Nachdem wochenlang über Tracing Apps, Datenschutz und rechtliche Grundlagen diskutiert wurde, ist sie nun da: Die schweizerische Tracing App. Sie basiert auf dem DP-3T-Konzept (Decentralized Privacy-Preserving Proximity Tracing), ist damit datenschutzkonform und – freiwillig. Das Parlament hat der Änderung des Epidemiegesetzes (EpG) zugestimmt, welche mittels Dringlichkeitsklausel sofort in Kraft gesetzt wird.
Mögliche Tendenzen im Datenschutz (Bericht vom 08. Mai 2020)
Das Bundesamt für Gesundheit (BAG) hat am 21. April 2020 bestätigt, dass das Amt in Zusammenarbeit mit der ETH und der EPFL eine Contact Tracing App zur Rückverfolgung von Infektionsketten entwickelt. Die App sollte ab dem 11. Mai zum Einsatz kommen; das Parlament hat jedoch eine gesetzliche Grundlage für die Einführung der App gefordert, so dass sich der Einsatz der App wohl verzögern wird. Die Tracing App basiert auf dem DP-3T-Konzept (Decentralized Privacy-Preserving Proximity Tracing) und verfolgt damit, im Gegensatz zu PEPP-PT, einen dezentralen Ansatz.
Zur Kontaktverfolgung werden insbesondere die neuen Google- und Apple-APIs genutzt, sobald diese verfügbar sind.
Dies war und ist eine der wichtigen datenschutzrechtlichen Voraussetzungen der App. Im Gegensatz zur GPS-basierten Ortungstechnologie misst die Proximity Technik nicht, wo sich ein Mobilgerät befindet. Sie misst, wie viel Abstand (von Zentimetern bis Metern) zwischen zwei oder mehr Geräten und damit Personen besteht. Ausserdem wird gemessen, wann, wie oft und wie lange dieser Kontakt bestand. Die Messung erfolgt, ohne dass die Identität oder der Aufenthaltsort des Nutzers preisgegeben wird. Das System basiert auf der Bluetooth Low Energy (BLE)-Technologie mit der Smartphones anonym miteinander kommunizieren können. Es besteht damit keine Notwendigkeit zur Lokalisierung von mobilen Smartphones, weshalb keine Lokalisierungs-/GPS-Daten des einzelnen Nutzers erforderlich sind.
Die Proximity-Tracing-App funktioniert wie folgt:
Bei der Installation der App wird ein zufälliger und geheimer Schlüssel (256 bit) generiert. Der Schlüssel wird nur lokal auf dem Smartphone gespeichert und beinhaltet keine privaten Daten. Der geheime Schlüssel ist denn auch temporär und wird regelmässig erneuert, so dass sich aus dem temporären geheimen Schlüssel auch bei mehreren Aktivitäten keine Rückschlüsse auf den Nutzer ziehen lassen.
Wenn sich ein anderes Gerät mit der Tracing-App in der Nähe befindet, wird mittels eines kryptografischen Funktion (HMAC) unter Verwendung eines Zeitstempels und dem Schlüssel eine Prüfsumme generiert. Diese Prüfsumme wird im lokalen Speicher der beiden Geräte abgelegt. Einträge, die älter sind als 14 Tage, werden von den Apps automatisch wieder gelöscht.
Über die App kann ein Nutzer melden, falls er positiv auf COVID-19 getestet wurde. Bei einer solchen Meldung wird der geheime Schlüssel, mit dem die Prüfsummen generiert wurden, des Nutzers an einen zentralen Server gesendet. Alle anderen Geräte mit Tracing-App stehen automatisch in Verbindung mit dem zentralen Server und laden periodisch die Schlüssel der auf COVID-19 positiv getesteten Nutzer herunter. Mit der Meldung durch den positiv getesteten Nutzer müssen die Daten umgehend wieder gelöscht werden (Art. 60a abs. 4 lit. d EpG)
Die App gleicht nun die Schüssel mit den gespeicherten Prüfsummer ab. Falls es eine Übereinstimmung gibt, wird der Nutzer via die Tracing App über den Kontakt und die Dauer informiert. Dem Nutzer bleibt es allerding selbst überlassen, nach einem möglichen Kontakt geeignete Massnahmen vorzunehmen.
Datenschutz & Proximity-Tracing-App
Durch den dezentralen Ansatz der Proximity-Tracing-App wird gewährleistet, dass keine personenbezogenen Daten auf einem zentralen Server gespeichert werden. Einzig anonymisierte Daten der einzelnen Nutzer werden zentral gespeichert. Bei den geheimen Schlüsseln, die durch die Bluetooth-Technologie auf andere Geräte übertragen werden, handelt es sich nicht um personenbezogene Daten im Sinne des Datenschutzgesetzes, weshalb dieses nicht zur Anwendung kommt.
Es kann also gesagt werden, dass das System der geplanten Tracing-App darauf abzielt, die Risiken für die Privatsphäre und die Sicherheit von Einzelpersonen zu minimieren und ein Höchstmass an Datenschutz durch den dezentralen Ansatz gewährleistet wird.
Beim zentralen Ansatz PEPP-PT hingegen wird hingegen die Liste der Risiko-Kontakte von der infizierten Person auf einen zentralen Server hochgeladen, sobald diese positiv auf das COVID-19 getestet wurde. Serverseitig wird das Risiko einer Infektion berechnet und danach die Risiko-Kontaktpersonen benachrichtigt. Die Sorge dabei ist, dass eine zentrale Datenspeicherung eine Re-Identifizierung der pseudonymisierten Daten ermöglichen könnte. Damit steigt das Risiko einer möglichen Datenschutzverletzung im Gegensatz zur dezentralen Lösung.
Der Europäische Datenschutzausschuss hat sich am 19. März ebenfalls zur technischen Implementierung einer Tracing App geäussert mit dem Hinweis, dass Massnahmen zu bevorzugen sind, die möglichst wenig datenschutzrechtliche Implikationen haben. (siehe hierzu European Data Protection Board:, Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020)
Weitere Herausforderungen an die Tracing App
Es stellt sich allerdings die Frage, wie der flächendeckende Einsatz einer Tracing-App in der Bevölkerung gewährleistet werden kann. Die Nutzung einer solchen App soll freiwillig sein – so der letzte Stand der Informationen. Die App ist aber nur dann nur sinnvoll und stellt einen Mehrwert dar, wenn die App von der breiten Bevölkerung verwendet wird. Auch die Meldung eines positiven COVID-19 Testresultats über die App und die Einhaltung einer allfälligen Selbstquarantäne ist freiwillig. Der erhoffte Effekt einer Tracing-App hängt deshalb davon ab, ob sich der einzelne Bürger an die Empfehlungen der öffentlichen Hand hält.
Dezentrale Speicherung als zukunftsträchiges Modell?
Das bei der Tracing App verwendete dezentrale Modell der Datenspeicherung – hier DP-3T-Konzept (Decentralized Privacy-Preserving Proximity Tracing) – könnte zukunftsweisend sein: Personendaten – insbesondere Gesundheits- und biometrische Daten betreffend – beim Nutzer zu speichern, so dass er selbst darüber verfügen und entscheiden kann, wann er App, personenbezogene Daten speichert, Dritten freigibt etc., bedeutet, dem Nutzer die maximale Freiheit zu geben, wie der seine personenbezogenen Daten nutzen (lassen) will. Gibt er Daten frei – verschlüsselt wie im Falle der dezentralen Tracing App – oder zuordenbar, so tut er dies, weil er dies will.
Dieser Weg der dezentralen Datenspeicherung zeigt auch deren Herausforderung auf: Was – skaliert – am meisten Nutzen bringt – bei COVID-19 die breite Nutzung der APP – bedeutet auch, dass derjenige/diejenige, welche den Nutzen aus einer Datenweitergabe zieht, dies für den Nutzer attraktiv gestalten und ihn davon überzeugen muss, dass der anvisierte Zweck auch für den Nutzer einen Mehrwert darstellt. Da der Mehrwert bekanntlich nicht mit rein kommerziellen Nutzen verbunden sein darf, ansonsten die Zustimmung zur Weitergabe nicht mehr freiwillig ist, besteht die Herausforderung im Marketing darin, genau diesen Nutzen, diese zusätzlichen Möglichkeiten zu schaffen und auch darzustellen. Denkbar ist dies beispielsweise im Product Development, im Gesundheitswesen (wie Beispiel zeigt) oder für karitative Zwecke.
Im kommerziellen Bereich besteht die Herausforderung darin, dass die geforderte Einwilligung bei Gesundheits- und biometrischen Daten freiwillig sein muss, so dass die Lösungsansätze komplexer und schwieriger umsetzbar sind. In jedem Fall entspricht der dezentrale Ansatz aber dem geforderten Privacy by Design-Ansatz und stellt daher einen wichtigen Grundstein in der Umsetzung der datenschutzrechtlichen Anforderungen dar.
European Data Protection Board:, Statement on the processing of personal data in the context of the COVID-19 outbreak. Adopted on 19 March 2020 (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf )
Faktenblatt: Die Swiss PT-App hilft, das Coronavirus in Schach zu halten (Stand 08.05.2020)
UPDATE 16. Juni 2020:
Die Tracing App verfolgt einen dezentralen Ansatz, was bedeutet, dass die Schlüssel, welche für die Verschlüsselung der User-Daten verwendet werden, zentral zugänglich sind (DP-3T-Konzept resp. Decentralized Privacy-Preserving Proximity Tracing).
Werden nun Personen positiv auf COVID-19 getestet, so erhalten diese vom involvierten Labor einen COVID-19-Code, welchen sie in ihrer App erfassen können, aber nicht müssen. Ebenfalls freiwillig ist die Notifikation derjenigen Personen, mit welchen sich die infizierte Person innert der Ansteckungsperiode länger als 15 Minuten und in einem Abstand von weniger als 2m Kontakt gehabt hat. Die Notifikation erfolgt aufgrund der sich auf dem Mobiltelefon der betroffenen Person befindlichen Schlüssel derjenigen Personen, mit welchen die betroffene Person innert der kritischen Zeit Kontakt hatte im Sinne der Tracing App.
Datenschutz
Zwei zentrale Punkte der Voraussetzungen des Gesetzgebers an Tracing-Lösungen sind aus Datenschutzsicht der dezentrale Ansatz, die Verschlüsselung sowie die Freiwilligkeit (Art. 60a Abs. 3 EpG). Der Eidgenössiche Datenschutzbeauftragte (EDÖB) hat denn auch die verschiedenen Punkte der Lösung explizit geprüft und auch explizit gutgeheissen: So wurde gemäss Pressemitteilung vom 12. Juni 2020 der dezentralen Tracing App das datenschutzrechtliche Placet erteilt: Die Dezentralität, d.h. die Hoheit über die Nutzung sowie die Daten der Tracing App durch den Nutzer wurden vom EDÖB als einer der Grundpfeiler der Lösung gesehen.[1]
Als vertretbar hat der EDÖB dabei die Nutzung von Amazon Web Services (AWS) beurteilt, wonach aufgrund des dezentralen Ansatzes und der Verschlüsselung die Nutzung «vertretbar» sei.[2]
[1] Vgl. Bericht des Eidgenössischen Datenschutzbeauftragten vom 12. Juni 2020 (https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-796881893).
[2] Vgl FN2.
Big Data
Mit der Nutzung der App und damit der Vielzahl der zu eruierenden Begegnungen wird sich zeigen, ob die Tracing App den Anforderungen gerecht werden kann. Aufgrund der geplanten dezentralen Speicherung der Schlüssel, der stetigen Erneuerung der Schlüssel sowie der Löschung der Codes zur Erkennung der COVID-19-Erkrankten weist die App einen hohen Sicherheitsstandard auf.
Die Herausforderung wird es sein, diesen hohen Standard trotz sehr vielen gleichen Begegnungen von Personen im selben Umfeld (gleiche Mobilitätsgewohnheiten, gleiche Aufenthaltsgewohnheiten für Lunch oder Abendessen oder Sport etc.) beizubehalten. Es kann nicht ausgeschlossen werden, dass bei vermehrten routinemässigen Abläufen keine eigentliche Anonymität mehr da ist – vorausgesetzt, die App wird effektiv genutzt.
Zum heutigen Zeitpunkt weist die App einen hohen Sicherheitsstandard auf und setzt auf einer entsprechenden gesetzlichen Grundlage auf (Art. 60a ff. EpG).
Epidemiegesetz
Die rechtliche Grundlage für das Proximity-Tracing-System (PT-System) für das Coronavirus wird mit Art. 60a EpG geschaffen. Das Proximity-Tracing-System zeichnet Annäherungen zwischenMobiltelefonen von Personen, welche die App nutzen auf und benachrichtigt die Nutzer im Falle einer potentiellen Kontaktsituation. Die Daten dürfen nur zur Benachrichtigung betroffener Personen und dem Führen von Statistiken verwendet werden; jegliche andere Zwecke sind nicht erlaubt. Die Nutzung der Tracing-App bleibt freiwillig. Wer vorsätzlich eine Person benachteiligt, weil sie die App nicht nutzen will, wird mit Busse bestraft. Das DSG bleibt anwendbar und dient als Grundlage des Datenschutzes.
Das PT-System ist folgendermassen ausgestaltet:
- Es sind alle angemessenen technischen und organisatorischen Massnahmen zu treffen, um zu verhindern, dass die teilnehmenden Personen bestimmbar sind.
- Die Daten werden so weit wie möglich auf dezentralen Komponenten auf den Mobiltelefonen der Nutzer) bearbeitet. Daten, die auf einem Mobiltelefon über eine andere Person erfasst werden, dürfen ausschliesslich auf diesem bearbeitet und gespeichert werden.
- Es werden nur Daten beschafft bzw. bearbeitet, die zur Bestimmung der Distanz und der Zeit der Annäherung und zur Ausgabe der Benachrichtigungen erforderlich sind. Standortdaten werden bewusst nicht beschafft oder bearbeitet.
- Die Daten werden vernichtet, sobald sie für die Benachrichtigung nicht mehr erforderlich sind.
- Der Quellcode und die technischen Spezifikationen aller Komponenten des PT-Systems sind öffentlich.
Sobald das PT-System nicht mehr notwendig sein sollte, sieht der Bundesrat die Einstellung des Systems vor.
Das System kann auch mit ausländischen Systemen verbunden werden, sofern ein angemessener Schutz der Persönlichkeit gewährleistet werden kann. Nach zwei Jahren verliert die gesetzliche Grundlage ihre Gültigkeit wieder.
Trotz diversen Tests kann aufgrund von möglichen technologischen Unsicherheiten nicht sichergestellt werden, dass die App keine Falschmeldungen ausgibt. So ist auch die App kein 100% Garant für (k)eine Annäherung einer infizierten Person.
Fazit
Die Tracing App, welche vom BAG betreut wird, verfügt über eine gesetzliche Grundlage und steht in den Startlöchern, um in der Schweiz eingesetzt werden zu können. Mit dem dezentralen Ansatz und den hohen technischen und organisatorischen Massnahmen wird den datenschutzrechtlichen Anforderungen so gut als möglich nachgekommen. Der EDÖB hat dies denn auch in verschiedenen Stellungnahmen, zuletzt am 12. Juni 2020, entsprechend bestätigt.
Die gewählten, dezentralen Ansätze sind nach wie vor interessant, um auch für andere Problemfelder, die grössere Anzahl Personen betreffen, weiterzuverfolgen. Es wird sich zeigen, inwiefern die gewählten Ansätze auch praxistauglich sein werden.