Liebe Freunde und Freundinnen der Digiges,
heute haben wir eine Pressemitteilung veröffentlicht: Datenschutzprüfung
für "Corona-Apps" offenlegen. Diese Apps verarbeiten sensible Daten,
also etwa Gesundheitsdaten und Kontaktdaten. Die
Datenschutz-Grundverordnung macht deshalb eine
Datenschutz-Folgenabschätzung notwendig und wir fordern deren
Veröffentlichung. Das erst macht eine gesellschaftliche Diskussion der
komplexen Auswirkungen auf Grundrechte möglich. Das Forum
InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
hat bereits eine Muster-Datenschutz-Folgenabschätzung veröffentlicht, an
der man sich orientieren kann.
Beste Grüße aus der Geschäftsstelle
https://digitalegesellschaft.de/2020/04/datenschutzpruefung-fuer-corona-app…
Pressemitteilung der Digitalen Gesellschaft e.V.:
Datenschutzprüfung für „Corona-Apps“ offenlegen
Die Digitale Gesellschaft e. V. fordert die Verantwortlichen für Apps
zur Unterstützung der Eindämmung der Corona-Pandemie auf, eine
vollständige Datenschutzprüfung durchzuführen und diese zu
veröffentlichen. „Hierzu bietet sich die Offenlegung der ohnehin
durchzuführenden Datenschutz-Folgenabschätzung an“, sagt Benjamin
Bergemann, Vorstand der Digitalen Gesellschaft.
Die Datenschutz-Grundverordnung (DSGVO) schreibt in Artikel 35 vor, dass
für Datenverarbeitungen, die mit hohen Risiken für die Grundrechte von
Betroffenen einhergehen, vorab eine Datenschutz-Folgenabschätzung
durchzuführen ist. „Bereits eingesetzte und derzeit diskutierte
Corona-Apps verarbeiten Gesundheitsdaten beziehungsweise Kontaktprofile
in großem Umfang. Das sind klare Fälle für
Datenschutz-Folgenabschätzungen.“, sagt Dr. Elke Steven,
Geschäftsführerin der Digitalen Gesellschaft.
In einer Datenschutz-Folgenabschätzung muss der datenschutzrechtlich
Verantwortliche, also der Betreiber der Applikation und der
dazugehörigen Infrastruktur, dokumentieren, wie die Datenverarbeitung
funktionieren soll, ob sie zur Erreichung des Zwecks notwendig ist und
welche Risiken mit ihr einhergehen. Der Verantwortliche muss schließlich
darlegen, ob und inwiefern er sicherstellen kann, dass die
Grundrechtsrisiken vertretbar sind. Erst dann kann er entscheiden, ob er
die Datenverarbeitung betreiben darf. „Es handelt sich hier um die
rechtsstaatlich gebotene Verhältnismäßigkeitsprüfung, die bei einer
Datenschutz-Folgenabschätzung mit einer höheren Detailtiefe vorgenommen
werden muss. Das gilt vor allem für die konkreten organisatorischen und
technischen Gegebenheiten.“, sagt Bergemann.
Die DSGVO schreibt die Offenlegung der Datenschutz-Folgenabschätzung
nicht vor. Die europäischen Datenschutzbehörden empfehlen jedoch
zumindest öffentlichen Stellen die Veröffentlichung der
Datenschutz-Folgenabschätzung.[1] Zudem sind Behörden durch
Informationsfreiheitsgesetze ohnehin zur Herausgabe amtlicher
Informationen verpflichtet. Hierzu zählt auch das Robert Koch-Institut.
Für deren Datenspende-App hat Benjamin Bergemann noch am Tag der
Bereitstellung der App die Datenschutz-Folgenabschätzung angefragt –
bislang ohne Antwort.[2]
Andere zivilgesellschaftliche Organisationen haben bereits die
Offenlegung des Quelltexts von Corona-Apps [3] und Transparenz über die
Mitwirkenden an den Projekten [4] gefordert. Das Forum InformatikerInnen
für Frieden und gesellschaftliche Verantwortung (FIfF) hat eine
Muster-Datenschutz-Folgenabschätzung veröffentlicht.[5] Die Offenlegung
der Datenschutz-Folgenabschätzung durch die eigentlichen
Verantwortlichen sowie der zu ihrem Verständnis notwendigen
Dokumentation komplettiert diese Forderungen. Steven: „Öffentliche
Datenschutz-Folgenabschätzungen ermöglichen zum einen eine informierte
Auseinandersetzung darüber, ob Corona-Apps grundrechtskonform betrieben
werden können. Zum anderen sind sie ein Mittel, um Betreiber
rechenschaftspflichtig zu machen.“
Im Fall der derzeit diskutierten Vorschläge zur Kontakt-Nachverfolgung
(„Contact Tracing“) ist eine umfängliche Risikobetrachtung notwendig.
Bei der Risikobetrachtung müssen neben den häufig diskutieren Risiken
der Re-Identifizierung von Infizierten und Kontakten auch die
weitergehenden Risiken für die Betroffenen diskutiert werden. Eine
geeignete Vorarbeit hierfür bietet die
Muster-Datenschutz-Folgenabschätzung des FIfF [5]. „Die DSVGO schützt
gemäß Artikel 1 Absatz 2 alle Grundrechte und nicht nur den Datenschutz
im engeren Sinne. Das wird leider oft übersehen. Bislang sehe ich das
nur in der Veröffentlichung des FIfF berücksichtigt“, sagt Bergemann.
Ein solches Risiko besteht in der sozialen Erwartung oder dem
tatsächlichen Druck zur Benutzung der App und zur Offenlegung des
eigenen Risikowertes. „Eine Corona-App könnte schnell zur Eintrittskarte
für die Teilnahme am öffentlichen Leben werden“, sagt Steven.
Wenn die Contact-Tracing-App-Betreiber auf die angekündigte
Infrastruktur von Google und Apple zurückgreifen wollen, müssen die
Verantwortlichen untereinander klären, wer für was verantwortlich ist.
Zudem müssten in einer Datenschutz-Folgenabschätzung dann auch die aus
der Nutzung der Google-Apple-Infrastruktur resultierenden Risiken
betrachtet werden, etwa die Zweckentfremdung zu kommerziellen Zwecken.
„Der schlimmste Fall wäre, wenn die App-Betreiber sich mit Google und
Apple gegenseitig die Verantwortung zuschieben. Wir kennen das aus der
Debatte um die gemeinsame Verantwortung in sozialen Netzwerken.“, sagt
Bergemann.
[1]
https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236
(S. 18)
[2]
https://fragdenstaat.de/anfrage/datenschutz-folgenabschatzung-zur-corona-da…
[3] https://www.ccc.de/de/updates/2020/contact-tracing-requirements
[4] https://algorithmwatch.org/positionspapier-adms-und-covid19/
[5] https://www.fiff.de/presse/dsfa-corona
--
Digitale Gesellschaft e.V.
Groninger Straße 7
13347 Berlin
digitalegesellschaft.de
@digiges
030 450 840 18