Frau mit Gesichtsmaske blickt auf ein Handy
Reuters/Massimo Pinca
„Tracking“ und „Big Data“

Nutzung von Handydaten als Gratwanderung

Im Kampf gegen die Ausbreitung des Coronavirus mehren sich die Rufe nach der Sammlung und Auswertung von Bewegungs- und Kontaktdaten. Vor allem das Stichwort „Handy-Tracking“ wurde zuletzt immer wieder ins Feld geführt. Was damit genau gemeint ist, bleibt in der Diskussion aber oft offen. Und Fragen stellen sich nicht nur hinsichtlich der technischen Umsetzung.

Handydaten werden wohl auch hierzulande in der Coronavirus-Krise eine gewichtige Rolle spielen. Bei dem Vorhaben, das Land in Richtung „neue Normalität“ zu führen, sei die Nutzung moderner Technologie ein „ganz wesentlicher Schlüssel“, sagte Bundeskanzler Sebastian Kurz (ÖVP) Montagabend im Interview mit der ZIB2. Einmal mehr erwähnte der Regierungschef die „Stopp Corona“-App des Roten Kreuzes – und sprach von Freiwilligkeit und zeitlicher Befristung. Bereits vergangenen Woche hatte Kurz „Big Data“ ins Spiel gebracht, ohne dabei konkreter zu werden.

Bei der Opposition hatte das damals ausgereicht, um die Alarmglocken schrillen zu lassen. SPÖ, FPÖ und NEOS fürchten Eingriffe in die Grund- und Freiheitsrechte. Justizministerin Alma Zadic (Grüne) hatte in Interviews versichert, dass keine „individuelle Überwachung“ von Bürgerinnen und Bürgern angedacht sei. Für zusätzliche Diskussionen sorgte die Tatsache, dass der Mobilfunkanbieter A1 der Regierung anonymisierte Bewegungsdaten zur Verfügung gestellt hatte.

Solche Debatten sind dabei nicht auf Österreich beschränkt. Von Helsinki bis Madrid beschäftigt sich die Politik im Kampf gegen die Ausbreitung des Coronavirus auch mit der Nutzung digitaler Daten – und stößt dabei auf technische, aber auch rechtliche Grenzen. In Deutschland etwa ließ Gesundheitsminister Jens Spahn (CDU) einen Gesetzesentwurf ausarbeiten, der auch die Auswertung der Verkehrsdaten von Smartphones infizierter Menschen vorsah. Nach lauter Kritik zog er ihn wieder zurück.

Technische Beschränkungen

Grundsätzlich gibt es mehrere Möglichkeiten, über das Smartphone an Ortungsdaten zu kommen. Zuletzt war besonders oft von einem „Handy-Tracking“ über die Mobilfunknetze die Rede. Dahinter steht die Möglichkeit der Mobilfunkanbieter, auszulesen, welche Geräte gerade in eine Funkzelle eingebucht sind. Und über den Abstand zum Sendemasten lässt sich auch die ungefähre Position des Telefons bestimmen.

Eine Frau mit Gesichtsmaske telefoniert, im Hintergrund Polizisten
AP/Efrem Lukatsky
Die Verfolgung des Handys über das Mobilfunknetz ist rechtlich schwierig bis unmöglich – und technisch fragwürdig

Allerdings geht das selbst in Innenstädten, wo Antennen dicht aufgestellt sind, bestenfalls auf 50 Meter genau. In Vororten oder auf dem Land ist das Ergebnis noch weniger präzise. „Die Positionsdaten der Mobilfunkprovider sind aufgrund ihrer Ungenauigkeit etwa für die Ermittlung von möglichen Ansteckungen absolut ungeeignet. Wir können mit ungenauen Basisdaten keine aussagekräftigen Modelle bauen“, sagt etwa Horst Kapfenberger, Informatiker bei NOYB, der von Max Schrems mitgegründeten Datenschutz-NGO.

Grobes Raster

Zudem speichern die Anbieter in Österreich aktuell nur anonymisierte Positionsdaten. Eine personalisierte Auswertung – wie das zum Beispiel der israelische Geheimdienst seit zwei Wochen im Auftrag der dortigen Regierung macht – ist mit den zurzeit erhobenen Daten nicht möglich. Entsprechende Änderungen wären, da sind sich Expertinnen und Experten einig, datenschutzrechtlich heikel, wenn nicht überhaupt unmöglich.

App soll Kontaktverhalten überwachen

Die Krise wird zur Normalität. Denn noch immer ist unklar, wann Geschäfte wieder aufmachen dürfen, in Schulen wieder unterrichtet wird oder man wieder in Restaurants essen gehen kann. Eine schrittweise Lockerung zeichnet sich ab, es wird aber laut über mögliche Auflagen nachgedacht: In Entwicklung sind etwa Tracking-Anwendungen für das Smartphone.

Die Sammlung und Weitergabe von Mobilfunkdaten, wie sie zurzeit bereits in Österreich passiert und auch von der EU-Kommission für die ganze Union angedacht wird, ist also sowohl technisch als auch rechtlich stark beschränkt; wenn überhaupt, lassen sich damit nur grobe Bewegungsprofile erstellen. Die – wie Regierung und Mobilfunker versichern – anonyme Datenweitergabe soll aber dabei helfen, nachzuverfolgen, wie wirksam etwa die aktuellen Ausgangsbeschränkungen sind. Vereinfacht gesagt lässt sich mit solchen Bewegungsdaten vor allem zeigen, wie viele Leute sich zu welcher Zeit an bestimmten Orten aufhalten.

Zugriff per App

Etwas anders sieht die Sache aus, wenn es um den Zugriff auf die Satellitenortung geht. Hier wäre eine Positionsbestimmung zumindest auf einige Meter genau möglich. Der Zugriff auf den GPS-Chip des Smartphones benötigt aber sowohl bei Android-Geräten als auch bei iPhones die Zustimmung der Nutzerinnen und Nutzer. In den aktuellen Überlegungen geht es deshalb oft um spezielle Apps, mit denen dem Zugriff auf die GPS-Daten zugestimmt wird.

Zugleich könnten solche Lösungen auch die Kommunikation zwischen einzelnen Mobiltelefonen ermöglichen. Als Beispiel dafür gilt das im Auftrag der Regierung Singapurs entwickelte „TraceTogether“. Per Bluetooth erfasst die App nahe Handys von anderen Nutzerinnen und Nutzern, die das Programm ebenfalls installiert haben. Wird jemand positiv auf das Coronavirus getestet, lassen sich über die gesammelten Daten jene Menschen informieren, mit denen die Person zuvor Kontakt hatte. Laut den Behörden des Stadtstaates werden die Daten dabei verschlüsselt und nur lokal auf den jeweiligen Geräten gespeichert.

Vorbild für Österreich

Geht es nach dem Roten Kreuz, soll das in Zukunft auch die von der Rettungsorganisation entwickelte „Stopp Corona“-App können. Noch müssen Nutzerinnen und Nutzer persönliche Begegnungen als „digitalen Handshake“ manuell in der App eintragen. Auch in Deutschland wird mittlerweile die Einführung einer solchen App diskutiert. Das Fraunhofer-Institut für Nachrichtentechnik in Berlin teilte am Montag bereits mit, es arbeite an einer entsprechenden Umsetzung.

Mehrere Frauen mit Gesichtsmasken blicken in einer U-Bahn in Singapur auf ihr Handy
APA/AFP/Catherine Lai
Singapur und andere asiatische Länder setzen im Kampf gegen das Coronavirus bereits auf Apps

Für Datenschützer Schrems wäre eine solche Lösung auch unter den Vorgaben der Datenschutzverordung möglich. Freiwillige Programme mit nur lokal gespeicherten Daten entsprächen „eher dem eigenverantwortlichen Mitnehmen eines Lawinenpiepsers als einer zentralen Totalüberwachung“. Grundsätzlich wies der Datenschützer in einer Aussendung am Montag daraufhin hin, dass die Nutzung von Daten im Kampf gegen das Coronavirus legitim sein kann – mit „Maß und Ziel“.

„Die DSGVO sieht die Datenverarbeitung im Kampf gegen Epidemien ausdrücklich vor“, so der Jurist: „Die Frage ist daher nicht ob, sondern wie.“ Laut Schrems gibt es sehr viel Raum zwischen „überbordender Totalüberwachung“ und der Sammlung und spezifischen Auswertung von ganz bestimmten wichtigen Informationen. Ansätze wie freiwillige Tracking-Apps würden jedenfalls nur funktionieren, „wenn ein großer Teil der Gesellschaft mitmacht. Dafür brauchen wir Systeme, die die Daten beim Nutzer belassen und von außen überprüfbar sind.“

Die Grenzen der Freiwilligkeit

Rechtlich schwieriges Terrain eröffnet sich freilich, wenn die Nutzung solcher Apps nicht mehr oder nur noch bedingt freiwillig ist. In Europa experimentieren bereits mehrere Länder mit Handy-Anwendungen, mit denen die Einhaltung von Quarantäneauflagen kontrolliert werden soll. Und in China sind bereits Apps im Einsatz, die auf Basis von Bewegungs- und Interaktionsprofilen das Risiko einer Infizierung mit dem Virus bewerten und farblich darstellen. In mehreren Städten müssen sich Menschen mit dieser App nach dem Ampelprinzip „ausweisen“, um etwa die öffentlichen Verkehrsmittel nutzen zu dürfen.

Nach Ansicht des Juristen Nikolaus Forgo wäre es jedenfalls nicht zulässig, die Ausgangsbeschränkungen nur für jene Personen zu lockern, die sich „freiwillig“ einer Handyüberwachung unterziehen. Denn freiwillig sei eine Einwilligung nur, wenn man eine echte Wahl habe, also Nein sagen könne, ohne Nachteile zu erleiden, so der Vorstand des Instituts für Innovation und Digitalisierung im Recht am Wiener Juridicum am Montag in der „Presse“. In so einem Fall wäre eine Einwilligung wohl „keine gültige Rechtsgrundlage“.

Ein solches Vorgehen folge dem Ansatz „infiziert, wenn nicht erwiesenermaßen gesund“, und greife stark in ein „breites Spektrum von Grundrechten“ ein, heißt es auch in einer Analyse von Schrems’ Datenschutz-NGO NOYB. Allerdings geben die Datenschützer zu bedenken: Einen solchen Ansatz hätten die Staaten bereits mit dem Erlass von Ausgangsbeschränkungen verfolgt.