Corona und Datenschutz: Die falsche Erzählung

E in Friseurbesuch vor der Pandemie sah so aus: Hingehen, Haare schneiden lassen, zahlen, fertig. Wer dabei einen Salon ohne Terminbuchung wählte und die Summe in bar beglich, bekam eine neue Frisur ohne persönlichen Daten zu hinterlassen.

Heute dagegen muss man einen Termin buchen, unter Angabe von Telefonnummer und/oder E-Mail-Adresse. Beim Schnelltesttermin muss man zudem auch noch Postadresse und Geburtsdatum angeben. Und außerdem noch den Personalausweis vorlegen, damit sich niemand den Test für eine andere Person organisieren kann.

All diese Daten akkumulieren sich auf Servern, bei Cloud-Diensten oder auf unternehmenseigenen Rechnern. Wie lange sie dort liegen, wie sie geschützt und mit welchen anderen Daten verknüpft sind und ob eine auf Papier geführte Kontaktliste oder ein Ausdruck je einen Aktenvernichter von innen sehen wird – das ist für Betroffene kaum zu erkennen.

In den vergangenen Monaten war in Sachen Datenschutz vor allem eine Erzählung vorherrschend: Der Schutz der Privatsphäre in Europa im Allgemeinen und in Deutschland im Speziellen schwäche die Bekämpfung der Pandemie.

Doch wenn man genauer hinschaut, entpuppen sich die angeführten Argumente als haltlos. So würde etwa, um ein häufig bemühtes Beispiel zu nennen, eine Überwachung sämtlicher Bür­ge­r:in­nen per GPS oder Mobilfunkzellen keineswegs dazu führen, Infektionsketten schneller zu unterbrechen. Denn die damit gewonnenen Standortdaten wären zu ungenau.

Luft nach oben

Und doch hat sich diese Erzählung durchgesetzt. Dabei ist das Problem eher umgekehrt. Diverse Maßnahmen im Rahmen der Pandemiebekämpfung führen zu einer Aushöhlung des Datenschutzes. Dabei bauen Datenschutz-Kritiker:innen gern Fallen, die dazu führen sollen, den Schutz der Privatsphäre und die Bekämpfung der Pandemie gegeneinander zu stellen. Dabei sollte die Frage doch lauten: Wie kann man beides so gut wie möglich miteinander vereinbaren? Da ist aktuell noch Luft viel nach oben.

Erstes Beispiel: Schnelltests. Die Testzentren erheben bei der Terminbuchung oder Anmeldung in der Regel folgende Daten: Vor- und Nachname, Wohnadresse, E-Mail-Adresse, Telefonnummer und Geburtsdatum. Das ganze Paket also, und niemand scheint sich in den betroffenen Zen­tren mal gefragt zu haben, ob sie all diese Daten brauchen.

Diese Frage wäre aber nicht nur sinnvoll, sondern auch Pflicht. So schreibt die europäische Datenschutzgrundverordnung in Artikel 5 den Grundsatz der Datensparsamkeit vor. Was also ist davon wirklich nötig? Die E-Mail-Adresse, um das Testergebnis zu schicken. Name und Geburtsdatum, um die Identität der getesteten Person zu verifizieren. Der Rest ist überflüssig.

Datensparsamkeit nutzt

Zudem könnten die erhobenen Daten spätestens nach Ablauf der Gültigkeit des Tests, also 24 Stunden nach der Durchführung, gelöscht werden. Das in Kombination mit Datensparsamkeit hätte noch einen weiteren Vorteil: Ein Angriff oder ein Datenleck wären weniger gravierend.

Das ist keine Theorie. Es gab schon Fälle, in denen Unbefugte auf die Daten aus Testzentren zugreifen konnten. Mitunter waren gleich mehrere Städte betroffen, in denen Zentren die gleiche Software einsetzten. Dabei wurden die Sicherheitslücken teilweise durch dilettantische Fehler verursacht.

Zweites Beispiel: die Impfdokumentation. Ärz­t:in­nen müssen Impfungen, genau wie andere Behandlungen, dokumentieren. Während ein Patient bei seiner Hausärztin zumindest davon ausgehen kann, dass die persönlichen Daten in der Praxis verbleiben, ist im Fall der Impfzentren in der Regel nicht erkennbar, was mit den eigenen Daten passiert.

Berlin – ein negatives Beispiel

Mit schlechtem Beispiel voran geht hier etwa die Hauptstadt. Berlin hat nicht nur die Buchung der Termine an einen externen Anbieter ausgelagert (wie etwa auch Schleswig-Holstein an das Unternehmen Eventim), sondern auch die Dokumentation. Das betrifft beispielsweise die kompletten Anamnesebögen – inklusive Daten zu schweren und chronischen Vorerkrankungen oder Allergien. Die landen über den Anbieter Doctolib auf Servern von AWS, Amazon Web Services.

Drittes Beispiel: Kontaktnachverfolgung. Hier ist in den vergangenen Monaten vor allem die Luca-App negativ aufgefallen. Die soll dazu dienen, die bislang nur teildigitalisierte Kontaktnachverfolung der Gesundheitsämter schneller zu machen. Ob die App für dieses Ziel taugt, ist schon angesichts von Konzeptionsfehlern fraglich. Dazu kommen zahlreiche Sicherheitslücken und Datenschutzverstöße.

Dass dennoch diverse Kommunen und Bundesländer sie einsetzen wollen oder das bereits tun, hat – neben gutem Marketing der App-Unternehmer:innen – einen politischen Grund. Die Infektionsschutzverordnungen der Bundesländer sahen standardmäßig vor, bei dem Besuch eines Veranstaltungsorts oder Res­tau­rants die persönlichen Daten von Be­su­che­r:in­nen erfasst werden müssen.

Es ist noch nicht vorbei

Angelehnt war diese Vorschrift an die Bedürfnisse der Gesundheitsämter. Doch das lässt außer Acht, dass Kontaktnachverfolgung spätestens mit der Corona-Warn-App auch ohne die Angabe persönlicher Daten machbar ist.

Diese Erkenntnis kommt jedoch erst langsam in den entsprechenden Landesverordnungen an. Die Folge ist: Es wurden Gelder ausgegeben und politische Weichen gestellt für die Nutzung einer mutmaßlich nicht legal nutzbaren, weil datenschutzverletztenden App. Diese Weichen – Stichwort Pfad­ab­hän­gig­keit – werden wiederum die Grundlage dafür legen, dass weitaus mehr Datensammlungen entstehen werden, als für die Pandemiebekämpfung notwendig wäre.

Die Pandemie wird nicht morgen vorbei sein. Die Maßnahmen, von Schnelltests bis zur Kontaktnachverfolgung, werden noch eine Weile erhalten bleiben. Um so wichtiger ist es, den Schutz der Privatsphäre mitzudenken.