Überwachung: Wenn Datenschutz zweitrangig wird

Einzelne Menschen, die spazieren, ihren Hund ausführen, sich eine Auszeit von der Quarantäne gönnen. Rundherum nichts als Wiesen, Sandstein und die wunderbare Weite des Peak District im Norden Englands.

Doch die Idylle ist trügerisch, denn über den Köpfen kreist eine Drohne der Derbyshire Police. Diese wird das Videomaterial später auf Twitter veröffentlichen und darin die Tätigkeiten der wenigen sichtbaren Menschen als «not essential» kategorisieren. Auch in Marseille, Madrid, Dubai oder San Diego fliegt die Polizei mit Drohnen über Strassen und Pärke, um zu kontrollieren, ob sich die BewohnerInnen an die geltenden Versammlungs- oder Ausgehverbote halten.

Drohnen sind nur eine von vielen digitalen Überwachungsmassnahmen, die derzeit überall auf der Welt Anwendung finden. In Südkorea und Taiwan sind gar auf einer öffentlich zugänglichen Website die Bewegungsprofile von Infizierten einsehbar – erstellt aus anonymisierten GPS-Daten, Datenspuren von Kreditkarteneinkäufen oder Bildern aus Überwachungskameras. So sollen Gesunde herausfinden können, welche Orte sie meiden müssen, um eine Ansteckung zu verhindern. In Israel wurde zudem der Geheimdienst aktiv. Er darf Handydaten sammeln, um Menschen zu identifizieren, die im Kontakt mit Infizierten waren – mit einem Tool, das von der für Spionagesoftware bekannten NSO Group programmiert wurde.

Zweifelhafte Intransparenz

In der Schweiz wählt die Regierung einen anderen Weg. Sie will anhand von Mobilfunkdaten analysieren, ob sich die Bevölkerung an die vor gut zwei Wochen beschlossenen Massnahmen hält – vor allem daran, sich nicht in grösseren Gruppen im öffentlichen Raum aufzuhalten.

Dabei verwendet das Bundesamt für Gesundheit (BAG) seit dem 24. März Daten der Swisscom, die laut BAG jeweils 24 Stunden zurücklägen und die «vollständig anonymisiert» und «lediglich als Gruppenwert erkennbar» seien. So sollen Rückschlüsse auf Einzelpersonen und deren genaue Bewegungen unmöglich sein. Die Daten dürften auch nicht für die Strafverfolgung verwendet werden. Die entsprechende rechtliche Verfügung für die Herausgabe der Handydaten bleibt jedoch unter Verschluss – eine zweifelhafte Intransparenz unter vielen. Die anderen beiden grossen Mobilfunkanbieter, Salt und Sunrise, arbeiten bisher nicht mit dem BAG zusammen – vor allem, weil sie noch nicht angefragt wurden, wie sie auf Anfrage erklären.

Das hat seine Gründe. Denn die Swisscom bietet dem BAG lediglich Einblick in ein hauseigenes System, das der Mobilfunkanbieter schon länger kommerziell unterhält und als «Mobility Insights» vermarktet. Damit könne, wie die Swisscom auf ihrer Website schreibt, «ein klares Verständnis der individuellen Mobilität in der Schweiz» vermittelt werden. Dank des Fernmeldegesetzes ist diese Datenverwendung legal, denn sie geschieht in anonymisierter Form oder nach Einwilligung der KundInnen.

Doch dass ihre Bewegungsdaten nicht bloss zur Eindämmung der Coronakrise verwendet werden, wissen wohl die wenigsten. «Die Mobilfunkkunden haben im Rahmen der allgemeinen Datenschutzerklärung der Verwendung solcher anonymisierter Daten zugestimmt», verteidigt sich die Swisscom. Es bestehe auch jederzeit die Möglichkeit, mittels Opt-out diese Zustimmung zu widerrufen – eine Methode, die aus Sicht des Datenschutzes zumindest unschön ist. Auch das BAG verweist auf die Medienmitteilungen und Pressekonferenzen, mit denen die Bevölkerung über die Auswertung der Daten informiert worden sei.

Verhältnismässigkeit fraglich

Ohnehin sehen weder der Bundesrat noch Daniel Koch vom BAG datenrechtliche Probleme in der Analyse der Handydaten. Denn es handle sich dabei nicht um Überwachung. Es würden keine Echtzeitdaten verwendet, und die Daten seien anonymisiert und aggregiert. Eine genauere Einschätzung dieser Auslegung könnte normalerweise der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) liefern. Doch dieser musste von der Auswertung offenbar via Medienberichte erfahren. Ausführlichere Informationen hatte er anfangs nicht – bloss eine verspätete Versicherung des BAG-Direktors Pascal Strupler, dass er die relevanten Dokumente noch erhalten werde.

Wesentliche Fragen fallen also unter den Tisch. Denn bei jeder Überwachungsmassnahme stellen sich grundrechtliche Probleme, die zu klären sind. «Spezielle Situationen erfordern manchmal speziellere Massnahmen, die durchaus legitim sein können», sagt Erik Schönenberger von der Digitalen Gesellschaft. «Doch alle Massnahmen, die ins Persönlichkeitsrecht eingreifen, müssen ein Ablaufdatum haben. Zudem müssen sie verhältnismässig sein.» Es dürfe also keine anderen Mittel mit weniger starken Eingriffen und gleichen Effekten geben.

Das BAG gibt gegenüber der WOZ jedoch zu, keine anderen Massnahmen geprüft zu haben. Dennoch zieht man das saloppe Fazit: «Die Massnahme ist verhältnismässig.» Mangels Transparenz ist dies bisher schwierig zu überprüfen.