KoolKill

Soziale Medien: Warum Polizeibehörden nicht beliebig twittern dürfen

Soziale Medien: Warum Polizeibehörden nicht beliebig twittern dürfen

Friedrich Schmitt ist Jurist und wissenschaftlicher Mitarbeiter am Institut für Öffentliches Recht der Universität Freiburg. Dieser Artikel basiert auf einer im Jahrbuch Informationsfreiheit und Informationsrecht 2019 erschienen Untersuchung zur polizeilichen Öffentlichkeitsarbeit auf Twitter.

Friedrich Schmitt zum Auftreten der Behörden in Sozialen Netzwerken Alle Rechte vorbehalten Theresa Dilg

Wer im Internet nach der Polizei sucht, merkt schnell: Viele Polizeibehörden haben die sozialen Medien für sich und ihre Öffentlichkeitsarbeit entdeckt. Sie bedienen sich auf Twitter, Facebook und Instagram oft eines informellen Umgangstons und kommunizieren scheinbar auf Augenhöhe mit privaten Nutzer:innen. Aus der Perspektive des Verfassungsrechts hat polizeiliche Öffentlichkeitsarbeit aber nicht in erster Linie „locker“ oder „lustig“ zu sein. Polizeiliche Kommunikation muss vor allem rechtsstaatlichen Mindeststandards genügen, die Grundrechte achten und mit der Freiheit der öffentlichen Meinungsbildung vereinbar sein.

Polizeibehörden haben keine Meinungsfreiheit

Unter der Ordnung des Grundgesetzes ist der Einzelne grundsätzlich frei, seine Freiheit wird nur punktuell durch Ge- und Verbote beschränkt. Der Staat ist dagegen nie im eigentlichen Sinne „frei“, seine Befugnisse richten sich nach rechtlich festgelegten Kompetenzen und außerhalb dieser Kompetenzen dürfen staatliche Stellen – das heißt auch die Polizei – nicht tätig werden.

Im Gegensatz zu Individuen sind staatliche Stellen deshalb keine Träger von Grundrechten und haben insbesondere keine Meinungsfreiheit. Im Gegenteil: Der Staat ist an die Grundrechte gebunden, das heißt, er muss die Grundrechte der Bürger:innen achten und schützen. Polizeibehörden können sich in der Konsequenz nicht auf „ihre“ Meinungsfreiheit oder andere Grundrechte berufen, wenn sie sich im Rahmen ihrer Öffentlichkeitsarbeit beispielsweise auf Twitter äußern.

Öffentlichkeitsarbeit ist nur in den Grenzen der Kompetenzordnung zulässig

Nach der Rechtsprechung des Bundesverfassungsgerichts ist die staatliche Öffentlichkeitsarbeit gleichwohl „in Grenzen nicht nur verfassungsrechtlich zulässig, sondern auch notwendig“. Die Öffentlichkeitsarbeit – und dies schließt die Öffentlichkeitsarbeit in den sozialen Medien ein – ist deshalb das Recht und die Pflicht aller staatlichen Stellen, auch der Polizeibehörden.

Dieses Recht gilt allerdings nur in den Grenzen der gesetzlichen Kompetenzordnung: Das heißt, Polizeibehörden dürfen nur im Rahmen ihrer gesetzlichen Aufgabe, Gefahren für die öffentliche Sicherheit und Ordnung abzuwehren, Öffentlichkeitsarbeit betreiben. Außerhalb dieses – ohnehin weiten – Aufgabenkreises dürfen Polizeibehörden nicht handeln und folglich auch nicht kommunizieren. Praktisch bedeutet dies, dass sich Polizeibehörden keineswegs beliebig zu jedem Thema einlassen dürfen: Fotos von niedlichen Tieren gehören grundsätzlich nicht zum polizeilichen Aufgabenkreis.

Polizeibehörden müssen neutral, sachlich und richtig kommunizieren

Die polizeiliche Öffentlichkeitsarbeit unterliegt außerdem der staatlichen Pflicht zu neutraler, sachlicher und richtiger Kommunikation. Damit sind Grenzen für die polizeiliche Öffentlichkeitsarbeit verbunden.

Das Gebot staatlicher Neutralität wird in der Rechtsprechung des Bundesverfassungsgerichts vor allem als Gebot politischer Neutralität ausgelegt. Für Berufsbeamt:innen gilt grundsätzlich: „Beamtinnen und Beamte dienen dem ganzen Volk, nicht einer Partei. Sie haben ihre Aufgaben unparteiisch und gerecht zu erfüllen und ihr Amt zum Wohl der Allgemeinheit zu führen.“

Wenn also polizeiliche Twitter-Profile den Accounts politischer Parteien, von ausgewählten Glaubensgemeinschaften oder sonst eindeutig partikular engagierten Organisationen folgen, so verstößt dieses Verhalten gegen den Grundsatz der staatlichen Neutralität. Polizeibehörden dürfen sich im Rahmen ihrer Öffentlichkeitsarbeit – egal ob offline oder online – weder politisch noch religiös positionieren.

Nach dem Gebot der Sachlichkeit sind staatliche Informationen mit angemessener Zurückhaltung mitzuteilen. Nicht vereinbar mit diesem Grundsatz sind diffamierende oder verfälschende Darstellungen. Wenn sich die Polizei München unter dem Hashtag #WiesnWache dennoch eines lockeren Plaudertons und Kraftausdrücken bedient oder sich neuerdings über Menschen lustig macht, die sich nach der Reichweite von Beschränkungen aufgrund der Corona-Pandemie erkundigen, verstößt die Behörde deshalb gegen das Sachlichkeitsgebot.

Die Praxis polizeilicher Öffentlichkeitsarbeit zeigt, dass Social-Media-Aktivitäten für Verstöße gegen das Gebot der Richtigkeit anfällig sind. Polizeiliche Fehlinformationen bergen dabei Gefahren für den Prozess der freien und öffentlichen Meinungsbildung, der auf eine zutreffende Tatsachengrundlage angewiesen ist. Vertieft werden diese Gefahren durch den Umstand, dass die Öffentlichkeit staatlichen Informationen regelmäßig besondere Glaubwürdigkeit zuschreibt und deshalb ihr Vertrauen schenkt.

Konkrete Beispiele für polizeiliche Verstöße gegen das Gebot der Richtigkeit sind vor diesem Hintergrund eine (Falsch-)Meldung zu Molotowcocktails, die nie flogen, ein Tweet zu einem elektrischen Türknauf, der nicht mit dem Stromnetz verbunden war, oder die nur mutmaßende Zurechnung einer Straftat zu einer Demonstration. Kommt es zu polizeilichen Fehlinformationen, sind diese richtig zu stellen.

Polizeiliche Öffentlichkeitsarbeit darf nicht in Grundrechte eingreifen

Polizeibehörden müssen bei ihrer Öffentlichkeitsarbeit darüber hinaus die Grundrechte von möglicherweise betroffenen Personen achten. Insofern werden die Grundrechte vor allem praktisch relevant, wenn die Polizei in ihrer Öffentlichkeitsarbeit Versammlungen thematisiert oder kommentiert: Am Beispiel einer polizeilichen Fotoveröffentlichung, die eine Versammlung und dabei erkennbar einzelne Teilnehmer:innen abbildete, hat die jüngere Rechtsprechung zum einen erkannt, dass die damit verbundenen Grundrechtseingriffe rechtswidrig sind: Es gibt keine Befugnisnorm, die die Polizei zu Grundrechtseingriffen im Rahmen ihrer Öffentlichkeitsarbeit ermächtigt.

Zum anderen führt der Zweck „Öffentlichkeitsarbeit“ keineswegs zu einer Besserstellung der Polizei: Der mit den Veröffentlichungen verbundene „Abschreckungs- und Einschüchterungseffekt“ bleibt davon nicht nur unberührt, die Versammlungsteilnehmer:innen müssen in den Worten des Gerichts vielmehr „mit einem erheblich gesteigerten Verbreitungsgrad der Lichtbilder und einem entsprechend breiten […] Bekanntwerden ihrer Versammlungsteilnahme rechnen“.

Im Klartext bedeutet dies: Polizeibehörden dürfen Bildnisse von Versammlungsteilnehmern nicht für ihre Öffentlichkeitsarbeit bei Twitter (oder anderen sozialen Medien) veröffentlichen.

Missliebige Äußerungen erlauben keine Blockierungen

Enge Grenzen ziehen die Grundrechte im Übrigen, wenn Polizeibehörden einzelne Twitter-Profile blockieren. Zwar sind polizeiliche Stellen unstreitig dazu befugt, auf Grundlage ihres „virtuellen Hausrechts“ andere Nutzer:innen von ihren Profilen auszuschließen. Die Rechtsprechung hat aber mit Blick auf die Social-Media-Präsenzen öffentlich-rechtlicher Rundfunkanstalten Voraussetzungen für die Ausübung des „virtuellen Hausrechts“ entwickelt, die auch für Polizeibehörden gelten (dürften).

Die wesentliche Bedingung für Blockierungen sind danach „Störungen der Aufgabenwahrnehmung“. Welches Verhalten aber „stört“, richtet sich nicht maßgeblich nach der jeweiligen Netiquette, sondern ist in Übereinstimmung mit den Grundrechten zu bestimmen: Äußerungen, die von der Meinungsfreiheit geschützt werden, sind grundsätzlich keine „Störungen“, sondern die Ausübung verfassungsrechtlich gesicherter Freiheit. Dies gilt auch für überspitzte und missliebige Äußerungen – denn gerade die Kritik an staatlichen Stellen steht nach der gefestigten Rechtsprechung des Bundesverfassungsgerichts unter dem besonderen Schutz des Grundgesetzes.

Die Deutungshoheit über polizeiliches Handeln liegt bei der Gesellschaft

Die Öffentlichkeitsarbeit ist zwar das Recht und die Pflicht aller staatlichen Stellen. Es ist deshalb im Grundsatz nicht zu beanstanden, dass viele Polizeibehörden Gebrauch von den Möglichkeiten sozialer Medien machen. Dabei darf aber nicht aus dem Blick geraten, dass es sich bei der polizeilichen Öffentlichkeitsarbeit um die Ausübung hoheitlicher Gewalt handelt, die nur in den Grenzen des (Verfassungs-)Rechts zulässig ist und sich deshalb nicht „frei“ auf Twitter und Co. entfalten kann.

Wenn die scheinbar „auf Augenhöhe“ – tatsächlich aber von einer mit Hoheits- und Zwangsbefugnissen ausgestatteten Behörde – praktizierte Öffentlichkeitsarbeit der Polizei dabei auf die Erlangung der Deutungshoheit über polizeiliches Handeln zielt, so ist schließlich mit dem Bundesverfassungsgericht darauf hinzuweisen: In einer Demokratie muss sich die Willensbildung „vom Volk zu den Staatsorganen, nicht umgekehrt von den Staatsorganen zum Volk hin, vollziehen“. Mit anderen Worten: Die Berichterstattung und der Diskurs über polizeiliches Handeln sind gesellschaftliche Vorgänge, die die Polizei weder an sich ziehen noch steuern darf.

Die Polizeibehörden sollten sich deshalb auf die Erfüllung ihrer gesetzlichen Aufgaben beschränken und nicht zum Akteur im Prozess der öffentlichen Meinungsbildung aufschwingen.

Contact-Tracing-Apps: Kritik an Datenschutzfolgenabschätzung für die Corona-Warn-App

Contact-Tracing-Apps: Kritik an Datenschutzfolgenabschätzung für die Corona-Warn-App

Kirsten Bock, Christian Ricardo Kühne, Rainer Mühlhoff, Měto Ost, Jörg Pohle und Rainer Rehak engagieren sich im Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF).

Am 16. Juni war es endlich soweit, in ganz Deutschland und auch darüber hinaus blickte man auf die nun veröffentlichte Corona-Warn-App. Nach wochenlanger Diskussion um Nutzen, Technik und Architektur konnte sie endlich installiert und genutzt werden, was Stand heute bereits über vierzehn Millionen Mal getan wurde. Die halbe Welt berichtete über den deutschen Erfolg bei der digital-automatisierten Kontaktverfolgung.

Aber wie so oft ist nicht alles Gold, was glänzt, und nicht jeder kennt den Unterschied zwischen Datenschutz und IT-Sicherheit. Das FIfF hat daher heute eine Analyse samt konstruktiver Anmerkungen und Vorschläge zur offiziellen Datenschutzfolgenabschätzung (DSFA) für die im internationalen Vergleich sehr populäre Corona-Warn-App veröffentlicht. Darin spart das FIfF nicht mit grundsätzlicher und konkreter Datenschutz-Kritik, verteilt aber auch Lob für den gesamten Entwicklungsprozess.

Der Gastbeitrag erklärt den Sinn und Zweck einer DSFA und erläutert auch, welche nach wie vor gültigen Ergebnisse eine eigene DSFA, die das FIfF bereits im April veröffentlichte, erbracht hat. Eine DSFA ist dabei keine Fingerübung im akademischen Diskurs, sondern eine notwendige und gesetzliche Anforderung an Datenprojekte, die Informationen von Menschen verarbeiten – denn Datenschutz ist Grundrechtsschutz.

Eine ausführlichere Auseinandersetzung mit der Datenschutzfolgenabschätzung folgt im Laufe der Woche in Form eines Interviews mit Kirsten Bock.

Datenschutzfragen dezentraler Corona-Tracing-Apps

„Es geht nicht um Privatsphäre, sondern es geht darum, eine Technik sozial beherrschbar zu machen.“

Wilhelm Steinmüller (1934–2013)

Gesellschaftliche Implikationen durch Datenschutzfolgenabschätzungen diskutierbar machen

Mehrere Wochen kreiste die Diskussion zur die Eindämmung der Corona-Pandemie um den Einsatz technischer Hilfsmittel, insbesondere von sogenannten Corona-Tracing-Apps. Diese sollen automatisiert die epidemiologisch relevanten Kontaktereignisse von Nutzerïnnen aufzeichnen und es so erlauben, im Infektionsfall zeitnah und rückwirkend die exponierten Kontaktpersonen warnen und isolieren zu können. Bislang wird das sogenannte Contact-Tracing manuell von Mitarbeiterïnnen der Gesundheitsbehörden vollzogen, also etwa anhand der Erinnerung der Infizierten und anschließender Warnung per Telefon. In einigen Ländern, zum Beispiel China, werden auch weitere Informationsquellen genutzt wie beispielsweise Kreditkartendaten oder Reiseinformationen. Diese mühsame Arbeit kann, so die Vision, durch den Einsatz von Apps wesentlich beschleunigt werden.

Auch wenn die konkrete Tauglichkeit einer solchen App für diesen Zweck sowohl epidemiologisch als auch technisch noch umstritten ist und die Gefahr einer grundsätzlichen gesellschaftlichen Gewöhnung an Contact-Tracing besteht, soll es an dieser Stelle nicht um ein generelles „Ob“, sondern ein „Wie“ einer solchen App gehen. Denn erst bei der Betrachtung der konkreten technischen Umsetzung lassen sich individuelle und gesellschaftliche Konsequenzen analysieren. Die Erkenntnisse können dann wiederum in Form von Anforderungen zurück in die konkrete Ausgestaltung des Verfahrens fließen.

Datenschutz und seine Verankerung in der Gesetzgebung ist ein Garant der Grundrechte und Grundfreiheiten im digitalen Zeitalter. Er bezieht sich nicht nur auf individuelle, sondern auch auf kollektive Rechte. Datenschutz hält die funktionale Differenzierung moderner Gesellschaften aufrecht, indem er strukturelle Machtasymmetrien problematisiert und somit gesellschaftliche Grundfunktionen absichert.

Im Unterschied zu Fragen der IT-Sicherheit geht es dem Datenschutz weniger um externe Angriffe auf Systeme und Daten, sondern um Grundrechtseinschränkungen durch die Datenverarbeitung selbst. Im Fokus steht deshalb nicht primär die „Privatheit“ des einzelnen Datensubjekts, sondern die gesamtgesellschaftlichen, strukturellen Auswirkungen und Machteffekte einer Datenverarbeitung. Eine Datenschutzanalyse geht somit prinzipiell von der verarbeitenden Organisation als der primären Risikoquelle aus, um den Blick von dort schließlich auch auf Plattformen, Dienstleisterïnnen, Nutzerïnnen und externe Dritte zu richten.

Datenschutzfolgenabschätzung

Auch wenn die technischen Eigenschaften der Tracing-Apps, darunter sogar ihre genaue Zweckbestimmung, noch nicht abschließend ausgehandelt sind, müssen die datenschutz- und somit grundrechtsrelevanten Folgen dieses Vorhabens nach wie vor detailliert diskutiert werden. Für diese Art der Analyse gibt es in der DSGVO das Instrument der Datenschutzfolgenabschätzung. Dort heißt es in Art. 35 DSGVO:

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Für das methodische Vorgehen im Rahmen einer DSFA gibt es unterschiedliche Ansätze. In Deutschland wird dafür von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder das von ihr ausgearbeitete „Standard-Datenschutzmodell” (SDM) empfohlen, an dem auch wir uns im Folgenden orientieren. Dieses verlangt zunächst eine Schwellwertanalyse, um zu klären, inwiefern eine DSFA für ein gegebenes Datenverarbeitungssystem nicht nur gesellschaftlich wünschenswert, sondern auch datenschutzrechtlich gefordert ist. Weil mit den Contact-Tracing-Apps sowohl eine neuartige Technologie als auch personenbezogene Daten in großem Umfang und im Infektionsfall sogar medizinische Daten verarbeitet werden, ist dies hier unzweifelhaft der Fall.

Trotzdem hatte noch bis Ende April keine verantwortliche Stelle eine DSFA für eine der in Deutschland diskutierten Apps vorgelegt. Um die gebotene Aufmerksamkeit auf dieses Thema zu legen, haben wir im April kurzerhand eine Muster-DSFA zur Corona-App erarbeitet und in die öffentliche Diskussion eingebracht.

Im ersten Schritt wird der Zweck des gesamten Datenverarbeitungsverfahrens definiert, in diesem Falle ausschließlich das Erkennen und Unterbrechen von Infektionsketten. Danach gilt es den Kontext der Verarbeitung herauszuarbeiten. Dies umfasst nicht nur die allgemeine gesellschaftliche und politische Lage sowie technische Umstände, sondern auch explizit die verschiedenen Akteure und ihre Interessen. Erst auf dieser Grundlage kann später eine fundierte Analyse von Risiken und Angriffsszenarien erstellt werden.

Sodann müssen Annahmen und Anwendungsfälle für die Verarbeitung erarbeitet werden, um daran anschließend die Verarbeitungstätigkeit im Detail zu beschreiben. Dabei ist zu beachten, dass Verfahren in Teilschritte zu zerlegen sind, von denen nicht alle technikgestützt ablaufen müssen. Im vorliegenden Falle umfasst das Verfahren nicht nur die App, sondern auch die dazugehörigen Serversysteme, Fachanwendungen und Infrastrukturbestandteile wie etwa Betriebssysteme oder technische Kommunikationsbeziehungen. Auf dieser Basis werden dann Rechtsgrundlagen und die Verantwortlichkeit der Verarbeitungstätigkeit diskutiert sowie rechtliche Anforderungen erarbeitet.

All diese Vorarbeiten kombinierend werden Schwachstellen, Gefahren und Risiken der Verarbeitung entwickelt. Damit sind Risiken bezüglich der Grundrechte der Betroffenen gemeint, und zwar aller Grundrechte. Auf die Risikoanalyse aufbauend werden dann Schutzmaßnahmen für die Rechte der Betroffenen bestimmt und zuletzt Empfehlungen für die Verantwortlichen aufgeführt. Die Empfehlungen umfassen insbesondere die besonders problematischen Aspekte, etwa Risiken, für die keine Schutzmaßnahmen existieren.

Zentral oder dezentral?

Aus Gründen der Minimierung des Grundrechtseingriffs und zur Vereinfachung der Analyse gehen wir in unserer DSFA von einem eng umrissenen Zweck für die Datenverarbeitung aus: die Warnung von Personen, die mit Infizierten Kontakt hatten. Die Grundfunktionalität einer solchen App wird im Idealfall umgesetzt, indem das Smartphone in regelmäßigen Abständen über den „Bluetooth Low Energy Beacons“-Standard wechselnde Zeichenfolgen (temporäre Kennungen, tempIDs) via Bluetooth versendet und entsprechend die temporären Kennungen (tempIDs) von anderen Apps empfängt, sofern diese örtlich nah genug sind. Diese Daten ermöglichen eine Kontaktnachverfolgung; aus Dauer und Nähe des Kontakts soll ein Ansteckungsrisiko berechnet werden. Ortsinformationen, also zum Beispiel der GPS-Standort, werden durch dieses System nicht erhoben.

An dieses grundlegende Prinzip zur Detektion von Kontaktereignissen mittels Bluetooth schließen sich nun technische Fragen an, in denen verschiedene Varianten diskutiert wurden. Im Mittelpunkt der Diskussion stand die Frage, ob die Berechnungen des individuellen Expositionsrisikos lokal auf den Mobiltelefonen der Nutzerïnnen oder serverseitig stattfindet. Damit hängt auch die Frage zusammen, wie genau die exponierten Nutzerïnnen kontaktiert werden, um sie zu warnen.

In der zentralen Architektur werden im Fall der positiven Testung alle Kontaktereignisse von der App der infizierten Person auf einen Server hochgeladen. Dieser Server berechnet das Expositionsrisiko für alle Kontakte dieser Person und informiert diese dann aktiv. Der Server hat in dieser Variante somit Kenntnis der Infizierten, derer Kontakte und des sozialen Graphen.

deckblatt dsfa

Die dezentrale Architektur dagegen sieht vor, dass im Falle der positiven Testung nur die von der Person in den vergangenen vierzehn Tagen ausgesendeten temporären Kennungen (tempIDs) auf den Server geladen werden. Die anderen Apps laden sich regelmäßig einen Datensatz aller tempIDs von infizierten Nutzerïnnen herunter und berechnen lokal auf ihrem Smartphone, ob ein Risiko der Ansteckung vorliegt. Der Server kennt in dieser Variante nur die temporären Kennungen der Infizierten, er kann weder ihre Kontakthistorie noch das Kontaktnetzwerk der Nutzerïnnen nachvollziehen. Aus diesem Grunde ist die dezentrale Variante deutlich datenschutzfreundlicher.

Unsere DSFA betrachtet nur den dezentralen, grundrechtsschonenderen Ansatz, der inzwischen von Ländern wie etwa Österreich, Schweiz, Estland und seit Ende April auch von Deutschland verfolgt wird.

Zentrale Erkenntnisse

Im Folgenden sollen vier wichtige Ergebnisse unserer DSFA vorgestellt werden.

1.

Die häufig beteuerte Freiwilligkeit der App-Nutzung ist ein voraussetzungsreiches Konstrukt, das sich in der Praxis als Illusion herausstellen kann. So ist vorstellbar und wird auch bereits diskutiert, dass die Nutzung der App als Bedingung für die individuelle Lockerung der Ausgangsbeschränkungen gelten könnte. Das Vorzeigen der App könnte als Zugangsbedingung für öffentliche oder private Gebäude, Räume oder Veranstaltungen dienen. Eine solche Verwendungsweise wäre mitunter nicht durch den Zweck des Systems gedeckt, könnte aber durch dritte Akteure (z. B. Arbeitgeber oder private Veranstalter) in Kraft gesetzt werden. Dieses Szenario würde eine implizite Nötigung zur Nutzung der App bedeuten und zu einer erheblichen Ungleichbehandlung der Nicht-Nutzerïnnen führen; die ohnehin vorhandene „digitale Schere“ zwischen Smartphone-Besitzerïnnen und -Nicht-Besitzerïnnen würde sich hiermit auf weitere Lebensbereiche ausweiten. Zudem könnte der Zweck des Systems unterminiert werden, wenn Nutzerïnnen aus Angst vor Nachteilen ihr Smartphone absichtlich nicht bei sich führten oder abwechselnd verschiedene Geräte nutzten. Nur durch eine flankierende Gesetzgebung, die diese und andere Zweckentfremdungen effektiv unterbindet, ist dieses Risiko abzumildern.

Hierbei ist darauf hinzuweisen, dass die informierte Einwilligung kein geeigneter rechtlicher Rahmen für eine freiwillige App-Nutzung ist. Denn die informierte Einwilligung externalisiert das Risiko der (Grundrechts-)Folgen sowie die Abwägung zwischen Nutzen und Folgen auf die Betroffenen. Dabei käme es darauf an, gerade diese Abwägung zum Gegenstand demokratischer Aushandlung zu machen. Als Rechtsgrundlage wäre deshalb ein Gesetz erforderlich, in dem die (demokratisch legitimierte und kontrollierte) Gesetzgeberïn die Verarbeitung festlegt und auch deren Grenzen definiert.

kirsten bock
Kirsten Bock Alle Rechte vorbehalten privat

2.

Ohne Intervenierbarkeit (Einschreitbarkeit) und enge Zweckbindung ist der Grundrechtsschutz gefährdet: Es besteht ein hohes Risiko fälschlich registrierter Expositionsereignisse (falsch Positive durch Wände, Masken oder Laborfehler), die zu Unrecht auferlegte Selbst-Quarantäne zur Folge hätten. Um dem zu begegnen, bedarf es rechtlicher und faktischer Möglichkeiten zur effektiven Einflussnahme, etwa das Zurückrufen falscher Infektionsmeldungen, die Löschung falsch registrierter Kontaktereignisse oder das Anfechten möglicher anderer Konsequenzen.

joerg pohle
Jörg Pohle

3.

Alle bislang besprochenen Varianten einer Corona-App unterliegen der DSGVO, denn sie verarbeiten personenbezogene Daten. Alle Daten auf einem Smartphone sind personenbezogen, nämlich bezogen auf die Nutzerïn des Gerätes. Die gilt unabhängig davon, ob Beteiligte die versendeten Zeichenfolgen auf eine Person zurückführen können oder ob das Gerät gut vor dem Zugriff Dritter abgesichert ist. Und weil nur diejenigen Personen Daten an den Server übertragen, die als infiziert diagnostiziert wurden, handelt es sich bei diesen hochgeladenen Daten sogar um Gesundheitsdaten.

Nur durch ein Zusammenspiel organisatorischer, rechtlicher und technischer Maßnahmen kann der Personenbezug wirksam und irreversibel von den hochgeladenen Daten abgetrennt werden, so dass sie letztlich auf dem Server nur noch als „infektions-indizierende Daten ohne Personenbezug“ ankommen. Dieses Anonymisierungsverfahren kann diverse Formen annehmen, muss jedoch kontinuierlich datenschutzrechtlich durch die zuständigen Aufsichtsbehörden prüfbar sein: Organisatorisch müssen die Verantwortlichen in strategischer und die Betreiberïn(nen) in operativer Hinsicht eine Mischstruktur etablieren. Die Verantwortliche – etwa das RKI – könnte strategisch beispielsweise zwei unterschiedliche Betreiberïnnen auswählen: Eine betreibt die Eingangsknoten im Netzwerk und trennt die Metadaten ab, darunter die IP-Adressen, die andere betreibt den eigentlichen Server. Auf der Ebene der Betreiberïnnen muss dann operativ auf eine angemessene Abteilungsstruktur und Funktionstrennung geachtet werden, die die informationelle Gewaltenteilung innerhalb der Organisation – also die funktionale Differenzierung – durchsetzen. Rechtlich müssen die Betreiberïnnen unabhängig sein, keine eigenen Interessen an den Daten haben und vor Pflichten zur Herausgabe von Daten geschützt sein, auch gegenüber staatlichen Sicherheitsorganen. Technisch muss die Betreiberïn die Trennung so umsetzen, dass die Uploads nicht protokolliert werden können, weder auf dem Server noch in ihrem Netzwerk. All diese Maßnahmen müssen durch ein Datenschutzmanagementsystem kontinuierlich prüfbar gemacht und auch geprüft werden.

rainer rehak
Rainer Rehak

4.

Die Rolle der Plattformanbieter Apple (iOS) und Google (Android) ist kritisch zu diskutieren und über den gesamten Verarbeitungsprozess hinweg zu begleiten. Eine Bluetooth-basierte Corona-Tracing-App ist aus technischen Gründen auf die Kooperation der Plattformanbieter angewiesen, da der Zugriff auf das Bluetooth-Modul der Geräte auf Betriebssystemebene ermöglicht werden muss. Diese Machtposition haben die Plattformanbieter in den vergangenen Wochen genutzt, um gegen zahlreiche Regierungen eine dezentrale und somit datenschutzfreundlichere Architektur zu erzwingen. Damit ist das Datenschutzrisiko, das von den Plattformbetreibern selbst ausgeht, in der öffentlichen Diskussion weitestgehend aus dem Blick geraten. Als Betriebssystemhersteller ist es prinzipiell möglich (und auch realistisch, wie die DSFA zeigt), dass Google und Apple an die Kontaktinformationen gelangen und daraus Informationen über Infektionsfälle und Expositionsrisiken ableiten können. Eine kritische Begleitung der Rolle von Apple und Google erfordert daher eine umfassende Sensibilisierung für dieses Problem und die rechtliche Verpflichtung der Unternehmen, sich datenschutzkonform zu verhalten.

rainer muehlhoff
Rainer Mühlhoff

Diskussion in gesellschaftlicher Breite

Insbesondere die quelloffene Entwicklung von Server und Apps nebst allen ihren Komponenten – beispielsweise als freie Software – ist eine wesentliche Voraussetzung dafür, dass nicht nur für Datenschutzaufsichtsbehörden die nötige Transparenz bezüglich der Umsetzung der Datenschutz-Grundsätze vorliegt, sondern auch für die Betroffenen und die Öffentlichkeit insgesamt. Diese Datenschutzfolgenabschätzung zeigt aber auch, dass eine Fokussierung allein auf die Quelloffenheit der Technik die durchaus größeren gesellschaftlichen Implikationen des gesamten Verfahrens verschleiern kann. Nur Datenschutzfolgenabschätzungen können Derartiges offenlegen und sollten in diesem, aber auch in anderen ähnlich folgenreichen Datenverarbeitungsprojekten veröffentlicht werden, damit sie nicht nur von den Datenschutz-Aufsichtsbehörden, sondern auch in gesellschaftlicher Breite und sozialwissenschaftlicher Tiefe diskutiert werden können.