Datenschutzkonformes Covid-19 Tracking

Nicht nur Apple und Google beschäftigen sich mit der Entwicklung von Apps, die es ermöglichen mögliche Infektionswege effizient nachzuverfolgen um so die Ausbreitungsgeschwindigkeit der Corona-Epidemie zu zu verringern. Eine solche App kann jedoch nur dann international erfolgreich sien, wenn der Datenschutz ausreichend gewürdigt wird und kein Big-Brother geschaffen wird, der dadurch in die Lage versetzt wird alle Bürger unter dem Vorwand des Gesundheitsschutzes zu verfolgen. Eine genaue Analyse zeigt, dass dies auch nicht erforderlich ist.  

Die folgende Spezifikation ist ein Diskussisonsvorschlag für eine effektives und effizientes Tracking von potentiell infektiösen Zusammentreffen ohne den Datenschutz und die Privatsphäre der Betroffenen zu beeinträchtigen. 

HIBI- Have I Been infected 

1. Motivation 

Das Erfassen und Nachverfolgen von Kontakten und damit möglichen Infektionen durch das Zusammentreffen von SARS-CoV-2 Erkrankten mit anderen, könnte die Ausbreitungsgeschwindigkeit der Pandemie erheblich reduzieren. Eine zentrale Verfolgung mittels Mobiltelefonen erscheint zwar technisch möglich, bringt aber erhebliche Bedenken bezüglich des Datenschutzes mit sich.

Der Staat oder wer auch immer diese Daten erfassen und auswerten würde, wäre in einer Position, eine Totalüberwachung der Bürger  durchführen zu können. Außerdem würde dies möglicherweise einen Präzedenzfall für andere, möglicherweise weniger dringliche Fälle, bieten.  

Es ist jedoch auch möglich eine effektive und effiziente Nachverfolgung zu errei-chen und gleichzeitig die Privatsphäre der Teilnehmer komplett zu wahren, indem man die Betroffenen einbindet. Die vorgestellte Lösung sollte so den Datenschutzvorschriften der EU-DSGVO gerecht werden. Eine Grob-Spezifikation als Vorschlag finden Sie hier oder zum Download auf Deutsch und Englisch

2. Anforderungen

  1. Die Anwendung soll auf effiziente und effektive Weise die Identifikation von Zusammentreffen einer infektiösen Person und mit anderen Personen er-kennen und letztere motivieren sich auf eine Infektion testen zu lassen um die Ausbreitung der Pandemie wirksam eindämmen zu können.
  2. Der Vorgang sollte soweit erforderlich und wünschenswert automatisiert ab-laufen. Die Anwender sollen aber auch selbst in den Prozess involviert wer-den.
  3. Die Privatsphäre der Personen soll so weit wie irgendwie möglich und erfor-derlich geschützt werden.
  4. Es soll nicht möglich sein das Verhalten der Anwender bzw. die Aufenthalts-orte der Anwender zentral nachverfolgen zu können.

3.Methode

Auf jedem Handy eines Teilnehmers würde eine Anwendung installiert, die kontinu-ierlich Signale auf der Bluetooth-Schnittstelle überwacht. Nähern sich zwei Teil-nehmer mit einer solchen App an, so tauschen diese Informationen aus. 

Dazu wurde bei der Installation der App ein geheimer Schlüssel erzeugt und zu-sätzlich dazu erzeugt jedes Mobiltelefon in bestimmten Abständen, z.B. stündlich, einen zufälligen Zahlencode als temporäre ID.   

Bei Annäherung tauschen die Mobiltelefone ihren temporäre ID   aus und dazu übermittelt jedes Mobiltelefon dem Anderen seine verschlüsselte Position  und ggf. noch einen genaueren über NFC ermittelter Abstand zwischen den Parteien. Die Mobiltelefone speichern die Daten in einer lokalen Datenbank .

  • der Zeitpunkte, zu dem der Austausch stattgefunden hat,
  • die eigene temporäre ID, 
  • die temporäre ID  der anderen Person sowie 
  • die von der anderen Person verschlüsselte Position und 
  • sofern möglich den ermittelten Abstand. 

Aufgrund des temporären Charakters der IDs und der verschlüsselten Positionen sind die Einträge in der Datenbank weitestgehend anonymisiert zu bewerten. 

Wird nun eine Person positiv auf Covid19 getestet, so können Teile der Daten die-ser Person mit Hilfe einer vertrauenswürdigen Institution, z.B. der behandelnde Stelle oder das Analyse-Labor, ausgelesen und in eine öffentlich einsehbare Da-tenbank übertragen werden. Diese Daten würden über den potentiell infektiösen Zeitraum 

  • die Zeitpunkte, zu denen der Austausch stattgefunden hat, 
  • die dazugehörigen verschlüsselten Positionen
  • die dazugehörigen eigenen temporären IDs und
  • die dazugehörigen temporären IDs  der Kommunikationspartner 

enthalten. Optional sind noch weitere Informationen denkbar, wie der Abstand oder Informationen zu der infektiösen Person wie Alter oder Geschlecht . Den Umfang dieser Umfang dieser Information kann die vertrauenswürdigen Institution oder die zuständigen Datenschutzbehörden aufgrund datenschutzrechtlicher Grundsätze bestimmen. Wichtig ist dabei, dass aus den veröffentlichten Daten nur die jeweilige andere Kontaktperson die genauen Positionen entschlüsseln kann.

Personen können so über einfache Datenbankabfragen nach den eigenen tempo-rären IDs und den dazugehörigen Zeitpunkten feststellen, ob sie sich in der Nähe einer infektiösen Person aufgehalten haben. Diese Abfrage können regelmäßig und automatisiert erfolgen. Über einen Algorithmus wird anhand der Dauer und ggf. den Abstand des Zusammentreffens ein Infektionsrisiko ermittelt. Ab einem gewis-sen Schwellwert die Person von der App auf dieses Risiko hingewiesen. In einem noch zu bestimmenden Umfang wird die Person über ungefähren Ort und Zeitpunkt de potentiell infektiösen Aufeinandertreffens sowie ggf. weiteren Informationen zur der infektiösen Person informiert. Anhand der so erhaltenen Informationen kann jede betroffene Person entscheiden, ob sie einen Test auf eine Covid-19 Infektion wünscht. 

4. Wesentliche Aspekte

Positive Aspekte

  • Die Involvierung der Betroffenen führt zu einer zielgerichteten Identifikation der potentiell infektiösen Aufeinandertreffen, vermutlich besser als dies über eine zentralisierte Anwendung möglich wäre. So kann die betroffene Person anhand der genaueren Umstände, soweit sie diese noch erinnert, entschei-den. Sie könnte ja zu dem Zeitpunkt eine Schutzausrüstung getragen haben, oder sich vielleicht erinnern, dass jemand in ihrer unmittelbaren Nähe ge-hustet hat oder ihr etwas überreicht hat.
  • Die Benachrichtigung der Betroffenen kann sehr zeitnah automatisiert über die App erfolgen

Datenschutzrechtliche Bedenken

  • Die betroffene und möglicherweise infizierte Person kann evtl. anhand der Angaben über Ort und Zeitpunkt des Zusammentreffens die infizierende Par-tei identifizieren. Dies Problem lässt sich aber grundsätzlich nicht vollkom-men lösen. Die Verarbeitung sollte durch DSGVO Art. 6 Abs. 1 d) (lebens-wichtiges Interesse) und e) (öffentliches Interesse) sowie evtl. b) (Gesetz) abgedeckt sein.
  • Dritte könnten die Anwendung nutzen, um anhand von Abfragen unter An-gabe von falschen temporäre IDs unberechtigt Informationen zu erhalten. Da die Positionen jedoch verschlüsselt sind und die temporären IDs regelmäßig gewechselt werden, ist der Informationsgehalt sehr gering. Eine Verknüp-fung mit anderweitig gesammelten Daten, z.B. solchen die anhand einer selbst betriebenen App an verkehrsreichen Punkten erfasst wurden, wäre eine Identifikation grundsätzlich möglich. Letztlich unterscheidet sich dies aber nicht von den (ungesetzlichen) technischen Möglichkeiten einer Verfol-gung von Personen im öffentlichen Raum, wenn diese die Drahtlos-Schnittstellen ihres Mobiltelefons aktiviert haben.

Anregungen und Diskussionen bitte an  Dr. Stefan Krempl Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

 

 

Motivation

The recording and tracking of contacts and thus possible infections through the encounter of persons infected with SARS-CoV-2 and others could considerably reduce the speed at which the pandemic spreads. Although centralized tracking by means of mobile phones seems technically possible, it raises considerable concerns about data protection. The state or whoever would collect and evaluate this data would be in a position to carry out total surveillance of citizens. This surveillance could possibly set a precedent for other, possibly less urgent cases.  

However, it is also possible to achieve effective and efficient tracking, while fully respecting the privacy of the subscribers, by involving each affected individual. The solution presented should thus comply with the data protection rules of the EU-GDPR. 

Requirements

  1. The application should efficiently and effectively identify and motivate people to be tested for infection in order to effectively contain the spread of the pandemic
  2. The process should be automated where necessary and desirable. The users should also be involved in the process themselves.
  3. The privacy of the persons should be protected as far as possible and necessary.
  4. It should not be possible to centrally track the behavior of the users or the whereabouts of the users.

Method

An application would be installed on each participant's mobile phone that continuously monitors signals on the Bluetooth interface. If two participants approach each other, the phones exchange information. For this purpose, a secret key was generated when the app was installed and in addition, each mobile phone generates a random numerical code as a temporary ID  at certain intervals, e.g. every hour.   

When approaching each other, the mobile phones exchange their temporary ID, and each mobile phone transmits its encrypted position to the other and, if necessary, a more precise distance between the parties determined via NFC. The mobile phones store the data in a local database .

  • the time at which the exchange took place,
  • the own temporary ID, 
  • the temporary ID of the other person and 
  • the position encrypted by the other person and 
  • if possible, the determined distance. 

Due to the temporary character of the IDs and the encrypted positions, the entries in the database are to be considered as anonymously as possible. 

If a person is tested positive for Covid19, parts of the data of this person can be read out with the help of a trustworthy institution, e.g. the health care organisation or the analysis laboratory, and transferred to a publicly accessible database. The data would be stored covering the potentially infectious period of time 

  • the dates on which the exchange took place, 
  • the related encrypted positions
  • the corresponding own temporary IDs and
  • the corresponding temporary IDs of the communication partners.

Optionally, other information is also conceivable, such as the distance or information about the infectious person, such as age or gender could be included . The scope of this information could be determined by the trustworthy institution of data protection authorities It is important, however, that only the other contact person can decipher the exact positions from the published data.

Using simple database queries for their own temporary IDs and the corresponding times, people can determine whether they have been in the vicinity of an infectious person. These queries can be performed regularly and automatically. An algorithm is used to determine the risk of infection based on the duration and, if necessary, the distance of the encounter. The app notifies the person of this risk if the value exceeds a certain threshold. To an extent yet to be determined, the person will be informed about the approximate time and place of the potentially infectious encounter as well as any further information about the infectious person. On the basis of this information, each person concerned can decide whether he or she wishes to be tested for Covid-19 infection. 

Essential Aspects

Positive Aspects

  • The involvement of those affected leads to a targeted identification of potentially infectious encounters, presumably better than would be possible via a centralized application. Thus, the affected persons can make a decision based on the more precise circumstances, as far as he/she still remembers them. He or she may have been wearing protective equipment at the time or may remember that someone in the immediate vicinity coughed or handed something to him or her.
  • The notification of the affected persons can be done very promptly and automatically via the app.

Privacy Concerns

  • The affected and possibly infected person may be able to identify the infecting party on the basis of information on the place and time of the meeting. However, this problem cannot be solved completely. The processing should be covered by DSGVO Art. 6 para. 1 d) (vital interest) and e) (public interest) and possibly b) (law).
  • Third parties could use the application to obtain information without authorization by means of queries specifying false temporary IDs. However, since the positions are encrypted and the temporary IDs are changed regularly, the information content is very low. A link to data collected elsewhere, e.g. data collected using a self-operated app at busy points, would in principle make identification possible. Ultimately, however, this is no different from the (illegal) technical possibilities of tracking people in public places if they have activated the wireless interfaces of their mobile phones.