Liebe Leser,
der letzte Beitrag hier ist jetzt zwar schon wieder ein bisschen älter, aber dennoch scheint es mir oft im Film „Und täglich grüßt das Murmeltier“: Eine Dauerschleife mit ähnlich gelagerten Abläufen. Im Falle der digitalen Souveränität und Bürgerrechte nur nicht täglich, sondern maximal monatlich. Gerade noch urteilten die hohen Gerichte, dass die anlasslose Speicherung umfassender Daten zu den Bürgern (und auch Nutzern bei Firmen) nicht rechtens ist, schon kommen wieder neue Pläne der Datensammelei ans Licht.
Die Argrumente dafür sind auch immer die Gleichen: Verbrechens- oder Terrorbekämpfung, Bessere Konditionen für Kunden und neuerdings auch der Gesundheitsschutz. Aber eins nach dem Anderen.
Das Argument „Verbrechensbekämpfung“
Vor knapp einem Monat kam es zu dem tragischen Anschlag in Wien, bei dem einige Menschen starben; der Täter wurde erschossen. Bereits kurze Zeit später wurden Rufe laut, dass der Staat mehr Zugriffsmöglichkeiten brauche, um solche Schreckenstaten zu stoppen. Nur war der Täter wohl kein Unbekannter, vielmehr lief wahrscheinlich einiges schief innerhalb der Sicherheitsbehörden (siehe Tagesschaumeldung). Das ficht die Innenminister aber nicht an, in Brüssel das Ende der Nachrichtenverschlüsselung zu fordern. Nur so könnte man die Bürger vor dem Terrorismus schützen und andere Delikte (Drogenhandel, Pädophilie) aufklären. Passend dazu sollen nach dem Willen des Innenministeriums die Kompetenzen der Bundespolizei u.a. um Gesichtserkennung ausgeweitet werden, was immerhin zu Koalitionsstreit führt.
Der zusätzliche Nutzen wurde wie bisher, bei jeder der Kompetenzerweiterungen, nicht dargelegt; bei den meisten Taten hätten die bisherigen Datenzugriffsrechte gereicht, um sie schneller aufzuklären oder sogar zu verhindern. Dennoch wird immer mehr gefordert, was gerade bei der Ende-zu-Ende-Verschlüsselung verherrend wäre. Wenn man ein Hintertürchen für die Polizei einbaut oder noch nicht öffentlich gewordene Sicherheitslücken ausnutzt, dann ist dieses Hintertürchen eben nicht nur für die Sicherheitsbehörden da, sondern auch für Kriminelle, die sich damit auskennen (siehe auch hier). So würden die Endgeräte eines Großteils der Bevölkerung durch das Einbauen oder Offenlassen von Sicherheitslücken grundlos einer Gefahr für tatsächlichen Betrug / Schaden ausgesetzt, nur um eventuell irgendwann einmal einen Verdächtigen zu indentifizieren. Diejenigen, die größere Machenschaften planen, haben ohnehin die Mittel, um sich eine sichere Kommunikationsmöglichkeit einzurichten.
Das Argument „besseres Gesundheitssystem und Gesundheitsschutz“
Die fadenscheinigen Argumente werden auch nicht besser dadurch, dass sie mantraartig wiederholt werden. Damit wären wir schon beim nächsten wiederkehrenden Versuch an Bürgerdaten zu gelangen. Quasi im Wochentakt lässt irgendwer verlautbaren, wir müssten einfach mal den Datenschutz hinten anstellen, um endlich für die Gesundheit der Bürger sorgen zu können. Im Gesundheitsministerium wird ja schon seit über 10 Jahren daran gewerkelt über die Telematikinfrastruktur die Daten sämtlicher Patienten zu vernetzen; natürlich nur zu deren Wohl. Auch wenn es sicherlich in einigen Punkten sinnvoll ist, verschriebene Medikamente unterschiedlicher Ärzte auf mögliche Nebenwirkungen abzuklopfen, so müssen dennoch die Rahmenbedingungen für Datensparsamkeit und Freiwilligkeit gegeben sein.
Weil es Herrn Spahn lange Zeit zu langsam ging, wurde erst der Chef der für die Telematikinfrastruktur zuständigen Gematik ausgewechselt, um dann mit zahlreichen Gesetzen die Digitalisierung im Gesundheitsbereich voranzutreiben. Zuletzt wurde das etwas euphemistisch klingende „Patienten-Datenschutz-Gesetz (PDSG)“ aus seinem Haus beschlossen und durch den Bundesrat gedrückt; trotz zahlreicher rechtlicher Bedenken. Sollte dieses Gesetz eigentlich Klarheit schaffen, sind zahlreiche Punkte nicht ausreichend geklärt; die Risikoabschätzung, begründete Notwendigkeit sowie die Einspruchs- und Veränderungsmöglichkeit durch den Nutzer, die für die Verarbeitung solch sensibler Daten, wie es die persönlichen Gesundheitsdaten sind, laut DSGVO verpflichtend sind, wurde nur sehr rudimentär vorgenommen. So haften die Ärzte für Hackerangriffe, die über ihren Praxiszugang in den riesigen Datenpool eindringen. Nur sind die wenigsten Ärzte IT-Experten. Die Zertifizierung von IT-Firmen hinsichtlich der Einhaltung von Sicherheitsstandards bei der Einrichtung in der Praxis ggf. mit einer nachgelagerten Haftung wurde vom Ministerium nicht für nötig befunden.
Auch gestrichen wurde die einstmals enthaltene Möglichkeit die gespeicherten Daten über verschiedene Kanäle (Automat, Browser, App) einzusehen, zu sperren, zu löschen oder zu verändern. Jetzt ist nur noch die App-Möglichkeit vorgesehen, sodass über 70 Millionen Versicherte im Endeffekt gezwungen werden Apple- und/oder Google-Kunde zu werden. Das neueste Endgerät braucht man dann auch jeweils, sonst funktioniert der ganze Spaß nicht. An die alten Menschen hat dabei keiner gedacht, an die, die nichts mit den GAFA-Unternehmen zu tun haben wollen sowieso nicht. Zudem soll man seine Daten freiwillig der Forschung spenden können, nur leider kann man das eben auch nur über diese eine Plattformen steuern. Besonderer Clou: Die neue Infrastruktur soll ab 01.01.2021 gelten, die App und Einsichts- bzw. Einstellungsmöglichkeiten kommen wahrscheinlich nicht vor 2022. Die Haftung für Datenlecks und dem Abgreifen eigener Patientendaten über das eigene Endgerät, trägt man als Nutzer der App dann auch gleich selbst. Super für die Gematik, die dann von der Gesamthaftung befreit ist. Wie Heise titelt, wird es also in Zukunft bei Datenpannen keinen wirklichen Schuldigen geben. Weder das Ministerium noch der Bundesrat sahen darin ein Problem und haben das Gesetz im Oktober beschlossen. Nur der Bundesdatenschutzbeauftrage muss jetzt seine Warnung aus dem August wahrmachen und die Krankenkassen darauf hinweisen, die elektronische Patientenakte (ePa) konform mit der DSGVO umzusetzen, um sich nicht strafbar zu machen. Sollte das nicht gehen, wird erwogen die Krankenkassen anzuweisen, die ePa nicht anzubieten. Einige der kassenärztlichen Vereinigungen sind auch nicht so angetan davon und beziehen Stellung gegen das Gesetz. Wer mehr dazu erfahren will, findet weitere Infos zum Beispiel hier oder hier.
Auch dieses Gesetz wird wieder die Gerichte beschäftigen und sich wahrscheinlich Jahre hinziehen. Wahrscheinlich wird es dann heißen, dass die Datenschützer schuld sind, dass Gesundheitsversorgung nicht effizienter / besser wird. Kommt einem bekannt vor?
Richtig schließlich hört man ja aus der Politik und Medienlandschaft oft genug, dass der Datenschutz der effektiven und effizienten Bekämpfung der Corona-Pandemie im Wege stünde. Auch wenn bekannt ist, dass einfach viele Faktoren ungünstig gelagert sind und eine schnellere Pandemiebekämpfung behindern, ist es einfacher auf den Datenschutz zu zeigen. So muss man schließlich nicht darüber reden, dass die Pflege am Limit ist, die Gesundheitsämter unterbesetzt sind, Fehler am Anfang der Pandemie gemacht wurden (Stichwort: Karneval) oder man eigentlich keine Strategie für die nächsten Monate hat. Und die Corona-App ist nicht nur so unerfolgreich, weil der Datenschutz die Zuordnung der Namen nicht erlaubt, sondern auch weil sie nur auf den neuesten Handys läuft und diejenigen Nutzer mit positiven Testergebnis dieses häufig nicht teilen.
Zudem könnte auch ein anderer Ansatz bei der Kontaktverfolgung mit Fokus auf Superspreader-Events gewählt werden und so vielleicht eine höhere Quote bei der Verfolgung von Ansteckungsketten erreicht werden. Das ginge sogar datensparsam, wie die Urheber der Corona-App zugrundeliegenen Softwarestruktur DP-3T schreiben. Nur scheinbar möchte das Gesundheitsministerium lieber einen anderen Weg gehen und die existierende QR-Code-Lösung für Gaststätten, die auf der Eintragung des Namens und Kontaktadresse basiert, implementieren. Es bleibt zu bezweifeln, dass dies das Vertrauen in die App fördert, nicht zuletzt seit bekannt wurde, dass diese Gästelisten der Gaststätten auch für ganz andere Sachen als die Pandemiebekämpfung genutzt wurden und werden.
Nicht nur mit der ePa sondern natürlich auch mit den Daten der App könnte man super Profile der einzelnen Personen bilden: Welche Ärzte verschreiben welche Diagnose mit welchen Medikamenten? Wer trifft wen, wann und wo und wie oft? Das ließe sich beantworten und damit ergeben sich auch Erkenntnisse über sozio-ökonomische Umgebungsbedingungen, wie etwa über wie viel Geld man wahrscheinlich verfügt. Das interessiert manche Firmen sicher brennend, den Staat natürlich auch (siehe auch der Cambridge Analytica-Skandal, wo gezielt Personen aufgrund sozio-ökonomischer Faktoren für Wahlwerbung ausgesucht wurden).
Das Argument „mehr Kundenservice“
Das bringt mich auch schon zum nächsten „Skandal“, der letzte Woche durch die Zeitungen geisterte. Die Schufa, eine ohnehin sehr verschlossene Gesellschaft, testete zusammen mit O2 die Funktion, Zugriff auf die Kontodaten von potentiellen O2-Kunden zu erhalten. Telefon- und Internetanbieter holen meist vor Vertragsabschluss eine Schufa-Auskunft ein, um sich zu versichern, dass die Raten gezahlt werden. Dass man als Kunde einer privatwirtschaftlichen Firma wie dieser quasi ausgeliefert ist, ist schon kritikwürdig. Immerhin gibt es kaum eine Möglichkeit seine Bonität selbst zu versichern.
Nun wollten die beiden Firmen aber, dass diejenigen Antragssteller, die einen schlechten Schufa-Score haben, ihren Score verbessern können, wenn sie der Schufa Zugriff auf ihre Konten einräumen. Laut Mitteilung sollte es den potentiellen Kunden „helfen“ an einen Vertrag zu kommen, auch wenn der Schufa-Score schlecht ist. Tendenziell trifft es eher die Schwächeren der Gesellschaft, die dadurch noch mehr erniedrigt würden. Abgesehen davon, könnte sich der Score durch die zusätzlichen Daten sogar verschlechtern könnte. Die Schufa hingegen könnte sich so peu a peu einen Riesendatenbestand aufbauen und wüsste damit noch besser über die Bürger Bescheid, was sie in ihrer ohnehin fragwürdigen Rolle stärken würde. Zum Glück gab es einen Aufschrei nicht nur von eingefleischten Datenschützern, sodass die Zusammenarbeit mit O2 erst einmal auf Eis gelegt wurde.
Aber das Schaustück zeigt, dass es weitere Versuche geben wird, den Datenschutzstandard über irgendein Vehikel – in diesem Fall ein zusätzlicher Haken, der gesetzt werden sollte – aufzuweichen.
In diesem Sinne: Auch wenn dieser Beitrag keine neuen Tools vorstellt, um souverän im Digitalen zu agieren, so geht es doch um den Digitalen Souverän. Trotz besseren Wissens und der eindeutigen Vorgaben der DSGVO gibt es immer wieder Anläufe, zusätzliche persönliche Daten zu speichern und auszuwerten. Der Nutzen für den Kunden / Bürger ist dabei meist marginal, die langfristigen Schäden für den einzelnen (gläsernen) Bürger und damit aber auch für die Gesellschaft sind hingegen nicht absehbar und eher als groß einzuschätzen. Als digital Souveräne sollten wir daher die gesetzlichen und privatwirtschaftlichen Veränderungen im Digitalbereich, die gefühlt in immer kürzeren Abständen auftreten, aufmerksam verfolgen und rechtzeitig intervenieren.