ein Datenleck wären weniger gravierend. |
|
|
|
Das ist keine Theorie. Es gab schon Fälle, in denen Unbefugte auf die Daten |
|
aus Testzentren zugreifen konnten. Mitunter waren gleich mehrere Städte |
|
betroffen, in denen Zentren die gleiche Software einsetzten. Dabei wurden |
|
die Sicherheitslücken teilweise durch dilettantische Fehler verursacht. |
|
|
|
Zweites Beispiel: die Impfdokumentation. Ärzt:innen müssen Impfungen, |
|
genau wie andere Behandlungen, dokumentieren. Während ein Patient bei |
|
seiner Hausärztin zumindest davon ausgehen kann, dass die persönlichen |
|
Daten in der Praxis verbleiben, ist im Fall der Impfzentren in der Regel |
|
nicht erkennbar, was mit den eigenen Daten passiert. |
|
|
|
## Berlin – ein negatives Beispiel |
|
|
|
Mit schlechtem Beispiel voran geht hier etwa die Hauptstadt. Berlin hat |
|
nicht nur die Buchung der Termine an einen externen Anbieter ausgelagert |
|
(wie etwa auch Schleswig-Holstein an das Unternehmen Eventim), sondern auch |
|
die Dokumentation. Das betrifft beispielsweise die kompletten Anamnesebögen |
|
– inklusive Daten zu schweren und chronischen Vorerkrankungen oder |
|
Allergien. [2][Die landen über den Anbieter Doctolib auf Servern von AWS, |
|
Amazon Web Services.] |
|
|
|
Drittes Beispiel: Kontaktnachverfolgung. Hier ist in den vergangenen |
|
Monaten vor allem [3][die Luca-App negativ] aufgefallen. Die soll dazu |
|
dienen, die bislang nur teildigitalisierte Kontaktnachverfolung der |
|
Gesundheitsämter schneller zu machen. Ob die App für dieses Ziel taugt, ist |
|
schon angesichts von Konzeptionsfehlern fraglich. Dazu kommen zahlreiche |
|
Sicherheitslücken und Datenschutzverstöße. |
|
|
|
Dass dennoch diverse Kommunen und Bundesländer sie einsetzen wollen oder |
|
das bereits tun, hat – neben gutem Marketing der App-Unternehmer:innen – |
|
einen politischen Grund. Die Infektionsschutzverordnungen der Bundesländer |
|
sahen standardmäßig vor, bei dem Besuch eines Veranstaltungsorts oder |
|
Restaurants die persönlichen Daten von Besucher:innen erfasst werden |
|
müssen. |
|
|
|
## Es ist noch nicht vorbei |
|
|
|
Angelehnt war diese Vorschrift an die Bedürfnisse der Gesundheitsämter. |
|
Doch das lässt außer Acht, dass Kontaktnachverfolgung spätestens mit der |
|
Corona-Warn-App auch ohne die Angabe persönlicher Daten machbar ist. |
|
|
|
Diese Erkenntnis kommt jedoch erst langsam in den entsprechenden |
|
Landesverordnungen an. Die Folge ist: Es wurden Gelder ausgegeben und |
|
politische Weichen gestellt für die Nutzung einer mutmaßlich nicht legal |
|
nutzbaren, weil datenschutzverletztenden App. Diese Weichen – Stichwort |
|
Pfadabhängigkeit – werden wiederum die Grundlage dafür legen, dass |
|
weitaus mehr Datensammlungen entstehen werden, als für die |
|
Pandemiebekämpfung notwendig wäre. |
|
|
|
Die Pandemie wird nicht morgen vorbei sein. Die Maßnahmen, von Schnelltests |
|
bis zur Kontaktnachverfolgung, werden noch eine Weile erhalten bleiben. Um |
|
so wichtiger ist es, den Schutz der Privatsphäre mitzudenken. |
|
|
|
29 May 2021 |
|
|
|
## LINKS |
|
|
 |
[1] https://www.datenschutz-notizen.de/corona-schnelltests-in-schulen-datenschu… |
|
[2] https://www.datenschutz-notizen.de/datentransfer-zu-aws-in-den-usa-rechtmae… |
|
[3] https://praxistipps.chip.de/luca-app-kritik-datenschutz-so-sicher-ist-die-l… |
|
|
|
## AUTOREN |
|
|
|
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Coronavirus |
|
Datenschutz |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Datenschutz |
|
Datenschutz |
|
Schwerpunkt Coronavirus |
|
Schwerpunkt Coronavirus |
|
Michael Müller |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Neues Infektionsschutzgesetz: Nächstes Level für die Corona-App |
|
|
|
Das neue Infektionsschutzgesetz erlaubt es den Bundesländern, zur |
|
Kontaktverfolgung stärker auf eine datensparsame App zu setzen. |
|
|
|
Corona-App zur Kontakverfolgung: Klage gegen Luca-Lizenz abgelehnt |
|
|
|
Ein Konkurrent klagte gegen die Beschaffung der umstrittenen App. Nun |
|
urteilte das Gericht, der Kläger hätte die Ausschreibung eh nicht gewonnen. |
|
|
|
Sicherheitsmängel beim Schnelltest: Konsequent ungeschützt |
|
|
|
Datenschutz und Corona-Schnelltest gehen aktuell kaum zusammen. Das ist |
|
gefährlich. Wenn private Daten im Netz kursieren, droht |
|
Identitätsdiebstahl. |
|
|
|
Corona-Schnelltestzentren: Datenlecks bei Gesundheitsdiensten |
|
|
|
IT-Expert:innen entdecken Sicherheitslücken bei zwei Anbietern. |
|
Gesundheitsdaten und persönliche Daten könnten an Unbefugte gelangt sein. |
|
|
|
Big Brother Award für Online-Plattform: Negativpreis für Doctolib |
|
|
|
Der Datenschutzverein Digitalcourage zeichnet die Online-Plattform in der |
|
Kategorie Gesundheit aus. Es gebe zahlreiche Probleme mit der Transparenz. |
|
|
|
Tracking im Netz: Beschwerdewelle gegen Cookies |
|
|
|
Die Banner auf Webseiten sind selten legal. Datenschützer:innen gehen |
|
daher nun gegen mehrere hundert Unternehmen vor. |
|
|
|
Datenschutzexperte über die Luca-App: „Haufenweise Sicherheitslücken“ |
|
|
|
Bei der Kontaktverfolgungs-App Luca werden immer mehr Probleme deutlich. |
|
Der Datenschutzexperte Malte Engeler beschreibt die App als |
|
Überwachungssystem. |
|
|
|
Luca-App startet in Berlin: Konsum first, Datenschutz second |
|
|
|
Die App zur Kontaktverfolgung ist Ende der Woche in ganz Berlin |
|
einsatzbereit, sagt die Senatskanzlei. Dabei sind viele Datenschutzfragen |
|
ungeklärt. |
|
|
|
Diskussion über Luca-App in Berlin: Linke fordert Nachbesserungen |
|
|
|
In Berlin hat der Regierende die Luca-App offenbar im Alleingang bestellt. |
|
Die Linke kritisiert nun den mangelhaften Datenschutz. |
