Der Entscheid des Kantons Bern, sämtliche fürs Contact Tracing relevanten Kontaktdaten ab 10. Mai in einer zentralen kantonalen Datenbank zu sammeln, hat in den letzten Wochen einige Wellen geworfen.
War die Einführung der SwissCovid-App letztes Jahr noch als „Sieg“ der datenschutz-bewussten Zivilgesellschaft gefeiert worden, scheint das Pendel jetzt zurückzuschwingen. Eine zentrale Datenbank sämtlicher Restaurant-, Bar- und Club-Besuche, unter Hoheit des Kantons, ist das nicht der feuchte Traum aller Überwachungsfreudigen? Darf der Kanton Bern das überhaupt? Sind die Daten wenigstens sicher? Und erfüllt das Sammeln der Daten wenigstens den erhofften Zweck?
Was sagen die Gesetze?
Vorneweg gesagt: Ja, der Kanton Bern darf das (vermutlich). Die Grundlage dazu ist im Anhang 1 der Verordnung über Massnahmen in der besonderen Lage zur Bekämpfung der Covid-19-Epidemie des Bundesrates festgelegt:
Das alleine rechtfertigt zwar noch keine zentrale Datenbank mit täglichen Updates, aber Artikel 5 derselben Verordnung verpflichtet sämtliche Erheber von Kontaktdaten, diese auf Anfrage unverzüglich und in elektronischer Form weiterzuleiten.
Sachlich gesehen macht die Forderung der unverzüglichen Weiterleitung durchaus Sinn, es ist im Contact Tracing-Fall ja durchaus relevant, potentielle Kontakte möglichst schnell zu identifizieren und zu informieren. Und der Kanton Bern möchte offensichtlich unbedingt das Risiko vermeiden, dass ein Club am Montag geschlossen oder die Zuständige in einem Restauraunt nur abends zu erreichen ist, und so Kontaktdaten dem Tracing-Team erst mit Verspätung vorliegen. Das ist jedenfalls die Haltung des Kantons. Da kaum öffentliche Informationen über den Erfolg bzw. Misserfolg von Contact Tracing-Aktivitäten vorliegen, lässt sich diese so ohne weiteres allerdings weder be- noch widerlegen.
Was macht der Kanton mit den Daten?
Sachlich gesehen legt der Kanton Bern die Nutzung der Daten in der kantonalen Covid-Verordnung fest:
Nun sind Paragraphen ja bekanntlich keine überzeugende Massnahmen gegen Datenmissbrauch. Falls der Kanton Bern jetzt einfach alle gesammelten Daten in eine grosse Datenbank packt, dann wäre eine „kreative“ Nutzung zur Strafverfolgung („Einem Gast wurde im Restaurant Bären die Aktentasche geklaut, wer war an diesem Abend auch noch im Bären?“ oder „Frau Q plant einen Anschlag. Mit wem hat sie sich in den letzten 14 Tagen getroffen?“) nur schlecht zu verhindern.
Wie die Implementierung der zentralen Datenbank im Detail aussieht, wird wohl erst bekannt werden wenn entsprechende Öffentlichkeitsgesuche für die Lösungs- und Betriebskonzepte derselben positiv beantwortet wurden (und das kann vermutlich dauern). Gemäss den uns vorliegenden Informationen hat man sich aber durchaus ein paar Gedanken zum Thema gemacht:
- Gespeichert wird pro Restaurant der Bezugszeitpunkt und eine Referenz auf einen Personendatensatz
- Dieser Personendatensatz wird mit einem jeweils neu generierten Schlüsselpaar verschlüsselt und nur in verschlüsselter Form abgelegt
- Der zur Entschlüsselung notwendige Private Key selbst wird nicht zusammen mit den Besuchsdaten abgelegt sondern nur im Tracing-System gespeichert
Im Bedarfsfall können so die verschlüsselten Datensätze der in einem spezifischen Zeitraum in einem Restaurant anwesenden Personen aus der Datenbank gezogen und ans Tracing-System übermittelt werden. Nur dieses kann dann mit dem nur dort gespeicherten Private Key die Personendaten entschlüsseln und fürs Contact Tracing zugänglich machen.
Soweit so gut, hier hat sich immerhin jemand Gedanken gemacht, wie man auch eine zentrale Datenbank so gestalten kann, dass für einen Datenmissbrauch zumindest grössere Hürden zu überwinden sind. Abfragen im Stil von „Einem Gast wurde im Restaurant Bären die Aktentasche geklaut, wer war an diesem Abend auch noch im Bären?“ sind allerdings auch mit diesem System problemlos möglich, bei „Frau Q plant einen Anschlag. Mit wem hat sie sich in den letzten 14 Tagen getroffen?“ braucht es dann immerhin Zugriff auf beide Datenbanken und ein paar Zeilen Programmcode. Vermutlich ist das zuviel Aufwand solange es nur um eine eingeworfene Fensterscheibe in einem Kiosk geht, bei einem Steinwurf ins Küchenfenster eines Bundesrates könnte das anders aussehen…
Kommt hinzu, dass es die Berner Regelung offenlässt, wie lange die zentrale Übermittlungspflicht und die Datenbank an sich gelten sollten, hierzu wurde schlicht nichts festgelegt. Im Epidemiegesetz des Bundes, auf welches sich die Berner Regelung abstützt, gilt gemäss Art. 31 Abs. 4 EpG „Massnahmen dürfen nur so lange dauern, wie es notwendig ist, um die Verbreitung einer übertragbaren Krankheit zu verhindern und um eine ernsthafte Gefahr für die Gesundheit Dritter abzuwenden. Sie sind regelmässig zu überprüfen„. Dies alleine ist schon eine eher schwache Gewähr dafür, dass die zentrale Datensammlung baldmöglichst wieder eingestellt wird. Auch ist diesem Abschnitt wohl genüge getan, wenn die Übermittlungspflicht an sich aufgehoben wird, die bereits gesammelten Daten müssten dadurch direkt ebenfalls gelöscht werden.
Daten gut, alles gut?
Das Contact Tracing im Kanton Bern kriegt nun also sämtliche Kontaktdaten von Restaurants, Bars, Clubs etc automatisch geliefert und sie scheinen einigermassen sicher abgelegt zu sein („einigermassen“ weil wir ja die konkrete Implementierung nicht kennen). Führt diese Datenmenge nun effektiv zu einem verbesserten Contact Tracing? Ohne Analysen über die bisherigen Erfolge und Misserfolge ist das schwer zu beurteilen, es deutet aber einiges darauf hin, dass „mehr“ Daten an sich nicht einfach zu „mehr“ Qualität im Tracing führen.
Damit die Kontaktdaten der Club-Besucherin bis zum Contact Tracing-Team gelangen, müssen einige Schritte durchlaufen werden:
Jeder dieser Schritte bietet die eine oder andere Herausforderung, welche einen direkten Einfluss auf die resultiende Datenqualität hat:
- Die Clubbesucherin kann falsche Kontaktdaten angeben (vor allem wenn die Erfassung auf Papier erfolgt)
- Die Clubbesucherin kann sich schlicht weigern, Kontaktdaten anzugeben. Grundsätzlich wäre der Clubbetreiber verpflichtet, sie in diesem Fall nicht in den Club zu lassen, praktisch gesehen dürfte dessen Abwägung zwischen „so entgeht mir definitiv Umsatz“ und „ich muss vielleicht eine Busse zahlen falls es rauskommt“ eher zugunsten des Umsatz ausfallen. Und ich weiss ja nicht wie es im Kanton Bern ist: aber zumindest in Zürich wurde ich ich in Restaurants höchstens mal gebeten, mich doch bitte einzutragen/zu registrieren, anschliessend kontrolliert wurde das nicht
- Die Verwendung einer Reservationsapp stellt zumindest die Datenqualität sicher (da eine falsche Email-Adresse/Telefonnummer ja sehr schnell auffällt), aber es gibt natürlich keine Garantie dafür, dass die Daten nicht auch in einer App mal verloren gehen können
- Der Clubbetreiber kann beim Abtippen der Papierliste Fehler machen, es nach einer langen Nacht vergessen oder die Liste kann schlicht verloren gehen
- Die Übermittlung an den Kanton kann vergessen gehen oder fehlschlagen
- Und zu guter Letzt steht dann auch das Contact Tracing-Team selbst vor diversen Herausforderungen
Wenn wir auf dem obigen Bild jetzt noch festhalten (grüne Box), wo genau die im Kanton Bern obligatorische Speicherung Vorteile bringt, wird offensichtlich, dass hier nur ein kleiner Teil der Gesamtproblematik addressiert wird.
Man könnte etwas süffisant sogar argumentieren, dass man halt den einen Aspekt addressiert hat welcher sich technisch einfach lösen lässt, ohne sich dabei wirklich Gedanken über den Gesamtprozess gemacht zu haben.
Mit einem achsenzuckelnden „Ach, nützt’s nüt so schat’s nüt“ ist es aber nicht wirklich getan:
- In vielen Restaurants kommen Reservations-Applikationen zum Einsatz, die Liste der für den zentralen Upload zugelassenen Applikationen umfasste am 19. Mai 26 Einträge
- Applikationen wie Lunchgate und SocialPass sind in der Vergangenheit schon durch laschen Umgang mit Personendaten aufgefallen, es ist zumindest wahrscheinlich, dass auch bei weiteren dieser 26 Applikationen datenschutz-mässige Lücken vorhanden sind. Auch wirken einige der Privacy Policies eher hemdsärmlig oder abenteuerlich, da kann man teilweise nur hoffen, dass die IT-Kenntnisse höher sind als die rechtlichen.
- Inwieweit gewöhnen wir uns an eine breitflächige Registrierungspflicht für alles und jedes, und sehen das in ein paar Monaten als völlig normal an? Und wie naheliegend ist dann (gerade jetzt wieder angesichts der PMT-Abstimmung) die Nutzung der so gesammelten Daten auch für andere „wichtige“ Zwecke?
(Einschub: Immerhin gibt es auch Lichtblicke wie die „Reservationsapp“ von pluess.ch, welche (unter der Annahme dass sie so funktionieren wie beschrieben) ausser der Kontaktdatenerfassung keine weitere Funktion haben und diese ohne separate Speicherung direkt in die DB des Kantons schreiben. Fehlt eigentlich nur noch ein Github-Repository des Codes…)
Tendenziell geht das Ganze in Richtung eines eigentliches Tracing-Theater, verbunden mit einer ausgebauten staatlichen Datensammlung. Ob das anvisierte Ziel der besseren Datenqualität und der vollständigeren Daten auch nur in Ansätzen erreicht wird, darf bezweifelt werden. Und da ist noch nicht mal berücksichtigt, dass mit zunehmender Impfquote und weiterhin tiefen Fallzahlen auch bei grundsätzlich gutmütig mitmachenden Restaurant-Besuchern die Bereitschaft sinken wird, Kontaktdaten anzugeben.