Datenschutz in Zeiten von COVID-19

Mann mit Kragenhemd, der auf einer Serverstation in einem Sicherheitsraum arbeitet. Beschäftigte und große Monitore sind im Hintergrund zu sehen.

Microsoft arbeitet mit nationalen und lokalen Gesundheitsbehörden, mit Unternehmen aus dem Gesundheitssektor, Forschenden, gemeinnützigen Organisationen und Regierungsinstitutionen auf der ganzen Welt zusammen, um mit Hilfe von Cloud Computing und künstlicher Intelligenz (KI) Lösungen für die COVID-19-Pandemie zu entwickeln. Wir haben beispielsweise einen Corona-Virus-Tracker in Bing integriert und einen Corona-Selbsttest entwickelt. Wir helfen Unternehmen und insbesondere Krankenhäusern, sich vor Phishing unter dem Deckmantel von COVID-19 zu schützen. Und wir stellen unsere KI-Technologie zur Verfügung, um die Forschung am Corona-Virus voranzutreiben. Digitalen Technologien wie KI kommt bei der Bekämpfung der Pandemie eine große Bedeutung zu – sie können große Datenmengen schneller auswerten und Muster frühzeitig erkennen. Da die dafür notwendigen Daten sehr sensibel sind, ist der Schutz der Privatsphäre besonders wichtig. Dafür haben wir sieben Prinzipien entwickelt, die Regierungen, Gesundheitsbehörden, Forschende sowie die Industrie ab sofort und für die kommenden Phasen der Pandemie berücksichtigen sollten.

Eine der wichtigsten Maßnahmen für das Abflachen der Kurve von Neuinfektionen ist das Aufspüren von Personen, die kurz davor mit Infizierten in physischem Kontakt gewesen sind. Im Moment werden dazu Maßnahmen und Anwendungen zum Tracking, Tracing und für Tests diskutiert, bei denen mit dem Einverständnis ihrer Besitzerinnen und Besitzer Daten von mobilen Geräten erhoben und ausgewertet werden. Damit das erfolgreich sein kann, müssen wir bei der Nutzung dieser Daten besonders sorgfältig sein, denn hier handelt es sich um sensible persönliche Informationen über den Standort und Gesundheitszustand. Die folgenden sieben Prinzipien haben wir entwickelt, um den Schutz der Privatsphäre auch in der aktuellen Situation gewährleisten zu können.

  • Nutzen Sie Daten nur mit ausdrücklicher Zustimmung. Anwenderinnen und Anwender sollten größtmögliche Transparenz darüber haben, welche Daten erhoben und wie lange sie aufbewahrt werden. Daten sollten nur mit Einwilligung gesammelt und nur in der Art und Weise verwendet werden, der die Menschen vorab in den Nutzungsbedingungen zugestimmt haben. Klare und benutzerfreundliche Informationen fördern die freiwillige Teilnahme und stellen sicher, dass jede Nutzerin und jeder Nutzer eine bewusste Entscheidung für die Teilnahme treffen kann. Nur so können sich alle über den Zweck der Datenerhebung, die Art der zu erhebenden Daten, den Zeitraum, über den die Daten aufbewahrt werden, und den Nutzen der Datenerhebung bewusst sein.
  • Sammeln Sie Daten nur für den eigentlichen Zweck. Die Daten, die für das Rückverfolgen von Übertragungswegen einer Infektion oder für andere eng umrissene Aufgaben der allgemeinen Gesundheitsvorsorge erhoben werden, gehören den Personen, die sie zur Verfügung stellen. Daher sollten sie auch unter ihrer Kontrolle bleiben. Gesundheitsbehörden sollten die Daten ausdrücklich nur für die Zwecke verwenden, für die sie die Zustimmung der Anwenderinnen und Anwender haben. Die Gesundheitsbehörden sollten dabei transparente und verständliche Informationen über die Art und Verwendung der Daten geben, die sie für die Bekämpfung der Pandemie nutzen.
  • Sammeln Sie nur die benötigte Menge an Daten. Die Informationen, die von zuständigen Behörden für Zwecke der öffentlichen Gesundheit erhoben werden, sollten sich auf die spezifisch erforderlichen Daten beschränken. Zudem sollten die Behörden sie nur für die Zeiträume sammeln und verwenden, die für notwendig erachtet werden.
  • Überlassen Sie den Menschen die Wahl darüber, wo ihre Daten gespeichert werden. Die Daten müssen vollständig unter der Kontrolle der Personen stehen, die sie zur Verfügung stellen. Dazu gehört auch die Möglichkeit zu wählen, wo diese Daten gespeichert werden sollen: auf einem (mobilen) Gerät oder in der Cloud.
  • Sorgen Sie für angemessene Sicherheitsvorkehrungen zur Sicherung der Daten. Dazu gehören zuverlässige Maßnahmen, um das De-Anonymisieren von Daten zu verhindern: Verschlüsselung, die Verwendung rotierender und zufällig gewählter Identifikatoren sowie dezentralisierte Identitäten. Das schützt die Anwenderinnen und Anwender nicht nur vor einer zweckentfremdeten, sondern auch vor einer missbräuchlichen Nutzung der Daten etwa durch Hacker.
  • Geben Sie keine Daten über den Gesundheitszustand der Nutzerinnen und Nutzer ohne deren ausdrückliche Zustimmung weiter. Erfolgt die Weitergabe aufgrund gesetzlicher Bestimmungen, dann sollte sie durch den Geltungsbereich des Gesetzes streng begrenzt werden. Wenn Menschen darüber informiert werden, dass sie möglicherweise in Kontakt mit einer infizierten Person waren, sollten dabei nur die notwendigsten Daten übermittelt werden, um keine Rückschlüsse auf die Identität der infizierten Person zuzulassen.
  • Löschen Sie Daten, sobald sie für den ursprünglichen Einsatzzweck nicht mehr benötigt werden. Einzelpersonen sind die Eigentümer ihrer Daten – unabhängig davon, ob sie auf einem mobilen Gerät, einem Server oder in der Cloud gespeichert sind. Kopien der Daten, die an Gesundheitsbehörden und andere Organisationen für eng umrissene Zwecke der öffentlichen Gesundheitsvorsorge übermittelt wurden, sollten gelöscht werden, wenn sie dafür nicht mehr benötigt werden. Keine der so erhaltenen personenbezogenen Informationen sollte von den Behörden oder anderen Institutionen für künftige, nicht damit zusammenhängende Verwendungen oder Zwecke aufbewahrt werden.

Wir setzen uns dafür ein, diese Grundsätze auf alle technologischen Lösungen der COVID-19-Pandemie anzuwenden, die die Erfassung und Nutzung personenbezogener Daten betreffen, wie zum Beispiel Informationen über die Gesundheit, zur Geolokalisierung oder über die Nähe oder Nachbarschaft zu infizierten Personen.

Wir sind überzeugt, dass Technologie nur dann erfolgreich eingesetzt werden kann, wenn die Menschen die Kontrolle über ihre Daten behalten und alle Informationen darüber haben, wie ihre Daten gesammelt und verwendet werden. Unternehmen müssen die Verantwortung dafür übernehmen und Rechenschaft über die Nutzung ablegen.

Wir wissen, dass sich politische Entscheidungsträger, Interessenvertretungen und Regulierungsbehörden bei jedem Einsatz von Technologien für das Tracking, Tracing und Testing über Richtlinien zum Schutz der Privatsphäre austauschen. Auch wir haben noch nicht alle Antworten dazu und suchen im Austausch mit anderen Akteuren nach neuen Ansätzen und Ideen. Aber wir hoffen, dass wir mit diesen Prinzipien die Diskussion darüber voranbringen. Aus unserer Sicht ist dies sehr wichtig, denn die Bewältigung globaler Probleme wie der aktuellen Corona-Pandemie sorgt für eine große Nachfrage nach intelligenter Datennutzung. Der Bedarf kann aber nur dann befriedigt werden, wenn dabei die Privatsphäre geschützt wird.

Die gute Nachricht ist: Wir verfügen heute über mehr Tools und Methoden als jemals zuvor, die wir einsetzen können, um unserer Gesellschaft Daten für sinnvolle Einsatzzwecke zur Verfügung stellen und gleichzeitig die Privatsphäre schützen zu können.

Ethik und Datenschutz: Die Diskussion um die sichere Nutzung von Daten geht weiter

Vor dem Hintergrund der zunehmenden Nutzung von digitalen Technologien zur Eindämmung der Pandemie, sehen wir deutlich, dass die Herausforderungen und Möglichkeiten der Hilfe bei COVID-19 komplex sind. Wir müssen technische Fortschritte, wie z.B. die Verwendung von Mobiltelefonen zur Erfassung verschiedener Arten von Daten, im komplexen globalen Kontext betrachten. Dabei geht es um Faktoren wie die Verfügbarkeit von Testressourcen, die Wirksamkeit der Methoden unter realistischen Nutzungssituationen und die politische Entwicklung auf lokaler und nationaler Ebene. In diesem Prozess werden weitere und neue Fragen auftauchen, die wir gemeinsam beantworten müssen – zum Beispiel darüber, wie Algorithmen auf Basis falscher oder unvollständiger Daten Menschen diskriminieren und von möglichen Maßnahmen etwa in der Gesundheitsvorsorge oder bei der Behandlung akuter Erkrankungen ausschließen können.

Die Antworten darauf müssen immer auch Datenschutz, Privatsphäre und ethische Bedenken berücksichtigen. Wir bei Microsoft haben uns dazu verpflichtet, uns in diese Diskussion konstruktiv und partnerschaftlich einzubringen.

Ein Beitrag von Ralf Wigand
National Compliance Officer, Microsoft Deutschland

Das Foto zeigt Ralf Wigang, den National IT Compliance Officer von Microsoft Deutschland

 

Tags:

Weitere Infos zu diesem Thema

25. März 2020
Schutz vor Phishing-Angriffen in Zeiten von COVID-19

Der weltweite COVID-19 Ausbruch sorgt für ein großes Informationsbedürfnis der Menschen. Das nutzen Cyberkriminelle aus, um durch den Diebstahl sensibler Informationen und die Verbreitung von Malware Profit zu machen.

20. April 2020
Datenschutz mit Windows 10 und Microsoft 365: So schützt Microsoft die Privatsphäre seiner Nutzerinnen und Nutzer

Transparenz ist für den Schutz personenbezogener Daten fundamental. Nur wer weiß, welche Daten wir bei Microsoft für die Weiterentwicklung unserer Produkte verwenden, kann aktiv darüber entscheiden. Weitere Informationen und tiefere Einblicke zum Thema Datenschutz erhalten Sie in unserem Whitepaper „Datenschutz mit Windows 10 und Microsoft 365: So profitieren Kunden von Kontrolle und Transparenz“