Blogs

Gesundheitsdaten: Niedersachsen schickt weiter Coronalisten an die Polizei

netzpolitik.org - 8 April, 2020 - 18:43
Ein Jurist rät allen Menschen, die in Niedersachsen derzeit unter Quarantäne stehen, möglichst bald Strafanzeige gegen das Sozialministerium zu stellen. (Symbolbild) Gemeinfrei Engin Akyurt

Niedersachsens Gesundheitsämter übermitteln weiterhin Daten von Coronavirus-Infizierten an die Polizei. Auch Namen und Adressen von Menschen, die mit ihnen Kontakt hatten, stehen auf den sogenannten Quarantänelisten. Damit setzt sich die Landesregierung über die Einschätzung der Landesdatenschutzbeauftragten Barbara Thiel hinweg.

Am Dienstag vergangener Woche hatte das Sozialministerium die Weitergabe der Daten in einem Schreiben an die Landkreise und kreisfreien Städte veranlasst. Thiel forderte die Behörden am Freitag auf, ihre Anordnung umgehend zurückzunehmen. „Natürlich nehmen wir die Kritik der Landesdatenschutzbeauftragten sehr ernst und werden die aufgeworfenen Fragestellungen nochmals prüfen“, teilte ein Sprecher des Innenministeriums netzpolitik.org mit. Am selben Tag bekräftigte die Behörde die Maßnahme mit einem weiteren Erlass.

Neuer Erlass unter Verschluss

Einen kurzen Ausschnitt aus dem neuen Erlass veröffentlichte der Hannoversche Blog Freiheitsfoo. Demnach bezieht sich das Innenministerium nun nicht mehr nur auf das Niedersächsische Polizei- und Ordnungsbehördengesetz, sondern argumentiert auch mit dem sogenannten Rechtfertigenden Notstand und dem Strafgesetzbuch.

Die Landesdatenschutzbeauftragte hat dem widersprochen. So seien die Voraussetzungen des rechtfertigenden Notstands nicht für sämtliche Personen gegeben, deren Daten pauschal an die Polizei übermittelt werden, wie es in einer Erklärung hieß.

Was genau darüber hinaus noch in dem Erlass steht, ist unbekannt: Selbst die Mitglieder des Innenausschusses haben ihn bislang nicht erhalten. Das Innenministerium wollte ihn dieser Redaktion nicht zur Verfügung stellen. Er regele „interne Abläufe und ist nicht für eine Weitergabe bestimmt“.

Das Sozialministerium hat eine Anfrage aus der vergangenen Woche überhaupt nicht beantwortet.

Wozu eine Datenschutzbeauftragte?

Die niedersächsische Datenschutzbeauftragte kann die Weitergabe der Listen nicht selbst stoppen: Den Landesgesetzen zufolge kann sie zwar Anordnungen erteilen, diese aber nicht vollstrecken. Oppositionspolitiker:innen fordern deshalb, sie mit weitergehenden Rechten auszustatten. „Sonst muss man sich ehrlicherweise irgendwann mal fragen, wozu wir eine Landesdatenschutzbeauftragte haben“, sagte Marco Genthe, innenpolitischer Sprecher der FDP-Fraktion im Landtag.

Ähnlich sieht das die innenpolitische Sprecherin der Grünen-Fraktion Susanne Menge. Sie fordert, die Weitergabe der Daten auszusetzen, bis eine Lösung gefunden ist, gemeinsam mit Thiel. Der rot-schwarzen Landesregierung wirft sie vor, Entscheidungen wie diese vorbei am Parlament zu treffen. „Auch in einer Krisenzeit kann man nicht plötzlich autokratische Strukturen durchsetzen.“

Menge hat an diesem Mittwoch beim Innen- sowie beim Sozialausschuss eine Unterrichtung über die Rechtsgrundlage der Coronavirus-Listen beantragt – sowohl durch die Landesregierung, als auch durch die Landesdatenschutzbeauftragten.

Auch FDP-Politiker Genthe, der die Übermittlung der Daten für verfassungswidrig hält, fordert die Landesregierung zur Aufklärung auf. In einer Kleinen Anfrage, in der er sich auf die Berichterstattung von netzpolitik.org bezieht, will er etwa wissen, wie viele Einsätze die Polizei bereits bei Menschen in Quarantäne hatte – und welche Schutzmaßnahmen die Beamt:innen dabei ergreifen.

Wozu nutzt die Polizei die Listen?

„Die Polizei benötigt diese Daten ausschließlich zu Zwecken der Eigensicherung“, sagte Uta Schöneberg am Montag bei der Landespressekonferenz. Sie leitet das Rechtsreferat des Landespolizeipräsidiums.

Auf Nachfrage räumte sie aber ein, die niedersächsische Polizei würde auch Strafverfahren einleiten, wenn mithilfe der übermittelten Daten Quarantäneverstöße deutlich würden.

Die Referatsleiterin betonte zudem, die Daten würden ausschließlich durch die Leitstellen der Polizei aufbewahrt und nicht in die polizeilichen Systeme eingepflegt. Geregelt ist dies jedoch erst seit dem Erlass vom Freitag. Angeordnet worden war die Übermittlung der Listen aber bereits drei Tage zuvor, am 31. März. Namen und Adressen Tausender Menschen in Niedersachsen dürften in diesem Zeitraum bereits weitergegeben worden sein.

Die Ereignisse hätten sich „ein bisschen überschlagen“, sagte Schöneberg. „Für die Polizeidirektionen war aber klar – wir hatten schon die ganze Woche vorher das Thema – dass die Daten nicht in die Systeme eingepflegt werden dürfen.“

Auch netzpolitik.org hatte schon in der vorherigen Woche versucht, in Erfahrung zu bringen, wie Daten von Corona-Infizierten abgespeichert werden. Am 30. März hatte sich das Innenministerium hierzu nicht äußern wollen. Ein Teil seiner Begründung war damals: Das Landespolizeipräsidium, für das Schöneberg spricht, habe gar keine Kenntnisse gehabt, ob nachgeordnete Dienststellen Daten erhalten.

Jurist rät zu Strafanzeigen gegen das Sozialministerium

Den Zahlen des Robert Koch-Instituts zufolge sind oder waren in Niedersachsen insgesamt 6.385 Menschen an Covid-19 erkrankt. Die Namen vieler von ihnen sowie von deren Angehörigen dürften inzwischen bei der Polizei gelandet sein.

„Dass wir hier hochsensible Gesundheitsdaten weitergeben, das bestreite ich“, sagte bei der Landespressekonferenz indes der Leiter des Corona-Krisenstabs Heiger Scholz (SPD). Dem Staatssekretär im Sozialministerium zufolge lassen die Quarantänelisten nicht darauf schließen, wer tatsächlich krank sei und wer nicht.

Die Landesdatenschutzbeauftragte ist anderer Auffassung. „Selbstverständlich handelt es sich bei den übermittelten Daten um sensitive Gesundheitsdaten“, so Thiel. „Offenbar hat auch das Ministerium selbst erkannt, dass es sich unbestreitbar um Gesundheitsdaten handelt. Immerhin ist in dem neuen Erlass die Rede von ‚Patienten‘.“

Jurist Thilo Weichert, der auch der auch Mitglied im Vorstand der Deutschen Vereinigung für Datenschutz ist, bezeichnet Scholz’ Argumentation als „absoluten Schwachsinn“. Er rät allen Menschen, die in Niedersachsen derzeit unter Quarantäne stehen, möglichst bald Strafanzeige gegen das Sozialministerium zu stellen. Seiner Einschätzung nach verstößt die Weitergabe der Daten gegen die ärztliche Schweigepflicht. Zuvor hatte bereits die Landesdatenschutzbeauftragte diese Befürchtung geäußert.

Bei Verstößen droht eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe. In Niedersachsen könnten sie tausendfach begangen worden sein.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Desinformation von oben, wenig Schutz für die da unten

netzpolitik.org - 8 April, 2020 - 18:00
Diese Woche sind Kirschblütenwochen bei McNetzpolitik CC-BY 4.0

Types, sources, and claims of COVID-19 misinformation (Reuters Institut)
Die wichtigsten Verbreiter von Falschinformationen über den Coronavirus sind nicht etwa anonyme Twitterbots und Trolle, sondern Politiker*innen und Prominente. Zu diesem Schluss kommt eine Untersuchung des von Google mitfinanzierten Reuters-Instituts für Journalismusforschung der Universität Oxford. In der Untersuchung lieferten bekannte Persönlichkeiten rund 20 Prozent der Fälle von Desinformation, sorgten aber mit ihrer hohen Reichweite für 69 Prozent der Interaktionen (Klicks, Shares, Kommentare, etc.). Ein Beispiel dafür ist nicht nur Fake-News-Verbreiter-in-Chief Donald Trump, sondern etwa auch Tesla-Chef Elon Musk. Der tweetete etwa, Kinder seien „praktisch immun“ gegen den Coronavirus – eine durch Todesfälle von jungen Patienten klar widerlegte Aussage. Twitter will den Tweet dennoch nicht löschen, er ist weiter abrufbar.

How Are Gig Workers Faring During the COVID-19 Crisis? (The Markup)
Das US-Investigativmedium The Markup hat sich angesehen, wie es prekär Beschäftigten bei diversen Dienstleistungsplattformen in den USA in der Coronakrise geht. Die Krise verschärft die zuletzt immer häufiger öffentlich ausgetragenen Konflikte zwischen den Plattformfirmen und ihren (Nicht-)Beschäftigten. Der Artikel erwähnt etwa, dass es allein diese Woche bei Instacart, Amazon und Whole Foods zu Protesten von Beschäftigten kam. Die Mitarbeitenden fordern unter anderem bezahlte Krankentage und – durchaus nachvollziehbar – Hand-Desinfektionsmittel sowie Wischtücher. Wer möchte online irgendwo einkaufen, wo das nicht selbstverständlich ist?!!

Artists Explore A.I., With Some Deep Unease (New York Times)
Die Kunstwelt beschäftigt sich mit Künstlicher Intelligenz. Die New York Times fasst diese Auseinandersetzung zusammen und resümiert, dass die Künstler*innen dabei vor allem eine Frage umtreibt: Nämlich was zur Hölle wir mit selbstlernenden Algorithmen eigentlich auf die Menschheit loslassen.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

KfW-Sonderprogramm: Wer gemeinnützig gegen Corona hilft, bekommt kein Geld

netzpolitik.org - 8 April, 2020 - 17:00
Mit 3D-Druckern lassen sich dringend benötigte Schutzmasken selbst herstellen. (Symbolbild) Vereinfachte Pixabay Lizenz Karolina Grabowska

Sie hacken. Sie nähen. Sie drucken. Überall in Deutschland helfen tausende Freiwillige, die Folgen der Coronakrise abzumildern. Selbst ein schlichter Einkauf für ältere Familienmitglieder oder Nachbarn kann Wunder wirken. Eine „Welle der Solidarität“ habe Deutschland erfasst, schreibt die Bundesregierung auf ihrer Website.

Dennoch droht einigen dieser Freiwilligen, nach der Krise auf einem Schuldenberg sitzenzubleiben. Vor allem gemeinnützige Initiativen, die in verhältnismäßig großem Stil Atemschutzmasken oder Einzelteile für Beatmungsgeräte herstellen, zittern derzeit. Sie fürchten, dass die Spenden nicht ausreichen werden, um ihre Ausgaben zu decken. Und sie weisen darauf hin, dass sie deutlich effektiver arbeiten könnten, wenn ihnen der Staat unter die Arme greifen würde.

Ganz andere Schlagkraft mit Förderung

„Grundsätzlich hätten wir eine ganz andere Schlagkraft, wenn wir Förderungen bekommen könnten“, sagt Alexander Klarmann, Sprecher von Maker vs. Virus. Die Initiative einer gemeinnützigen Organisation verbindet auf ganz Deutschland verteilte Maker und Maker Spaces miteinander. Über 5.000 Freiwillige sind derzeit mit an Bord. Dezentral stellen sie ihre Kapazitäten zur Verfügung und bieten etwa 3D-Drucker an, um Versorgungsengpässe von Schutzmasken auszugleichen.

Hilfe von der Bundesregierung können sie jedoch nicht erwarten. „Wir haben keinen Topf, in den wir reinfassen können“, sagt Klarmann. Derzeit werde alles auf eigenes Risiko finanziert. Obwohl inzwischen rund 25.000 Euro an Spenden hereingekommen sind und Unternehmen mit Sachspenden aushelfen, geht Klarmann davon aus, „dass wir im Moment defizitär arbeiten.“

Man habe etwa große Mengen an Fasern gekauft, die für 3D-Druck benötigt werden. Auch relativ billige Folien für Visiere machen sich bei größeren Stückzahlen finanziell bemerkbar. Dazu kommen Stromkosten, von der Arbeitszeit der Freiwilligen ganz zu schweigen.

Großzügiges Sonderprogramm für die Wirtschaft

Es ist nicht so, dass kein Geld vorhanden wäre. Mit einem großzügig bemessenen Sonderprogramm unterstützt die staatseigene Kreditanstalt für Wiederaufbau (KfW) deutsche Unternehmen, die krisenbedingt in eine finanzielle Schieflage geraten sind. Innerhalb weniger Tage wurden mehr als zehn Milliarden Euro an Krediten beantragt, das Gesamtvolumen könnte 50 bis 100 Milliarden Euro ausmachen, schätzen Experten.

Doch dieses Geld fließt nur an Unternehmen mit „Gewinnerzielungsabsichten“, stellt nun die Bundesregierung klar. „Eine Förderung gemeinnützig eingetragener Vereine ist grundsätzlich nicht vorgesehen“, beschied gestern Ulrich Nußbaum, Staatssekretär im Bundesministerium für Wirtschaft und Energie, der linken Bundestagsabgeordneten Anke Domscheit-Berg.

Ähnlich wie Klarmann engagiert sich die Abgeordnete aus Brandenburg und hilft unter anderem, den 3D-Druck von Halterungen für Plexiglas-Schutzschildern zu organisieren. Schon lange vor der aktuellen Krise war sie daran beteiligt, den Verstehbahnhof ins Leben zu rufen. Der Makerspace soll dazu dienen, jungen Menschen praktische Fertigkeiten wie Elektronik-Löten und Programmieren beizubringen – auf gemeinnütziger Basis.

Hohe Materialkosten

Grundsätzlich könne ein Kredit aus dem Sonderprogramm auch dann in Anspruch genommen werden, wenn damit „Investitionen und Betriebsmittelbedarf zur Umstellung der Produktion auf die Herstellung von Schutzvisieren, Schutzmasken, Zubehör für Beatmungsgeräte oder anderen medizinische[n] Gegenständen und Hilfsmitteln“ gedeckt werden sollen, schreibt das Wirtschaftsministerium in seiner Antwort.

Antragsberechtigt sind aber nur Unternehmen, die gewerblich geführt werden und die Gewerbesteuern zahlen. „Rein gemeinnützige Unternehmen fallen nicht darunter.“ Ehrenamtliche Initiativen, die bereits jetzt produzieren und ihre Materialkosten decken wollen, gehen damit leer aus.

„Dezentrale, gemeinnützige offene Werkstätten arbeiten gerade zum Teil rund um die Uhr, zum Beispiel um Mund-Nasen-Masken oder schützende Gesichtsvisiere herzustellen, die vor allem von medizinischem Personal dringend benötigt werden“, sagt Domscheit-Berg. Aber die Tausenden von Hilfsmitteln, die von heißlaufenden 3D-Druckern oder Lasercuttern produziert werden, verbrauchen Material und das ist teuer.

„Die dahinterstehenden Vereine finanzieren sich vor allem aus Spenden und haben für solche Einsätze kein Finanzpolster“, sagt Domscheit-Berg. „Um weiter helfen zu können, brauchen sie finanzielle Unterstützung, um wenigstens anfallende Kosten für ihre beispiellose Nothilfe zu decken. Aber der Bund lässt sie im Stich, bei all den Milliarden Fördergeldern gibt es keinen Euro für die Aufwände der offenen Werkstätten“, ärgert sich Domscheit-Berg.

Funkstille des Bundes

Zwar verfolgt das Sonderprogramm der Bundesregierung ein anderes Ziel, räumt Alexander Klarmann ein. In erster Linie geht es dabei darum, den Komplettabsturz der deutschen Wirtschaft zu verhindern. Der Fokus auf kommerzielle Unternehmen überrascht deshalb nicht. „Aber wir haben nicht gesehen, dass der Bund [in diesem Bereich] die Zivilgesellschaft unterstützt, weder personell noch finanziell“, sagt Klarmann.

Dabei geht es neben den drängenden finanziellen Fragen auch um Rechtsunsicherheiten, weil manchen in Eigenregie hergestellten Teilen der offizielle Zertifizierungsstempel fehlt. Klarmann wünscht sich von der Bundesregierung eine „eindeutige Aussage“, um aus diesem rechtlichen Graubereich herauszukommen. Bislang herrsche jedoch Funkstille seitens des Bundes.

Ganz anders seien die Erfahrungen mit Landratsämtern und lokalen Politikern, berichtet Klarmann. Da sei die Unterstützung „ganz unkompliziert“. Ausreichend sei dies jedoch nicht, betont Klarmann, der seine Worte mit Bedacht wählt: „Die Bundesregierung lässt uns ein bisschen … schwierig dastehen“.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Zentrale vs. dezentrale Corona-Tracing-Apps: Welche Technologie bietet den besseren Datenschutz?

netzpolitik.org - 8 April, 2020 - 14:26
Ein Netzwerk statt zentraler allwissender Server: Das fordern Wissenschaftler:innen für das Tracing von Corona-Infektionen. Gemeinfrei-ähnlich freigegeben durch unsplash.com

Es kommt selten vor, dass sich ein Problem mit einer rein technologischen Lösung beheben lässt. Im Fall der Kontaktverfolgung von Covid-19-Infizierten könnte eine Technologie die Arbeit aber zumindest stark vereinfachen, darin sind sich Expert:innen einig. Die derzeitige Praxis der Gesundheitsämter, Kontakte mit Hilfe von Stift, Papier und Telefon nachzuzeichnen, sie mutet archaisch an und ist vor allem zu langsam.

Denn das Virus wartet nicht aufs Amt. Bisherige Daten legen nahe, dass knapp die Hälfte der Infektionen passieren, noch bevor man überhaupt anfängt zu husten oder fiebern. Wenn es darum geht, mögliche Infizierte zu isolieren und damit Infektionsketten zu unterbrechen, richten sich die Hoffnungen derzeit vor allem auf eines: Apps, die räumliche Nähe automatisiert nachverfolgen könnten.

Vergangene Woche hat eine Allianz von mehr als 130 Forscher:innen und IT-Expert:innen eine mögliche Lösung dafür vorgestellt: eine Art Baukasten, mit dem solche Apps betrieben werden können. Ihre Technologie nennen sie Pan European Privacy Preserving Proximity Tracing (Pepp-PT) – und obwohl sie noch nicht fertig ist, setzen jetzt schon viele ihre Hoffnungen in ihr Versprechen von Erlösung. Deutschlands bekanntester Virologe Christian Drosten sprach in seinem Podcast von seiner „Faszination“.

Wir haben ausführlich erklärt, wie Pepp-PT funktioniert. Die Idee: Nutzer:innen laden sich freiwillig eine App auf das Telefon. Die App zeichnet auf, welche anderen Smartphones mit App in den vergangenen 21 Tagen in der Nähe des eigenen Smartphones waren – für mehr als 15 Minuten. Im Fall einer bestätigten Infektion teilen die Infizierten diese Informationen und alle relevanten Kontakte können binnen Sekunden benachrichtigt werden. Wozu das Gesundheitsamt Tage benötigt, passiert in Sekunden.

Der bestmögliche Datenschutz für alle

Klar ist, darin sind sich die Beteiligten einig: All das muss komplett entkoppelt von persönlichen Daten passieren. Eine zentrale Datenbank, in der die Identitäten oder Standorte von Infizierten gesammelt werden, so ein Szenario wäre in der EU nicht umzusetzen – nicht mal in Zeiten von Covid-19. Außerdem ist die Installation der App freiwillig. Wer würde eine solche Software noch herunterladen, wenn er oder sie fürchten müsste, später doch noch als rote Flagge auf einer Karte der eigenen Stadt aufzutauchen? Schon allein aus strategischen Gründen muss eine Lösung, die auf die freiwillige Teilnahme von Millionen setzt, für Vertrauen werben.

Uneinigkeit besteht allerdings noch in der Frage, wie dieser bestmögliche Datenschutz aussehen wird. Und dieser Graben zieht sich derzeit mitten durch die Gruppe derjenigen, die an Pepp-PT arbeiten. Während die Forscher:innen des Fraunhofer Heinrich-Hertz-Instituts hinter den Kulissen noch mit Hilfe der Bundeswehr an der Kalibrierung der Entfernungsmessung arbeiten, ist in den vergangenen Tagen eine öffentliche Diskussion über den richtigen Weg entbrannt, unter anderem auf Twitter. Es ist eine Diskussion unter Fachleuten für Kryptografie, aber sie wird noch entscheidend werden.

Grob heruntergebrochen dreht es sich um die Frage, ob eine solcher Standard, wie Pepp-PT ihn entwickelt, nach einem zentralen oder einem dezentralen Prinzip funktionieren soll. Ein zentrales Prinzip würde bedeuten: Irgendwo steht ein allwissender, zentraler Server, der meine geheime ID-Zahlenfolge kennt. Die einzelnen temporären Identitäten (IDs), die die App von dieser Zahlenfolge ableitet und aussendet, werden verschlüsselt auf dem Smartphone der Personen gespeichert, die meinem Telefon nahe waren – und umgekehrt. Sie ändert sich mehrmals pro Stunde. Wer mir begegnet ist, kann so niemals meine ID mit meiner Person in Verbindung bringen. Sollte ich aber mit einer anderen Covid-19-Infizierten Person in Kontakt gekommen sein, kann der Server mich benachrichtigen, denn er kennt meine geheime Zahlenfolge.

In der dezentralen Version, wie eine Gruppe von Wissenschaftler:innen um die IT-Expertin Carmela Troncoso sie favorisiert, gibt es keine solche allwissende Instanz. Alle nötigen Berechnungen würden auf den Smartphones selbst laufen. Meldet sich eine App-Nutzerin nach einem positiven Test als infiziert, würde sie ihre geheime ID im Netzwerk veröffentlichen und dieses würde die Information an alle anderen Telefone verteilen. Sie können die temporären IDs berechnen und automatisch nachschauen, ob sie mit einer dieser ID in Kontakt waren.

Beide Systeme haben Schwachstellen

Welche Version ist nun sicherer? Ein Teil der Wissenschaftler:innen, darunter der Jurist Michael Veale, die IT-Expertin Carmela Troncoso und rund 20 weitere, plädieren engagiert für eine dezentrale Variante. Sie nennen diese Decentralized Privacy-Preserving Proximity Tracing (DP-3T) und haben dazu in einem Weißbuch ausführliche Vorschläge veröffentlicht, die sie nun zur Diskussion stellen.

Ihre Befürchtung: Eine zentralisierte Lösung lädt zu Missbrauch ein. Ein allwissender Server, auf dem alle Informationen zusammenlaufen, muss von irgendjemandem verwaltet werden. Es ist die große Schwachstelle in einem solchen System, der Punkt, an dem man jemandem Vertrauen schenken muss, der diesem Vertrauen entweder gerecht wird oder nicht. In einer Demokratie mit starken rechtsstaatlichen Kontrollen könnte man solch ein Risiko vertreten. Aber Pepp-PT, so das erklärte Ziel der Entwickler:innen, soll von möglichst viele Staaten genutzt werden. Erst dann wäre eine Verfolgung über Ländergrenzen hinweg möglich. Was ist mit Staaten wie Ungarn, deren autoritäre Ansprüche zuletzt kaum noch verschleiert wurden?

Denn auch wenn Pepp-PT alle möglichen Vorkehrungen trifft, um eine einzelne ID nicht mit einer Person oder einem Gerät zu verbinden, keine Telefonnummern, nicht mal die MAC-Adressen der Smartphones speichert: Mit entsprechendem Aufwand ließen sich auch in einem solchen System einzelne Erkrankte identifizieren. Man könnte etwa nachverfolgen, welche ID welche anderen IDs infizierte, darüber so genannte Social Graphs erstellen und diese mit anderen Informationen, etwa von Facebook oder Twitter anreichern.

„So ließe sich im Zweifel rekonstruieren, wer wen angesteckt hat, und woher er sich wiederum seine Infektion hat“, sagt Michael Veale, der sich am University College London mit IT-Recht befasst. Sicher vor Missbrauch, sagt Veale, sei daher nur ein System, in dem keine zentrale Instanz die geheimen IDs verwaltet, diese potentiell sensible Information nirgends zusammen läuft außer auf den Geräten der Nutzer:innen.

Dann also unbedingt dezentral? Der Chaos Computer Club, der das Team hinter Pepp-PT in Sicherheitsfragen berät, hat gerade einen Kriterienkatalog mit 10 Punkten veröffentlicht, die Corona-Nachverfolgungs-Apps erfüllen müssen. Auch der Club fordert darin: „Keine zentrale Entität, der vertraut werden muss.“ Es sei „technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen“. Darauf beruhende Konzepte lehne der Club von vornherein als fragwürdig ab.

Doch auch eine dezentrale Version hat einen entscheidenden Nachteil. Der IT-Unternehmer Chris Boos, der in Deutschland für die Initiative spricht und auch im Digitalrat der Bundesregierung sitzt, fasst im Gespräch mit TechCrunch zusammen: „In einem dezentralen System hat man das Problem, dass man die anonymen IDs der infizierten Personen an alle sendet (…). Das ist die einzige Möglichkeit, wie ein lokales Telefon erfahren kann: War ich in Kontakt oder nicht? (…) Die Frage ist also: Will man eine Partei mit Zugang zu den anonymisierten IDs oder will man allen Zugang dazu gewähren?“

Auch im Falle eines dezentralen Protokolls hätte das System also Schwachstellen. Auf einige weisen die Autor:innen des Whitepapers zu DP-3T bereits selbst hin: Wer sich etwa mit einem Bluetooth-Scanner vor eine Bahnhofshalle oder an einen anderen belebten Platz stellt, könnte so binnen kürzester Zeit Tausende von temporären IDs sammeln. Diese Gefahr sieht etwa Ulf Buermeyer, Vorsitzender der Gesellschaft für Freiheitsrechte und als Datenschutz-Experte selbst in die Debatte involviert. Fügt man noch eine Videokamera hinzu, ließen sich die IDs mit konkreten Personen verbinden. Es ist nicht schwer, sich als nächstes einen Covid-19-Onlinepranger für die eigene Stadt auszumalen, inklusive privater Initiativen, die überwachen, ob sich Einzelne an die Quarantäneauflagen halten.

Technische Grundlage eindeutig, politische Konsequenzen nicht

Die zentrale Informationsübermittlung über einen Server, oder die dezentrale über viele einzelne Geräte im Netzwerk: Beides bietet Vorteile und hat Schwachstellen. Deswegen wird die Entscheidung für das eine oder andere System nicht technisch zu treffen sein, sondern nur politisch, sagt Ulf Buermeyer. „Am Ende“, so Buermeyer, „läuft es auf die Frage hinaus: Welches Risiko finden wir gravierender?“ Dass womöglich ein autoritärer Staat die Daten auf einem zentralen Server für Zwecke missbrauchen könnte, denen Nutzer:innen der App nie zugestimmt haben? Oder dass die zunächst geheimen IDs von Infizierten de facto öffentlich zirkulieren und somit Angriffsfläche für Deanonymisierungsattacken bieten?

Das Konsortium hinter Pepp-PT hat nun angekündigt, beide Verfahren zu unterstützen, das zentrale und das dezentrale. „Beide Lösungen bieten einen guten Datenschutz“, sagt Boos. Man lasse derzeit beide Varianten von Hacker:innen und Informatiker:innen auf mögliche Sicherheitsrisiken prüfen. Allerdings heißt das auch: Einzelne Staaten können sich in einem solchen Szenario diejenige Lösung für ihre nationale App aussuchen, die ihnen am ehesten zusagt.

In Deutschland, sagt Boos, sei klar, dass nur eine zentralisierte Version umgesetzt werden kann. Die Gesetzgebung zum Datenschutz erlaube es gar nicht, dass Medizindaten wie eine Infektion öffentlich geteilt werden – selbst wenn diese pseudonymisiert seien, wie im Fall des dezentralen Systems. Der Jurist Michael Veale, der das dezentrale Protokoll mitentwickelt hat, argumentiert dagegen, die öffentlichen Daten seien juristisch betrachtet gar keine persönlichen Daten, da sie nur unter Einsatz von illegalen Methoden deanonymisiert werden könnten.

Offen ist noch die Frage, wie die beiden Systeme überhaupt miteinander kompatibel wären. Könnten etwa Kontaktketten zwischen Deutschland und Frankreich noch nachverfolgt werden, wenn das eine Land ein zentrales, das andere ein dezentrales System nutzt? Boos sagt, das sei möglich, das Team arbeite derzeit an einer solchen Lösung.

Wie die Technologie im Baukasten-Set von Pepp-PT genau funktioniert, das werden externe Fachleute erst überprüfen können, wenn die Allianz den Code ihrer App-Bausteine und das zugrundeliegende Protokoll wie angekündigt veröffentlicht. Das soll erst passieren, wenn die einzelnen Teile durch ein Peer Review von Expert:innen gegangen sind. Der Chaos Computer Club hat solch eine Transparenz bereits als Voraussetzung für eine vertrauenswürdige App genannt: „Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen“, schreibt der Verein.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Coronavirus: Robert Koch-Institut sammelt Gesundheitsdaten per Fitness-Tracker

netzpolitik.org - 7 April, 2020 - 19:33
Die Gesundheitsdaten sollen freiwillig an das RKI übermittelt werden. CC-BY 2.0 Pabak Sarkar

Nach wochenlanger Diskussion rund um Mobilfunkdaten und Smartphone-Apps, mit denen sich die Ausbreitung des Coronavirus möglicherweise eindämmen lassen könnte, hat heute das Robert Koch-Institut (RKI) die App „Corona-Datenspende“ vorgestellt. Mit den bislang diskutierten Ansätzen hat sie nichts zu tun. Stattdessen will die App Gesundheitsdaten aus Fitnesstrackern oder Smartwatches auslesen und auswerten. Damit sollen sich frühzeitig Symptome einer Infektion mit dem Coronavirus erkennen und die geografische Ausbreitung erfassen lassen, gab das Forschungsinstitut bekannt.

Etwa 10.000 Datenspender:innen sollen genügen

Statistisch würde es wohl genügen, wenn etwa 10.000 Personen die Corona-App herunterladen und mit ihren Gesundheitsdaten sowie der Postleitzahl ihres Wohnortes befüllen, hoffte RKI-Präsident Lothar Wieler noch auf der vormittäglichen Pressekonferenz. Dieses Ziel war rasch erreicht: Rund 30.000 Downloads verzeichnete das RKI laut eigenen Angaben bis zur Mittagszeit.

Laut Branchenverband Bitkom nutzen weit mehr als 20 % der Menschen in Deutschland mindestens gelegentlich Fitnessarmbänder oder Smartwatches. Das RKI geht davon aus, dass „Menschen aller Altersschichten, Wohnorte, Geschlechter und Einkommensschichten“ Fitnessarmbänder oder Smartwatches tragen und die Stichprobe somit repräsentativ für die Gesamtbevölkerung wäre.

Die gesammelten Gesundheitsdaten sollen dazu dienen, typische Symptome einer Corona-Infektion zu erkennen, Fieber etwa. Die verwendeten Fitnessarmbänder müssen dabei nicht unbedingt die Körpertemperatur messen können, es genügt bereits der Ruhepuls und der Schlafrhythmus, um Rückschlüsse auf eine Erkrankung zuzulassen. Voraussetzung dafür ist, dass die Freiwilligen ihre Smartwatch oder ihr Fitnessarmband rund um die Uhr tragen, also auch beim Schlafen.

Vorbild für Corona-Datenspende-App kommt aus den USA

In den USA hat das Unternehmen Kinsa es sich angesichts der Corona-Epidemie zur Aufgabe gemacht, eine „Gesundheitswetterkarte“ zu erstellen. Der Hersteller für smarte Fieberthermometer verkauft normalerweise Analysen der Gesundheitsdaten von rund einer Millionen Nutzer:innen an Werbeunternehmen. Mit seinen Prognosen liegt das Unternehmen dabei zeitlich teilweise sogar vor den Gesundheitsbehörden.

Konkret diente dem RKI laut eigenen Angaben eine wissenschaftliche Studie aus den USA zum Vorbild, bei der Grippe-Symptome über vernetzte Fitnessarmbänder gemessen wurden. Das Forschungsinstitut beauftragte daraufhin das deutsche Unternehmen „Thryve“ mit der Entwicklung einer Datenspende-App. Die Gelder dafür kamen laut einem Unternehmenssprecher vom RKI.

Streit um Freie Software bei der Corona-Datenspende-App

Das Robert Koch-Institut hat sich gegen den Einsatz quelloffener Software entschieden. Zuvor hatte unter anderem der Chaos Computer Club (CCC) die Prüfbarkeit der Anwendung gefordert. Dazu gehöre, dass der Quelltext der angekündigten Corona-App, die Kontaktpersonen von Infizierten informieren sollte, öffentlich einsehbar sein sollte. Ein offener Quelltext ermöglicht es allen Interessierten, die Funktionsweise der App nachzuprüfen. Bei der Datenspende-App wurde diese Forderung nicht umgesetzt.

Der Startup-Beauftragte der Bundesregierung, Thomas Jarzombek (CDU), verteidigte die Entscheidung des RKI auf Twitter. Er schreibt, dass es keinen Zwang geben dürfe, ausschließlich Open-Source-Software einzukaufen. Nur wenn staatliche Behörden selber als Software-Entwickler auftreten, müsse diese Open Source sein.

1. Jede vom Staat selbst entwickelte Software muss open source sein. 2. Der Staat muss auch bei Startups einkaufen und Innovation fördern. Da kann es natürlich keinen Zwang zu open source geben. Vorgehen des @rki_de ist endlich mal ein Move! @StartupVerband @c_netz @jensspahn https://t.co/UqfnWfmMnQ

— Thomas Jarzombek (@tj_tweets) April 7, 2020

Auf ihrem letzten Parteitag hatte die CDU beschlossen, dass alle staatlich finanzierten Software-Projekte grundsätzlich quelloffen sein sollten. Im Parteitagsbeschluss vom November 2019 steht:

Deshalb gilt künftig für alle (öffentlichen) Digitalisierungsprojekte in Deutschland: Auftragsvergabe und Förderung sind an die Einhaltung der Prinzipien Open-Source und offene Standards gebunden. Durch öffentliche Mittel finanzierte Software soll allen Bürgern dienen. Zusätzlich sollen freie und offene APIs den Zugang für unabhängige Entwicklungen erleichtern.

Kalorienverbrauch und Schlafqualität werden an das RKI übermittelt

Zwar verzichtet die Corona-Datenspende-App auf persönliche Angaben wie den Namen. Dennoch werden personenbezogene und entsprechend sensible Gesundheitsdaten, wie Körpergewicht, Ruhepuls und Kalorienverbrauch übermittelt.

Ebenfalls übertragen werden pseudonymisierte Daten zum Tagesrhythmus und zur Regelmäßigkeit und Qualität des Schlafs, die weitere Rückschlüsse auf die Person zulassen. Die App übermittelt dabei auch bereits erhobene Daten, beispielsweise das Aktivitätsniveau der letzten zwei Wochen.

Der Name „Datenspende-App“ ist irreführend

Der Bundesdatenschutzbeauftragte, Ulrich Kelber, hat die Datenspende-App noch nicht geprüft, sondern bislang das RKI lediglich beraten. Eine Schwierigkeit sei, dass das Datenschutzniveau zwischen den Herstellern von Fitness-Tracker und Smartwatches sehr unterschiedlich ist. Den gewählten Begriff der „Datenspende“ hält er zudem für irreführend:

Aus meiner Sicht ist der Name „Datenspende-App“ unglücklich gewählt. Auch wenn Betroffene dem RKI ihre Daten freiwillig übermitteln, geben sie das Recht an ihren Daten nicht ab und können ihre Einwilligung jederzeit widerrufen. Das RKI hat zugesagt, dass in diesem Fall alle gesammelten Daten gelöscht werden.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Twitch-Trecker und Trojaner-Tadel

netzpolitik.org - 7 April, 2020 - 18:00
Hach, wie schön: In Brüssel blühen die Kirschbäume. Und im Hintergrund leise die Chemtrails.

TwitchFarming (Twitch.tv)
Vergesst Gaming-Streams, vergesst Wildtier-Kameras. Die ideale Mischung aus Fast und Slow TV muss nicht erfunden werden, es gibt sie schon. Schaut euch stundenlange Livestreams von Äckern aus dem wunderschönen Havelland an. Treckerfahrn auf Twitch, es ist ein Fest. 1100 Hektar voller Roggen, Weizen, Gerste, Hafer und Raps.

Dr. Drew apologizes for being a COVID-19 denier after copyright silliness (Ars Technica)
Nachdem der US-Fernseharzt Dr. Drew monatelang die Gefahr des neuartigen Coronavirus heruntergespielt hatte, stellte ein Twitter-Nutzer einen Super-Cut seiner fragwürdigen Äußerungen online. Der Tweet ging viral, sehr zum Missfallen des Quacksalbers: Er nutzte den guten alten Urheberrechtshebel, um das Video aus dem Netz zu bekommen. YouTube kam der Löschaufforderung umgehend nach, offensichtlich, ohne das Hirn einzuschalten: Nicht nur bestand das Video aus kurzen TV-Schnipseln, deren Verwendung in den USA durch die Fair-Use-Klausel gedeckt ist. Es leistete auch einen Beitrag dazu, den Verbreiter von Desinformationen zu desavouieren. Dumm nur, dass Dr. Drew allen Klagen androhte, die das Video weiterverbreiteten und er damit einen Schneeballeffekt auslöste. Inzwischen hat sich Drew für seine Fehlinterpretation der Wirklichkeit entschuldigt, und YouTube stellte das Video – zumindest kurzfristig – wieder her. Ein trauriges Lehrstück in puncto Desinformation, Missbrauch von Urheberrecht und monopolartig agierenden IT-Konzernen, die Löschersuchen im Zweifel nachkommen.

Facebook wollte Funktionen der NSO-Spyware Pegasus nutzen (Golem.de)
WhatsApp verklagt den Spyware-Hersteller NSO Group, da dieser eine Sicherheitslücke im beliebten Messenger ausgenutzt haben soll. Im derzeit laufenden Verfahren kamen nun neue Informationen ans Licht. Laut NSO-Chef Shalev Hulio hätten Facebook-Vertreter selbst sein Unternehmen im Oktober 2017 kontaktiert und seien an Überwachungsmöglichkeiten für Facebooks VPN-App Onavo interessiert gewesen. Facebook streitet die Kontaktaufnahme nicht ab, wirft NSO aber vor, vom Klagegegenstand ablenken zu wollen.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: COBOL, Corona und Computerreisen

netzpolitik.org - 6 April, 2020 - 18:00
Nur ein einsames Flugzeug stört (ok, nicht wirklich) den strahlend blauen Frühlingshimmel.

New Jersey Pleas for COBOL Coders for 40-Year-Old Mainframes Amid Coronavirus Crunch (Tom’s Hardware)
Der sprunghafte Anstieg der Corona-bedingten Arbeitslosigkeit droht in New Jersey die Computersysteme lahmzulegen, welche für die Verwaltung der Ansprüche notwendig sind. Eines der Probleme dabei: Sie laufen auf der archaischen Programmiersprache COBOL, für die es an kompetenten Programmierer:innen mangelt. Der US-Bundesstaat sucht nun händeringend nach IT-Expert:innen, die dem seit 40 Jahren eingesetzten System unter die Arme greifen können.

Corona-Falschmeldungen: Die 5G-Verschwörung (sueddeutsche.de)
Uns allen machen die aktuellen Einschränkungen zu schaffen und es wäre natürlich schön, einen Schuldigen zu haben. Aber 5G? Echt jetzt? Verschwörungsvideos wollen einen vermeintlichen Zusammenhang zwischen der Coronavirus-Pandemie und 5G-Technologie entdeckt haben. Und in Großbritannien wurden offenbar an mehreren Funkmasten Feuer gelegt. Als gäbe es nicht gerade genug andere Probleme…

Computer analysieren historische Reiseliteratur (Standard.at)
Wenn wir schon nicht selbst verreisen können, wollen wir wenigstens was darüber lesen. Bei der Österreichischen Nationalbibliothek analysiert ein Teams des Projekts „Travelogues“ derzeit deutschsprachige Reiseberichte von 1500 bis 1876. So sollen beispielsweise Repräsentationen des „Fremden“ erkannt werden. Ein Auszug aus dem Jahr 1810: „Berge und Thäler fliegen vorüber, immer neue Ansichten steigen aus dem Schooss des Meeres, und das ahnungsvolle Blau der Ferne durchzittern weiße Segel, gleich Geistern künftiger Genüsse.“

Decentralized Privacy-Preserving Proximity Tracing (GitHub)
Unterdessen scheint es in der Community derjenigen, die an einer datenschutzfreundlichen Corona-Tracking-App für Europa arbeiten, Uneinigkeit zu geben. Nachdem ein Team vergangene Woche eine Tracking-Technologie basierend auf Bluetooth vorgestellt hat, die Menschen benachrichtigen soll, wenn sie Kontakt mit Infizierten hatten, kommt jetzt von anderen Forscher:innen ein Update oder ein alternativer Vorschlag – was von beidem, ist derzeit etwas undurchsichtig. Sie sorgen sich darum, was einzelne Staaten mit Daten auf einem zentralen Server anstellen könnten und plädieren daher für eine dezentralisierte Variante des Infektions-Trackings. In Deutschland, wo eine solche App vom Robert-Koch-Institut herausgegeben werden soll, wäre dieses Problem weniger drängend als in, sagen wir, Ungarn. Aber auch hierzulande haben wir jetzt einen Vorgeschmack darauf bekommen, wie schnell einige Politiker:innen als sicher geglaubte Grundrechte einkassiert wollen, sobald es um den Infektionsschutz geht.

Behelfsmasken & Gesichtsschilde für medizinisches Personal und Personen aus Risikogruppen in Berlin (xHain)
Der xHain Hack- & Makespace stellt „Behelfsmasken & Gesichtsschilde für medizinisches Personal und Personen aus Risikogruppen in Berlin“ her. Dazu wurden detaillierte Anleitungen und ein Video zum Nähen von Masken veröffentlicht. Unter masken.berlin kann man sich informieren, wie man mithelfen kann.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Covid-19: Why is contact tracing useful?

netzpolitik.org - 6 April, 2020 - 14:45
CC-BY-NC-ND 2.0 fabian.hick

The Covid-19 pandemic is the greatest public health threat that Europe has seen in the last 100 years. Countries have thus introduced various levels of lockdown to reduce the number of new infections. Lockdowns, however, come at a great cost to workers, firms and families. Recent epidemiological models also predict that the epidemic will start anew once the lockdown is lifted (Ferguson et al. 2020).

Scientists have thus discussed a second approach to keeping the epidemic in check: app-based contact tracing. Several apps are currently under development, for instance in the UK and by a pan-European initiative, or have already been launched, as in Singapore.

Why would such an app be useful at all? We still don’t know many things about the coronavirus. The data so far suggest that about half of all infections occur before the dreaded symptoms of fever or a persistent cough appear. It is thus not enough to quarantine people once they show symptoms. To reduce infections, one would need to act quickly when a person is diagnosed with Covid-19 to find all people this person was in close proximity with. The risk of infection is highest if one has been within 1.5 to 2 meters of an infected person for at least 10 to 15 minutes.

If we could determine who had been in such close proximity, then one could ask freshly-infected, pre-symptomatic people to self-isolate and thus stop them from infecting more people. Mathematical models of the pandemic show that fast contact tracing combined with a large-scale virus-testing program might be able not just to delay the epidemic but to stop it entirely. This would also mean that the lockdown measures currently in place around the world could be slowly loosened up again. However, such fast contact tracing is not possible manually. Only a digital, largely automatic solution would help.

Epidemiology meets data protection

Some might argue that the demands of the Covid-19 crisis justify even extreme countermeasures. After all, this is about saving the lives and preserving the health of as many people as possible. Weakening data protection might be preferable to the far-reaching restrictions of personal freedom, and to the economic costs of the current lockdown. However, even in the face of an existential threat, we should interfere with fundamental rights as little as possible. Among the effective approaches, we should choose the one that least compromises fundamental rights. In particular, we believe that swift and efficient contact tracing is possible without collecting extensive amounts of data in a central database.

Figure 1: Every mobile phone stores a list of the mobile phones that were within 2 meters for at least 15 minutes. IDs are temporary but can be decrypted by the server.

A contact tracing system can be set up in a way that would allow for most data processing to happen locally on users’ mobile phones rather than on a central server. Only the notification of users who have been in contact with an infected person would need to be coordinated centrally. And even in this case the necessary data could be processed in a way that would effectively preclude the central server from identifying the users. The system would also not require collecting any location data.

An example for this kind of Covid-19 tracing system is the “Trace together” app from the Singaporean government, which is already in the spirit of the “privacy by design” approach, and similar to what we present below (albeit with a few modifications). The European consortium PEPP-PT is following a very similar concept.

The fundamental idea is simple: It does not matter where people get in contact with an infected person. Be it on the bus or at work – what matters is proximity to a contagious person. This means that particularly sensitive location data, such as GPS or radio cell data, is actually neither necessary nor useful. Instead, the only data that matters is whether two people have come into close enough contact to risk an infection. This in turn can be detected via Bluetooth low energy technology, which can record whether two mobile phones are in close physical proximity. The general drawback of Bluetooth, that it can only reach across a few meters, becomes an advantage here.

Figure 2: A user can share their data with the server after receiving a Covid-19 diagnosis. The server then alerts all phones that have been in close proximity with the infected phone. The alerted people would still need to contact their local health authorities, as their identity is not linked to the app.

The tracking would work as follows: As many people as possible voluntarily install the app on their phone. The app cryptographically generates a new temporary ID every half hour. As soon as another phone with the same app is in close proximity, both phones receive the temporary ID of the respective other app and record it. This list of logged IDs is encrypted and stored locally on the users’ phones (see Figure 1). As soon as an app user is diagnosed with Covid-19, the doctor making the diagnosis asks the user to share their locally stored data with the central server (see Figure 2). If the user complies, the central server receives information on all the temporary IDs the “infected” phone has been in contact with.

The server is not able to decrypt this information in a way that allows for the identification of individuals. However, it is still able to notify all affected phones. This is because the server does not need any personal data to send a message to someone’s phone. The server only needs a so-called PushToken, a kind of digital address of an app installation on a particular phone. This PushToken is generated when the app is installed on the user’s phone. At the same time, the app will send a copy of the PushToken, as well as the temporary IDs it sends out over time, to a central server. The server could be hosted, for example, by the Robert-Koch-Institut for Germany or by the NHS for the UK. This way, it would be possible to contact phones solely based on temporary IDs and PushTokens whilst completely preserving the privacy of the person using the phone.

Once a phone has been in close proximity to an “infected” phone, the user of that phone receives a notification together with the request to immediately go into quarantine at home. The user will then need to contact the local health authorities to get tested for the virus as soon as possible so that, depending on the outcome, the user is either able to stop quarantining or all their contacts can be informed (see Figure 2).

During the entire process no one learns the identity of the app user: Neither the other users who got in close contact with them, nor the local health authorities, and not even the central server, since the app is not linked to an identity. Location data is neither recorded nor stored at any point of the process.

Figure 3: The most-cited reasons against the installation of a contact-tracing app (representative surveys in the UK, Germany, Italy and France, conducted 20–27 March 2020, for more information see here)

As mentioned above, we did not come up with this concept. Singapore introduced a very similar app and several European countries are working on comparable apps as well. We do not agree with all aspects of the Singaporean app and their practice of contact tracing. For example, every app installation in Singapore is linked with the user’s telephone number and is thus identifiable – something that is not strictly necessary and thus, for data protection reasons, should be rejected. Nevertheless, we like the general concept. The recently published pan-European contact tracing standard PEPP-PT looks promising and might prove to be a legitimate implementation of the privacy-friendly tracing approach outlined above.

Such an app could implement contact tracing much more effectively than a system that relies on radio cell or location data, since neither of these two data sources permit determining a person’s position with the necessary precision of two meters maximum. At the same time, such a concept would comply with existing data protection regulations.

Data minimisation begets acceptance

In the case of contact tracing, the approach that requires the least amount of data also seems to be the most effective epidemiologically. This is because an app like the one described above would be better suited to determine who actually was in close proximity than any of the other proposed solutions. Moreover, even digital contact tracing systems need users to cooperate (by installing the app and carrying their phones with them) for any chance of success. Consequently, the effectiveness of any contact tracing system depends on public support. There is reason to believe that the level of support can be increased by opting for a data-minimising solution. A representative survey across four countries shows that about 70 percent of respondents would install an app like the one described above on their phones (disclosure: Johannes Abeler, one of the co-authors of this article, is also the lead author of the survey study). The reason most frequently brought up against an installation is the worry that the government could use the app as an excuse for greater surveillance after the end of the epidemic (see Figure 3). If the government wants as many people as possible to install the app, it should take these concerns seriously and refrain from using location data. Contact tracing works without it.

Conclusion: Proportionality instead of „whatever it takes“

In the current crisis, we will have to endure more and deeper encroachments on fundamental rights than we are used to. Still, there is no reason to tolerate such encroachments to a greater extent than strictly necessary. Even under the current time pressure, it is important to find solutions that minimize data processing as far as possible. We have shown above that this is possible for the case of contact tracing. As the pandemic progresses, many other challenges will emerge. For each of them, one will have to check which data processing is necessary to address them and which ones can be avoided.

Trying to find the data-minimizing solution does not just protect fundamental rights. Such solutions will often increase the effectiveness and efficiency of the respective data processing system. Only if people trust a system – because it doesn’t spy on them – will the system find broad support in the population.
 
Johannes Abeler is Associate Professor in the Department of Economics at the University of Oxford and Tutorial Fellow at St. Anne’s College.

Matthias Bäcker (Twitter) is Professor of Public Law at Johannes Gutenberg-Universität Mainz.

Ulf Buermeyer (Twitter) is president of the non-governmental organization Society for Civil Rights (GFF.NGO) and desk officer at the Department of Justice of the Federal State of Berlin. This publication does not necessarily reflect the position of his employer.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Corona-Kontrollen: Landespolizeien setzen Drohnen ein

netzpolitik.org - 4 April, 2020 - 20:25
Eine mit Lautsprecher ausgerüstete "Mavic Enterprise" der Polizei in Baden-Württemberg. Alle Rechte vorbehalten Wohnraum Gestalten, Freiburg

Die Polizei in Frankfurt am Main hat mit einer Drohne überwacht, ob trotz Verbot Versammlungen abgehalten werden. Hintergrund waren die für Donnerstag angekündigten Feiern anlässlich der Abitur-Prüfungen, die traditionell im zentralen Grüneburgpark stattfinden. Auf Nachfrage teilte die Pressestelle mit, dass der Einsatz nach § 14 Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) erfolgte. Es bestimmt die polizeilichen Befugnisse zur Datenerhebung und -verarbeitung an öffentlichen Orten und „besonders gefährdeten öffentlichen Einrichtungen“.

Auch in Bayern werden unbemannte Fluggeräte in der Corona-Krise zur Beobachtung eingesetzt. An den Binnengrenzen sollen sie zur Lagebewertung von Staus beitragen, die durch die Wiedereinführung der Grenzkontrollen entstanden sind. Die kleinen Drohnen bilden dabei eine Ergänzung zu einem ebenfalls eingesetzten Hubschrauber.

Durchsagen über „beliebten Treffpunkten“

Zur Kontrolle von Ausgangsbeschränkungen fliegen Quadrokopter außerdem in mindestens zwei Städten Nordrhein-Westfalens. Laut einem Bericht des Tagesspiegel werden sie von der Polizei in Dortmund und Düsseldorf „zur Information über die Gesundheitsgefahren bei Nichteinhalten des Kontaktverbots“ eingesetzt. Die Drohnen sind dafür mit Lautsprechern ausgestattet und kreisen über Personengruppen „an beliebten Treffpunkten“. Diese wurden anschließend zum „Verlassen der Plätze aufgefordert“. Dem Bericht zufolge bewertet das Landesinnenministerium den Einsatz als positiv.

Durchsagen mithilfe einer Drohne sind unter anderem aus Baden-Württemberg bekannt, wo sie von einem Spezialeinsatzkommando im Oktober für eine Häuserräumung in Freiburg zum Einsatz kamen. Dabei handelte es sich um eine „Mavic Enterprise“ des chinesischen Herstellers DJI, die mit einem Lautsprecher aus dem Zubehör der Firma bestückt war. Eine zweite Drohne, vermutlich vom Landeskriminalamt, beobachtete die polizeiliche Maßnahme aus der Luft.

Kritik in Frankfurt

Zur Bekämpfung von Covid-19 plant Baden-Württemberg aber keinen Einsatz seiner Lautsprecherdrohne, schreibt der Tagesspiegel. Auch die Polizeibehörden in Berlin und Hamburg, die ihre Quadrokopter zur Beobachtung aus der Luft einsetzen, verneinen eine entsprechende Anfrage.

Angesichts der sommerlichen Temperaturen waren auch an diesem Wochenende in Frankfurt polizeiliche Drohnenflüge angekündigt. Wie die Frankfurter Rundschau berichtet, soll dieser Einsatz aber nicht stattfinden. Gegenüber der Hessenschau hatte der Rechtsprofessor Uwe Volkmann die Maßnahme wegen einer fehlenden Ermächtigungsgrundlage kritisiert. Die von der Polizei genannte Fundstelle im Gesetz über die öffentliche Sicherheit und Ordnung decke eine Überwachung mit Drohnen demnach nicht ab.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Wochenrückblick KW 14: Rettet Bluetooth unsere Daten?

netzpolitik.org - 3 April, 2020 - 18:51
Sieht so Home-Office aus? Gemeinfrei-ähnlich freigegeben durch unsplash.com Matthew Henry

Zu Beginn des Wochenrückblicks möchten wir euch auf unseren aktuellen Transparenzbericht für den Februar hinweisen. Wir mussten leider ein Minus von 13.000 Euro verbuchen. Auch an dieser Stelle ein herzliches Dankeschön an alle Spender:innen, die unsere Arbeit erst ermöglichen!

Seit zwei Wochen bieten wir mit unserem wochentäglichen bits-Newsletter einen neuen Service. Darin bekommt ihr nicht nur einen kommentierten Überblick, was an dem Tag bei uns passierte, wir sammeln und kuratieren auch spannende Links außerhalb unserer Berichterstattung. Und auf absehbare Zeit gibt es auch einige spannende Lese-Tipps rund um die Corona-Krise. Hier geht es zur Anmeldung.

Weniger Infizierte – mehr Überwachung?

Unser Thema der Woche war zweifelsfrei die Frage, ob von Smartphones generierte Daten dazu beitragen können, Infektionen mit dem Coronavirus nachzuvollziehen und zu verhindern. In ihrem Gastbeitrag zeigen Johannes Abeler, Matthias Bäcker und Ulf Buermeyer, dass es durchaus auch datenschutzfreundliche Varianten gibt, Handyanwendungen zu programmieren, die nachvollziehbar machen, mit wem eine infizierte Person Kontakt hatte. Grundlage für ihre Ausführungen ist eine Anwendung der Regierung von Singapur, die dem Prinzip Privacy by Design in weiten Teilen folgt.

Und tatsächlich arbeitet in Deutschland seit mehr als drei Wochen ein internationales Team aus Wissenschaftler:innen, IT-Fachleuten und einzelnen Unternehmen rund um das Fraunhofer Institut für Nachrichtentechnik (Heinrich-Hertz-Institut) daran, eine auf ähnlichen Prinzipien basierende Technologie zu entwickeln. Dabei geht es nicht um eine konkrete App, sondern um eine quelloffene Technologie namens Pepp-PT, die auch in anderen Ländern anwendbar sein soll. Damit das Ganze möglichst gut funktioniert, müssen viele Menschen die Anwendung freiwillig installieren und nutzen – auch deshalb soll sie möglichst datenschutzfreundlich gestaltet sein, so die Macher:innen.

In einem dritten Gastbeitrag kommentieren Stefan Brink, baden-württembergischer Landesdatenschutzbeauftrager, und Clarissa Henning, warum solch ein freiwilliges Handy-Tracking ihrer Meinung nach nicht funktionieren wird. Sie zweifeln nicht nur an der versprochenen Anonymität und der Genauigkeit von Bluetooth-basierten Abstandsmessungen, sondern kritisieren auch, dass Diskussionen um die Anwendung den Blick auf das verstellen, was wirklich wichtig ist: die Frage, ob und inwieweit ein freiheitlicher Rechtsstaat positiv getestete Bürger:innen daraufhin überwachen darf, ob sie Quarantäne-Auflagen einhalten.

Gleichzeitig wecken auch die Handy-Standortdaten, auf die Pepp-PT bewusst verzichtet, weiter Begehrlichkeiten. Die Europäische Kommission möchte von Netzbetreibern Zugang zu anonymisierten Daten von Handy-Nutzenden erhalten, aus denen die gemeinsame Forschungsstelle der Europäischen Union Bewegungsprofile erstellen soll. Diese Profile sollen Rückschlüsse darüber erlauben, welche Eindämmungsmaßnahmen gegen das Virus besonders effektiv sind. Zwar sollen die Daten gänzlich anonymisiert und aggregiert sein, der Europäische Datenschutzbeauftragte mahnt aber trotzdem, einen regelkonformen Umgang zu finden.

Deutlich fragwürdiger ist die Praxis vieler Gesundheitsämter, Daten über Infizierte und ihre Kontaktpersonen an lokale Polizeibehörden zu übermitteln. Recherchen von netzpolitik.org zeigen auf, dass dies in vielen Bundesländern geschehen ist – laut Behördenangaben, damit sich Polizeibeamt:innen besser schützen können. In Baden-Württemberg, Bremen und Niedersachsen schieben Datenschutzbeauftragte der Praxis einen Riegel vor, in Mecklenburg-Vorpommern darf sie wohl erstmal fortgesetzt werden.

Turbodigitalisierung dank Corona bringt Probleme mit sich

Die Corona-Krise ist nicht nur eine enorme Belastung für unser Gesundheitssystem. Sie stellt uns auch als Gesamtgesellschaft vor große Fragen. Die Corona-bedingte Turbodigitalisierung verschiedenster Lebensbereiche generiert riesige Datenvolumen, die teils sehr sensibel sind. In seinem Gastbeitrag fragt Rainer Mühlhoff, ob die gesellschaftliche Debatte zu Datenschutz mit dem Tempo dieser Veränderungen mithalten kann – und erklärt, wieso wir jetzt über digitale Grundrechte sprechen müssen.

Wie lassen sich resiliente digitale Infrastrukturen schaffen, die gleichzeitig gemeinwohlorientiert sind? Viele freie Projekte stehen in der Krise vor einer doppelten Herausforderung: Ihre Nutzer:innenzahlen explodieren, während gleichzeitig Spenden einbrechen. Ein digitalpolitisches Bündnis veröffentlicht deshalb einen Forderungskatalog mit Maßnahmen, die die digitale Zivilgesellschaft in Krisenzeiten stärken können.

Können wir den Moment der Krise – und die vielen kreativen und solidarischen Initiativen, die dadurch entstanden sind – nutzen, um neu über die Klimakrise, die unmenschliche Lage an den EU-Außengrenzen und unser Wirtschaftssystem insgesamt zu sprechen? Die Autor:innen unseres Gastbeitrags beantworten diese Frage mit einem entschiedenen Ja – und versuchen ihren Beitrag zu leisten, damit aus Hoffnung Realität wird.

Wie Lösungen auf Teilprobleme der Corona-Krise auch online entstehen können, hat der #WirVsVirus-Hackathon gezeigt (wir berichteten). Organisator:innen und eine Jury haben jetzt 20 Projekte prämiert, die sie auch langfristig unterstützen wollen. Wir werfen einen Blick auf die Endauswahl und stellen vor, wie diese Projekte verstetigt werden sollen.

In seiner Kolumne aus dem Fernsehrat beschreibt Leonhard Dobusch, wie die öffentlich-rechtlichen Kanäle mit der Digitalisierung ihres Angebots kämpfen und wieso sie kaum vom Corona-Boom profitieren. Dies liegt unter anderem an einem fehlenden Kanal für nutzer:innengenerierte Inhalte, erklärt Dobusch.

Die Pandemie ist auch eine Infodemie

Die Corona-Krise sorgt für immensen Zeitdruck – in Wissenschaft und Journalismus ebenso wie in der Politik. Ein Ergebnis ist, dass eine eigentlich unproblematische wissenschaftliche Praxis jetzt mitunter auch zu Falschnachrichten führt. Wissenschaftler:innen können ungeprüfte Ergebnisse auf sogenannten Preprint-Servern veröffentlichen und so mit anderen Expert:innen über ihre Arbeit diskutieren. Angesichts der drängenden Krise werden hier veröffentliche Resultate aber oft auch fälschlicherweise als wissenschaftlicher Konsens verstanden und auf sozialen Medien verbreitet.

In seinem Gastbeitrag argumentiert Wolf Schünemann, das Konzept der Desinformation sei – insbesondere in Hinblick auf die Corona-Krise – nicht trennscharf genug, um strafrechtlich verfolgt zu werden. Stattdessen plädiert er für Aufklärung sowie Eigenverantwortung – und weist auf das Schicksal des chinesischen Arztes Li Wenliang hin, der als einer der ersten online vor einem neuartigen Virus warnte. Chinesische Sicherheitsbehörden warfen ihm vor Gerüchte zu verbreiten und zwangen ihn, seine Warnung schriftlich zu widerrufen.

Auch Online-Plattformen geraten durch die Corona-Krise unter Druck. Von viralen Verschwörungstheorien bis zu falschen Informationen über das Virus, die von offiziellen Accounts – zum Beispiel von Donald Trump oder Jair Bolsonaro – in die Welt gesetzt werden: Facebook, Twitter und YouTube haben alle Arme voll zu tun. Die EU-Kommission setzt die Plattformen unter Druck, gegen Desinformationen vorzugehen. Das Ergebnis sind teils willkürlich anmutende Entscheidungen und Unklarheit, ob die Regeln der Netzwerke auch bei Politiker:innen stringent durchgesetzt werden.

Blicke über den Corona-Tellerrand

Die Europäische Kommission und EU-Länder drängen das Parlament dazu, laufende Verhandlungen zu einem Anti-Terrorpropaganda-Gesetz möglichst rasch abzuschließen. Der Gesetzesentwurf sieht unter anderem Uploadfilter gegen mutmaßliche Terrorpropaganda sowie grenzüberschreitende Löschanordnungen vor. Insbesondere Letzteres ist angesichts der rapide wachsenden autoritären Tendenzen einiger mitteleuropäischer Länder – beispielsweise Ungarn – aus bürgerrechtlicher Sicht hochproblematisch, bekräftigt jetzt erneut ein Bündnis europäischer digitalrechtlicher Organisationen.

Am Netzwerkdurchsetzungsgesetz wird fleißig geschraubt: während der Bundestag noch über die erste Änderung berät, bringt die Bundesregierung eine zweite, weniger kontroverse Novelle auf den Weg. Sie soll unter anderem die EU-Richtlinie über audiovisuelle Mediendienste in nationales Recht überführen und nutzer:innenfreundlichere Meldewege sowie Beanstandungsmöglichkeiten einführen.

NPP 199 – unser Off The Record Podcast

Falls ihr neugierig seid, wie sich der Homeeffice-Alltag auf unsere Arbeit auswirkt, hört gerne in unseren aktuellen Hintergrundpodcast hinein – in dieser Ausgabe exklusiv über Skype und mit entsprechender Soundqualität. Wir sprechen über zwei Themen der vergangenen Woche: die Debatte um Auswertungen von Handy-Standortdaten sowie Datenübertragungen durch Gesundheitsämtern, für die Faxgeräte noch immer eine wichtige Rolle spielen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Datenschutzbehörde: Coronavirus-Listen der niedersächsischen Polizei sind illegal

netzpolitik.org - 3 April, 2020 - 18:40
„Die Anschriften der unter häuslicher Quarantäne stehenden Personen nach einem positiven Test auf Corona sind seitens der Gesundheitsämter an die Polizei zu übermitteln“, lautete die Anordnung in Niedersachsen. CC-BY-NC-SA 3.0 Olaf Kosinsky via Wikimedia/CDC via unsplash/Daniel Laufer | Bearbeitung: netzpolitik.org

In mehreren Bundesländern hatte die Polizei Daten von Menschen gesammelt, die mit dem Coronavirus infiziert wurden. Bald dürfte dies nur noch in Mecklenburg-Vorpommern der Fall sein. In Baden-Württemberg und Bremen wurde die Übermittlung bereits gestoppt, nachdem Datenschützer:innen interveniert hatten. Nun erfolgte auch in Niedersachsen die Anweisung, keine sensiblen Gesundheitsdaten mehr herauszugeben.

Ein Dokument legt jedoch nahe, die Behörden von Innenminister Boris Pistorius und Sozialministerin Carola Reimann (beide SPD) könnten zunächst versucht haben, ein mögliches Veto der Landesdatenschutzbeauftragten Barbara Thiel zu umgehen.

An diesem Freitag hat diese den niedersächsischen Gesundheitsämtern offiziell untersagt, Listen von Coronavirus-Infizierten an die Polizei zu übermitteln. Die Maßnahme sei unverhältnismäßig und verstoße gegen den Datenschutz. Darüber hat Thiels Behörde nach eigenen Angaben auch die Kabinettsreferate informiert.

Weitergabe der Listen ist strafbar

Unter anderem unterlägen die Daten der ärztlichen Schweigepflicht, wie ein Sprecher der Datenschutzbeauftragten netzpolitik.org mitteilte. „Wer sie unbefugt übermittelt, macht sich nach § 203 StGB strafbar“, so Johannes Pepping.

Mehr als 5.000 Menschen sind in Niedersachsen laut dem Robert Koch-Institut an Covid-19 erkrankt. Zwei Polizeidirektionen hatten bereits bestätigt, sensible Gesundheitsdaten erhalten zu haben.

Insgesamt fünf Direktionen hatten am 1. April in Abstimmung mit dem niedersächsischen Innenministerium eine identische Stellungnahme abgegeben. Darin behaupteten sie noch, es gebe lediglich Überlegungen, „landesweit einheitlich eine Übermittlung von Quarantänelisten der Gesundheitsämter“ sicherzustellen. Das Innenministerium und das Sozialministerium hätten hierzu im Austausch gestanden.

Offenbar war diese Darstellung mindestens irreführend. netzpolitik.org liegt ein Schreiben vor, das belegt, dass das Sozialministerium die Weitergabe von Listen schon am 31. März verbindlich angeordnet hatte.

Landesdatenschutzbeauftragte dementiert, am Verfahren beteiligt gewesen zu sein

Adressiert war es per E-Mail an Landkreise und kreisfreie Städte, unter anderem auch an das Landesinnenministerium. „Die Anschriften der unter häuslicher Quarantäne stehenden Personen nach einem positiven Test auf Corona sind seitens der Gesundheitsämter an die Polizei zu übermitteln“, schrieb die für Gesundheit zuständige Abteilungsleiterin des Sozialministeriums. Nach Ablauf der Quarantänezeit sollten sie „zeitnah“ demnach gelöscht werden.

Das Innenministerium versuchte an diesem Freitag, zu erklären, warum die frühere Aussage dennoch der Wahrheit entsprochen habe: Sie habe sich nur darauf bezogen, wie innerhalb der Polizeidirektion mit den Listen umgegangen werde.

In seinem Schreiben hatte das Sozialministerium auch angegeben, in das Verfahren hinter der Anordnung an die Gesundheitsämter sei auch die Landesdatenschützerin Thiel eingebunden gewesen. Deren Sprecher dementierte dies. „Wir wurden nicht beteiligt, sondern maximal auf einer Arbeitsebene über Vorüberlegungen informiert“, sagte Pepping. Auf eine Anfrage hierzu hat das Sozialministerium bislang nicht reagiert.

Bei seiner Anordnung hatte es sich auf das Niedersächsisches Polizei- und Ordnungsbehördengesetz berufen. Darin heißt es: „Die Verwaltungs- und Polizeibehörden können untereinander personenbezogene Daten übermitteln, wenn die Übermittlung zur Erfüllung der Aufgabe der Gefahrenabwehr erforderlich ist.“ Der Datenschutzbeauftragten zufolge könne dies bei den besonders schützenswerten Gesundheitsdaten jedoch nicht angewandt werden.

Bremens Gesundheitssenatorin räumt Fehler ein

Auch in Bremen hatte es eine Übermittlung Daten von Coronavirus-Infizierten an die Polizei gegeben. Die Datenschutzbeauftragte Imke Sommer ließ diese nach dem Bekanntwerden stoppen. Gesundheitssenatorin Claudia Bernhard (Linke) erklärte nun auf Twitter, die Daten seien„fälschlicherweise“ weitergegeben worden. Nach unserer Berichterstattung wurden sie offenbar gelöscht.

In den übrigen Bundesländern werden der Polizei nach Angaben der jeweiligen Innenministerien keine entsprechenden Listen übermittelt. Als letztes hat dies inzwischen auch Sachsen-Anhalt netzpolitik.org mitgeteilt.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich jetzt auf „Grundsätze bei der Bewältigung der Corona-Pandemie“ geeinigt. Bürger:innen müssten sich demnach darauf verlassen können, dass Freiheitsrechte wie das Grundrecht auf informationelle Selbstbestimmung nur eingeschränkt würden, wenn es zwingend erforderlich und angemessen ist.

In ihrer Erklärung stellte die Datenschutzkonferenz zudem klar: „Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets auf einer gesetzlichen Grundlage zu erfolgen hat.“ Die Einhaltung der Grundsätze leiste einen Beitrag zur Freiheit in der demokratischen Gesellschaft.

Aktualisierung vom 8. April 2020: Wir haben das Schreiben des niedersächsischen Sozialministeriums vom 31. März, in dem die Weitergabe der Daten an die Polizei angeordnet wurde, inzwischen aus einer weiteren Quelle erhalten und es veröffentlicht. Zuvor hatten wir dies auf Wunsch unserer ursprünglichen Quelle nicht getan.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Digitalisierung in der Corona-Falle: Warum freiwilliges Handy-Tracking nicht funktioniert

netzpolitik.org - 3 April, 2020 - 08:32
Wer trotz der Bemühungen, zu Hause zu bleiben, einem Corona-Infizierten nahe kam, soll per App benachrichtigt werden. mikoto.raw

Dr. Stefan Brink ist seit 2017 Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Clarissa Henning ist Referentin beim Landesdatenschutzbeauftragten.

Deutschland kurz vor der ersten massiven Pandemie-Welle: Wir begreifen, dass dieses Virus sich in seinem exponentiellen Ausbreitungsdrang nicht dauerhaft aufhalten lässt, dass wir Infektionsketten nicht mehr wie bisher identifizieren und unterbrechen können, dass unser Gesundheitssystem Tausende vornehmlich aus den Risikogruppen nicht wird retten können. Die Hilflosigkeit nimmt zu, gleichzeitig die Forderung, „dass man doch irgendetwas tun müsse“.

Das Irgendetwas findet sich schnell: Digitale Technologien sollen uns wieder zum „Herrn der Lage“ machen und damit die Angst vor der unüberschaubaren Gefahr eindämmen. Dabei übersehen wir, dass wir den Kampf gegen das Virus so dennoch nicht gewinnen können – und zudem unsere freiheitliche Rechtsstaatlichkeit aufs Spiel setzen.

Die Suche nach einem schnellen Heilsbringer

Solange ein wirksamer Impfstoff fehlt, müssen natürlich Alternativen erwogen und erprobt werden: Social Distancing, Hygienemaßnahmen, Shut Down. Doch eine effektive Abgrenzung der Risikogruppen vom Virus erscheint praktisch und politisch nicht erreichbar, also wendet sich der Blick auf die Infizierten (und schon bald auch auf die Infektionsverdächtigen). Sie sollen über Tests identifiziert und dann von den Gesundheitsämtern in Quarantäne gebracht werden, die anschließend möglichst genau eingehalten und nötigenfalls überwacht wird.

Nachdem der ungestüme Anlauf des Gesundheitsministers, gleich zu Beginn der gesetzgeberischen Maßnahmen, durch massiven Eingriff in die Grundrechte Infizierter unter Verwertung ihrer Standort- und Telefonie-Verkehrsdaten (!), noch abgewehrt werden konnte, wird der Ruf nach einer „digitalen“ Bewältigung der Gesundheitskrise wieder lauter. „Freiwilligkeit“ soll nun an die Stelle staatlicher Zwangsmaßnahmen treten, von „anonymisierten Informationsflüssen“ ist die Rede.

Beide Ansätze muten modern und grundrechtsfreundlich an, beide sind es bei näherem Hinsehen nicht: In Zeiten der Krise wird nach einem schnellen Heilsbringer Ausschau gehalten – und wenn es unser Gesundheitssystem nur in Grenzen sein kann und die Forschung noch Monate Zeit benötigt, welche die Risikogruppen nicht haben, dann soll es also etwas Großes, Großartiges und Unverstandenes wie die Digitalisierung sein, das uns rettet.

Digitalisierung bezeichnet die Umwandlung von analogen Werten in maschinenlesbare „digitale“ Formate und ihre informationstechnische Verarbeitung. Mit ihr werden mehr und mehr bislang unsichtbare, hoch komplexe Vorgänge der Lebenswirklichkeit mittels technischer Sensoren datenmäßig erfasst, ablesbar gemacht und damit für die Steuerung und Gestaltung menschlichen Verhaltens relevant.

Das gilt für den intelligenten Kühlschrank ebenso wie für das selbstfahrende Auto. Für die jetzige Situation heißt das: Wenn der Lebensalltag eines jeden datentechnisch dokumentiert wird, könnte daraus das Wissen extrahiert werden, wie der unsichtbare und hoch komplexe Vorgang der Verbreitung eines Virus sich durch „digitale Maßnahmen“ steuern und in den Griff bekommen lässt.

Punkt. Ende der Digitalisierung.

Das ist allerdings eine Fehlvorstellung, die mehr über unsere unbeirrte Technikgläubigkeit und unsere akute Verzweiflung aussagt als uns lieb sein kann. Denn eine technische Sensorik, die es uns erlaubte, den Weg von einzelnen Virusinfektionen nachzuzeichnen oder konkret vorauszuberechnen, gibt es nicht. Punkt. Ende der Digitalisierung.

Was es gibt sind Versuche, menschliches Verhalten – insbesondere das von Infizierten und von Verdachtsfällen – technisch zu erfassen und die Daten für den Kampf gegen die Pandemie nutzbar zu machen. Dass hierzu der Einsatz von Standortdaten aus der Mobilfunktelefonie viel zu ungenau ist, hat sich herumgesprochen; auch die von Smartphones erfassten GPS-Ortungsdaten taugen nicht, da sie ebenfalls auf den Infektionsradius nicht abgestimmt sind und nicht abbilden, dass wir uns nicht nur nebeneinander, sondern auch übereinander bewegen (in mehrstöckigen Häusern, U-Bahnen und Einkaufszentren) und selbst bei geteiltem Standort durch Wände oder Fenster „sicher“ getrennt sein können.

Bleibt die Bluetooth-Technologie, deren Schwäche nun zu einer Stärke werden könnte: Sie reicht nur wenige Meter weit und korreliert somit noch am Besten mit dem von Virologen ausgerufenen Ansteckungsradius von 1,5 bis 2 Metern. So soll ab Mitte April eine „Tracking-App“ zur Verfügung stehen, die über Bluetooth LE automatisch anonymisierte Daten mittels eines Zahlencodes mit den Smartphones derjenigen Menschen austauscht, denen wir so nahe gekommen sind, dass eine Ansteckung möglich wäre. Sollte dann ein positiver Covid-19-Befund vorliegen, werden automatisch alle im lokalen Speicher meines Smartphones gespeicherten Codes von Kontaktpersonen aus dem Inkubationszeitraum an einen zentralen Server übermittelt.

Bei näherer Betrachtung schwindet jedoch auch diese „Hoffnung“ auf Heilsbringung: Bluetooth verhält sich, je nach Umgebung, sperrig und reicht mal kaum einen Meter weit, mal unter günstigsten Bedingungen aber bis zu einhundert Meter weit – und damit um ein Vielfaches zu weit, um realistische Angaben zu Infektionsrisiken daraus ableiten zu können. Von praktischen Problemen mal ganz abgesehen, dass ein Smartphone in der hinteren Hosentasche anders abstrahlt als eines in der Hand. Und dass man in einem größeren Mietshaus Wand an Wand mit einem Infizierten wohnen kann, dem man weder begegnet ist noch begegnen wird. Vorhersagen, solche Unwägbarkeiten des Bluetooth-Einsatzes durch Signalstärkemessungen abfangen zu können, sind nicht mehr als Hoffnungen.

Zweifel an der Anonymität

Auch bei den vorgestellten Lösungen zur Anonymität der ausgetauschten Daten liegen Zweifel auf der Hand: Bei den ausgetauschten Zahlencodes kann es sich ja nur um pseudonymisierte, also durchaus noch personenbeziehbare Informationen, und gerade nicht um anonymisierte Daten handeln, wenn man darüber infektionsgefährdete Personen ermitteln will.

Das bedeutet auch, dass jedenfalls für den Handybesitzer potentiell auslesbar ist, welche konkreten Personen hinter den Codes stecken, die in seinem Telefonspeicher abgelegt sind – er ordnet diesen Code ohne weiteres einer bestimmten, ihm bekannten Person zu, die er im Inkubationszeitraum traf. Die Zusage von Seiten der Entwickler, man habe auf den Aspekt der Anonymisierung zu Datenschutzzwecken höchste Priorität gelegt, sollte daher nochmals überprüft werden.

Aber abgesehen von diesen Details müssen wir den Blick auf etwas anderes richten: den Aspekt der Freiwilligkeit bei der Nutzung von Tracking-Apps. Ob sich alle zur Installation der App bereit erklären, darf bezweifelt werden. Das Misstrauen gegenüber staatlicher und privater Überwachung wurde in den vergangenen Jahren massiv befeuert, Facebook-Skandale und illegales Online-Tracking haben ihre Spuren ebenso hinterlassen wie Fehlverhalten öffentlicher Stellen, jüngst etwa, als sich Polizeistellen – grob rechtswidrig – zur „Eigensicherung“ mit Infizierten-Listen der Gesundheitsämter versorgten.

Freiwilligkeit sieht anders aus

Aber gehen wir im folgenden Gedankenexperiment einmal davon aus, dass die derzeitige Verunsicherung in der Bevölkerung tatsächlich dazu führt, dass sich „annähernd 100 Prozent der Bevölkerung“ die App laden, wie Finanzminister Scholz erwartet. Bereits solche „Erwartungen“ lösen einen Druck auf die Bevölkerung aus, der jeder Freiwilligkeit entgegenwirkt. Zumal der Subtext ebenfalls klar vernehmbar ist: Lockerungen der Ausgangs- und Kontaktbeschränkungen werden mit der Mitwirkungsbereitschaft der Bürger beim Selbsttracking in Verbindung gebracht. Wenn das mit der Freiwilligkeit nicht klappt, soll also wieder zu staatlichen Zwangsmaßnahmen übergegangen werden. Gerade in der aktuellen Lage sieht Freiwilligkeit anders aus.

Wenn zudem offensichtlich überhöhte Erwartungen („annähernd 100 Prozent Nutzer“) geschürt werden, drängt sich der Eindruck auf, hier wird eine Freiwilligkeitsdebatte geführt, deren Ende schon festzustehen scheint. „100 Prozent der Bevölkerung“ verfügen keineswegs über ein App-fähiges Mobiltelefon, gerade bei den Risikogruppen fehlt es daran bei weit über einem Drittel.

Wie sollen solche Erwartungen in die Nutzungsbereitschaft je erfüllt werden? Oder denke man bereits über Maßnahmen nach, die „Freiwilligkeit“ der Teilnahme am App-Tracking zu „fördern“: Wir haben die Bilder aus Wuhan, Singapur und Hongkong vor Augen, wo vor der Benutzung von öffentlichen Verkehrsmitteln oder dem Supermarkteinkauf kontrolliert wurde, ob die App bei den Bürgern auch tatsächlich im Einsatz war – spätestens hier endet jede Freiwilligkeit.

Freiwillige Tracking-Apps werden scheitern

Ausschlaggebend wird allerdings ein ganz anderer Faktor sein: Die menschliche Psyche wird freiwillige Tracking-Apps scheitern lassen. Da ist zum einen der Infizierte: Er installierte die App in einer Situation, in der er sich durch ihren Einsatz einen Vorteil versprechen konnte, nämlich die Information über relevante Kontakte mit Infizierten.

Nun erhält er selbst die Nachricht, infiziert zu sein, und schlagartig ändert sich sein Kalkül: Er selbst hat von der Information anderer über seinen Infektionsstatus keinen Vorteil mehr, muss sogar zusätzliche Risiken erwägen, die vom App-Betreiber, staatlichen Stellen oder auch Kontaktpersonen ausgehen könnten, die ihn trotz zugesicherter Anonymität der App-Nutzung zu identifizieren versuchen.

Wie viele der App-Nutzer werden also diese für andere so wichtige Information solidarisch teilen? Kann die App nun wieder deinstalliert werden oder ist mit der Infektion das Recht auf Widerruf (und damit auf Freiwilligkeit) erloschen? Oder „outet“ man sich sogar vielmehr selbst durch die Deinstallation der App, da man ja sonst „nichts zu verbergen“ hätte?

Betrachten wir den zweiten Benutzertyp – den nicht-infizierten App-Nutzer – der eine Nachricht über einen Kontakt zu einem Erkrankten und damit die Aufforderung bekommt, sich in häusliche Quarantäne zu begeben. Die Befolgung der Quarantäneanordnung ist hierbei alleine ins Belieben des App-Nutzers gestellt, hier wirkt sich das Anonymitätsversprechen der App zum zweiten Mal aus.

„Begib Dich in Quarantäne“

Bei einer Quote von weniger als 0,1 Prozent positiv getesteter Bürger sind solche Nachrichten „Begib Dich in Quarantäne“ zunächst nur selten zu erwarten – aber was, wenn wir auf dem Weg zur Herdenimmunität 30 und mehr Prozent (ehemals) Infizierte haben? Wer geht denn dann noch freiwillig zum dritten oder vierten Mal in die häusliche Quarantäne, gerade wenn er sich nicht krank fühlt, um die Schwächen der Bluetooth-Technologie weiß und es alleine bei ihm liegt, ob er die Nachricht befolgt oder löscht?

Immer noch besser als nichts, mag man denken, eine gewisse Zahl von Bürgerinnen und Bürgern wird die App installieren und nutzen, wird die eigene Infektion ehrlich weitermelden und solche Meldungen klaglos zum Anlass nehmen, sich erneut aus dem Verkehr zu ziehen. Aber dabei sollte niemand vergessen, dass wir dieses „soziale Experiment“ nicht zum Zeitvertreib, sondern in einer äußerst ernsten Gesundheitskrise wagen, der die Wirtschaftskrise auf dem Fuße folgt – und dass jedes Misslingen Zeit, Energie und Vertrauen kostet und weitere Menschenleben gefährdet.

So bitter es gerade für einen Datenschützer ist, dies festzustellen: Freiwillige Tracking-Apps sind weder technisch noch rechtlich noch sozial erfolgsversprechend. Wenden wir uns besser und so früh wie möglich der notwendigen Debatte zu, die uns bevorsteht: Unter welchen Bedingungen dürfen (zwangsweise?) positiv Getestete daraufhin überwacht werden, ob sie die Quarantäne-Auflagen einhalten? Gelingt es uns, die Überwachungsmaßnahmen verfassungskonform auf diejenigen zu beschränken, die erkennbar gegen Auflagen verstoßen oder werden solche Maßnahmen – Stichwort: elektronische Fußfessel – pauschal über alle „Gefährder“ verhängt, die alleine wegen ihrer Infektion ein potentielles Risiko für ihre Mitmenschen darstellen?

An dieser Frage wird sich die Resilienz unseres freiheitlichen Rechtsstaates erweisen – nicht an der Nutzungsrate einer angeblich freiwilligen Tracking-App.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Spielerhilfe, Sicherheitsrisiken, Studien und Schmunzelmaterial

netzpolitik.org - 2 April, 2020 - 18:00
Wolkig mit Aussicht auf Wolken. Toll.

Wie ein gamender Psychiater Spielern hilft, ihre Videospielsucht zu verstehen (Standard.at)
Der Psychiater Alok Kanojia streamt montags, mittwochs und freitags auf Twitch und beantwortet Fragen – auch zur Abhängigkeit von Videospielen. Er ist selbst leidenschaftlicher Zocker und hat unter anderem die 15-teilige YouTube-Reihe „Video Game Addiction – A Gamer‘s Guide to Understanding and Overcoming“ ins Leben gerufen. Aber bei aller virtuellen Unterstützung: „Kanojia weist immer ausdrücklich darauf hin, dass das Healthygamer-Programm und sein Online-Auftritt niemals eine personalisierte Therapie ersetzen können.“

Konferenz-Software als Sicherheitsrisiko: Zoom ist der neue Flash-Player (Sueddeutsche.de)
Es gibt dieser Tage jede Menge Artikel über Sicherheitsrisiken bei der Verwendung der überaus populär gewordenen Videokonferenz-Anwendung Zoom. Dieser zeichnet sich auch durch seine Überschrift aus. Und die Erklärung, dass Teile der Probleme Zooms schon darin liegen, dass sich die Technologie selbst wie Schadsoftware verhält. „Ich kann mir gut vorstellen, dass sich die nächste Malware-Welle als Zoom-Software ausgibt“, sagt der interviewte Malware-Analyst Felix Seele.

Study looks at how Russian troll farms are politicizing vaccines (Ars Technica)
Eine Studie hat den Einfluss russischer Troll-Twitter-Accounts auf die Impfdiskussion untersucht. Dafür haben die Forschenden der sogenannten Internet Research Agency zugeordnete Accounts untersucht. Eine der Fragen, die sie hatten: Versuchen die Trolle, Impfungen zu politisieren oder sind entsprechende Tweets nur zufällige Beimischungen?

Chefin verwandelt sich während Videocall in Kartoffel (futurezone.at)
Diese Meldung ist zwar strenggenommen so relevant wie die Infos, dass Angela Merkel gerne Stückchen in ihrer Kartoffelsuppe mag, aber immerhin hat sie uns zum Schmunzeln gebracht. Die Lehre: Achte darauf, welche Snapchat-Filter du wild installierst, sonst gehst vielleicht du als Kartoffelchefin viral.

Gesundheitsministerium prüft Dienste von umstrittener Big-Data Firma Palantir (derStandard.at)
Der schwindlige US-Datenkonzern Palantir geht weltweit mit seinen Dienstleistungen hausieren. Im Visier steht nun das österreichische Gesundheitssystem, das mit Hilfe von Big Data „effizienter“ gemacht werden soll. Derweil bereitet die Stopp-Corona-App des österreichischen Roten Kreuzes Datenschützern Bauchschmerzen.

States plan to expand mobile voting amid coronavirus pandemic, despite security concerns (Washington Post)
Anstehende demokratische Wahlen in Zeiten einer Pandemie dürften unsere Gesellschaften in den kommenden Monaten noch Kopfzerbrechen bereiten. Eine komplette Aussetzung wie in Ungarn ist selbstverständlich inakzeptabel, Wählen per E-Mail wie im EU-Parlament auch nicht sonderlich empfehlenswert, und eine Verschiebung wie in Österreich lässt sich auch nicht dauerhaft machen. Ungeachtet dieser Fragen wollen nun mehrere US-Bundesstaaten bisherige digitale Wahlmöglichkeiten deutlich ausweiten, auch über Mobiltelefone (anstatt etwa auf Briefwahlen zu setzen). IT-Experten stellen sich, Überraschung, die Nackenhaare auf.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Desinformation über Corona: Politikerlügen bringen Plattformen unter Druck

netzpolitik.org - 2 April, 2020 - 13:14
Quod licet Iovi non licet bovi: Brasiliens Präsident Bolsonaro und Trump CC-BY-SA 2.0 Isac Nóbrega/PR

In der Hoffnung auf ein rasches Ende der Corona-Pandemie findet so manche falsche Behauptung willige Verbreiter. Der brasilianische Präsident Jair Bolsonaro sagt in sozialen Medien, der Arzneistoff Hydroxychloroquin sei ein verlässliches Mittel gegen den Virus. Darüber fehlt es allerdings an gesicherten Erkenntnissen – EU-Behörden testen das Mittel, warnen aber vor möglichen schweren Nebenwirkungen.

Der Corona-Virus löst eine Welle an falschen und irreführenden Meldungen aus, die sich auf Twitter, Facebook und Youtube rasant verbreiten. Einige kommen von mächtigen Figuren: So behaupteten auch der venezolanische Präsident Nicolas Maduro und der New Yorker Ex-Bürgermeister Rudy Giuliani, ein Vertrauter von US-Präsident Donald Trump, es gebe bereits ein zuverlässiges Heilmittel gegen Corona.

Daraufhin reagierten die Plattformen: Facebook, Twitter und Youtube löschten die Aussagen von Bolsonaro und Maduro. Auch Giulianis Äußerung verschwand von Twitter. Leicht anders formulierte Äußerungen blieben hingegen stehen, unter anderem von Donald Trump, der diese Theorie auf allen Kanälen eifrig verbreitet.

EU drängt Plattformen

Die Konzerne stehen wegen der Verbreitung von Falschinformationen über die Pandemie unter Druck. EU-Kommissionschefin Ursula von der Leyen mahnt die Plattformen, schädliche Inhalte rasch zu bremsen oder zu entfernen.

In einer vorgestern veröffentlichen Videobotschaft sagte Von der Leyen, die Konzerne müssten mehr als bisher unternehmen. Der Auswärtige Dienst der EU meldet indes, russische Staatsmedien verbreiteten auf Facebook und Twitter Falschinformationen über Corona. Es gebe Belege, dass die Plattformen diese Desinformation und Verschwörungstheorien auch weiterhin monetarisierten.

Die Plattformen geloben schon länger ein hartes Vorgehen gegen Desinformation. Doch ihre Schritte in der Pandemie sind bislang nicht immer überzeugend.

Tesla-Chef Elon Musk tweetete etwa, Kinder seien „praktisch immun“ gegen den Coronavirus – eine durch Todesfälle von jungen Patienten klar widerlegte Aussage. Twitter will den Tweet dennoch nicht löschen, er ist weiter abrufbar.

Facebook entfernte im März inmitten der Corona-Krise irrtümlich tausende Posts von seriösen Medien wie Politico und dem Sydney Morning Herald als Spam. Der Konzern brauchte einen Tag, um den Fehler zu korrigieren. Erschwerend kommt hinzu, dass viele externe Content-Moderator*innen in der Pandemie nicht oder nur eingeschränkt von zuhause arbeiten können – als Grund nennt Facebook Sicherheitsbedenken.

Eine stete Quelle an Falschbehauptungen sitzt in der Krise im Weißen Haus. Allein in den ersten zwei Märzwochen machte Donald Trump nach Zählung von CNN 33 klar falsche Behauptungen über die Pandemie und das Virus.

Politiker bislang Tabu

Bislang scheuen sich die Plattformen jedoch häufig, falsche Behauptungen von Spitzenpolitikern zu löschen. Dahinter steht auch die langjährige Bemühung der Konzerne, ihre Dienste als neutrale Plattformen zu positionieren, die nicht redaktionell in Inhalte eingreifen.

Twitter verkündete erst im Vorjahr, es werde falsche oder problematische Aussagen nicht löschen, wenn sie Gegenstand öffentlichen Interesses seien. Später präzisierte der Konzern, unter gewissen Umständen doch durchgreifen zu wollen – etwa bei Aufrufen zu Gewalt oder Selbstverletzung.

Facebook und Youtube erlaubten Donald Trump im Vorjahr sogar, mit offenkundig unwahren Behauptungen Wahlwerbung zu machen. Erst vor wenigen Wochen stoppte Facebook schließlich eine Serie von irreführenden Trump-Werbeanzeigen für die derzeit laufende Volkszählung. Youtube entfernte nach eigenen Angaben einige Trump-Videos, wollte aber nicht sagen welche.

Die Beißhemmung gegenüber Trump und seinen Verbündeten gilt auch in Coronazeiten. Verschwörungstheorien gegen den US-Immunologen Anthony Fauci verbreiten sich rasant in Netzwerken von Trump-Unterstützern. Auch ein manipuliertes Video über Trumps wahrscheinlichen Gegenkandidaten Joe Biden, das die Trump-Kampagne verbreitet, wollen Facebook und Twitter nicht löschen.

Eine offenkundig irreführender Tweet Trumps vom 9. März, der Corona mit der Grippe vergleicht, bleibt online. Google schwieg außerdem öffentlich angesichts einer fälschlichen Ankündigung Trumps, der Konzern plane eine USA-weite Webseite, die Hilfe für Coronavirus-Tests biete.

Twitter verkündete zwar vor einigen Tagen, gegen Covid-Falschinformation strenger vorzugehen. Als Beispiel nennt der Konzern irreführende oder falsche Aussagen über Behandlungsmethoden oder vom Virus angeblich nicht betroffene Personen, etwa Kinder.

Unklar ist aber, ob das auch ein strengeres Vorgehen gegenüber Trump und europäischen Rechten bedeutet, die mit Falschmeldungen über die Pandemie Stimmung machen. Twitter antwortete nicht auf Nachfrage von netzpolitik.org, ob nun auch solche Aussagen von Trump oder europäischen Politikern von dem sozialen Netzwerk gelöscht würden.

Google betonte auf Anfrage von netzpolitik.org, es habe zwei Bolsonaro-Videos von Youtube entfernt. In seiner Stellungnahme machte das Unternehmen aber keine Angaben über die Durchsetzung seiner Leitlinien gegen irreführende Aussagen von Politikern. Facebook erklärte, es entferne falsche Informationen über Covid-19, die „zu unmittelbarem physischem Schaden beitragen“. Der Konzern antwortete aber nicht auf unsere Frage, ob er auch Aussagen Trumps entfernen würde.

Die Strategie der Plattformen gegenüber problematischen Äußerungen von Politikern scheint auch in Zeiten des Coronavirus nicht festgelegt und etwas willkürlich.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

#wirvsvirus-Hackathon: Die nächsten Schritte vom Sprint zum Marathon

netzpolitik.org - 2 April, 2020 - 10:12
Bis Menschen wieder zu einem echten Marathon zusammenkommen dürfen, wir es noch eine Weile dauern. Ausdauer wird jetzt trotzdem dringend gebraucht. Vereinfachte Pixabay Lizenz wal_172619

Thomas Gegenhuber (@gegenhuber) ist Juniorprofessor für Digitale Transformation an der Leuphana Universität Lüneburg. Clara Scheve ist wissenschaftliche Mitarbeiterin an der Leuphana Universität in einem von der Europäischen Union geförderten Projekt zum Thema Digital Entrepreneurship. Laura Thäter und René Lührsen sind Masteranden an der Leuphana und setzten sich mit neuen Organisationsformen und Plattformen auseinander.

Der #WirvsVirus-Hackathon hat innerhalb kürzester Zeit die Zivilgesellschaft mobilisiert um Ideen zu entwickeln, die zur Lösung der Coronakrise beitragen. Der Hackathon-Prozess verläuft in Mustern, die wir aus der Innovationsforschung kennen: Öffnung und Dezentralisierung eignen sich sehr gut, um kreatives Potential zu entfalten. Die Herausforderung liegt aber nun darin, diese Ideen auszuwählen und zu verstetigen.

Ein Trichter für Ideen

Der Prozess der Ideengenerierung und der Ideenselektion folgt üblicherweise einer Trichter-Logik. Auch dies ist beim Hackathon der Fall, wie die Zahlen belegen: Ursprünglich haben sich 42.968 TeilnehmerInnen angemeldet, 26.581 haben schließlich im Slack mitgemacht. Aus der Community-Forschung kennen wir unterschiedliche Aktivitätsgrade: Von jenen, die sich intensiv in Slack-Teams organisiert haben, bis hin zu jenen ohne Teams, die kleinere, punktuelle Aufgaben übernommen haben wie die Teilnahme an Umfragen. Eine Nachlese zur Teilnahme haben wir bereits vorgenommen.

Schließlich hat die Community 1.494 Projekte auf der Entwicklerplattform Devpost gepostet und nochmal 1.221 dieser Projekte haben außerdem ein Pitch-Video auf Youtube hochgeladen. Nicht alle der 1.221 Projekte, die in mehreren YouTube-Playlists gesammelt wurden, sind vollwertig entwickelt.

Die OrganisatorInnen bewerteten die Vielzahl von Ideen in einem zweistufigen Prozess: Im ersten Schritt haben die OrganisatorInnen, ExpertInnen aus der Zivilgesellschaft und MitarbeiterInnen aus den Ministerien alle Projekte auf Devpost, sowie die dazugehörigen Videopitches gesichtet. Eine Mammutaufgabe. Um diese zu bewältigen, haben 600 MentorInnen sowie zusätzlich 70 Personen aus Ministerien sowie 60 Personen aus Tech-Szene und Zivilgesellschaft die Projektideen gesichtet.

Jede Idee wurde von fünf MentorInnen bewertet – ein Zehnaugenprinzip, um zum bestmöglichen Ergebnis zu kommen. Zwischenbilanz: Eine Vorauswahl mit knapp 197 Projekten. Im nächsten Schritt sichtete eine Jury mit 48 ExpertInnen aus allen gesellschaftlichen Bereichen diese Vorauswahl, um 20 Projekte zu prämieren.

Wie ein Trichter gestaltete sich die Teilnahme am Hackathon Die 20 Gewinner-Ideen im Überblick

Die OrganisatorInnen haben in einer feierlichen YouTube-Live-Übertragung am Montagabend die prämierten Ideen vorgestellt. Wir bieten einen kurzen Überblick, gegliedert nach der grundlegenden Organisationsfunktion der Gewinnerprojekte und stellen je zwei Beispiele vor.

Plattformen institutioneller Akteure

Projekte in dieser Kategorie (IDA, I.R.I.S., DEalog, fastbordercrossing, U:do, Sichertest, Digitales Wartezimmer, callvscorona, wir bleiben liquide, Videobesuch, Coronav) zielen darauf ab, den Informationsfluss, Verwaltungsprozesse, Serviceleistungen oder Ressourceneinsatz für Anspruchsgruppen zwischen institutionellen Akteuren, etwa Krankenhäuser und öffentliche Verwaltung, zu optimieren.

Mit DEalog soll beispielsweise eine komplementäre Plattform zu NINA, einer bereits bestehenden Warn-App des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, geschaffen werden. Staatliche Krisenkommunikation wird durch geospezifische Warnmeldungen sowie einen individualisierten Newsfeed nutzerfreundlich gestaltet. Mit einer direkten, zentralen, verlässlichen Quelle, die von zuständigen Institutionen (Bund, Länder, Gemeinden etc.) gespeist wird, soll auch Fake News begegnet werden.

Das Digitale Wartezimmer soll eine zentrale, skalierbare und selbstständige Registrierung von Covid-19-Verdachtsfällen mithilfe eines digitalen Fragebogens ermöglichen. Nach Ausfüllen des Fragebogens wird das Krankheitsrisiko des Users automatisch eingeschätzt und ein Arzttermin bzw. ein digitaler Wartezimmer-Platz vergeben. So sollen Fachkräfte entlastet, lange Wartezeiten vermieden und die User mit höherem Risiko schneller behandelt werden.

Austauschplattformen

Diese Projekte stellen einen Match zwischen Angebot und Nachfrage für Informationen, Güter oder Dienstleistungen her (Co:livery, Print4Life, Jay-jobs around you, Small Business Hero, Open Logistics, WirFürUns, Machbarschaft, Remedy, meinegemeinde.digital).

Das Projekt Print4life ist eine Plattform, die 3D-Druck-Anwender und Auftraggeber zusammenbringen soll, um bestimmte Teile im 3D-Druckverfahren herzustellen, die aufgrund von Lücken in der Prozesskette zurzeit fehlen. Medizinische Einrichtungen können sich beispielsweise auf dieser Plattform registrieren und Dateien, Beschreibungen und Lieferadresse hinterlegen sowie eine gewünschte Anzahl ihrer Aufträge angeben.

Small Business Hero ist eine Website, auf der lokale Einzelhändler ihre Waren für ihre Nachbarschaft anbieten können, während ihre Läden aufgrund der Corona-Krise geschlossen sind. Konsumenten haben die Möglichkeit, den Anbieter über die Website direkt zu kontaktieren und Produkte zu erwerben. Dabei sollen für die Händler anders als auf anderen Plattformen wie Etsy oder Ebay keinerlei Gebühren anfallen.

Das Organisationsteam hat außerdem fünf Teams in den Abschluss-Call eingeladen um über ihr Projekt, die Zusammenarbeit im Team und den Hackathon insgesamt zu berichten. Claudia aus dem Team Small Business Hero berichtete: „Ich hatte die Idee zu dem Projekt, als ich vor dem Hackathon einkaufen war und mit den LadenbesitzerInnen gesprochen habe und diese total verzweifelt waren.“ Ein relevantes Problem zu identifizieren, ist Grundlage für eine gute Lösung.

Die Anekdoten der TeilnehmerInnen lassen auch auf einen weiteren potentiellen Erfolgsfaktor schließen: Die bereits bestehende Beziehung der Teammitglieder vor dem Hackathon beschleunigt die Koordinationsfähigkeit der Gruppe. So erzählte Jave von Videobesuch über ihr vierköpfiges Team: „Wir kannten uns eigentlich auch schon davor und arbeiten auch alle an unseren eigenen Projekten, haben die aber mal ein Wochenende beiseite gelegt“. Auch Ferdinand von Sichertest kannte sein neunköpfiges internationales Team schon vorher. „Wir waren alle schon vorher befreundet und waren total motiviert“, berichtete er. Ähnlich war es beispielsweise auch beim Team Small Business Hero.

Wie geht es weiter? Die Verstetigungsstrategien

Um den Verstetigungsprozess ausgewählter Projekte zu unterstützen, haben die OrganisatorInnen, zusammen mit UnterstützerInnen aus verschiedenen Bundesministerien und Behörden einen Prozess bestehend aus mehreren Pfeilern zur Unterstützung der Teams (sowohl finanziell, als auch zur Vernetzung mit interessanten Partnern) aufgesetzt. Teilnahmevoraussetzungen: Commitment im Team mit mindestens 30 Stunden in der Woche (alleine oder als Gruppe), um zu signalisieren, dass das Team „in schnellem Tempo vorankommen“ möchte.

Neben Flexibilität im Umsetzungsprozess sind Open-Source-Lösungen gefragt. Darüber hinaus wurden 15 Handlungsfelder bestimmt, in die die verschiedenen Projekte einzuordnen sind, um einen besseren Überblick über die Vielzahl an Ideen zu erhalten und um gezielter miteinander kooperieren zu können. „Das Programm wird davon leben, dass wir Handlungsfelder haben, in denen ähnliche Lösungen zusammenarbeiten“, hieß es vonseiten der OrganisatorInnen.

Die 15 Handlungsfelder beim #WirvsVirus-Hackathon. Screenshot: YouTube

Damit die 20 prämierten Projekte, weitere Teams des Hackathons, aber auch Menschen mit Ideen, die nicht am Hackathon teilgenommen haben, an ihren Lösungen mithilfe verschiedener UnterstützerInnen weiterarbeiten können, stellten die OrganisatorInnen in ihrem Videocall zur Siegerehrung am Montagabend einen weiterführenden Umsetzungsprozess vor.

Dieser Prozess lässt sich in drei komplementäre Elemente gliedern:

  1. Umsetzungsprogramme: Zwei Bestandteile des Umsetzungsprozesses sind die Programme Solution Enabler und Solution Builder, betonen die OrganisatorInnen: „In den nächsten Wochen und Monaten werden wir gemeinsam mit der Bundesregierung ein Programm aufsetzen […], in dem wir 100 bis 150 ausgewählte Teams begleiten und maximal unterstützen, ihre Lösungen zu testen, gemeinsam mit anderen zu validieren und in die Umsetzung zu bringen.“ Die 20 prämierten Projektteams sind dabei direkt für das Solution-Enabler-Programm qualifiziert. Weitere Teams, die an ihren Projekten feilen möchten und dabei Unterstützung durch das Programm erhalten wollen, können sich für das Solution-Enabler-Programm bis Donnerstag, 02. April 2020, bewerben.

    Ob ein Projekt in das Programm aufgenommen wird, soll von mindestens drei ExpertInnen anhand folgender Kriterien bestimmt werden: gesellschaftlicher Mehrwert, Innovationsgrad, Umsetzbarkeit, Skalierbarkeit und benötigte Unterstützung. Das „Solution Builder“-Programm ist im Vergleich zum „Solution Enabler“ ein, wie von den Organisatoren selbst bezeichnetes, „Überholspur-Programm“, das darauf abzielt, Projektideen so schnell wie möglich in die Tat umzusetzen und gegebenenfalls bei der Teamfindung unterstützt. Wie dieses Programm im Detail aussieht, ist noch nicht bekannt.

  2. Financial Support: Neben den mehr als 1.000 MentorInnen, die auch weiterhin mit ihrem Know-How für die Projektteams als Unterstützung zur Verfügung stehen werden, und Institutionen sowie Unternehmen, die für Kooperationen bereit sind, wird auch von finanzieller Unterstützung für die Projekte gesprochen. Im Rahmen des Umsetzungsprozesses des Hackathons soll es verschiedene Arten finanzieller Hilfen geben. Für die zukünftig geförderten Teams im Social-Enabler-Programm erklärt Philipp aus dem Orga-Team am Montagabend: „Wir arbeiten gerade daran […] bei den Teams, wo es notwendig und sinnvoll ist, auch Lebenshaltungskosten und Umsetzungskosten finanzieren zu können.“

    Darüber hinaus sollen Projekte durch Crowdfunding und einen sogenannten „Matching-Fonds“ finanziert werden. Idee ist, dass jedes Projekt eine Crowdfunding-Kampagne auf der Plattform startnext erstellt – das nötige Wissen zur Nutzung von Crowdfunding soll, sofern benötigt, vorab in Webinaren vermittelt werden. Zusätzlich kommt der „Matching-Fonds“ ins Spiel, welcher im Vergleich zur Crowdfunding-Kampagne nach einem 4-zu-1-Prinzip funktioniert: Spenden Backer (Sponsoren) beispielsweise 10 Euro, so fließen aus dem Fonds (gestiftet von verschiedenen Akteuren, u.a. Unternehmen) noch einmal 2,50 Euro hinzu. Diese Finanzierungsmethode soll laut Organisatoren nächste Woche an den Start gehen.

  3. Community Maintenance: Mit dem Slack-Channel wurde ein zentraler Ort für Information und Austausch geschaffen. Eine Community aufzubauen kostet Zeit und Mühen. Daher ergibt es Sinn, dass die OrganisatorInnen weiterhin Ressourcen für den Erhalt dieser Community einsetzen. Neben den Programmen für eine schnelle Umsetzung der Ideen soll die Slack-Community des #wirvsvirus-Hackathons weiterhin bis zunächst Juni aufrecht erhalten werden. Es soll auch bald die Möglichkeit geben, weitere Mitglieder, die bisher nicht Teilnehmer des Hackathons waren, in die Community aufzunehmen.
Imperfektionen feiern

Dieser Hackathon war der erste seiner Art. Nicht alles ist rund gelaufen. Die Bewertungsgrundlage sollte folgende Überlegung darstellen: Wenn wir wollen, dass der Staat bzw. öffentliche AkteurInnen neue und innovative Formen des Organisierens ausprobieren, dann müssen wir die damit einhergehende Imperfektion akzeptieren. Aus gesammelten Erfahrungen gilt es natürlich zu lernen. Das Wissensmanagement läuft bereits an. Die OrganisatorInnen teilten ihre Erkenntnisse auch schon in einem Video mit interessierten OrganisatorInnen von Hackathons aus anderen Ländern und führen derzeit eine Umfrage unter den TeilnehmerInnen durch.

Ein Dilemma dieses Hackathons war das Spannungsfeld zwischen Prozessklarheit und Flexibilität. Ein vorab klar kommunizierter Prozess schafft Berechenbarkeit für die TeilnehmerInnen. Gleichzeitig ist es sinnvoll, Flexibilität zu bewahren und bei aufkommenden Problemen Rahmenbedingungen zu ändern und anpassen zu können – zum Beispiel beim Einräumen von mehr Zeit für Einreichungen am Sonntagabend des Hackathons.

Auch bei der Änderungen der Bewertungskriterien waren die OrganisatorInnen flexibel, obwohl diese ein sensibles Thema sind. Teile der Commmunity haben die Abschaffung des Public Votings gefordert, da dies nicht dem „Spirit eines Hackathons“ entspricht und größere Teams Wettbewerbsvorteile in so einem Prozess haben. Diesen Wunsch haben die OrganisatorInnen erfüllt und transparent kommuniziert.

Gleichzeitig wäre ein Public Voting eine Chance gewesen, eine breitere Öffentlichkeit zu erreichen und Aufmerksamkeit zu generieren – unabhängig davon sollte ein Public Voting nicht nur auf aggregierten Likes basieren, um gute Ergebnisse zu gewährleisten.

Eine Herausforderung jeglicher Bewertungssysteme ist ein Verfahren zu bestimmen, das zu einem Ergebnis führt, welches die besten Ideen prämiert und das aus Sicht der ehrenamtlichen Community legitim ist. So betonte Dorothee Bär (Staatsministerin und Beauftragte der Bundesregierung für Digitalisierung) zwar „Alle sind Sieger“ und dankte allen Teilnehmern für ihr Engagement. Nicht alle waren jedoch über die Auswahl glücklich, da beispielsweise keine e-Learning-Projekte nominiert wurden. Die Begründung: In diesem Feld existieren schon zahlreiche Lösungen. Nach diesem Kriterium wären aber auch andere Projekte rausgefallen, zum Beispiel im Bereich Nachbarschaftshilfe.

Der mehrstufige Bewertungsprozess war gut aufgesetzt, aber dennoch ist es schwierig, sich in der kurzen Zeit einen Eindruck über die Projekte auf Basis der wenigen Unterlagen zu verschaffen. Die Krux liegt hier im Detail. Die Abgabe des Pitches im Videoformat gewährte den TeilnehmerInnen viele Freiheiten: Während einige Projektpaten lediglich in einem kurzen Selfie-Video ihr Projekt beschrieben, beeindruckten andere durch vorzeigefähige Prototypen und Animationen.

Ob die stark variierenden Videos einen tatsächlichen, realitätsnahen Eindruck vermitteln und ob einige Projekte durch ein professionelles Video punkten konnten, bleibt somit offen. Auffällig ist jedoch auch, dass bei den 20 prämierten Projekten fast alle Videos professionell produziert wirken. Für nachfolgende Hackathons könnte es überlegenswert sein, neben den Kriterien die Vorgaben für die Einreichungen zu vereinheitlichen (Kombination und Vorstrukturierung für Ideenbeschreibung, Video und kurzer Teambio) – wenngleich dies auf Kosten der Außenkommunikation geschieht.

Public Hackathons zur Lösung gesellschaftlicher Probleme etablieren

Ob diese Form des Organisierens auch für andere Probleme eingesetzt wird wie #WirvsKlimakrise, hängt sicher von dem Erfolg im Nachgang des Hackathons ab. Das politische Interesse daran ist groß, wie die aktive Teilnahme von Staatsministerin Dorothee Bär sowie die Statements von Kanzleramtschef Helge Braun und Bundespräsident Walter Steinmeier zeigen.

Prominente Ansprachen beim #WirvsVirus-Hackathon Screenshots: YouTube

Bundespräsident Steinmeier sagte zum Hackathon: „Über 40.000 von Ihnen haben am Wochenende virtuell die Köpfe zusammengesteckt und hunderte kreative Lösungen für die Sorgen und Nöte dieser Krisenzeit entwickelt. Sie alle, sie sind die Heldinnen und Helden in der Corona-Krise.“

Einen Hackathon als Universallösungs-Instrument zu betrachten, greift aber zu weit. Nicht alle gesellschaftlichen Probleme lassen sich etwa über bessere Plattformen und Informationsaustausch lösen. Das Verständnis eines Hackathons kann man breiter anlegen, das aber ändert wenig. Denken wir an den Klimaschutz: Es mangelt nicht an Ideen, sondern
daran, diese politisch durchzusetzen.

Die abschließende Bilanz: Ein Hackathon generiert wertvolle Ideen. Neue Lösungen nachhaltig in bestehende soziale Systeme zu weben ist ein komplexer Prozess, der viel Ausdauer benötigt. Staatliche AkteurInnen und öffentliche Organisationen müssen Kompetenzen ausbauen, um sinnvoll mit der Zivilgesellschaft zusammenzuarbeiten. Gegenüber Innovationen von außen offen zu sein und diese zu integrieren, braucht es hauseigene Kompetenzen (anstatt internationale Beraterfirmen zu engagieren).

Schließlich dürfen wir auch eines nicht vergessen: Das zu lösende Problem, also die Coronakrise, verändert sich stetig. Deshalb braucht es im Nachgang auch Flexibilität, um die Lösungen an neue Gegebenheiten anzupassen.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Daten von Infizierten: Polizei sammelt in mehreren Bundesländern Coronavirus-Listen

netzpolitik.org - 2 April, 2020 - 08:48
So ähnlich scheinen die Listen ausgesehen zu haben, die in mehreren Bundesländern an die Polizei übermittelt wurden. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Markus Spiske | Daniel Laufer | Bearbeitung: netzpolitik.org

Die Landesdatenschutzbeauftragte hat Gesundheitsämtern in Niedersachen nach unserer Berichterstattung verboten, Listen Corona-Infizierter an die Polizei zu übermitteln. In Bremen wurden bereits weitergegebene Gesundheitsdaten seither offenbar wieder gelöscht. Auch die deutsche Datenschutzkonferenz hat sich zu den Vorgängen positioniert.

Die Polizei hat in mehreren Bundesländern Daten von Menschen erlangt, die mit dem neuartigen Coronavirus infiziert wurden. Auf solchen Listen stehen mindestens zum Teil auch Kontaktpersonen der Betroffenen. In Niedersachsen und Mecklenburg-Vorpommern wurden Gesundheitsämter aufgefordert, diese sensiblen Daten zur Verfügung zu stellen. In Bremen und Baden-Württemberg wurde eine Übermittlung vorerst wieder gestoppt, nachdem Datenschützer:innen interveniert hatten.

Die Unterscheidung zwischen mit dem Coronavirus Infizierten und nicht Infizierten werde die Gesellschaft in den kommenden Monaten prägen, vermutet Stefan Brink. „Wir sind in einer Situation, in der auch die staatlichen Maßnahmen in vielen Fällen eher Versuchen gleichen, als dass sie nach einem klaren Handlungskonzept ablaufen würden. Dadurch wird es auch schwer, Prognosen zu stellen, wer mit solchen Daten in Zukunft in Kontakt kommt.“

Gesundheitsämter erstellten Excel-Dateien

Brink ist Landesbeauftragter für Datenschutz in Baden-Württemberg, wo Gesundheitsdaten bei der Polizei gelandet sind. Schon vergangene Woche hatte der SWR drei lokale Gesundheitsämter ausfindig gemacht, die Listen weitergegeben hatten. Sie beriefen sich demnach auf das Gesetz über den öffentlichen Gesundheitsdienst.

Wie nun deutlich wird, sind noch weitaus mehr Daten geflossen. Das zeigen Recherchen von netzpolitik.org. Mitunter wurden die Informationen wohl auch direkt durch Kommunen übermittelt, wie aus einer E-Mail des Polizeipräsidiums Freiburg hervorgeht.

Mehr als die Hälfte der 13 regionalen Polizeipräsidien des Landes bestätigten, entsprechende Daten zumindest in Teilen erhalten zu haben. Drei Präsidien antworteten nicht auf entsprechende Anfragen.

Das Präsidium in Konstanz berichtete von Excel-Dateien, die Angaben enthielten wie das Geburtsdatum, das Geschlecht oder das Datum des positiven Coronavirus-Tests. Nicht immer wird in Baden-Württemberg deutlich, wie viele Mitarbeiter:innen der Polizei Zugriff auf die Daten hatten. Das Land ist kein Einzelfall.

Anordnung von Quarantänelisten

Auch das niedersächsische Innenministerium erwägt, eine Übermittlung sogenannter Quarantänelisten landesweit anzuordnen. Polizeibeamt:innen könnten sich dann besser schützen. Derzeit gebe es in dem Land keine allgemein gültige Regelung für die Weitergabe solcher Daten. Gehindert hat das bislang offenbar niemanden.

Die Polizeidirektionen Göttingen und Osnabrück bestätigten dieser Redaktion, von einem Teil der Gesundheitsämter bereits Daten wie Name und Anschrift Infizierter eingeholt zu haben. Dabei berufen sich die Sicherheitsbehörden auf einen landesweiten Erlass vom vergangenen Freitag – „zum Vollzug polizeilicher Maßnahmen im Rahmen der Gefahrenabwehr und der Strafverfolgung mit Blick auf die aktuelle Corona-Pandemie“, wie es aus Osnabrück hieß.

Der Vorgang hat nun die niedersächsische Datenschutzbehörde auf den Plan gerufen. Nach Informationen von netzpolitik.org prüft sie aktuell dieses Vorgehen.

Datenstopp nach Medienanfrage

Auch in Bremen hat sich die Datenschutzbeauftragte der Weitergabe von Daten Covid-19-Erkrankter an die Polizei angenommen. Erst durch eine Anfrage dieser Redaktion habe sie hiervon überhaupt erfahren, sagt Imke Sommer am Mittwoch.

Eine Sprecherin des Bremer Innensenators bestätigt, dass die Gesundheitsbehörde des Landes solche Daten weitergereicht hat – und wieder heißt es, dies diene dem Schutz der Beamt:innen. Nun werde „dieser Prozess aus datenschutzrechtlicher Sicht und in Abstimmung mit der Landesbeauftragten für Datenschutz aktuell neu definiert, sodass zurzeit keine Datenübermittlung stattfindet“, teilt die Sprecherin mit.

Imke Sommer hält eine regelmäßige Übermittlung der Gesundheitsdaten an die Polizei für rechtswidrig. Ihre Vermutung: Die angeführte Rechtsgrundlage – das Bremische Gesetz zur Behandlungseinleitung bei Infektionen mit übertragbaren Krankheiten durch Dritte – sei missverstanden worden.

Unbekannt ist, wie viele Menschen in Bremen derzeit tatsächlich von der Weitergabe der Daten betroffen sind. Der Sprecherin des Innensenators zufolge habe die Gesundheitsbehörde lediglich Daten einzelner Erkrankter weitergegeben. Genaue Angaben zum tatsächlichen Umfang wollte sie nicht machen.

Täglich, 10 Uhr, an den E-Mail-Verteiler

In Mecklenburg-Vorpommern fließen nun offenbar ebenfalls Daten Coronavirus-Infizierter an die Polizei. Einen Fragenkatalog von netzpolitik.org am Freitag ließ das Innenministerium unbeantwortet. Am Montag forderte das Gesundheitsministerium die Gesundheitsämter des Landers dann allerdings schriftlich auf, die sensiblen Daten von nun an herauszugeben, wie der Nordkurier berichtet hatte.

Demnach sollten jeden Morgen pünktlich um 10 Uhr Listen mit Namen und Adressen der Erkrankten an die Polizei gehen. Dem NDR zufolge begründete auch das Ministerium in Mecklenburg-Vorpommern dies mit der Gefahrenabwehr und dem Schutz der Beamt:innen im Einsatz.

Ein Unterschied: Der Datenschutzbeauftragte von Mecklenburg-Vorpommern Heinz Müller hält eine Übermittlung der Gesundheitsdaten zunächst einmal für vertretbar. Das Recht der Patient:innen müsse gegen den Anspruch der Polizeibeamt:innen abgewogen werden, sich in Gefahrensituationen schützen zu können.

Doch Müller betont auch, seine Einschätzung sei grundsätzlicher Natur. Bei einer tatsächlichen Umsetzung, wie sie nun in die Wege geleitet wurde, müsse unter anderem gewährleistet sein, dass die Übertragung der Daten auf einem sicheren Weg erfolgt. Zudem müsse genau geregelt sein, wer auf diese zugreifen kann.

„Zum Zeitpunkt meiner Prüfung kannte ich das Schreiben des Ministeriums noch gar nicht“, sagt Müller dieser Redaktion. Und: „Von den Rahmenbedingungen habe ich auch nichts erfahren.“

Damit bleibt unklar, ob die Weitergabe der Daten, wie sie in Mecklenburg-Vorpommern derzeit erfolgt, nicht womöglich doch rechtswidrig sein könnte. Der NDR berichtete, die Listen würden über einen Verteiler per E-Mail zugestellt. Empfänger: die Einsatzleitstellen sämtlicher Polizeipräsidien.

Die Stadt Rostock oder auch der Landkreis Ludwigslust-Parchim haben sich nach Medienberichten dagegen entschieden, der Anordnung aus Schwerin zu folgen.

Sachsen-Anhalt schweigt

In Sachsen-Anhalt weigern sich Sicherheitsbehörden beharrlich, Fragen zu einer möglichen Übermittlung von Gesundheitsdaten zu beantworten. Polizeiinspektionen in Magdeburg, Halle und Dessau-Roßlau reagieren überhaupt nicht, ein Sprecher der Inspektion Stendal bittet darum, man möge sich in diesem Fall doch direkt an das Innenministerium wenden – von dort würde man eine Antwort erhalten. Geschehen ist das trotz Nachfragen nicht.

Die Innenministerien der übrigen Bundesländer haben indes reagiert. Eine Übermittlung von Coronavirus-Listen an die Polizei habe nicht stattgefunden. Aus Brandenburg etwa heißt es weiter: „Die Polizei wird auch in Zukunft keine Daten sammeln, wer mit dem Coronavirus infiziert wurde.“ Ähnlich deutlich positionieren sich Berlin, Nordrhein-Westfalen und Thüringen. Auch ein Sprecher des saarländischen Polizeipräsidiums äußert Zweifel, dass es hierfür überhaupt eine Rechtsgrundlage gäbe.

Ausnahmen sein könnten Fälle, wie sie das hessische Innenministerium schildert, wobei die Daten aber nicht auf Vorrat gespeichert würden. Sollten Polizist:innen zum Beispiel bei einer Kontrolle bewusst angehustet werden, könnten sie in Einzelfällen bei Gesundheitsämtern anfragen – um „die öffentliche Sicherheit und Ordnung zu gewährleisten“. Zudem könnten vereinzelt Daten übermittelt werden, wenn Beamt:innen etwa dazugerufen würden, weil jemand die angeordnete häusliche Quarantäne nicht einhält.

Verbot per Rundschreiben

Auch Baden-Württembergs Innenministerium will nun offenbar nur noch von dieser Lesart der Datenweitergabe etwas wissen. „Wenn die Gesundheitsämter ortspolizeiliche Maßnahmen auf Grundlage des Infektionsschutzgesetzes vorschlagen oder aufgrund von Gefahr im Verzug selbst anordnen, dürfen die personenbezogenen Daten an die Ortspolizeibehörden übermittelt werden“, heißt es aus Stuttgart. „Anderenfalls können diese ihren gesetzlichen Auftrag nicht erfüllen.“

Kein Wort mehr dazu, dass die ursprünglich erstellten Listen der Gesundheitsämter noch bis vor einer Woche viel umfangreicher gewesen waren. Danach hatte Baden-Württembergs Sozialministerium versucht, all den Datenfluss abzustellen.

„Eine Datenübermittlung an andere Organisationen, beispielsweise den Polizeivollzugsdienst, die Feuerwehr oder den Rettungsdienst ist nicht zulässig“, steht in einem Schreiben, das netzpolitik.org vorliegt und das an alle Gesundheitsämter des Landes ging.

Erkrankte unter Generalverdacht

„Gerade im Krisenfall ist es wichtig, dass man das Vertrauen in den Staat bewahrt und nicht Menschen unter Generalverdacht stellt oder kriminalisiert, weil sie krank sind“, sagt Ministeriumssprecher Markus Jox. „Es wirft nie ein gutes Bild auf den Staat und die Politik, wenn man mit Daten nicht sensibel umgeht.“

Dem Sozialministerium zufolge haben einzelne Gesundheitsämter die Weitergabe der Daten inzwischen eingestellt. Auch mehrere Polizeipräsidien bestätigen dies. Ein Sprecher des baden-württembergischen Innenministeriums schrieb schon am Freitag: „Unser Ziel ist, gemeinsam mit dem Datenschutzbeauftragten eine Lösung zu finden“, die dann auch dem Datenschutz gerecht werde. Bis zum Dienstag hatte es dahingehend offenbar noch keine Bemühungen gegeben.

Stefan Brink sagt, noch habe ihn niemand aus dem Innenministerium hierzu kontaktiert. „Wir brauchen auch keinen Kompromiss, sondern eine Einhaltung unserer Rechtsordnung“, so der Datenschützer. „Solche Infizierten-Listen haben bei der Vollzugspolizei nichts verloren. Sie müssen, wenn sie dort in rechtswidriger Weise hingereicht wurden, sofort gelöscht werden.“

Brink hinterfragt auch die Begründung, wie sie landauf, landab für die Übermittlung der Listen genannt wurde. Immer wieder hieß es, diese habe dem Schutz der Beamt:innen gedient. „Es wäre absurd, wenn Vollzugskräfte umgekehrt in Fällen, wo keine Information über eine Infektion vorliegt, keine Schutzmaßnahmen treffen würden.“ Die Dunkelziffer bei den Infektionen mit dem Coronavirus sei schließlich viel zu hoch, um sich im Einsatz auf die Angaben der Gesundheitsämter verlassen zu können.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Coronavirus: Das Netz gegen die Krise

netzpolitik.org - 2 April, 2020 - 07:48
Die Welt brennt. Alle Rechte vorbehalten Bernhard Bartsch

Das Team von vollehalle arbeitet seit dem Sommer 2017 daran, das nachhaltige Nachdenken über die Klimakrise und unsere Gesellschaft in Bühnenformate zu verarbeiten. In diesem Jahr hat vollehalle zum ersten Mal eine Diskussion unserer Wirtschaftslogik mit aufgenommen. Sie hatten Glück im Unglück: Am 6. März konnten sie ihre Premiere gemeinsam mit dem Pianisten Igor Levit vor knapp 500 Gästen aufführen und aufzeichnen. Diese Aufzeichnung stellt vollehalle am heutigen Donnerstag ab 20:15 Uhr auf YouTube für die Öffentlichkeit bereit. Ab 21:45 Uhr lädt das Team zu einem Debattensalon ein. Es soll der Auftakt sein zu weiteren digitalen Formaten.

Krisen können neue Kräfte freisetzen und das Beste in uns zum Vorschein bringen. So gesehen sind das gerade Zeiten mit ungeheurem Energiepotential. Man weiß vor lauter Krisen ja gar nicht mehr, wohin man zuerst schauen soll. Ist es die verheerende Lage in Krankenhäusern und Pflegeheimen, bei denen sich jetzt zeigt, dass Gesundheit eben doch keine Ware ist, für die der Markt den besten Preis findet? Oder das Ende der Europäischen Union als Friedens- und Demokratie-Labor? Das Flüchtlingselend im griechisch-türkischen Grenzgebiet und in den libyschen Internierungslagern? Oder die galoppierende Erderwärmung, die sich wie ein Regenbogen über all die anderen Krisen spannt?

Egal, wohin man gerade blickt und hört – in Social-Media-Debatten, Essays großer Zeitungen oder Gespräche unter Freunden und Kolleginnen: Überall weht einem dieselbe Hoffnung entgegen. Die Schockstarre, die die Covid-19-Pandemie über uns gebracht hat, wird alles verändern. Denn werden wir nicht gerade Zeug.innen einer Renaissance von Gemeinsinn und Solidarität? Wir nähen füreinander Schutzmasken und übernehmen Einkäufe für diejenigen, die sich nicht selbst helfen können. Wir organisieren ein digitales Sozialsystem, bei dem jede.r fünf Prozent des eigenen Einkommens in einen Topf wirft, damit niemand unter 1.000 Euro im Monat rutscht.

Die Kräfte, die uns an diesen Punkt geführt haben, werden nach der Krise nicht einfach verschwunden sein

Man könnte solche Beobachtungen schier endlos fortsetzen. Das ist alles schön und gut. Aber wer jetzt darauf setzt, dass es danach kein Zurück mehr geben wird in die Zeit von Profitmaximierung, Eigennutz und die „Die Flut hebt alle Boote“-Parolen, glaubt leider auch, dass er wirklich 1.500 Freunde hat, wenn Facebook das sagt.

Die Kräfte, die uns an den Punkt geführt haben, an dem wir heute stehen, werden nach der Krise nicht einfach verschwunden sein. Im Gegenteil: Schon jetzt versuchen einzelne, aus der Krise Profit zu ziehen. Die einen horten Schutzmasken und versuchen, sie im Netz teurer zu verkaufen. Die anderen versuchen uns weiszumachen, dass Einmalplastik – entgegen erster wissenschaftlicher Studien – ein wirksames Mittel gegen die Ausbreitung des Corona-Virus sei. Das hat bereits dazu geführt, dass in den Vereinigten Staaten Ketten wie Starbucks und Dunkin Donuts die Verwendung von wiederverwendbaren Bechern ausgesetzt haben. Die Vermüllung der Welt als vermeintliche Lösung gegen die Verseuchung – eine Spitzenidee.

Es ist darüber hinaus keineswegs ausgemacht, dass die gegenwärtige Krise (Corona) alle Skeptiker daran erinnert, dass wir auch in der anderen, ungleich größeren Krise (Klima) auf die Wissenschaft hören sollten. Viel wahrscheinlicher ist, dass die in den großen Volkswirtschaften erwartete Rezession dazu führen wird, dass uns die Politik erklärt: Für den Kampf gegen die Erderwärmung haben wir nun wirklich keine Zeit. Jetzt müssen wir uns erstmal ums Wachstum kümmern.

Es wird sich anfühlen, als würde ein Vater zu seiner Tochter sagen: Ich weiß, dass unser Haus bald von einem Tornado weggefegt wird. Aber die Badewanne ist übergelaufen, bitte sei jetzt still und hilf mit, den Boden aufzuwischen.

Das Netz entwickelt sich zur Volkshochschule im besten Sinne

Was also tun? Wir müssen die Köpfe zusammenstecken. Und die Digitalisierung kann uns dabei helfen. Ja, genau die Digitalisierung, von der es so heißt, sie würde die Klimakrise weiter befeuern, weil Netflix, Google und Facebook so viel Energie schlucken. Das Netz entwickelt sich gerade zu einer Volkshochschule im besten Sinne. Es entstehen digitale Debatten-Salons, in denen sich Menschen die Frage stellen: Und jetzt?

Sie sitzen, jede.r für sich, in ihren Wohnzimmern, diskutieren über die intellektuellen Wurzeln des gegenwärtigen Wirtschaftssystems und fragen sich: Welche Ideen können wir jetzt zünden, damit wir in der Post-Corona-Welt loslegen können? VWL-Professoren bieten Online-Werkstätten an mit Titeln wie „Corona-Schock, Neoliberalismus und Staat. Was ändert sich?“ Und wieder andere starten ein Online-College für Kids ab 14 Jahren mit Schulstunden über Punk in der DDR, Dekarbonisierung und das Konzept des bedingungslosen Grundeinkommens. Wenn das, was sich hier gerade aufbaut, die Zeit von Kontaktverbot und Ausgangsbeschränkungen überdauert, wäre wirklich was gewonnen.

Und das gilt auch aus ökologischer Perspektive. „Der Trend ist extrem positiv zu bewerten. Durch die Coronakrise werden die verkehrsbedingten Treibhausgasemissionen stark reduziert werden. Der Energieverbrauch durch verstärkte Digitalisierung, der dagegen gerechnet werden muss, beträgt nur ein Bruchteil davon”, sagt Tilman Santarius von der TU Berlin. Wenn wir also nicht mehr für jedes Meeting durch die Gegend jetten, werden wir neben Zeit und Geld auch enorme Mengen CO2 einsparen.

#flattenthecurve gilt nicht nur für die Ausbreitung des Corona-Virus

Die vielfältigen, ineinander verschränkten Krisen unserer Zeit verweisen uns darauf, dass wir aus dem Blick verloren haben, was Menschsein auf einem Planeten mit endlichen Ressourcen wirklich bedeutet. Radikale Marktgläubigkeit gepaart mit unserem Hang zu Bequemlichkeit und der Annahme, individueller Egoismus führe zu kollektiver Glückseligkeit, haben uns und unseren Planeten schon jetzt verwandelt. Es ist an der Zeit, diese Verwandlung zu stoppen.

Wir müssen endlich damit beginnen, uns als Wesen zu begreifen, die Verantwortung zu übernehmen bereit sind. Für die Menschen um sich herum genauso wie für unsere Ökosystem, in denen wir leben. Der Markt regelt nichts außer sich selbst. Wir müssen die Zügel wieder selbst in die Hand nehmen und eine neue Verwandlung initiieren.

#flattenthecurve gilt nicht nur für die Ausbreitung des Corona-Virus – wir müssen auch unsere Gier nach immer mehr materiellem Wohlstand, billigen Fernreisen und endless consuming summer zum Erliegen bringen. Genauso wie die Angst vor Statusverlust und die ewige Verlockung: Wenn ich mich nicht rücksichtslos verhalte, macht es halt mein Nachbar. Also bitte, was solls?

Wir wollen mit dem heutigen Debattensalon und weiteren Formaten unseren Beitrag leisten. Zusammengehalten wird alles von der Hoffnung, dass wir alle gemeinsam immer intensiver das digital vermittelte Gespräch in dieser Krise führen werden, damit wir anschließend gemeinsam anpacken und die Welt aus ihrem ewigen Krisenmodus herausführen. Wir müssen diese Stimmung von Gemeinsinn und Aufbruch, den gerade viele im Netz erleben, so skalieren, dass davon möglich viele erfasst werden. Es geht um nicht weniger als die maximale Ausdehnung des Humanismus.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Was vom Tage übrig blieb: Gesundheitswetterkarte, Gewaltenteilung und Geheimnisse

netzpolitik.org - 1 April, 2020 - 18:22
Vollwertige Schäfchenwolken sind derzeit leider ausverkauft, die billigen Imitate können sich aber auch sehen lassen.

Corona Constitutional Folge #0: Ungarns Ermächtigungsgesetz (Verfassungsblog.de)
Der Verfassungsblog hat einen neuen Podcast ins Leben gerufen. In der ersten Folge „Corona Constitutional“ spricht Chefredakteur Maximilian Steinbeis mit einem Rechtswissenschaftler, der das vorgestern in Kraft getretene Ermächtigungsgesetz in Ungarn erklärt. Die beiden diskutieren auch über ein mögliches rechtliches Vorgehen der EU-Kommission gegen Ungarn wegen Vertragsverletzung.

US-amerikanisches Bundesgericht entscheidet, dass wissenschaftliche Forschung zu diskriminierenden Algorithmen nicht als Online-Betrug gilt (ACLU.org)
Wer rechtswidriges und diskriminierendes Handeln von Unternehmen aufdeckt, sollte keine Strafe befürchten müssen, entschied ein US-amerikanisches Bundesgericht. Die Bürgerrechtsorganisation ACLU hatte geklagt, weil Forscher:innen und Journalist:innen, die zu diskriminierenden Algorithmen recherchierten, bislang in einem Graubereich agitierten. Sie mussten etwa befürchten, von den Webseitenbetreibern wegen Verletzung der Nutzungsbedingungen verklagt zu werden, wenn sie beispielsweise Recherche-Accounts anlegten. Betroffen waren etwa die Journalist:innen, die aufdeckten, dass Werbetreibende die Zielgruppen-Funktion bei Facebook nutzen, um bestimmten Nutzer:innen aufgrund ihres Alters, ihrer Klassenzugehörigkeit oder schlicht ihrer Hautfarbe von Wohnungs- oder Kreditanzeigen auszuschließen.

Smarte Fieberthermometer zeigen, wie sich das Coronavirus in den USA ausbreitet (Standard.at)
Bisher hat das Unternehmen „Kinsa Health“ die Daten aus seinen smarten Fieberthermometern zu Werbezwecken genutzt. Seit letztem Monat erstellen Forscher:innen auf dieser Grundlage eine „Gesundheitswetterkarte“, damit soll die Ausbreitung von Covid-19 illustriert werden. Im Tagesverlauf lässt sich nachschauen, wo Menschen unter erhöhter Temperatur leiden. Über eine Millionen Stück der datensammelnden Temperaturmesser sollen im Umlauf sein. (Ende der Werbeeinschaltung)

Regierungen verzögern den Zugang zu Informationen, aufgrund von Covid-19 (Global Investigative Journalism Network)
Seit Beginn der Corona-Pandemie verzögern oder verweigern staatliche Behörden weltweit Journalist:innen den Zugang zu Informationen. In Serbien etwa wird die Anzahl der verfügbaren Beatmungsgeräte als Staatsgeheimnis deklariert, in Brasilien verkündete Präsident Bolsonaro zunächst, dass keine Informationsfreiheitsanfragen von Journalist:innen mehr beantwortet würden, bis ein Verfassungsgericht ihn zwang das Dekret zurückzunehmen. Das Global Investigative Journalism Network beobachtet und sammelt Fälle von zurückgehaltenen Informationen.

Jeden Tag bleiben im Chat der Redaktion zahlreiche Links und Themen liegen. Doch die sind viel zu spannend, um sie nicht zu teilen. Deswegen gibt es jetzt die Rubrik „Was vom Tage übrig blieb“, in der die Redakteurinnen und Redakteure gemeinschaftlich solche Links kuratieren und sie unter der Woche um 18 Uhr samt einem aktuellen Ausblick aus unserem Büro veröffentlichen. Wir freuen uns über weitere spannende Links und kurze Beschreibungen der verlinkten Inhalte, die ihr unter dieser Sammlung ergänzen könnt.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Hasskriminalität: Bundesregierung will beim Netzwerkdurchsetzungsgesetz nachbessern

netzpolitik.org - 1 April, 2020 - 18:08
Die aktuelle NetzDG-Novelle soll Nutzern mehr Rechte bringen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Robin Worall

Während der Bundestag noch über die erste Änderung des Netzwerkdurchsetzungsgesetzes (NetzDG) berät, hat heute die Bundesregierung eine weitere NetzDG-Novelle auf den Weg gebracht. Beide Entwürfe sollen Mängel am bislang geltenden Gesetz beseitigen und letztlich Hetze auf großen Online-Plattformen zurückdrängen.

Die heute von der Regierung beschlossene und an den Bundestag überwiesene Novelle hat für deutlich weniger Kontroversen gesorgt als jene aus dem Februar. Unter anderem versucht sie, die bestehende Schieflage auszugleichen und Nutzern mehr Rechte einzuräumen.

Ein geplantes Gegenvorstellungsverfahren soll dabei helfen, ungerechtfertigt gelöschte Inhalte wieder herzustellen. Umgekehrt soll es einfacher fallen, von Nutzern beanstandete, aber nicht entfernte Inhalte einer erneuten Prüfung unterziehen zu lassen. Generell sollen die Plattformen die Meldewege nutzerfreundlicher gestalten sowie die Aussagekraft ihrer Transparenzberichte erhöhen.

Die Überarbeitung ist notwendig, weil die EU-Richtlinie über audiovisuelle Mediendienste ins nationale Recht überführt werden muss. Entsprechend finden sich in der Richtlinie einige nun aufgegriffene Regelungen, etwa die Wiederherstellungspflicht für zu Unrecht gelöschte Inhalte von Nutzern.

Ministerin verteidigt Gesetzentwürfe

Bundesjustizministerin Christine Lambrecht (SPD) verteidigt die beiden Gesetzentwürfe vehement. Vor allem die erste Novelle wird hart kritisiert: Demnach sollen Plattformen beanstandete Inhalte nicht nur löschen, sondern auch an das Bundeskriminalamt melden, wo sie dann in einem polizeilichen Zentralregister landen.

Allerdings habe man „aus gutem Grund“ eingeschränkt, dass Plattformen nicht alles gelöschte und gesperrte ans BKA übermitteln, so Lambrecht. Die Meldepflicht gelte nur für „schwerste Straftaten“ wie Morddrohungen oder Volksverhetzung, „einfache“ Beleidigungen seien davon ausdrücklich nicht erfasst.

Zwar sei es oft schwer zu entscheiden, wo genau die Grenze verläuft, räumte Lambrecht ein. Aber „Beleidigung ist ein Antragsdelikt und soll es auch bleiben“ – soll heißen, Nutzer müssen künftig weiterhin selbst Anzeige stellen.

BKA-Datenbank „nicht Sinn und Zweck“

Gleichzeitig stellte Lambrecht in Abrede, dass beim BKA überhaupt eine Datenbank entstehe. Dies sei „ja überhaupt nicht Sinn und Zweck“, zudem schreibe das BKA-Gesetz Löschpflichten vor. „Darüber wird im parlamentarischen Verfahren noch hart diskutiert werden“, sagte Lambrecht. „Ich bin da wirklich offen für sämtliche Regelungen, die das auch nochmal festschreiben.“

Dass Plattformbetreiber künftig die Rolle von „Hilfs-Sheriffs“ einnehmen könnten, stritt Lambrecht ab. Etwaige Ermittlungen würden weiterhin „selbstverständlich“ durch Strafverfolgungsbehörden durchgeführt, sagte Lambrecht. Ebenfalls unproblematisch sei die Zentralstelle beim BKA. Die Pflicht herauszufinden, welche Staatsanwaltschaft zuständig ist, dürfe eben nicht an die privaten Plattformen übertragen werden. „Das geht zu weit“, sagte Lambrecht.

Auch die Pflicht zur Passwortherausgabe sei eine Verbesserung der derzeitigen Situation, betonte Lambrecht. Sie verwies auf die seit 2007 bestehende Möglichkeit, solche Daten per Generalklausel und ohne Richtervorbehalt abzufragen. Dies soll sich nun bessern, indem eine richterliche Prüfung vorgesehen ist. Zudem soll dies nur bei „schwersten Straftaten“ greifen, versicherte Lambrecht.

Eine Abschwächung der IT-Sicherheit fürchtet Lambrecht nicht. „Selbstverständlich müssen Passwörter auch in Zukunft weiterhin verschlüsselt [von den Diensteanbietern] vorgehalten werden“, sagte Lambrecht. „Das ist Pflicht und daran soll sich auch nichts ändern“. Die Ministerin will den Passus eher als letzte Ermittlungsmöglichkeit verstanden wissen, das nur in „absoluten Ausnahmefällen“ zum Einsatz kommen soll.

Gleichzeitig müssten sowohl der Bund wie auch die Länder in Personal investieren, um den kommenden Mehraufwand bewältigen zu können. Der Richterbund schätzt, dass etwa 26 Millionen Euro im Jahr benötigt werden. Verglichen mit den Summen, die derzeit für die Bewältigung der Coronakrise ausgeschüttet werden, sei dies „im Zusammenspiel mit den Ländern“ umsetzbar, sagte Lambrecht.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs

Corona-Tracking: Diese Handy-Technologie soll Covid-19 ausbremsen

netzpolitik.org - 1 April, 2020 - 11:00
Strenge Ausgangssperren ließen sich lockern, wenn man Infektionsketten künftig via Handy verfolgen könnte. Gemeinfrei-ähnlich freigegeben durch unsplash.com

Auf dem Gelände der Julius-Leber-Kaserne im Berliner Norden werden sich in den kommenden Tagen interessante Szenen abspielen. Rund 50 Soldat:innen werden dort acht Stunden am Tag in Schutzkleidung vermummt Situationen nachstellen, wie sie sich sonst im zivilen Alltag abspielen. Auf dem Plan stehen der gemeinsame Aufenthalt in engen Räumen, Spaziergänge unter freiem Himmel, Zusammensitzen vor dem Fernseher oder Arbeitsmeetings. Immer mit dabei: Das Handy in der Tasche und darauf eine neue Technologie, die zum Schlüssel für die Eindämmung der COVID-19-Pandemie werden könnte.

Der Auftrag dürfte für das hier beheimatete Kommando Territoriale Aufgaben der Bundeswehr ungewöhnlich sein, normalerweise kümmert man sich um Waldbrände, sammelt Wetter- und Umweltdaten. Jetzt helfen die Soldat:innen dabei, eine Technologie zu kalibrieren, mit deren Hilfe bald ganz Europa die Ausbreitung der Covid19-Pandemie in den Griff bekommen soll. Die Schutzmontur tragen sie, weil auch für sie gilt: Ob bereits eine infizierte Person unter ihnen ist, weiß niemand.

Start der Entwicklung bereits vor drei Wochen

Entwickelt wird diese Technologie von einem internationalen Team aus Wissenschaftler:innen, IT-Fachleuten und einzelnen Unternehmen rund um das Fraunhofer Institut für Nachrichtentechnik (Heinrich-Hertz-Institut). Das Robert-Koch-Institut ist beteiligt, das Bundesamt für Sicherheit in der Informationstechnik (BSI), der Bundesdatenschutzbeauftragte hat eigens Leute zur Beratung abgestellt. Und jetzt sogar die Bundeswehr. Es scheint als sei zur Zeit möglich, was vor einigen Wochen kaum denkbar war: dass alle in einer erstaunlichen Geschwindigkeit zusammenarbeiten.

Das Stabsgebäude des Kommando Territoriale Aufgaben der Bundeswehr in der Julius-Leber-Kaserne in Berlin. Alle Rechte vorbehalten Bundeswehr / Akbar

„Ich sage Ihnen, manchmal wird man überrascht“, sagt Chris Boos. Boos ist als Unternehmer Pionier auf dem Feld der Künstlichen Intelligenz und Mitglied im Digitalrat der Bundesregierung. Auf seine Initiative geht zurück, dass in Deutschland jetzt eine technologische Lösung entwickelt wird, die ganz Europa helfen soll. Anfang März bereits hat Boos im Digitalrat Alarm geschlagen, damals verzeichnete Deutschland erst rund 200 bestätigte Fälle und der Tenor der Anwesenden war, man hätte noch Zeit.

Boos war anderer Ansicht. Er ist vertraut mit der Dynamik von exponentiellem Wachstum. Bei einem Treffen im Digitallabor des Gesundheitsministeriums trifft er Thomas Wiegand, Leiter des Heinrich-Hertz-Institutes. Der stellt den Kontakt zum RKI her und gemeinsam begannen sie ein Team von internationalen Freiwilligen zu koordinieren. Sie arbeiten im Ehrenamt, und wollen das Projekt langfristig durch Spenden finanzieren.

Räumliche Nähe messen, Privatsphäre wahren

Ihr Ziel: So bald wie möglich eine Technologie für die Nachverfolgung der Infektionsketten bauen, um die Kontaktsperren zu lockern und zur sozialen und wirtschaftlichen Normalität zurückzukehren. Das wird laut Epidemiolog:innen nur möglich sein, wenn wir es schaffen, alle Infizierten und ihre Kontaktpersonen schnell zu isolieren, bevor sie das Virus weitergeben.

Wie kann so eine Lösung technisch aussehen? Expert:innen hatten in der Vergangenheit immer wieder darauf hingewiesen, dass etwa Funkzellendaten, die Jens Spahn gerne auswerten würde, zu ungenau seien, um sie im Kampf gegen Corona zu nutzen – von den verheerenden Auswirkungen auf die Privatsphäre mal ganz abgesehen. Es geht schließlich darum herauszufinden, ob Menschen über längere Zeit wenige Meter Abstand zueinander hatten, nicht ob sie in der gleichen Straße leben.

Das Team stützt sich deswegen auf Bluetooth-Low-Energy-Technologie. Deren Nachteil, dass sie nur über wenige Meter Reichweite Verbindungen herstellen kann, wird hier zum Vorteil. „Wir können das mit Bluetooth lösen und mit einer Genauigkeit von 1,5 Metern sagen, wie nah zwei Leute beieinander stehen,“ sagt Wiegand.

Das größere Problem, sagt Boos, war die Frage des Datenschutzes: Wie kann man physische Nähe zwischen zwei Handys nachverfolgen, ohne die Privatsphäre der Handynutzer:innen zu gefährden? Das wäre der Fall, wenn man einzelne Personen identifizieren könnte, etwa anhand einer Telefonnummer, technischer Daten des Handys oder über ihr Bewegungsprofil. Während Kanzleramtschef Helge Braun noch die südkoreanische Tracking-Technologie lobte, war den Beteiligten schnell klar, dass eine solche Lösung in Europa nicht funktionieren würde. In Südkorea hat die Veröffentlichung von Daten unter anderem zu öffentlichen Hetzkampagnen gegen Infizierte geführt, nachdem ihre Identität bekannt wurde.

Auch ein System, dass dem Staat Zugriff auf die Bewegungsprofile von Einzelnen gibt, sei mit europäischen Prinzipien nicht vereinbar, sagt Boos. „Das darf man nicht machen, auch nicht, wenn es gerade nötig ist“, sagt Boos. Eine Lösung für die Europäische Union müsse auch den Vorgaben der EU für den Datenschutz folgen, gerade in Krisenzeiten. „Wir haben extrem viele Designaspekte so gewählt wie sie sind, damit die Privatsphäre gewahrt bleibt,“ sagt Thomas Wiegand.

Wo und wer ist egal, entscheidend ist, wie nah und wie lange

Das Team hat sich deswegen für eine Lösung entschieden, die auf Ortsdaten komplett verzichtet. Aus Sicht der Infektionswissenschaft ist schließlich egal, wann und wo man mit einer infizierten Person in Kontakt war. Entscheidend ist, in welchem Kontext es passiert ist, erklärt Wiegand. Denn auf dem Fahrrad ist eine Infektion unwahrscheinlicher als in der U-Bahn, im Park unwahrscheinlicher als im Büro. „Interessant ist im Grunde nur: Sind sie drinnen oder draußen und wen treffen sie da eigentlich und wie nah ist ihnen die Person gekommen?“

Konkret soll das Tracking so funktionieren: Nutzer:innen laden die App auf ihr Handy, je mehr desto besser. Die App generiert alle paar Minuten eine neue temporäre ID und sendet diese aus. So kann man keine Rückschlüsse auf die Person oder das Gerät ziehen. Geht man davon aus, dass der Kontakt epidemiologisch relevant war, etwa weil zwei Geräte mehr als 15 Minuten weniger als 2 Meter voneinander entfernt waren, wird er abgespeichert. Das passiert lokal auf dem eigenen Telefon. Wird eine Person später positiv auf das Corona-Virus getestet, kann sie freiwillig ihre lokal gespeicherten Daten an einen Server hochladen.

Erst dann und nur falls die Person zustimmt erfährt der zentrale Server, mit welchen anderen temporären IDs das Handy in Kontakt war. Der Server kann nicht entschlüsseln, welche Personen sich hinter diesen IDs verbergen. Er kann sie aber über die App benachrichtigen. Die Nutzer:innen könnten also schnell über den Kontakt informiert werden und eine Aufforderung erhalten: Bitte begeben sie sich in Quarantäne und melden sie sich bei ihrem Gesundheitsamt. (Die technischen Details erklären Johannes Abeler, Matthias Bäcker und Ulf Buermeyer in diesem Gastbeitrag. Buermeyer hat auch das Entwicklungsteam beraten.)

Damit Menschen, die im Ausland unterwegs sind und dort Kontakt zu einer infizierten Person hatten, ebenfalls benachrichtigt werden können, sind in die anonymen IDs auch verschlüsselte Ländercodes eingebaut. So könnte etwa ein Urlauber, der in Österreich Skifahren war, nach seiner Rückkehr darüber informiert werden, dass er dort Kontakt mit einer positiv getesteten Person aus Österreich hatte – auch wenn der eine die österreichische und der andere die deutsche App nutzt.

Eine Technologie als Grundlage, viele nationale Apps

„Wir bauen hier keine App, sondern eine Technologie“, betont Thomas Wiegand vom Heinrich-Hertz-Institut. Auch den Namen habe man absichtlich sperrig gewählt: Pan European Privacy Protecting Proximity Tracing (PEPP-PT) soll die Technologie heißen. An der Entwicklung sind Wissenschaftler:innen aus mehreren europäischen Ländern beteiligt, die Technologie ist quelloffen und soll später von allen genutzt werden können. So könnten Deutschland, Italien oder Spanien auf diesem Gerüst ihre jeweils eigenen Apps bauen, die Technologie im Hintergrund wäre überall die gleiche. Das ist entscheidend für die Interoperabilität, also die Fähigkeit der Systeme möglichst nahtlos zusammenzuarbeiten. Nur so könnten die Infektionsketten auch über Ländergrenzen hinweg verfolgt werden.

In Deutschland wird offiziell das Robert-Koch-Institut die App veröffentlichen. RKI-Chef Lothar Wieler hatte bereits Anfang März angekündigt, dass man an einer Lösung arbeite. Die Bausteine dafür baut derzeit ebenfalls das Heinrich-Hertz-Institut. Auf einen Launchtermin will sich noch niemand festlegen, ein Sprecher von Fraunhofer spricht von der Zeit „nach Ostern“.

Die beste Lösung für die Privatsphäre zu finden, daran war das Team schon aus strategischen Gründen interessiert. Denn die App soll freiwillig heruntergeladen werden. Zugleich gilt: Nur wenn möglichst viele mitmachen und die App freiwillig nutzen, wird man den gesellschaftlichen Lockdown wieder lockern können. Der Schweizer Epidemiologe Marcel Salathé, der an der Entwicklung mitwirkt, sagt, erst wenn jeder Fall einer möglichen Infektion nachverfolgt werden kann und die Infektionskette so unterbrochen würde, können man wieder zur Normalität übergehen. Weil Corona bereits vor ersten Symptomen ansteckend sei, reiche es nicht, die Kranken zu isolieren. Auch die Infizierten ohne Symptome müssten in die Isolation, „damit nicht jeder Funke gleich zum Waldbrand wird“.

Damit das gelingt, müssten Studien zufolge mindestens rund 60 Prozent der Bevölkerung eine solche App nutzen. In Deutschland hieße das: 50 Millionen Menschen. Oder auch: so gut wie alle, die überhaupt ein Smartphone nutzen. Laut Bitkom sind das 81 Prozent aller Bürger:innen über 14 Jahren.

Die Chancen dafür stehen nicht schlecht. Einer repräsentativen Umfrage aus der vergangenen Woche zufolge würden mehr als 70 Prozent der Befragten so eine App auf jeden Fall oder wahrscheinlich nutzen. Die Mehrheit gibt an, den Aufforderungen der App nachkommen zu wollen und sich in Quarantäne zu begeben, sollten sie mit einer infizierten Person in Kontakt gekommen sein.

Update, 03.04.2020: Nach weiteren Informationen der Bundeswehr haben wir den Absatz zum Test in der Julius-Leber-Kaserne aktualisiert.

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Kategorien: Blogs
Inhalt abgleichen