Vertrauen ist gut, Kontrolle ist besser

Seit Wochen diskutiert Deutschland über Corona-Apps. Die Anwendungen sollen das Nachverfolgen von Infektionsketten erleichtern und dabei helfen, die Kontaktpersonen von Covid19-Erkrankten zu informieren. Doch die Verunsicherung ist groß: Wie weit lässt man den Staat mit den Programmen auf das eigene Smartphone? Wer garantiert für die Sicherheit der sensiblen Informationen über Gesundheitszustand und soziale Netzwerke? Was, wenn Regierungen der Versuchung nicht widerstehen können und doch mehr Informationen über Bürger:innen sammeln wollen als angekündigt?

„Wer in dieser Zeit eine Corona-App auf den Markt bringt, muss Transparenz schaffen“, fordert deshalb Benjamin Bergemann vom Verein Digitale Gesellschaft. Der Politikwissenschaftler gehört zu einer Reihe von Aktivist:innen, die in der Krise auf das Potenzial eines neuen und zugleich alten Datenschutzinstruments hinweisen. Es könnte helfen, die Vertrauensfrage zu beantworten: die Datenschutz-Folgenabschätzung (DSFA).

Was sperrig klingt, ist im Grunde einfach erklärt: Wer in der EU Datenverarbeitungen plant, die mit einem potenziell hohen Risiko für Grundrechte und Freiheiten einhergehen, ist nach der Datenschutzgrundverordnung (DSGVO) verpflichtet, vorab eine umfassende Selbstkontrolle durchführen. In Rahmen dieser Folgenabschätzung müssen Unternehmen, Vereine und staatliche Stellen systematisch auflisten, welche Verarbeitungsprozesse sie für die persönlichen Daten zu welchem Zweck planen. Außerdem müssen sie Risiken für die Betroffenen analysieren und Maßnahmen beschreiben, mit denen sie diese Risiken minimieren.

Transparenz ermöglicht Kontrolle, Kontrolle schafft Vertrauen

Die Folgenabschätzung ist Teil des sogenannten Risiko-basierten Ansatzes der DSGVO. Sie soll dem sperrigen Gesetz eine gewisse Flexibilität ermöglichen: Datenverarbeiter:innen müssen sich vorab selbst intensiv Gedanken machen und eigenständig Schutzmaßnahmen entwickeln. Wenn sie zu dem Schluss kommen, dass das Risiko trotzdem hoch bleibt, müssen sie die Aufsichtsbehörden konsultieren.

Eine Veröffentlichung der DSFA allerdings sieht die Datenschutzgrundverordnung nicht vor. Benjamin Bergemann hat deshalb beim Robert Koch-Institut eine Anfrag nach dem Informationsfreiheitsgesetz (IFG) gestellt, um die Folgenabschätzung der Datenspende-App aus den Aktenordnern der Infektionsbehörde zu befreien. „Es gibt ein hohes öffentliches Interesse daran, nachzuvollziehen, dass die App datenschutzfreundlich entwickelt wurde. Die vom Robert Koch-Institut veröffentlichten Datenschutzinformationen erfüllen diesen Anspruch nicht“, so Bergemann. Auch der Chaos Computer Club kritisiert die mangelhafte Transparenz der Anwendung.

Einen anderen Weg ist das Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung gegangen. Da die Corona-Tracing-Apps in Deutschland selbst noch nicht fertiggestellt sind, haben die Datenschützer:innen des Vereins einfach selbst eine Folgenabschätzung erstellt – ein Debattenbeitrag über die gesellschaftlichen Risiken dieser Technologien, der den Macher:innen der App gleichzeitig als konkrete Anregung dienen soll.

In dem gut hundert Seiten starken Dokument kamen die Expert:innen schon sehr früh in der Debatte zu dem Schluss, dass es aus Sicht des Datenschutzes erhebliche Unterschiede mit sich bringt, ob ein dezentrales oder ein (teil-)zentralisiertes Modell umgesetzt wird. Doch auch beim dezentralen Modell stellt die Folgenabschätzung erhebliche Risiken fest, für die der Verein jeweils konkrete Schutzmaßnahmen vorschlägt.

Licht in die Black Box bringen

Moderne Informations- und Kommunikationstechnologien sind für die wenigsten Menschen gänzlich durchschaubar. Eigentlich würde man erwarten, dass die allgegenwärtigen Datenschutzerklärungen hier einen Beitrag leisten würden. Ihre Veröffentlichung ist nach der DSGVO zwar verpflichtend, doch weil sie meist nicht zur Aufklärung, sondern zur rechtlichen Absicherung verfasst werden, erfüllen sie diesen Anspruch nur selten.

Gerade bei komplexen datenbasierten Systemen, die heute oft die Label Big Data oder Künstliche Intelligenz tragen, könnte die DSFA deshalb eine Möglichkeit sein, gesellschaftliche Auswirkungen überhaupt erst diskutierbar zu machen. „Viele solcher Systeme operieren als ‚Black Boxes‘ – undurchsichtige Software-Werkzeuge, die sich aussagekräftiger Überprüfung und Verantwortlichkeit entziehen“, schrieben Kate Crawford und Meridith Whitthaker 2018 in einem bericht über automatisierte Entscheidungssystem. Die Forscherinnen des US-amerikanischen Think Tanks AI NOW brachten deshalb „Algorithmic Impact Assesments“ ins Spiel. Folgenabschätzungen, die dem Privacy Impact Assessment der DSGVO nicht unähnlich sind.

Tatsächlich steht die DSFA in der Tradition der parlamentarischen Technik-Folgenabschätzung, bei der es nicht nur um einzelne Datenverarbeitungen, sondern um die Diskussion gesellschaftlicher Konsequenzen geht. Vor dem Hintergrund der Debatte um die kommerzielle Nutzung von Atomenergie habe sich dieses Instrument seit den 70er Jahren etabliert, um „die Chancen und Risiken der Technik für die Gesellschaft sowie deren Akzeptanz […] unter einem ganzheitlichen und damit interdisziplinären Winkel“ zu erforschen, erklärt das Forschungsprojekt „Forum Privatheit“ in einem White Paper.

Bereits seit Ende 70er Jahre sei dieses Element auch schon in einigen deutschen Datenschutzgesetzen angelegt gewesen, wurde jedoch nie wirklich entfaltet. Erst mit der Datenschutzgrundverordnung wird der alten Idee neues Leben eingehaucht.

Als führe man den TÜV in der eigenen Garage durch

Ein Gespräch mit Stefan Brink zeigt: Überall angekommen ist das noch nicht. Doch die Zahl der Datenverarbeiter:innen, die selbstständig eine DSFA durchführen, nehme kontinuierlich zu, berichtet der Landesdatenschutzbeauftragte von Baden-Württemberg. Wann das notwendig ist, definiert die DSGVO nicht genau, Orietierung geben Handreichung der Aufsichtsbehörden. Im Vergleich zu den Vorabkontrollen, die das alte Bundesdatenschutzgesetz vorgesehen hatte, habe sich die Zahl der Folgenabschätzungen jedenfalls mehr als verdoppelt, so Brink.

Bislang behalten Datenverarbeiter:innen die Dokumente jedoch lieber für sich. Eine Praxis, die auch Lea Pfau vom Transparenzportal Frag den Staat kritisiert. Es sei nur schwer vorstellbar, dass Verantwortliche in der Selbstprüfung jemals zu dem Ergebnis kämen, dass sie die Aufsichtsbehörde konsultieren müssen, weil sie das Risiko nicht in den Griff bekommen: „Das wäre ungefähr so, als würde man den TÜV für sein Auto in der eigenen Garage selbst durchführen.“

Eine Veröffentlichung der Abschätzung erfülle jedoch nicht nur eine Kontrollfunktion. Die Transparenzmaßnahme könne zudem die Qualität des Datenschutzes verbessern, weil es einen Feedback-Kanal gebe. Das gelte besonders im Fall der Corona-Apps: „Das öffentliche Interesse geht hier einher mit einem erheblichen Maß an vorhandener Expertise“, so Pfau.

„Wer nach außen demonstrieren will, dass man Datenschutz kapiert hat, hat mit Veröffentlichung der Folgenabschätzung ein ideales Werbemittel, um die eigene Seriosität zu demonstrieren“, findet auch Stefan Brink, der in Baden-Württemberg nicht nur Beauftragter für Datenschutz, sondern auch für Informationsfreiheit ist. „Anstatt sich wegzuducken, kann man sich demonstrativ offen zeigen. Nach dem Motto: Prüft uns, macht Verbesserungsvorschläge.“ Brink bestätigt derweil, dass es so gut wie nie vorkomme, dass Unternehmen seine Behörde in Folge der internen Folgenabschätzung konsultieren würden.

“Security by Obscurity“ ist eine schlechte Ausrede

Zumindest die Datenschutz-Folgenabschätzung von Behörden seien in der Regel IFG-pflichtig, bestätigt Stefan Brink. Dass das in der Praxis durchaus anders aussehen kann, zeigt ein Fall aus der Redaktion von netzpolitik.org: Als Kollegin Anna Biselli beim Bundesamt für Migration und Flüchtlinge per IFG die Datenschutz-Folgenabschätzungen von IT-Assistenzsystemen anfragte, mit der etwa die Herkunft von Asylbewerber:innen plausibilisiert werden soll, wurde sie zunächst fast ein ganzes Jahr hingehalten. Am Ende wurde die Anfrage abgelehnt, da die Bekanntgabe des Inhalt der Folgenabschätzung die öffentliche Sicherheit gefährden könne. Dritte könnten mit ihr „mögliche Sicherheitslücken der Datenverarbeitung“ aufspüren und ausnutzen.

Dieses Argument bekomme er öfter zu hören, sagt Datenschutz-Aktivist Benjamin Bergemann. Doch davon solle man sich nicht blenden lassen: „Wer auf Security by Obscurity setzt, hat ohnehin ein Problem.“ IT-Sicherheitsarchitekturen sollten nicht davon abhängen, dass sie undurchschaubar seien. Allerdings könne man über die Detailtiefe der Informationen einer veröffentlichten DSFA diskutieren, da hier nicht der einzelne Verarbeitungsvorgang, sondern der Grundrechtsschutz insgesamt im Vordergrund stehe.

Diese Sichtweise unterstützt auch die Rechtsanwältin Nina Diercks. Sie berät regelmäßig Unternehmen in Datenschutzfragen und auch bei der Erstellung von DSFA. Da die Folgenabschätzung ohnehin in vielen Fällen vorgenommen werden müsse, sei der Weg zur Veröffentlichung nicht mehr weit. Notfalls könnten Verantwortliche die Folgenabschätzung um sicherheitsrelevante Aspekte bereinigen und eine leicht abgespeckte Variante veröffentlichen, so Diercks.

Österreich macht es vor

Dass das Robert Koch-Institut die Folgenabschätzung der Datenspende-App nicht proaktiv veröffentliche, sei wenig vertrauensbildend, findet Diercks. Auch Bergemann sieht die Behörden bei Corona-Apps in einer Bringschuld. „Das sind Hochrisiko-Technologien, die flächendeckend eingesetzt werden sollen. Da muss der Staat gegenüber den Bürgern nachweisen, dass sie grundrechtskonform funktionieren.“

Folgenabschätzungen seien kein Allheilmittel, doch sie würden Technologien und ihre Folgen überhaupt erst diskutierbar machen – „eine Voraussetzung dafür, dass wir sie gesellschaftlich kontrollieren können.“ Inzwischen fordert auch der Europäische Datenschutzausschuss, also das Gremium aller nationalen Datenschutzaufsichtsbehörden der EU, die Veröffentlichung der Folgenabschätzungen für Tracing-Apps.

Wie das konkret aussehen kann, demonstriert in Österreich das Rote Kreuz. Schon früh hatte die Organisation zusammen mit der Beratungsfirma Accenture in der Alpenrepublik die „Stopp Corona“-App an den Start gebracht. Mitte April wurde die gut 100 Seiten starke Folgenabschätzung veröffentlicht. Mehrere NGOs konnten zudem den (inzwischen ebenfalls veröffentlichten) Source Code einsehen und haben die Anwendung auf dieser Basis geprüft.

Ihr Fazit: Es gibt Verbesserungsvorschläge, aber alles in allem ist die Anwendung sicher und datenschutzfreundlich. Wer dem Urteil der Expert:innen nicht traut, kann sich nun immerhin selbst ein Bild machen. Denn Vertrauen ist gut – Kontrolle ist besser.

Quelle:https://netzpolitik.org

von Ingo Dachwitz veröffentlicht am 01.05.2020

Schreibe einen Kommentar