screen covid-19 cases

Corona-Datenspende und Technologische Souveränität

von DiEM25 Germany

von David Schwertgen (NC Germany)

Man bekommt nicht alle Tage eine Push-Nachricht vom Bundesministerium für Gesundheit (@BMG_Bund) auf sein Smartphone. Aber es ist ja auch nicht alle Tage Covid-19-Ausnahmezustand. Am 9. April – kurz bevor sich alle in den Oster-Lockdown verabschiedet haben – erschien eine Einladung zu einem Corona-Infokanal in meiner Telegram-App. Nach einer kurzen Begrüßung hat der Infokanal folgende Bitte:

„Helfen Sie freiwillig mit, die Ausbreitung des Coronavirus besser zu erfassen und zu verstehen! Mit der neuen Corona-Datenspende-App des Robert Koch-Instituts können Sie mit wenigen Klicks dazu beitragen, dass die Ausbreitung der Infektionen schneller und präziser eingeschätzt werden kann.“
(Telegram-Kanal des Bundesministerium für Gesundheit)

Einen Tag zuvor, am 8. April, hatten Christian Drosten, Virologe an der Berliner Charité, und Dirk Brockmann, Physiker am Institut für Theoretische Biologie an der Humboldt-Universität, schon im Coronavirus-Update Podcast über die Datenspende-App des Robert-Koch-Instituts aufgeklärt. Zunächst soll diese App die Daten von Fitness-Trackern verschiedener Hersteller (aktuell: Apple, FitBit, Garmin, Polar, Withings und Nokia) anonymisiert sammeln und auswerten:

„Die Idee war zunächst auch erst mal, etwas zu schaffen, ein System, das klar kommuniziert, dass Menschen Daten irgendwelcher Art spenden können, um diese Situation, diese Krise besser in den Griff zu kriegen und ganz freiwillig und transparent Daten zur Verfügung stellen. Eine Idee hierbei war (…) dass diese (Fitness-Tracker)-Daten gespendet werden, also verschlüsselt übermittelt und auch anonymisiert beziehungsweise pseudonymisiert übermittelt werden. Und dass man aus diesen Daten dann Informationen gewinnen kann über leichte Symptomatik. Das heißt, das ist eine App, die zwar nicht feststellen kann, ob man Covid-19 hat oder infiziert ist, sondern einfach Symptomatik misst, quasi so eine Art Fieberthermometer für das ganze Land.“

Die Idee dabei ist, dass ab jetzt (Anfang April) größere Cluster von Menschen mit Fiebersymptomen ein Hinweis auf stärkere Corona-Infektionstätigkeit sein können. Die App soll in einer geographischen Auflösung im Postleitzahlenbereich arbeiten. Das Robert-Koch-Institut ist eine Bundesbehörde und wird die Daten zusammen mit dem technischen Dienstleister Thryve (mHealth Pioneers GmbH) auswerten.

Grundsätzlich begrüßt DiEM25 eine Nutzung von hinreichend anonymisierten, sicher aufbewahrten und verschlüsselten Daten für beispielsweise medizinische Zwecke oder eben die bessere Überwachung und Kontrolle einer Pandemie wie Covid-19.

In unserem Policy Paper „Technological Sovereignty – Democratising Technology and Innovation“ (t1p.de/diem25techpolicy) beschreiben wir ausführlich einen Ansatz zur Dekommodifizierung von Daten. Dekommidifizierung heißt in diesem Fall die Eigenschaft von Daten als Handelsware stark zu beschränken und ihren Nutzen für beispielsweise öffentliche Institutionen zu stärken. 

Unsere Vision ist ein europäischer, öffentlicher Datenschatz (European Data Commons), der sicher, anonym, transparent und unter demokratischer Kontrolle von EU-Institutionen im Interesse der Öffentlichkeit genutzt werden kann. 

Diese Daten können ein Konglomerat aus persönlichen Daten, öffentlichen Daten der städtischen und kommunalen Einrichtungen und Daten aus öffentlich finanzierter Forschung sein. Wichtig ist, dass diese Daten im öffentlichen Besitz in einer politische Sphäre wie der Europäischen Union zu Förderung von technologischer Innovation genutzt werden können und so ein unverzichtbares Element in Kampf um die Technologische Souveränität der EU sind. Und das ist letzendlich der Kampf um Souveränität und Unabhängigkeit von den Big Data-Sammlungen der Silicon-Valley-Konzerne.

Viele Bürger*innen werden vielleicht zögern ihr Einverständnis für die Corona-Datenspende zu geben. Aus gutem Grund. Die Enthüllungen und Skandale der letzten Jahre haben einer großen Anzahl von Menschen vor Augen geführt, mit welche Skrupellosigkeit jede Aktion auf digitalen Endgeräten überwacht, gespeichert und verkauft wird. Der/die einzelne User*in ist mit dem täglichen Platzregen von Cookie-Agreements, User Agreements und AGBs völlig überfordert. Um nur ein wahlloses Beispiel zu nennen:

Um ein Online-Spiel mit meiner Tochter spielen zu können, ohne unsere Daten an Hunderte von Werbetreibenden abzugeben, müsste ich alleine unter dem Anfangsbuchstaben „A“ 31 verschiedene Privacy Policies / Terms of Service lesen und manuell abwählen. Selbst ohne eine quengelnde 5jährige auf dem Schoß ist dies ein ehrgeiziges Unterfangen.

Wenn wir Projekte wie die Corona-Datenspende und weitere ehrgeizige Projekte in Zukunft wollen, müssen wir in der EU wirksame technische, rechtliche, wettbewerbsrechtliche und organisatorische Maßnahmen einleiten, damit das individuelle Endgerät kein Alptraum wird, sondern eine Ressource. 

Ein Anfang wäre es einige regulatorische Mindeststandards einzuführen:

  • ein hohes Level an Privay Protection by Design und by Default. D.h. es soll keine zusätzliche Option sein, dass z.B. ein Smartphone sicher ist, sondern ist eine notwendige Voraussetzung. Als Beispiel: Location-Daten sind privat und müssen standardmäßig geschützt sein. Sicherheitsgurte im Auto sind ja auch vorgeschrieben und kein kostenpflichtiges Upgrade.
  • hohe Anforderungen an Einverständniserklärungen des Benutzer. Es kann nicht sein, dass eine App ihre Funktion nicht erfüllt, wenn die User*innen nicht gleich am Eingang alle Rechte abgeben (sog. All-Or-Nothing-Consent)
  •  Insbesondere müßen die User*innen gegen das Tracking seitens Drittanbietern und das Abgreifen von Kommunikationsdaten gegen ihr Einverständnis geschützt werden. Ohne Ausnahmen.

Diese Maßnahmen fallen nicht in die Verantwortung der User*innen. User*innen müssen durch Regulierung auf europäischer Ebene vor digitaler Weggelagerei geschützt werden. Im Interesse aller.

Denn: Erst wenn die User*innen sich auf den digitalen Geräten die sie privat und beruflich nutzen sicher fühlen, kann das notwendige Vertrauen entstehen, dass die Grundbedingung für einen mündigen Umgang mit den eigenen Daten ist.

Unsere Vision:

Ein ideale Realisation der European Data Commons wäre:

Die User*innen haben ihre Daten aggregiert auf einem persönlichen Datenspeicher – sichere Geräte ihrer Wahl – und eine volle Kontrolle darüber wer ihre Daten wann, wie und zu welchem Zweck auswertet. Ein Backup in einem dezentralen, anonymen und verschlüsselten peer-to-peer-Netzwerk sorgt für zusätzliche Sicherheit. Durch sogenannte Smart Rules können die User*innen bequem und transparent entscheiden, wer ihre Daten wann auswerten darf. So könnten zum Beispiel sensible Gesundheitsdaten im Falle eines medizinischen Notfalls für Rettungsdienste freigegeben werden.

Die Daten die die User*innen zur Verfügung stellen dürfen nur für die genannten Zwecke verwendet werden. Oder werden unter einer Free and Open Source-Lizenz den European Data Commons zur Verfügung gestellt.

Das alles klingt noch wie ferne Zukunftsmusik. Nicht weil es technisch nicht möglich wäre, sondern weil der politische Wille und das nötige Bewusstsein bisher fehlten. Die Covid-19-Krise und die aus ihr gewonnenen Erkenntnisse könnten vielleicht auch hier ein Umdenken einleiten: Wollen wir selbst mündig über unsere persönlichen Daten entscheiden oder opfern wir diese aus Bequemlichkeit und Denkfaulheit den findigsten Programmiere*innen und meistbietenden Werbetreibenden?

(Die im Text erwähnten Maßnahmen sind nur ein kleiner Ausschnitt aus unserem Policy-Paket. Mehr Details gibt es im DiEM25 Policy Paper in Kapitel 2 – A Digital Commonwealth for the 21st Century)
Bildrechte: Photo by KOBU Agency on Unsplash

Update 11.4.2020:

Der twitter-User @psycon hat in einem Tweet darauf hingewiesen, dass das RKI und somit auch die Entwicklung der App aus öffentlichen Geldern finanziert wird, und somit auch die App und ihr Quellcode allen Bürger*innen zugänglich sein sollten. Dies entspricht auch unserer Ansicht und dem Prinzip: Public Money, Public Code. Auf keinen Fall darf die mit öffentlichen Geldern entwickelte Software in den Privatbesitz der Firma Thryve übergehen!

Update 05.05.2020:

Bereits am 20.04. hat das CCC die Corona-Datenspende-App analysiert.

Möchtest du über die Aktionen von DiEM25 informiert werden? Registriere dich hier