Was bedeutet das Coronavirus für den Datenschutz? Wenn wir persönliche Daten im Kampf gegen Covid-19 preisgeben: Können wir sicher sein, dass sie nicht missbraucht werden? Wir haben unseren Datenschutzexperten gefragt.
Die Coronakrise hat unser Leben verändert. Aber bleibt das nun so? In unserer Reihe Ändert sich jetzt alles? sprechen wir mit Expertinnen und Experten der Europäischen Investitionsbank über die Auswirkungen von Covid-19 auf die Bildung, Digitalisierung, Mobilität in Städten und Medizin – und auf unser tägliches Leben.
Was das Coronavirus für den Schutz unserer Daten bedeutet, erklärt uns Dennis Kessler, Leiter des Referats Data Governance der Europäischen Investitionsbank, der Bank der EU.
Lesen Sie auch unsere anderen Beiträge aus der Reihe Ändert sich jetzt alles? der Europäischen Investitionsbank, der Bank der EU. Abonnieren Sie den Podcast in iTunes, Acast, PlayerFM oder bei Spotify.
Verändert das Coronavirus die Zukunft des digitalen Datenschutzes?
Nicht zwangsläufig, aber letzten Endes dürfte es darauf hinauslaufen. Der Datenschutz ist in Europa gesetzlich geregelt, insbesondere in der DSGVO, der Datenschutz-Grundverordnung. Sie ist in diesem Bereich sozusagen der globale Goldstandard. Viele Menschen sind besorgt darüber, dass die Maßnahmen zur Bekämpfung und Eindämmung des Virus eine zunehmende Überwachung und immer mehr Eingriffe in ihr Leben und ihre Bewegungsfreiheit mit sich bringen – vor allem durch die geplanten Tracing-Apps für unsere Smartphones. Eigentlich sollte das kein Grund zur Sorge sein, denn es sind sich wohl alle einig, dass der Schutz von Leben und Gesundheit absolute Priorität hat. Die große Frage aber ist: Was passiert danach, wenn die Schleusen erstmal geöffnet sind und sich viel mehr Daten in der Hand von privaten Unternehmen und Regierungen befinden? Was geschieht dann damit?
Ein Kollege von Ihnen hat in einer anderen Folge unserer Podcast-Reihe seine Hoffnung auf eine stärkere Digitalisierung der Medizin geäußert, weil dies Ärzten im Umgang mit Pandemien und anderen Krankheiten hilft. Das würde bedeuten, dass wir unsere sensibelsten Daten offenlegen: unsere medizinischen Daten. Ist eine allgemeine Digitalisierung unserer persönlichen Daten unvermeidlich?
Ich glaube ja. Aber im Grunde geht es nicht nur um die Digitalisierung unserer persönlichen Daten, sondern um alle Lebensbereiche, d. h. auch unseren Alltag oder die Dienste, die wir nutzen. Deshalb gibt es Datenschutzbestimmungen. Sie sollen sicherstellen, dass unsere Privatsphäre bei Nutzung dieser Dienste gewahrt bleibt. Wir sind immer noch auf der Suche nach dem richtigen Maß, weil die Dienste uns einen enormen Nutzen bieten.
Online-Banking, Online-Shopping, das Speichern von Dokumenten und Fotos in der Cloud und Musik-Streaming, das alles ist für uns normal. Dabei geben wir jedes Mal Daten preis – von unserer Aktivität in den sozialen Medien ganz zu schweigen. Dass wir im Netz Spuren hinterlassen, ist klar, und das stört uns offenbar nicht. Aber wir wollen von staatlicher Seite die Zusicherung, dass die Daten nicht missbraucht werden und so gespeichert und geschützt werden, wie wir es von unserer Gesellschaft erwarten würden.
Wer sich in medizinische Behandlung begibt, will doch, dass die Ärzte seine oder ihre Patientenakte mit Krankengeschichte und Hinweisen zu Medikation und etwaigen Allergien einsehen können. Natürlich ist es schön, wenn ich im Notfall bei Bewusstsein bin und all diese Daten selbst geben kann. Aber gerade, wenn das nicht geht, oder wenn ich die Daten nicht zur Verfügung habe, ist der Zugriff auf meine Krankengeschichte für die Ärzte sehr praktisch.
Es besteht kein Zweifel daran, dass die Zukunft der medizinischen Versorgung in der Digitalisierung liegt, angefangen bei unseren persönlichen Gesundheitsdaten. Wenn sich die medizinische Behandlung dadurch verbessert, würden die Menschen das akzeptieren. Aber sie würden dann immer noch eine Garantie erwarten, dass sensible Daten nur bei Bedarf offengelegt werden – und nur für Personen, die sie behandeln.
Sie haben über die Apps gesprochen, mit denen einige Länder das Virus nach dem Ende des Lockdowns kontrollieren wollen. Wie breit werden diese Apps diskutiert, und wie wahrscheinlich ist es, dass sie tatsächlich kommen?
Sie sind schon da. Singapur hat schon früh eine App eingesetzt, um die Kontakte von positiv getesteten Personen nachzuverfolgen. Das haben die Menschen im Land akzeptiert, auch wenn die App nur von wenigen genutzt wird. Für eine wirksame Nachverfolgung müssen 60 Prozent der Bevölkerung mitmachen, so die Schätzungen. In der Praxis ist die Akzeptanz allerdings deutlich geringer.
Auch die britische Regierung und der National Health Service arbeiten an einer App zur Kontaktnachverfolgung. Sie steht kurz vor dem Einsatz und arbeitet auf Bluetooth-Basis. So kann ermittelt werden, mit wem eine infizierte Person zuletzt Kontakt gehabt hat. Diese Personen können dann benachrichtigt werden, damit sie sich testen lassen und sich gegebenenfalls in Quarantäne begeben.
Epidemiologen und Mediziner sind sich einig, dass ein schnelles Kontakt-Tracing der Schlüssel zur Eindämmung des Virus ist. Eine andere Frage ist: Was passiert mit all den Daten? Und welche Daten werden erfasst? Personenbezogene Daten, die private Unternehmen nutzen können, um Bewegungsprofile zu erstellen und um zu erfahren, was wir kaufen, wo wir waren und was wir gerne tun? Und wo werden diese Daten aufbewahrt, und wozu werden sie genutzt?
Geht es wirklich nur darum, wie private Unternehmen die Daten nutzen könnten? Denn in den Zeitungen werden meist Orwellsche Szenarien heraufbeschworen, von Staaten, die politisch Andersdenkende mithilfe der App als infiziert „kategorisieren“ und ihnen anordnen, zu Hause zu bleiben – sie also quasi unter Hausarrest stellen. Aber so wie Sie es beschreiben, scheint es eher um private Unternehmen zu gehen, die an unsere Daten wollen, um damit Profit zu machen.
Hier gibt es zwei Seiten. Das, was Sie gerade erwähnt haben, findet bereits statt, nämlich in China. Hier werden Datenprofile genutzt, um Minderheiten zu klassifizieren und ihre Bewegungsfreiheit einzuschränken. Nur Menschen, denen ein grüner Status zugewiesen wurde, dürfen ihre Wohnung oder ihre Stadt verlassen. Es soll aber Fälle geben, in denen wegen technischer Fehler irrtümlich gelbe oder rote Codes zugewiesen wurden, die entsprechende Einschränkungen bedeuten. Und sie konnten nicht rückgängig gemacht werden, weil die Verfahren dafür nicht klar waren. Mit der Rechenschaftspflicht ist es in einem solchen System nicht weit her. Die Politik oder die Polizei, die ja Zugang zu diesen Daten hat, könnte so versuchen, Menschen zu kontrollieren, völlig unabhängig von deren Gesundheitszustand. Und wie gesagt: Wir reden hier nicht von der Zukunft. Das alles ist in einigen Teilen der Welt schon Realität. Die Frage ist: Was verhindert, dass solche Maßnahmen auch in mutmaßlich liberalen westlichen Demokratien eingeführt werden, wenn die Plattformen und die Infrastruktur dafür bereits vorhanden sind und von den Menschen genutzt werden?
Jetzt befinden wir uns ja gerade in einer Notsituation. Aber wenn die Bedrohung durch das Coronavirus einmal gebannt ist, können wir dann diese Eingriffe in den Datenschutz wieder rückgängig machen? Und sollten wir das überhaupt?
Wir haben am Anfang darüber gesprochen, dass unsere Daten öffentlich werden. Die DSGVO und ähnliche Vorschriften – beispielsweise das kalifornische Verbraucherschutzgesetz aus dem letzten Jahr, an dem sich zunehmend auch andere Teile der USA orientieren – haben vor allem einen Zweck: Die Menschen sollen kontrollieren können, welche Daten von privaten Unternehmen gespeichert werden, und wie und wofür sie genutzt werden. Und sie sollen das Recht haben, diese Daten löschen zu lassen. Wenn wir diese Kontrolle verlieren, können unsere Daten nicht nur von Staaten genutzt werden, sondern auch von privaten, gewinnorientierten Organisationen.
Sofern die Menschen einen gewissen Nutzen daraus ziehen, werden sie das akzeptieren. Die Unternehmen dürften allerdings versuchen, die Informationen über uns zu Geld zu machen. Nehmen wir das Beispiel Versicherungen: Sie möchten Ihrer Versicherung gegenüber bestimmte Gewohnheiten verschweigen. Wenn Ihr Versicherer herausfindet, dass er Sie in eine höhere Risikokategorie einstufen kann, müssen Sie am Ende vielleicht eine höhere Prämie zahlen, und das in einem völlig intransparenten Verfahren.
Oder stellen Sie sich ein Unternehmen vor, das eine Stelle zu besetzen hat: Mit dem unbefugten Zugriff auf die persönlichen Daten und das Privatleben der Bewerberinnen und Bewerber könnte es nicht erwünschte Kandidaten gezielt aussortieren.
Mit diesen Datenschutzgesetzen sollen die Menschen also die Kontrolle darüber bekommen, welche Daten offengelegt werden und was damit gemacht werden kann. Und sie sollen das Recht bekommen, die Daten vor unbefugtem Zugriff zu schützen.
Aber was passiert, wenn etwas schiefläuft? Gerade diese Woche wollte die Regierung in Wales gesundheitsgefährdete Personen über das Coronavirus informieren und hat 13 000 Briefe an die falschen Adressen geschickt. Wie oft kommt so etwas vor, und wie stark gefährdet das unsere Privatsphäre?
In den meisten Ländern gibt es eine Datenschutzbehörde, und die DSGVO schreibt vor, dass Unternehmen und öffentliche Stellen einen Datenschutzbeauftragten haben müssen. Solche Verstöße müssen innerhalb eines bestimmten Zeitraums gemeldet und offengelegt werden. Geschieht das nicht, werden entsprechende Strafen fällig. Fakt ist, dass das Bewusstsein für den Wert unserer Daten – also ihren kommerziellen Wert und den Wert unserer individuellen Freiheit und Privatsphäre – wächst. Und so wird immer deutlicher, dass die aktuelle Krise eine Spannung erzeugt: Einerseits muss die öffentliche Gesundheit geschützt werden, und das wird auch nicht infrage gestellt, wenn Menschenleben davon abhängen. Andererseits muss sichergestellt werden, dass mit den jetzt gesammelten Daten sorgfältig umgegangen wird und dass sie nach der Krise nicht für andere Zwecke verwendet werden, ob absichtlich oder nicht.
Was könnte diese Entwicklung für den Alltag der Menschen nach der Krise bedeuten? Wie stark verändert sich unser Datenschutz?
Wir können davon ausgehen, dass Tracing-Apps auf breiter Basis eingesetzt werden. Das geschieht jetzt schon. Für die Menschen wird es dadurch leichter zu akzeptieren, dass ihre Bewegungen nachverfolgt werden. Sie vertrauen dem Staat und den Behörden, dass sie verantwortungsbewusst mit den Daten umgehen.
Gleichzeitig sehen wir einen explosionsartigen Anstieg der Nutzung sozialer Medien. Die Menschen geben auf öffentlichen Plattformen immer mehr Privates preis, ohne zu wissen, wer dort Zugang zu ihren Daten hat und wo ihre Daten gespeichert werden. Wer nicht gerade ein Technikgenie ist, versteht die komplexe Infrastruktur hinter den Diensten von Facebook nicht – von den Einkaufsplattformen Amazon oder eBay ganz zu schweigen.
Bei den Menschen wächst letztlich die Akzeptanz. Sie sind eher bereit, mehr und mehr Informationen preiszugeben und immer mehr Apps zu nutzen, die ihnen das Leben erleichtern sollen.
Gefährlich wird es, wenn sie sich damit abfinden, dass sie ein Smartphone mit diesen Apps mit sich herumtragen und dann unachtsam werden. Wenn sie nicht mehr genug darauf achten, wer Zugang zu ihren Daten hat und wofür sie verwendet werden.
Wir haben Smartphones, weil wir sie wollen. Wobei ein Smartphone ja eigentlich gar kein Telefon ist, sondern ein vollwertiger Taschencomputer mit Telefonfunktion. In Teilen Chinas herrscht für die Menschen eine Smartphone-Pflicht, damit ihre Bewegungen nachverfolgt werden können. Ob sie überhaupt eins wollen, wird nicht gefragt. Für uns ist das noch schwer vorstellbar, aber möglicherweise wird auch uns bald gesagt, dass wir ein Smartphone haben müssen, wenn wir Alltagsdinge erledigen wollen. Und dass auf diesem Telefon bestimmte Apps installiert sein müssen, damit wir am gesellschaftlichen Leben teilnehmen können.
Wenn das passiert, müssen die Menschen freiwillig mitmachen. Eine solche Pflicht darf ihnen nicht heimlich vom Staat auferlegt werden oder gar von privatwirtschaftlichen Interessen geleitet sein.
Welche Rolle kann die Europäische Investitionsbank bei alldem spielen?
Die EIB ist eine der wichtigsten europäischen Einrichtungen, vor allem als Mitglied der Euro-Gruppe, und entwickelt sich gerade zu einer zentralen Säule des Rettungsplans für die europäische Wirtschaft.
Die Europäische Kommission hat im Februar eine neue mehrjährige Datenstrategie veröffentlicht. Darin ruft sie zur Digitalisierung aller Gesellschaftsbereiche in der EU auf, zum Wohle der Menschen und der Wirtschaft. Diese Ankündigung fiel allerdings mit den ersten Meldungen zu Corona zusammen und ist daher ein wenig untergegangen.
Wesentliche Schwerpunkte der Strategie sind Daten und künstliche Intelligenz. Ziel ist es, einen Binnenmarkt für Daten zu schaffen, in dem Daten innerhalb der Europäischen Union frei und über Sektoren hinweg übertragen werden können – all das unter vollständiger Wahrung von Privatsphäre und Datenschutz und mit fairen Regeln für den Datenzugang. Diese neue Datenwirtschaft soll der europäischen Wirtschaft im globalen Wettbewerb entscheidende Vorteile bringen.
Aufgrund der Angst vor Datenmissbrauch hat die EU auch eine Strategie zur Nutzung von künstlicher Intelligenz aufgelegt. Eine Arbeitsgruppe hat ermittelt, wie Vertrauen in den Einsatz von künstlicher Intelligenz geschaffen werden kann. Dazu wurde ein Weißbuch veröffentlicht, das allerdings wegen der Coronakrise bisher wenig Beachtung findet. Es trägt den Titel Ein europäisches Konzept für Exzellenz und Vertrauen.
Die EIB kann hier eine sehr wichtige Rolle spielen: Sie kann bei der Vergabe ihrer Kredite sicherstellen, dass sie neben den üblichen Verfahren zur Identifizierung von Kunden und zur Bekämpfung von Geldwäsche auch prüft, dass die Empfänger ihrer Gelder die europäischen Datenschutzbestimmungen kennen und einhalten und rechtlich und ethisch korrekt handeln.
Die EIB kann im Bereich der Datenethik als Beispiel vorangehen und dafür sorgen, dass Geist und Buchstabe der Bestimmungen und die Wahrung von Privatsphäre und Datenschutz nicht nur respektiert, sondern EU-weit in Wirtschaft und Gesellschaft verankert werden.
Lesen Sie auch unsere anderen Beiträge aus der Reihe Ändert sich jetzt alles? der Europäischen Investitionsbank, der Bank der EU. Abonnieren Sie den Podcast in iTunes, Acast, PlayerFM oder bei Spotify.