Anforderungen an eine digitale Nachverfolgung in der Corona-Pandemie
Beschluss der Landtagsfraktion BÜNDNIS 90/DIE GRÜNEN Thüringen
Seit Beginn der Corona-Pandemie vor mehr als einem Jahr, spielt das Thema der digitalen Kontaktnachverfolgung eine wichtige Rolle. Digitale Kontaktnachverfolgung dient nicht ausschließlich der Debatte um Lockerungen, sondern ist vielmehr ein Instrument welches für sichere Übermittlung persönlicher Daten sorgen kann, Gesundheitsämter und das Gesundheitssystem entlastet und somit einen wichtigen Beitrag zur Eindämmung des Virus leisten kann. Im Gegensatz zu anderen Ländern hat Deutschland spät und sehr holprig mit der Corona-Warn-App eine digitale Lösung eingeführt, die bisher allerdings noch keine Verknüpfung mit den schon vorhandenen Systemen der Gesundheitsämter ermöglicht. Bisher gibt es lediglich die Risikowarnung für die Nutzer*innen. Zudem haben die meisten Gesundheitsämter selbst noch keine Systeme für das digitale Kontaktmanagement (z.B. SORMAS) eingeführt. Ohne eine solches System kann jedoch keine digitale Kontaktverfolgung umgesetzt werden.
Digitale Kontaktnachverfolgung bedarf eines hohen Maßes an Vertrauen der Bürger*innen in die genutzten Systeme. Deswegen sind diese datenschutzkonform, datensparsam und IT-Sicher anzulegen. Daher ist mit Blick auf die Corona-Warn-App grundsätzlich zu begrüßen, dass diese auf einer Open Source-Lösung basiert und datenschutzkonform und –sparsam arbeitet. Außerdem ist die Speicherung der Daten dezentral angelegt.
Generell begrüßen wir es, dass Startups und Vertreter*innen besonders der Veranstaltungs- und Kulturwirtschaft sich bei der Pandemiebekämpfung mit der Entwicklung von Kontaktnachverfolgungs-Apps einbringen. Diese Pandemie betrifft uns alle und wir können sie nur gemeinsam bewältigen. Klar ist aber auch, eine digitale Kontaktnachverfolgung ersetzt nicht die Pandemiemanagementstrategie eines Landes, sie ist kein Allheilmittel. Außerdem muss auch weiterhin klar definiert werden, was eine App können soll und muss.
Jedoch muss sich staatliches Handeln besonderen Maßstäben im Umgang mit den Daten seiner Bürger*innen stellen. Als Bündnisgrüne haben wir dabei schon frühzeitig Leitlinien entwickelt, die es auch für den Bereich der Kontaktnachverfolgung anzuwenden gilt:
- Öffentliches Geld nur für öffentlichen Code. Das beinhaltet nicht nur, dass der Quellcode zu einem bestimmten Zeitpunkt veröffentlicht werden muss, sondern auch die Schnittstellen, die Verschlüsselungskonzepte. Zudem müssen Verträge und Schulungsunterlagen dokumentiert und veröffentlicht werden. Dabei sollen auch Reproducible Builds im Fokus stehen.
- Die digitale Lösung soll datensparsam arbeiten und nur die Daten erheben, die vorher als notwendig definiert wurden und auch wirklich zur Kontaktnachverfolgung erhoben werden müssen.
- Die Daten sollten immer anonym erhoben werden. Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen also nicht aus anderen Daten abgeleitet werden.
- Dezentral ist sicher. Digitale Lösungen sollten auf dezentralen Strukturen basieren. Das ermöglicht zum einen das Speichern von Begegnungen bzw. Kontakten auf einem mobilen Endgerät ohne notwendige Kommunikation mit einem zentralen Server (weniger störungsanfällig bei Funklöchern/ Verbindungsproblemen) und sichert zum anderen die Datensätze besser ab, da bei einem Ausfall der Infrastruktur des zentralen Betreibers, das gesamte System (zeitweilig) nicht nutzbar wäre.
- Interoperable und lizenzfrei nutzbare Schnittstellen. Interoperabel meint hier, dass Kontaktdatensätze in einem standardisierten, strukturierten und öffentlich bekannten Format an andere Software weitergegeben und von dieser verarbeitet werden können.
- Gewährleistung der Verfügbarkeit der App in verschiedenen, auch freien AppStores. D.h. nicht nur in GooglePlay etc., sondern auch z.B. F-Droid, Lineage OS ohne Google-Bindung u.a.
- Datenbruchfreie Kommunikation von Nutzer*innen bis zu den Entscheidungsbehörden. Es soll keine händische bzw. erst einzuleitende Umwandlung von Daten erfolgen. Die vom User eingestellten Daten sollen von den bearbeiteten Stellen ohne Umwandlungsaufwand nutzbar sein können. Dies schließt den Rückkanal mit ein.
- Gesetzliche Grundlage zum Schutz der Daten vor Weitergabe an Dritte (auch staatlich intern). Zur Erhöhung der Akzeptanz muss sichergestellt werden, dass auch durch eine Änderung der AGBs keine Weitergabe oder Weiterverwendung der erhobenen Daten durch andere staatliche Institutionen (bspw. Strafverfolgungsbehörden) geschehen kann.
Bereits im September hatten sowohl IT-Planungsrat /FITKO als auch bspw. der Chaos Computer Club (CCC) Kriterien für eine digitale Kontaktnachverfolgung erarbeitet und der CCC auch veröffentlicht (https://www.ccc.de/de/updates/2020/contact-tracing-requirements). Die Dokumente des IT-Planungsrates stehen nur zur internen Nutzung zur Verfügung. Die Anforderungen an eine offene Schnittstelle für die Gesundheitsämter wurde auch da schon diskutiert. Finalisiert wurde es im Beschluss des IT-Planungsrates vom 17.03.2021.
Dort ist auch zu entnehmen, dass es im November eine Umsetzungspflicht der MPK gab. Der länderübergreifende Datenaustausch wird seit Mitte Februar über die SORMAS-Erweiterung eXchange realisiert. Das wurde bereits im November besprochen, in Thüringen aber nicht weiter berücksichtigt.
Der Quellcode der LUCA-App wird erst Ende März veröffentlicht, danach braucht es Zeit für den Audit und mögliche Nachbesserungen. Dies löst aber das bestehende Problem der Zentralisierung von Daten nicht (LUCA speichert auf zentralen Servern). Die Corona-Warn-App hat die geforderten Kriterien bereits erfüllt. SAP und T-Systems haben die Erweiterung der CWA ebenfalls für Ende März/ Anfang April angekündigt, d.h. vor Ostern wird keine App-Lösung einsatzbereit sein.
Daraus lassen sich konkrete Forderungen für Thüringen ableiten:
- Ohne digitalisierte Gesundheitsämter ist keine Kontaktnachverfolgung möglich. Daher: Einführung und verpflichtende Nutzung von SORMAS eXchange in allen Gesundheitsämtern Thüringens bis spätestens nach Ostern.
- Die Zuständigkeit bei der Digitalisierung liegt aktuell in mindestens 3 Bereichen (TFM - Digitalisierung und Beratung Behörden, FITKO/ TMWWDG - Digitalagentur / TMASGFF - Fachaufsicht). Hier braucht es eine klare Zuständigkeitsstruktur. Das Kompetenzzentrum muss personell ertüchtigt werden, die zusätzlichen Beratungsleistungen durchzuführen.
- Entscheidungsprozesse müssen transparent gestaltet werden (siehe das Kommunikationsfiasko des Datenschutzbeauftragten Hasse zur LUCA-App). Die zuständige Stelle (siehe Zuständigkeit) muss veröffentlichen, nach welchen Kriterien welche Entscheidungen getroffen werden.
