Bei der Verwendung von Standortdaten im Kampf gegen COVID-19 haben das Bundesamt für Gesundheit (BAG) und die Swisscom nun doch noch die erforderliche Transparenz geschaffen.
Beim BAG hatte unter anderem die Digitale Gesellschaft mit Verweis auf das Öffentlichkeitsgesetz (BGÖ) interveniert. Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat den Sachverhalt inzwischen geprüft (PDF) und dabei Mängel bei der Information festgestellt.
Die veröffentlichte Verfügung stammt vom 23. März 2020 und stützt sich erwartungsgemäss auf Art. 77 [recte: 7] des Epidemiengesetzes (EpG) zur ausserordentlichen Lage.
Im Wesentlichen beschafft sich das BAG mit der Verfügung den kostenlosen Zugang zu aufbereiteten Daten der Mobility Insights Platform von Swisscom.
Für die Nutzung beschränkt sich das BAG auf die Prüfung, wie die Bevölkerung in der Schweiz die Veranstaltungs- und Versammlungsverbote eingehalten hat beziehungsweise einhält (Art. 7c der COVID-19-Verordnung 2 zum Verbot von Menschenansammlungen im öffentlichen Raum).
Wieso die Verfügung nicht von Anfang an veröffentlicht wurde, bleibt unklar.
Es ist zu hoffen, dass das BAG und die Swisscom bei vergleichbaren Massnahmen in Zukunft direkt Transparenz schaffen, ohne dass Dritte den Rechtsweg beschreiten müssen.
Siehe auch: Standortdaten gegen COVID-19: Wo bleibt die Transparenz?
Swisscom: Fragen und Antworten zur Mobility Insights Platform
Die Swisscom wurde vom EDÖB aufgefordert, «die Öffentlichkeit mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen». Das Ergebnis ist die FAQ vom heutigen 3. April 2020 mit 9 Fragen und Antworten.
Interessant ist unter anderem, wie die Nutzungsdaten von Swisscom-Kunden («Network Events») aufbereitet werden:
«Die Network Events eines Kalendertages werden in der darauffolgenden Nacht automatisiert aus den Mobilfunksystemen extrahiert. Gleichzeitig wird die IMSI-Nummer automatisch und ohne menschliche Intervention mit einem Hash ersetzt. Die daraus resultierenden Daten bestehen aus Zeit, Hash-Kennung und Funkzelle. Danach wird die Position der SIM-Karten durch einen Positionierungsalgorithmus ermittelt. Dieser wandelt die gehashten Network Events durch probabilistische Triangulation in geographische Gebiete um. Schliesslich werden die geografischen Gebiete durch Aggregation in Quadranten von 100×100 Metern übertragen. Das Gebiet der Schweiz ist in solche Quadranten aufgeteilt. Nach erfolgter Aggregation weisen die Quadranten die Zahl von SIM-Karten aus, welche sich während einer bestimmten Stunde darin aufgehalten bzw. bewegt haben. Beträgt die Zahl der in einem Quadranten von Swisscom festgestellten SIM-Karten weniger als 20 (k-Anonymität), so werden auf der MIP über diesen Quadranten keinerlei Auswertungen bereitgestellt. Das Team, das die gehashten Network Events verarbeitet, hat keinen Zugriff auf Daten über die SIM-Kartenbesitzer.»
Ebenfalls interessant sind die Angaben zur Genauigkeit der Swisscom-Standortdaten:
«[…] Swisscom kann die Position einer SIM-Karte auch aus technischen Gründen nur ungefähr feststellen. Die Abweichung der von Swisscom festgestellten Position einer SIM-Karte beträgt im Vergleich zu deren wirklichen Position im Median etwa 130 Meter. Der Median stellt dabei den Radius dar. Die von Swisscom festgestellte Position einer SIM-Karte hat sich in Wirklichkeit somit irgendwo in einem Kreis von 260 Metern Durchmesser und einer Fläche von rund 53’000 Quadratmeter befunden. […]»
EDÖB: Erlaubte Analysen und Visualisierungen mit anonymisierten Daten
Der EDÖB erachtet im Ergebnis seiner Prüfung (PDF) «die Datenbearbeitung durch die Swisscom und die Weitergaben von anonymen Daten an das BAG datenschutzrechtlich als erlaubt.»
Der EDÖB nennt folgende Gründe:
- «Die Standortdaten werden technisch im frühestmöglichen Zeitpunkt pseudonymisiert (Hash) und in der Folge aggregiert.
- Organisatorische Massnahmen werden nicht beschrieben. Jedoch besteht aktuell kein Grund zur Annahme, dass offensichtliche Mängel bestehen, zumal es sich beim MIP um ein Produkt handelt, welches über mehrere Jahre betrieben wird.
- Die Swisscom macht dem BAG im MIP statistische und visualisierte Informationen zugänglich, nicht hingegen Klardaten oder pseudonymisierte Daten, die der Visualisierung im MIP zugrunde liegen.
- Die Ergebnisse (Visualisierung der aggregierten Standortdaten), auf welche die Swisscom das BAG zugreifen lässt, ist anonym.»
Und:
«Der EDÖB hat aufgrund der ihm zur Verfügung gestellten Unterlagen keine Veranlassung, daran zu zweifeln, dass sich die Swisscom an die in ihren Stellungnahmen […] dargelegte Datenbearbeitung hält.»
Allerdings:
«Der EDÖB war indessen der Auffassung, dass die der Öffentlichkeit zugänglichen Informationen zur Zusammenarbeit zwischen dem BAG und der Swisscom und den damit verbundenen Datenbearbeitungen spärlich und nicht ohne Weiteres auffindbar waren. Er hat die Swisscom daher dazu aufgefordert, die Öffentlichkeit mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen. […]»
Datenschutzerklärung: Einwilligung in die Bearbeitung von Standortdaten?
Ein interessanter Punkt der Prüfung durch den EDÖB ist die Frage der Einwilligung:
Swisscom behauptete, ihre Kunden hätten in die Allgemeine Datenschutzerklärung und damit in die Bearbeitung ihrer Standortdaten eingewilligt. Der EDÖB hingegen gelangte zum Ergebnis, dass keine entsprechende Einwilligung vorlag:
«Der EDÖB hat jedoch festgestellt, dass die von der Swisscom angeführte Ziff. 5 der [Allgemeinen Datenschutzerklärung (ADSE)] wohl nur die Erstellung der Statistiken und die kommerzielle Nutzung von anonymisierten Standortdaten abdeckt, zumal die vorliegende Datenbearbeitung für das BAG in der ADSE nicht aufgeführt ist, für die betroffenen Personen im Zeitpunkt der Erteilung der Einwilligung nicht erkennbar war und damit eine Zweckänderung erfolgt.»
Die Frage konnte letztlich offenbleiben, da aufgrund von Art. 45b des Fernmeldegesetzes (FMG) gar keine Einwilligung erforderlich war.
Art. 45b FMG lautet wie folgt (mit Hervorhebungen):
«Die Anbieterinnen von Fernmeldediensten dürfen Standortdaten von Kundinnen und Kunden nur für die Fernmeldedienste und ihre Abrechnung bearbeiten; für andere Dienste dürfen sie sie nur bearbeiten, wenn sie vorher die Einwilligung der Kundinnen und Kunden eingeholt haben, oder in anonymisierter Form.»
Im Datenschutzrecht gilt es üblicherweise als Kunstfehler, die Einwilligung in eine Datenschutzerklärung einzuholen:
Mit der Einwilligung wird aus einem eigentlich bloss erklärenden Rechtstext ein Vertrag mit entsprechend hohen Anforderungen aus dem Recht über die Allgemeinen Geschäftsbedingungen (AGB). Verantwortliche riskieren, dass die behaupteten Einwilligungen nichtig sind.
Transparenz: Wesentlicher Beitrag zur Akzeptanz in der Bevölkerung
Abschliessend rät der EDÖB aufgrund seiner Prüfung zur Transparenz
«Der EDÖB hat in seiner ersten Kurzauswertung darauf hingewiesen, dass die der Öffentlichkeit zugänglichen Informationen zur Zusammenarbeit zwischen dem BAG und der Swisscom und den damit verbundenen Datenbearbeitungen spärlich und nicht ohne Weiteres auffindbar sind. Im vorliegenden Fall wäre ein transparentes Vorgehen sämtlicher Akteure aber nicht nur rechtlich notwendig, sondern könnte auch einen wesentlichen Beitrag zur Akzeptanz der Massnahme in der Bevölkerung leisten. […]»
Der EDÖB ruft damit in Erinnerung, dass es beim Datenschutz nie allein darum geht, was rechtlich gesehen möglich ist. Datenschutz ist immer auch eine Frage von Reputation und Vertrauen.
Bilder: Swisscom Insights.
«Beim BAG hatte unter anderem die Digitale Gesellschaft mit Verweis auf das Öffentlichkeitsgesetz (BGÖ) interveniert. Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) […]»
Danke!
«Es ist zu hoffen, dass […] bei vergleichbaren Massnahmen in Zukunft direkt Transparenz schaffen, ohne dass Dritte den Rechtsweg beschreiten müssen.»
Wäre schön, zumal es immer ein nicht unherblicher Kostenfaktor und Limiter ist. :(