Eingelangt am 03.04.2020
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.

Anfrage

 

der Abgeordneten Katharina Kucharowits, Christian Drobits, Genossinnen und Genossen

an die Bundesministerin für EU und Verfassung im Bundeskanzleramt

betreffend Verwendung von Big Data zur Bekämpfung der Covid 19-Pandemie

 

Angesichts der Ausbreitung der Corona-Pandemie stellt die Bundesregierung in den mehrmals die Woche stattfindenden Pressekonferenzen unterschiedliche Maßnahmen vor, die der Bevölkerung auf unterschiedlichen Ebenen behilflich sein soll, die Ausbreitung der Pandemie schnellstmöglich zu stoppe. In der ersten Pressekonferenz am 13. März 2020 hat Bundeskanzler Kurz gemeinsam mit dem zuständigen Gesundheitsminister Rudolf Anschober die ersten Maßnahmen präsentiert. Dabei hat Kurz auch auf die Maßnahmen anderer Länder Bezug genommen und festgehalten, dass die Vorgangsweise in Ländern wie beispielsweise Singapur in Österreich nicht möglich sei, zumal Singapur mit Big Data gearbeitet habe.

 

Nur zehn Tage nach der ersten Pressekonferenz brachte Bundeskanzler Sebastian Kurz nun doch das Thema Big Data ins Spiel Er prüfe, wie andere Länder mit der Krise auch in punkto Datenerhebung umgehen und wolle mit dem Roten Kreuz und anderen Unternehmen an Ideen zur Nutzung von Big Data arbeiten - sofern diese mit den demokratischen Grundrechten vereinbar seien.

 

Das Rote Kreuz bietet nun die Stopp-Corona-App an, die vom Versicherungsunternehmen UNIQA finanziert wird. Diese App soll als eine Art Kontakttagebuch eingesetzt werden: Nutzerinnen können sich mit Personen, mit denen sie länger in Kontakt stehen, verbinden. Dadurch werden Smartphone-Informationen ausgetauscht, aber auch Daten wie Handynummer, Standort, Krankmeldung und Nachname gespeichert. Falls jemand später Symptome entwickelt oder positiv getestet wird, erhalten all jene, die in Kontakt mit der Person standen, eine Benachrichtigung. Die Nutzung dieser App basiert auf Freiwilligkeit, die App sei laut den Betreibern konform mit der DSGVO.

 

Medial wurde auch bekannt, dass die Regierung Handybewegungsdaten von einem österreichischen Mobilfunkbetreiber erhalten haben[1]. Konkret handelte es sich dabei um aggregierte Datensätze, d.h. mehrere Nutzerinnen wurden zu einem Datenpaket zusammengeschnürt- Somit lassen sich auf Anhieb keine einzelnen Personen nachverfolgen, wohl aber Bewegungsströme. Aber auch aggregierte Standortdaten können unter Umständen und durch Verknüpfung mit anderen Daten wieder auf eine konkrete Person zurückgeführt werden. Studien mit praktischem Nachweis dieser Gefahr der Re-Identifikation gab es in den letzten Jahren schon mehrere. Von sicheren Methoden wie differential privacy oder privacy by design ist hier leider keine Rede.

 

Außerdem werden die Daten trotzdem aus dem Echtzeitsystem erhoben, Stichwort "Bewegungsstromanalyse". Ob das überhaupt rechtens ist im Sinne des Datenschutzes, darüber streiten sich die Expertinnen bereits seit einiger Zeit. Die Sinnhaftigkeit im Kontext einer Corona-Krisenbewältigung bleibt auch ungeklärt. Datenschützerinnen kritisieren nämlich, dass die Daten der Handynetzbetreiber viel zu ungenau seien, um konkrete Schlüsse und daher aussagekräftige Resultate im Sinne eines genaues Trackings zur Nachverfolgung von womöglich infizierten Kontaktpersonen zu erzielen - was gerade im Kontext Corona-Eindämmung der Zweck einer solchen Maßnahme wäre. „Bewegungsdaten auf Basis von GPS oder WLAN via Smartphone und Apps sind nicht nur ungenau, sondern auch noch systematisch fehlerbehaftet. Wenn ich nun zum Beispiel analysieren möchte, welche Telefone in den letzten zwei Wochen in der Nähe einer infizierten Person waren, bekomme ich Hunderte bis Tausende Ergebnisse. Wer soll das auswerten", zeigt sich beispielsweise Wissenschaftler Wolfie Christl skeptisch gegenüber der Futurezone[2].Auch die Expertinnen der deutschen Grundrechteorganisation Netzpolitik.org sind skeptisch ob der Sinnhaftigkeit von Handydaten: „Die Daten über Telekommunikationsverbindungen wiederum ermöglichen etwa personen- und gruppenbezogene Aussogen über soziale Vernetzungen von Individuen, aber nicht unbedingt über physische Kontakte, auf die es für die Kontaktnachverfolgung ankommt. "[3]

 

Erwogen wurde seitens der Bundesregierung jedenfalls eine Standortüberwachung via Funkzellenabfragen, wie ein älterer Entwurf des Coronavirus-Gesetzes, der dem STANDARD[4] vorliegt, suggeriert. In den Erläuterungen war die Rede davon, dass Behörden auf Standortdaten der Mobilfunker von gefährdeten Personen zugreifen können sollen. In der finalen Version wurde das verworfen, wohl auch aufgrund der fehlenden technischen Möglichkeiten. Diese Daten, die von Funkzellen stammen würden, sind äußerst ungenau. Eine solche Standortabfrage liefert nicht ausreichend genaue Informationen und ist damit ungeeignet, den eigentlichen Zweck im Kontext der Coronakrise zu erfüllen. Das bestätigen beispielsweise auch die ExpertInnen von Netzpotitik.org, die festhalten, dass „ein System, das auf Funkzellendaten oder Standortdaten basiert, keine Positionsbestimmung mit der erforderlichen Präzision von höchstens zwei Metern erlaubt". Sollte diese Maßnahme für andere Zwecke gedacht sein, beispielsweise um anhand der Bewegungsstromanalyse den Erfolg der Ausgangsbeschränkungen zu messen, muss hier die Frage erlaubt sein, ob dies eine geeignete und gerechtfertigte Methode dafür ist.

 

Bei der Debatte um Datenanalysen zur Bekämpfung der Corona-Pandemie ging es bisher vor allem um die Auswertung von Mobilfunkdaten. Nun kommt auch die Überlegung, mit PatientInnendaten zu arbeiten[5]. Der Sprecher der PatientInnenanwältInnen, Gerald Bachinger, fordert die wissenschaftliche Auswertung der Elektronischen Gesundheitsakte (ELGA) zur Bekämpfung des Coronavirus. Ziel wäre es, Informationen über an Covid-19 erkrankte Personen aus verschiedenen staatlichen Datenbanken zu verknüpfen, um die Auswirkung bestimmter Medikamente auf die Krankheit zu überprüfen.

 

Die Datenverarbeitung ist laut Artikel 6[6] und9[7] DSGVO zulässig, wenn „Iebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person'" geschützt werden müssen sowie zur Bekämpfung „grenzüberschreitender Gesundheitsgefahren". Offen bleibt aber hinsichtlich dieser Artikel, ob bzw. wann die Situation eine Stufe erreicht, die einen solchen Eingriff bzw. eine solche Maßnahme rechtfertigt. Sollte die Datenverarbeitung in Betracht gezogen werden, muss eine rechtliche Grundlage mit ausreichend Safeguards (sunset clause, Transparenz durch open source[8], Einbeziehung der Datenschutzbehörde) vorliegen. Grund- und Freiheitsrechte sind die Grundfeste einer Demokratie und müssen sowohl während einer Pandemie als auch danach Gültigkeit haben.

 

Die unterfertigten Abgeordneten stellen daher an die Bundesministerin für EU und Verfassung im Bundeskanzleramt folgende

 

Anfrage

1. Welche Indikatoren rechtfertigen den Einsatz von Big Data im Falle einer Pandemie?

 

2. Welche Maßnahmen müssen im Vorfeld bereits getroffen und implementiert worden sein, um einen zwingend erforderlichen Einsatz von Big Data als letzte Konsequenz durchzuführen?

 

3. Wie lautete der genaue Textvorschlag in dem ursprünglichen Gesetzesentwurf, der der Tageszeitung "Der Standard" vorliegt?

 

a. Welche Maßnahmen waren hier ursprünglich vorgesehen?

 

b. Auf welche Daten genau sollte es demnach Zugriff geben?

 

c. Zu welchem Zweck genau hätten diese Daten erhoben werden sollen?

 

d. Welche Ministerien und staatlichen Behörden wären demnach für die Erhebung, Auswertung und Verwendung der Daten zuständig gewesen?

 

e. Wer war in die Erstellung des Gesetzesentwurfs involviert?

 

f. Weshalb wurde die Passage über die Aufrufe der Standortdaten letztlich entfernt?

 

4. Wäre der von der Tageszeitung „Der Standard" zitierte Gesetzesentwurf mittels einer Auslaufklausel befristet gewesen?

 

a. Wenn ja, mit welchem Datum war ein Außerkrafttreten vorgesehen?

 

b. Wenn nein, warum nicht?

 

5. Ist das Parlament im Entscheidungsprozess über den Einsatz von Big Data im Kontext der Coronakrisenbewältigung miteinbezogen?

 

a. Wenn ja, in welcher Form?

 

b. Wenn nein, warum nicht?

 

6. Wurden für die Stopp·Corona-App des Roten Kreuzes Mittel aus dem Bundesbudget für die Erstellung und Bearbeitung der App angewendet?

 

a. Wenn ja, wie hoch sind diese Mittel?

 

b. Wenn ja, kam das Geld direkt dem Roten Kreuz zu?

 

c. Wenn nein, warum nicht?

 

7. Werden im Rahmen dieser App Daten an die Bundesregierung bzw. staatliche Behörden weitergegeben?

 

a. Wenn ja, welche und in welcher Form?

 

b. Wenn ja, auf welcher rechtlicher Grundlage basiert diese Weitergabe von Daten?

 

c. Wenn ja, mit welchem Zweck?

 

d. Wenn nein, wer ist in welcher Form für die Datenverarbeitung zuständig?

 

8. Sind zusätzlich zur Stopp-Corona-App weitere Tracking-Systeme bzw. Contact Tracing Systeme geplant?

 

a. Wenn ja, welche?

 

b. Wenn ja, zu welchem Zweck genau?

 

c. Wie kann sichergestellt werden, dass aus den erhobenen Daten zuverlässige Schlüsse für den eigentlichen Zweck gezogen werden?

 

d. Wenn ja, welche Akteurinnen sind an der Erstellung weiterer Systeme beteiligt?

 

e. Wenn ja, wird hier der Grundsatz Privacy by Design berücksichtigt?

 

f. Welche Ministerien und staatlichen Behörden wären demnach für die Erhebung, Auswertung und Verwendung der Daten zuständig gewesen?

 

g. Wenn ja, ist es vorgesehen, transparent, d.h. auch mit Open Source, zu arbeiten?

 

h. Wenn nein, warum nicht?

 

9. Sollten die gesammelten Daten - wie die im ursprünglichen Entwurf vorgesehenen Standortdaten oder gesammelten Daten über die App - über einen bestimmten Zeitraum gespeichert werden?

 

a. Wenn ja, wie lange ist eine Datenspeicherung vorgesehen?

 

b. Wenn ja, um welche Daten handelt es sich hierbei?

 

c. Wenn ja, wo sollen diese Daten gespeichert werden?

 

d. Wenn ja, wer wird Zugriff zu diesen Daten haben?

 

i. Werden die Zugriffe dokumentiert?

 

ii. Gibt es Sanktionen bei unerlaubtem Zugriff?

 

e. Wenn ja, auf welcher gesetzlicher Grundlage basiert die Datenspeicherung?

 

f. Wenn nein, wie wird das Löschen der Daten sichergestellt?

 

g. Wenn nein, warum nicht?

 

10. Gab es vor dem Entwurf und im Zuge der weiteren Überlegungen zur Verwendung von Big Data Kontakt zur Datenschutzbehörde?

 

a. Wenn ja, wie war ihre Stellungnahme?

 

b. Wenn nein, warum nicht?

 

c. Wenn ja, ist eine personelle und finanzielle Aufstockung der DSB vorgesehen?

 

i. Wenn ja, in welcher Form?

 

ii. Wenn nein, warum nicht?