Singapur bekämpfte Covid-19 mit obligatorischem Tracing. Doch die von den Corona-Apps gesammelten Daten werden nicht nur von den Gesundheitsbehörden benutzt.

Singapur geht gestärkt aus der Covid-19-Krise hervor, denn der Stadtstaat hält seine Grenzen geschlossen und griff bezüglich Quarantänepflicht, Lockdown und Contact-Tracing von Beginn an entschlossen durch. Das Resultat kann sich sehen lassen, so verzeichnete Singapur bisher nur 29 Todesfälle und seit Ende September 2020 einen niedrigen 7-Tages-Inzidenzwert, der die meiste Zeit bei unter 10 lag. Insgesamt wurden in dem 5,6 Millionen Einwohner Stadtstaat Singapur 59.602 Covid-19-Infizierte verzeichnet (Stand 4.2.21). Der Lockdown vom 7. April bis 1. Juni 2020, der in Singapur offiziell Circuit-Breaker hieß, war deutlich restriktiver als anderswo und wurde nur langsam in drei Phasen gelockert. Das Contact-Tracing Singapurs wurde neben der manuellen Kontaktpersonennachverfolgung mit Hilfe zweier digitaler Systeme umgesetzt und von der Bevölkerung insgesamt relativ wohlwollend aufgenommen.

Ängste bezüglich des Schutzes personenbezogener Daten hatte es zwar bereits Mitte 2020 gegeben, was unter anderem eine von 54.000 Menschen unterschriebene Petition gegen ein Tracing-Gadget beweist. Diese Ängste galten jedoch bis vor kurzem noch als unbegründet. Nun flammt jedoch erneute Kritik auf. Doch zuerst einige Informationen vorweg zu den beiden digitalen Strategien der Kontaktpersonennachverfolgung Singapurs.

Obligatorischer ‚Check-In’ per SafeEntry

SafeEntry ist ein QR-Code-System, das das ‚Einchecken’ beim Betreten von Gebäuden aller Art verpflichtend macht. Zu Beginn der Pandemie gab es, ähnlich wie in deutschen Restaurants, ein System mit auszufüllenden Dokumenten bei Betreten verschiedener Einrichtungen.

Bei SafeEntry loggt man sich über das Smartphone ein – vom Supermarkt bis hin zur eigenen Arbeitsstelle. Am 2. Mai 2020 wurde bekannt gegeben, dass alle Geschäfte zur Benutzung von SafeEntry verpflichtet werden und dieses System innerhalb von 10 Tagen einführen müssen. SafeEntry registriert seitdem circa 4 Millionen Check-Ins und Check-Outs pro Tag.

TraceTogether

Singapurs App zur Kontaktpersonennachverfolgung TraceTogether wurde am 20. März 2020 eingeführt. Mit ihrer Hilfe speichert das Gesundheitsamt Daten wie Telefonnummer, individuelle Identifikationsangaben, wie den Namen und das Geburtsdatum, sowie eine zufallsgenerierte anonyme ID. Die App funktioniert nach eigenen Angaben mit Bluetooth und garantiert, dass keine persönlichen Daten von Geräten in unmittelbarer Nähe preisgegeben werden. Stattdessen wird eine temporäre ID zwischen zwei Bluetooth-Geräten generiert und verschlüsselt. Diese wiederum kann alleine das Gesundheitsministerium entschlüsseln und wird nach 25 Tagen gelöscht. Die App wurde vom Marktforschungsunternehmen Gartner zur und wird derzeit von rund 80 Prozent der Bevölkerung Singapurs genutzt.

Seit dem 28. Juni 2020 wurde das TraceTogether Token eingeführt – ein handliches Gadget mit integriertem Bluetooth und aufgedrucktem QR-Code, das für alle gedacht ist, die kein Smartphone besitzen oder lieber das Token benutzen. Wie auch die App funktioniert das Token allein mit Bluetooth anstelle von GPS. Gleichzeitig kann man sich mit einem QR-Code des Token auch an SafeEntry-Stellen mit QR-Scannern einloggen. Zu Beginn war die Nutzung von Trace Together jedem Menschen frei überlassen, doch wurde im Oktober beschlossen, dass die Benutzung entweder der App oder des Token ab Januar 2021 für alle öffentlichen Plätze, Restaurants, Shopping Malls etc. verpflichtend werden soll.

Daten-Nutzung für strafrechtliche Ermittlungen

Doch nun zum eigentlichen Skandal: während zu Beginn der App-Einführung den Bürger*innen in der Öffentlichkeit stets absolute Datensicherheit versichert wurde, gab Innenminister Desmond Tan am 4. Januar 2021 vor dem Parlament Singapurs bekannt, dass die Daten von TraceTogether tatsächlich auch zum Zweck strafrechtlicher Ermittlungen benutzt werden können. Am selben Tag wurde die Internetseite der App aktualisiert und bekannt gegeben, dass die Polizei aufgrund der Strafprozessordnung befugt ist, auch Daten von TraceTogether zu benutzen. Denn die Strafprozessordnung Singapurs (Criminal Procedure Code, kurz: CPC) gibt autorisierten Beamtinnen und Beamten der Polizei die Befugnis, auf jegliche Form von Dokumenten, die für ihre Ermittlungen erforderlich sind, zuzugreifen.

Dass die Daten von TraceTogether hierbei mit eingeschlossen sind, steht im Gegensatz zu den vorhergehenden politischen Versprechen der ausschließlichen Nutzung von Daten für die Covid-19- Kontaktpersonennachverfolgung. Beispielsweise hatte Außenminister Vivian Balakrishnan im Sommer 2020 erklärt, TraceTogether werde nicht für polizeiliche Überwachungszwecke eingesetzt. Nach Bekanntgabe der Änderungen erzählte er, schlaflose Nächte gehabt zu haben, seit er davon erfahren habe. Dass sich die Menschen Singapurs nun betrogen fühlen ist verständlich, wurde doch zuvor von sämtlichen Ministern ausdrücklich wiederholt, dass die Daten ausschließlich zur Nachverfolgung von Covid-19-Infizierten genutzt würden. Einige Menschen wollen nun aufgrund des gebrochenen Versprechens ihr Bluetooth nicht mehr benutzen, wodurch natürlich die lückenlose Covid-19-Kontaktpersonennachverfolgung gefährdet wäre.

Ausweitung der Überwachung unter dem Deckmandel von Covid-19

Während die Opposition zunächst schwieg, meldeten sich schnell Aktivist*innen zu Wort. So appellierte beispielsweise Kirsten Han an die Regierung, eindeutige Gesetze einzuführen, die verhindern, gesammelte Daten für andere Zwecke nutzen zu können. Innenminister Shanmugam sowie der für die Regierungsinitiative Smart Nation Initiative zuständige Minister Balakrishnan verteidigten die Nutzung der Daten durch die Polizei, da sie nur bei schweren Straftaten eingesetzt würde, so zum Beispiel bei Mord- und Terrorismusermittlungen. Aufgrund des öffentlichen Drucks durch die Bevölkerung will die Regierung Singapurs nun aber nachträglich doch ein neues Gesetz in die Wege leiten, das sieben Kategorien schwerwiegender Straftatverdachte benennt, die den Zugriff auf die Daten erlauben.

Das Nachrichtenmagazin The Diplomat stellt nicht nur in Singapur sondern auch in weiteren südostasiatischen Ländern eine Ausweitung der Überwachung unter dem Deckmantel der Bekämpfung von Covid-19 fest. Die beiden Moderatoren des nach eigenen Angaben „unzensiertesten Podcasts Singapurs“ Yah Lah BUT… sind der Ansicht, die Polizei hätte von Anfang an klarstellen müssen, dass sie aufgrund der Strafprozessordnung – anders als von der Regierung behauptet – sehr wohl auf TraceTogether-Daten zugreifen kann. Wäre die Kommunikation von Anfang an transparent gewesen, wäre dies für die Menschen besser akzeptierbar gewesen. Den Moderatoren des Podcasts zufolge sei das Vertrauen der Bürger*innen in die Regierung für eine erfolgreiche Pandemiebekämpfung das Wichtigste. Das nun entstandene Misstrauen sei zudem gefährlich für die bevorstehende Impfkampagne, zumal es bereits Impfkritiker*innen gebe. Laut Al Jazeera ist tatsächlich bereits eine wachsende Verunsicherung in der Bevölkerung gegenüber Covid-19-Impfungen festzustellen.

Neben dem politischen Skandal, da ausgerechnet im Jahr 2020 – als die Parlamentswahlen stattfanden – den Bürger*innen falsche Versprechen zur Datensicherheit der Tracing-App gegeben wurden, ist der Vorfall auch juristisch gesehen problematisch. Denn den Nutzer*innen wurde eine eventuelle Dateneinsicht durch die Strafermittlung verschwiegen. Somit wurde gegen ihr Recht verstoßen, selbst zu bestimmen, welche Daten sie zur Verwendung freigeben möchten. Dies hätte von Anfang an durch Polizei und App-Entwickler*innen transparent gemacht werden müssen. Zudem könnte das Verschweigen, auch was die Pandemiebekämpfung angeht, kontraproduktiv gewesen sein. Der Vertrauensbruch beeinträchtigt nun möglicherweise die Akzeptanz der Impfkampagne. Während die strikten Maßnahmen der Regierung Singapurs zur erfolgreichen Pandemiebekämpfung von Covid-19 beitrugen und somit Vertrauen durch die Bevölkerung geschaffen wurde, verspielte sie es wieder durch das aktive Verschweigen der Datensicherheit der App-Nutzer*innen.

Indonesien: Indonesien ist ein riesiger Markt für digitale die Wirtschaft. Doch es gibt immer noch kein Gesetz zum Schutz privater Daten. Seit Jahren wird im Parlament über einen Entwurf verhandelt, der im Oktober 2022 verabschiedet werden soll. Leider werden bislang nur Auszüge davon veröffentlicht.

Eine der wichtigsten Themen für die Digital Economy Working Group (DEWG) während der indonesischen G20-Präsidentschaft ist der cross border data flow beziehungsweise der so genannte data flow with trust. Die Förderung eines vertrauenswürdigen freien Datentransfers sollte auf vier Prinzipen basieren: Rechtmäßigkeit, Gerechtigkeit, Transparenz und Gegenseitigkeit. Schon seit langem wird in Indonesien über einen Gesetzesentwurf zum Umgang mit personenbezogenen Daten (RUU PDP) debattiert. Nun soll dieser noch schnell im Jahr 2022 ratifiziert werden.

Diese Eile spiegelte sich auch in den Sitzungen des Arbeitsausschusses zur Erörterung des PDP-Gesetzes zwischen dem Parlament (DPR) und der Regierung wider, die am 24. Mai 2022 begannen. Nach wenigen Wochen, im Juli 2022, sagte der Vorsitzende der Kommission I des Parlaments, Meutya Hafid von der Fraktion der Golkar-Partei, dass das Gesetz schon im August 2022 ratifiziert werden könne. Angesichts der Tatsache, dass zuvor die Ratifizierung des Gesetzes mehrfach verschoben wurde, war dies eine sehr optimistische Einschätzung.

Meutya gab bekannt, dass alle offenen Fragen bezüglich des Gesetzesentwurfs bereits geklärt seien und das Gesetzgebungsverfahren nun in die letzte Phase einträte, nämlich die exakte Formulierung und Sicherstellung der Widerspruchsfreiheit mit bestehendem geltenden Recht. Meutya sagte auch, dass über die problematischen Punkte in Bezug auf personenbezogene Daten – ob von Privatwirtschaft, unabhängigen Institutionen oder Regierungsstellen gesammelt – im Arbeitsausschuss nun Einigung erzielt worden sei. Nähere Informationen dazu sind leider nicht erhältlich, da alle Sitzungen der Parlamentskommission mit der Regierung nicht öffentlich sind. Nach Medienberichten vereinbarten das Parlament und die Regierung, die Zustimmung des Präsidenten noch einzuholen.

Bestehende Gesetzgebung zu Datenschutz ist wirkungslos

Personenbezogene Daten in Indonesien müssen dringend sofort und umfassend rechtlich geschützt werden. Indonesien ist eines der wenigen Länder der G20, das noch keine vollständige Gesetzgebung zu personenbezogenen Daten hat, die von einer unabhängigen Behörde überwacht wird. Auf rechtlicher Ebene wird der Schutz personenbezogener Daten kurz erwähnt im Gesetz Nr. 12/2005 über die Ratifizierung des Internationalen Pakts über Bürgerliche und Politische Rechte und im Gesetz Nr. 19/2016 über Änderungen des Informationsgesetzes und elektronische Transaktionen. Detailliertere Vorschriften zum Schutz personenbezogener Daten gibt es auch in der Regierungsverordnung Nr. 71/2019 über die Implementierung des elektronischen Transaktionssystems und in der Ministerialverordnung Nr. 20/2016 über den Schutz personenbezogener Daten in elektronischen Systemen. Leider haben diese beiden Verordnungen seit ihrer Verabschiedung keinerlei Wirkung zum Schutz personenbezogener Daten gezeigt

Indonesien ist ein riesiger Markt für die digitale Wirtschaft. Bis 2025 wird nach Schätzung von Regierungsexperten der Umfang der digitalen Wirtschaft des Landes rund 146 Milliarden US-Dollar erreichen, und ihr Volumen wird sich bis 2030 voraussichtlich verachtfachen. Als großer Markt mit massivem Datenaustausch ist der Bedarf an einem umfassenden Gesetz zum Schutz privater Daten dringend notwendig. Selbst wenn ein solches Gesetz verabschiedet wird, gibt es noch große Herausforderungen zu meistern.

Lange Debatte über Datenschutzbestimmungen

Eine der strittigsten Fragen bei der Diskussion des Gesetzesentwurfs war die Bestimmung des Sitzes der Behörde für den Schutz personenbezogener Daten und inwiefern sie unabhängig ist. Die indonesische Regierung war der Meinung, dass die Behörde unter dem Ministerium für Kommunikation und Informatik (Kominfo) angesiedelt werden muss, während das Parlament die Meinung vertrat, dass diese Behörde unabhängig sein sollte. Die PDP Bill Advocacy Coalition, ein Zusammenschluss zivilgesellschaftlicher Gruppen, forderte, dass die Datenschutzbehörde unabhängig sein muss. Die Tifa Foundation, Mitglied der PDP Bill Advocacy Coalition, schrieb in ihrem Grundsatzpapier von 2021, eine der wichtigsten Voraussetzungen im Umsetzungsprozess des privaten Datenschutzgesetzes sei das Prinzip einer einzigen und unabhängigen Behörde. Diese Autorität sei wichtig für die Koordinierung zwischen verschiedenen Vorschriften, die in Indonesien zurzeit in Kraft sind.

Die Umsetzung von Gesetzen zum Schutz personenbezogener Daten ist keine einfache Angelegenheit. Die Datenschutz-Grundverordnung der Europäischen Union (DS-GVO), wird bisher als „Goldstandard“ für den Schutz personenbezogener Daten angesehen. Aber selbst die Europäische Union hat noch Schwierigkeiten bei der Umsetzung. Access Now veröffentlichte kürzlich einen Bericht, der die vielen regulatorischen Lücken bei der Umsetzung aufzeigt. Diese zeigten sich bei Verletzungen des Schutzes personenbezogener Daten, insbesondere im Zusammenhang mit grenzüberschreitenden Daten und Unterschieden in den Vorschriften zwischen den Ländern, die die Koordinierung und Umsetzung erschwerten.

Als ein Land mit einem nur gering ausgeprägten Bewusstsein für die Bedeutung der Privatsphäre und den Schutz personenbezogener Daten wird Indonesien große Herausforderungen in der Umsetzung erleben. Die Häufigkeit von Datenlecks in Indonesien, unvollständige Ermittlungen, das Fehlen von Rechtsmitteln und sich überschneidende sektorale Vorschriften sind nur einige Indikatoren, die zeigen, dass Indonesien noch nicht bereit ist. Das Ministerium für Kommunikation und Informationstechnologie strebt in seinem Strategieplan die Schaffung eines „Ökosystems von Datenschutzbeauftragten“ in Ministerien und Behörden an, um so den Schutz personenbezogener Daten zu verbessern. Aber dies ist nur eine von vielen Stufen in der Umsetzung des Datenschutzes.

Gesetzentwurf ist in sich nicht konsistent

Ende 2021 veröffentlichte die Tifa-Foundation zwei Strategiepapiere auf der Grundlage der Ergebnisse von Diskussionen mit mehreren Interessengruppen aus der Regierung, regierungsnahen Institutionen, dem Privatsektor und zivilgesellschaftlichen Gruppen. Basierend auf dem ursprünglichen Entwurf des PDP-Gesetzes (endgültige Version von 2019) stellte Tifa fest, dass es eine Reihe von Herausforderungen für die Umsetzung des Gesetzes zum Schutz personenbezogener Daten in Indonesien gibt.

Die erste Herausforderung bezieht sich auf die Rechtsgrundlage zur Verarbeitung personenbezogener Daten. Der PDP-Gesetzesentwurf sieht den Akt der Einwilligung als wichtigste Bedingung für die Datenverarbeitung vor. Artikel 18 des Gesetzes besagt jedoch, dass es noch sieben weitere Rechtsgrundlagen für die Verarbeitung personenbezogener Daten gibt (zum Beispiel zur Vertragserfüllung, Erfüllung rechtlicher Verpflichtungen). Artikel 20 wiederum erfordert eine explizite persönliche Zustimmung. Der Gesetzentwurf ist in sich nicht konsistent.

Die zweite Herausforderung besteht in der Regelung zur Verifikation der personenbezogenen Daten, die unterschiedlich interpretiert werden kann. Artikel 35 besagt, dass der Verantwortliche für personenbezogene Daten verpflichtet ist, die Genauigkeit, Vollständigkeit und Konsistenz personenbezogener Daten in Übereinstimmung mit den Gesetzen und Vorschriften sicherzustellen. Einerseits kann dieser Artikel als Notwendigkeit interpretiert werden, möglichst eine 100-prozentige Genauigkeit zu garantieren, was für die für den Datenschutz Verantwortlichen bedeuten, möglichst viele personenbezogene Daten zu sammeln. Andererseits muss die verantwortliche Instanz diese Daten auch verifizieren, was diese zwangsläufig überfordern wird.

Die dritte Herausforderung besteht darin, eine technische Regelung zu finden, die die Begebenheiten in Indonesien berücksichtigt. Die Formulierung technischer Regeln, wie zum Beispiel die Bestimmung des Aufbewahrungszeitraums für personenbezogene Daten, kann für kleine Unternehmen sehr aufwändig sein. Solche technischen Vorschriften auf gesetzlicher Ebene können die Anpassung an technologische Entwicklungen erschweren.

Die vierte Herausforderung ist die Koordination zwischen den Sektoren. Das PDP-Gesetz wird voraussichtlich die Dachverordnung sein, die alle PDP-Themen regelt. Daher ist zu hoffen, dass eine unabhängige und einzige PDP-Behörde sich mit verschiedenen Ministerien/Behörden koordinieren kann, die sektoral Regularien herausgeben. Diese Koordination und Ausrichtung ist eine große und langfristige Aufgabe, um sinnvolle Schutzmaßnahmen umzusetzen.

Bewusstseinsbildung für den Schutz persönlicher Daten fehlt

Schließlich wies die Tifa-Foundation auch auf die Notwendigkeit eines Datenschutzansatzes hin, der auch auf Bewusstseinsbildung und nicht nur auf Sanktionen basiert. Ein allein auf Sanktionen basierender Ansatz wird nicht wirksam sein, um das öffentliche Bewusstsein für die Datenverarbeitung in Indonesien zu schärfen. Auch bei den für die Datenverarbeitung Verantwortlichen klaffen in punkto Bewusstsein für die Notwendigkeit und Bereitschaft zum Schutz personenbezogener Daten noch große Lücken.

Die G20-Präsidentschaft könnte ein wichtiger Impuls für Indonesien sein, den Schutz personenbezogener Daten schneller und umfassender zu realisieren. Es gibt aber noch viele Herausforderungen, auch in Fragen der Gesetzesumsetzung. Dennoch hofft die indonesische Zivilgesellschaft, dass das PDP-Gesetz, das in Kürze verabschiedet werden soll, endlich mehr Klarheit bringt.

Aus dem Indonesischen übersetzt von: Hendra Pasuhuk