DSI Insights: Privat­sphärenschutz während einer Pandemie

19. Mai 2020, 09:50
image

Welche Auswirkungen haben die ergriffenen Massnahmen auf den Datenschutz und den Schutz der Privatsphäre? Eine wissenschaftliche Analyse.

Täglich beobachten wir die Auswirkung der Covid-19-Pandemie auf unsere Gesellschaft, unser Pflegesystem, unsere Wirtschaft, und den Schutz unserer Privatsphäre. Letztere ist kürzlich besonders in den Fokus gerückt, da unterschiedliche Länder verstärkte Massnahmen ergriffen haben, um die Ansteckung von Covid-19 Fällen zu überwachen und zu stoppen. Bekannte Zeitungen und Zeitschriften wie der 'Economist' und die 'Financial Times' haben mehrfach auf die Gefahr einer potenziell anhaltenden Überwachung von Bürgerinnen und Bürgern durch die staatlichen Behörden hingewiesen. Die ist vor allem darauf zurückzuführen, dass sich neuartige Formen der digitalen Überwachung, insbesondere von biometrischen Daten und Gesundheitsdaten, in der Gesellschaft normalisieren und auch nach dieser Pandemie fortbestehen könnten (Economist, 2020; Harari, 2020).
Angesichts der Geschwindigkeit und Komplexität, mit der sich die Massnahmen zur Eindämmung der Pandemie auf die und innerhalb der Gesellschaft auswirken, ist es ebenso anspruchsvoll wie wichtig, die Entwicklung der digitalen Überwachung von Individuen zurzeit zu verfolgen. Gemeinsam mit Dr. Eduard Fosch-Villaronga (Universität Leiden), Dr. Rehana Harasgama (Bär & Karrer AG), Prof. Dr. Christoph Lutz (BI Norwegian Business School), Gemma Newlands (Universität Amsterdam) und Gil Scheitlin (Universität Zürich) gehen wir der Frage nach, welche Auswirkungen die im Rahmen der Covid-19-Pandemie ergriffenen Massnahmen auf den Schutz der Privatsphäre und des Datenschutzes haben. Dieser Beitrag greift einige Punkte unserer (zurzeit noch nicht vollständig veröffentlichten) Analyse kurz auf.
Der Schutz der Privatsphäre – im angelsächsischen Raum mit Privacy übersetzt – vereint unterschiedliche Ideale und ist kontextabhängig. Unterschiedliche Privacy-Konzepte existieren, je nachdem welche Beziehung – z.B. die Beziehung Staat zu Bürger, Arbeitgeber zu Arbeitnehmer, Anbieter einer online Dienstleistung zu Nutzer, oder Individuen unter sich – in den Vordergrund gestellt wird (Aeschlimann et al., 2014). Wir konnten feststellen, dass die Social-Distancing-Massnahmen, die zur Eindämmung des Pandemieverlaufs (Flatten the Curve) eingesetzt wurden, je nach analysierter Beziehung unterschiedliche Privacy-Auswirkungen nach sich ziehen.
Weltweit haben Staaten mittels Notstandregelungen (siehe für die Schweiz insb. die Covid-19-Verordnung 2, Stand 11. Mai 2020) zumindest Analysen und Visualisierungen von Standortdaten von Mobilfunknetzanbietern herausverlangt, um die Einhaltung der Abstandsregeln zu überprüfen. Auch in der Schweiz hat das Bundesamt für Gesundheit (BAG), gestützt auf das Epidemiengesetz, solche Daten insbesondere zu Menschenansammlungen von mehr als fünf Personen in der Öffentlichkeit und Personenflüssen von der Swisscom verlangt. Anfänglich taten sie dies ohne die Verfügung gegenüber der Swisscom zu veröffentlichen oder die Öffentlichkeit auf andere Art und Weise transparent darüber zu informieren. Dieses Vorgehen zog umgehend Kritik nach sich (Steiger, 2020). Solche zusammengetragenen Daten, wenn im Einklang mit datenschutzrechtlichen Prinzipien erhoben, sind für die Privatsphäre nicht einschneidend und spielen eine wichtige Rolle im Kampf gegen die Verbreitung von Covid-19. Jedoch beobachten wir weltweit Überwachungspraktiken, die individualisierte Rückschlüsse auf und Verfolgungen von Individuen erlauben und somit auch das Verhalten der Bürger eingrenzen (sog. Abschreckungseffekte oder Chilling Effects, die dazu führen, dass Bürger nicht nur illegale, aber auch legale Aktivitäten eindämmen, mehr dazu Büchi et al., 2019). Solche Chilling Effects sind insbesondere dann prominent, wenn Staaten mit privaten Anbietern, wie Swisscom, aber auch Google und Facebook zusammenarbeiten, und so Zugriff auf Daten erhalten, die nicht im Kontext Staat - Bürger erzeugt wurde.
Auch Arbeitgeber setzen Social-Distancing-Massnahmen ein, indem, wenn immer möglich, Arbeitnehmer*innen von zu Hause aus arbeiten müssen. Technische Tools ermöglichen die Einführung solcher Homeoffice-Massnahmen sowie die Überwachung der Arbeitnehmenden während der Fernarbeitszeit. Während die Überwachung der Arbeitnehmer*innen in vielen Branchen bereits üblich ist (z.B. in der Logistik, Verkehr), schafft die Einführung von Videokonferenzplattformen von Drittanbietern wie Zoom oder Skype neue Herausforderungen. Diese Anbieter können nebst IP-Adressen und Standortdaten auch die Aufmerksamkeit der Arbeitnehmenden tracken und solche Daten an den Arbeitgeber weiterleiten; Zoom hat hier insbesondere für negative Schlagzeilen gesorgt, weil sie solche Daten auch an Facebook weiterleiteten – eine Praxis, die sie mittlerweile eingestellt haben (Cox, 2020).
Vor allem Arbeitgeber, welche keine Homeoffice-Möglichkeit bieten können, haben ein Interesse daran, ihre Arbeitnehmer*innen durch andere Massnahmen gegen SARS-CoV-2 zu schützen und haben in der Schweiz überdies eine Pflicht, ein sicheres Arbeitsumfeld für besonders gefährdete Arbeitnehmende zu gewährleisten (Covid-19-Verordnung 2). Es überrascht daher nicht, dass einige Unternehmen angefangen haben, Gesundheitsdaten ihrer Arbeitnehmer zu sammeln, z.B. durch Abfragen des momentanen Gesundheitszustandes des Arbeitnehmenden selbst sowie dessen Familienmitglieder, durch Messen der Körpertemperatur oder der Installation von thermografischen Kameras. 
Diese Praktiken sind auch darum problematisch, da Arbeitgeber grundsätzlich nach Schweizer Datenschutz- und Arbeitsrecht (At. 328b OR) nicht Gesundheitsdaten ihrer Arbeitnehmer*innen sammeln dürfen, da diese nicht im Zusammenhang mit der Erfüllung des Arbeitsvertrages stehen (eine Ausnahme sind Arztzeugnissen, welche in Zusammenhang mit dem Fernbleiben der Arbeit verlangt werden dürfen). Obschon eine mögliche Rechtfertigung über die Fürsorgepflicht der Arbeitgeber herangezogen werden könnte, sahen sich Datenschutzbehörden gezwungen, Anweisungen zu publizieren, wie Arbeitgeber Gesundheitsdaten im Einklang mit geltendem Datenschutzrecht gestaltet werden sollte. 
Wichtige Themen sind, welche Massnahmen geeignet und erforderlich sind und wie lange solche Daten aufbewahrt werden dürfen; bei letzterem sind Datenschützer sich einig: Die Daten müssen, sobald die Pandemie keine Gefahr mehr für die Gesundheit der Arbeitnehmer*innen darstellt, gelöscht werden. Idealerweise, sollten technische Vorkehrungen getroffen werden, um sicherzustellen, dass Daten verschlüsselt übermittelt und auf separaten, passwortgeschützten Laufwerken aufbewahrt werden. Ein weiteres Thema ist, was mit den erfassten Gesundheitsdaten gemacht werden darf. Hier gibt es unterschiedliche Anweisungen von den Datenschutzbehörden in Europa. Eines steht fest, die Daten müssen vertraulich behandelt werden und die notwendigen Angaben über einen potenziell infizierten Arbeitnehmer sollten sinnvollerweise nur denjenigen bekanntgegeben werden, die in engem Kontakt mit dem infizierten Arbeitnehmer*innen standen. Mildere Massnahmen, wie die Sensibilisierung der Arbeitnehmer*innen und die Förderung dieser, sich selbständig bei Symptomen zu melden bzw. dies auch den Gesundheitsbehörden mitzuteilen, sowie Erleichterung der Fernarbeit, sollten vorrangig eingeführt werden (siehe zum Ganzen: EDÖB, 2020).
Die Social-Distancing-Massnahmen haben dazu geführt, dass auch das Sozialleben im virtuellen Raum stattfindet. Dass online diverse Daten – von Click-Tracking zu Suchanfragen – konstant analysiert werden, ist keine Neuheit. Aber die Covid-19 Pandemie zwingt jeden Menschen, der soziale Interaktion wünscht, zur Nutzung von Online-Kommunikationsmitteln und somit zur Einwilligung in Datenbearbeitungspraktiken, die möglicherweise vermieden werden würden. Solche Datenbearbeitungspraktiken beinhalten z.B. das Teilen von Kommunikationsdaten und Videoaufnahmen mit Dritten oder der Zugriff auf alle gespeicherten Kontakte und Fotos. So kam zum Beispiel der Dienstleister Zoom für seine Datenschutzpolitik und Sicherheitsstandards stark unter Kritik. Diese anhaltende Kritik bewog Zoom dann auch in aller Eile, ihre Privacy Policy transparenter zu machen, jedoch bleibt unklar, ob die dahinterliegenden Datenbearbeitungsprozesse auch überarbeitet wurden.
Diese Beispiele zeigen, dass Privatsphärenschutz kontextabhängig ist und unterschiedliche Beziehungen unterschiedliche Bedenken und Folgen nach sich ziehen. Diese Bedenken werden durch bestehende Gesetze adressiert. Nebst dem rechtlichen Rahmen tragen soziale Aufrufe – wie im Beispiel von Zoom ersichtlich wird – sowie technische Massnahmen eine wichtige Rolle zum Schutz der Privatsphäre bei. Obwohl traditionell Technologien eher als Bedrohung für die Privatsphäre angesehen werden, sollten sie viel mehr als Teil der Lösung angesehen werden (Gasser, 2016). So haben Forschern der ETH und EPFL in Kollaboration mit diversen europäischen Universitäten eine Applikation (Decentralized Privacy-Preserving Proximity Tracing) entworfen, welches es ermöglicht, in Erfahrung zu bringen, ob man sich innerhalb eines Zeitraums in der Nähe einer dann noch nicht symptomatischen, jetzt aber infizierten Person aufgehalten hatte (Troncoso et al., 2020). Solche Initiativen zeigen, dass teilweise gegensätzlich erscheinende Interessen, gar nicht immer im Konflikt stehen müssen.

Literatur:

  • Aeschlimann, L.S., Harasgama, R., Kehr, F., Lutz, C., Milanova, V., Müller, S., Strathoff, P., and Tamò, A.* (2014). Re-Setting the Stage for Privacy: A Multi-Layered Privacy Interaction Framework and Its Application. In S. Brändli et al. (Eds.), Mensch und Maschine – Symbiose oder Parasitismus? (pp. 1-39), Bern: Stämpfli.
  • Büchi, M., Fosch-Villaronga, E., Lutz, C., Tamò-Larrieux, A., Velidi, S., and Viljoen, S. (2019). Chilling effects of profiling activities: mapping the issues. Computer Law & Security Review, In Press.
  • Cox J. (2020). Zoom removes code that sends data to Facebook. Vice, 27. März (zuletzt besucht 9. April 2020).
  • Economist (2020). Countries are using apps and data networks to keep tabs on the pandemic - And also, in the process, their citizens. The Economist, 26. März (zuletzt abgerufen am 4. April 2020).
  • Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) (2020) Datenschutzrechtlicher Rahmen in der Eindämmung des Coronavirus (zuletzt besucht 9. April 2020).
  • Gasser, U. (2016). Recoding Privacy Law: Reflections on the Future Relationship Among Law, Technology, and Privacy. Harvard Law Review Forum – Law, Privacy & Technology Commentary Series, 130(2), 61-70.
  • Harari, Y. N. (2020) The world after coronavirus. Financial Times, 19. März (zuletzt abgerufen 4. April 2020).
  • Steiger, M. (2020). Standortdaten gegen Covid-19: Wo bleibt die Transparenz? Steigerlegal, 29. März 2020 (zuletzt abgerufen 9. April 2020).
  • Troncoso et al. (2020). Decentralized Privacy-Preserving Proximity Tracing, White Paper, Version 8th April 2020 (zuletzt besuch 10. April 2020)

Über die Autorin:

Aurelia Tamò-Larrieux forscht als Postdoktorandin am Center for Information Technology, Society, and Law (ITSL) und an der Digital Society Initiative (DSI) an der Universität Zürich zu automatisierten Entscheidungsfindungssystemen und ihren Auswirkungen auf die Gesellschaft und das Rechtsystem.

Zu dieser Kolumne:

Unter "DSI Insights" äussern sich regelmässig Forscherinnen und Forscher der "Digital Society Initiative" (DSI) der Universität Zürich. Die DSI fördert die kritische, interdisziplinäre Reflexion und Innovation bezüglich aller Aspekte der Digitalisierung von Wissenschaft und Gesellschaft.

Loading

Mehr zum Thema

image

IT-Woche: Wirds jetzt kritisch?

Ist uns die Sperrung des Schweizer Luftraums eine Lehre und wenn ja, welche? Die Angriffe aufs Gesundheitswesen hören nicht auf.

publiziert am 24.6.2022
image

Cloud-Anbieter wie Mega könnten Daten ihrer Kunden manipulieren

Ein ETH-Kryptografie-Team nahm die Verschlüsselung der Cloud Services des neuseeländischen Anbieters Mega unter die Lupe und fand gravierende Sicherheitslücken. Das dürfte kein Einzelfall sein.

publiziert am 23.6.2022
image

Mehrere kritische Datenschutzvorfälle im Kanton Zürich

Seit rund einem Jahr müssen Behörden im Kanton Zürich Datenschutzvorfälle melden. Die Datenschutzbeauftragte zieht eine erste Bilanz. Die Nutzung von Cloud-Angeboten wird kritisch gesehen.

publiziert am 22.6.2022
image

Facebook saugt Gesundheitsdaten mit Tracker ab

Eine US-NGO hat ein Tracking-Tool entdeckt, mit dem Facebook Einblick in sensible Daten erhält. Ein Drittel aller untersuchten Krankenhäuser ist betroffen.

publiziert am 21.6.2022