1. Technische Details & Kontext? Bitte nicht!
Kaum ein Pressebericht oder eine Diskussionsrunde, die sich um die Corona-Pandemie dreht, kommt ohne das in der Pandemiebekämpfung erfolgreiche Südkorea aus. Die Einleitung ist nicht frei von der Meinung des Autors.
Karl Lauterbach: […] wir wollen nicht in die technischen Details gehen […] Markus Lanz: […] Bitte nicht! […]
Quelle: Markus Lanz am 23.04.2020 / Diskussion um die Corona-Tracing-App
Erstaunlicherweise verbleibt man bei der Frage, welche Technik Südkorea konkret verwendet, entsetzlich im Ungefähren. Man wirft zwar mit Technikjargon wie QR-Code, zentrale Datenspeicherung, verpflichtende App, Handydaten auslesen, Pseudonymisierung und GPS-Daten um sich, ohne die Umstände oder die Voraussetzungen in dem südostasiatischen Land näher zu erklären – man kommt nicht umhin sich zu fragen, ob die Technik-Grundlagen überhaupt verstanden wurden? Die spezifische Situation der Republic of Korea (fortfolgend wird die Abkürzung ROK verwendet) und seine jüngste Geschichte oder Rechtskultur finden dabei noch viel weniger Beachtung
Im Gegensatz dazu ist man hierzulande schnell dabei, mittels fahrlässiger Polemik und unangemessenen Zahlenvergleichen anklagend auf den Datenschutz zu zeigen – natürlich immer mit dem rhetorischen Hintertürchen, dass man ja eigentlich für mehr Datenschutz sei. Eines der jüngsten Beispiele war der Philosoph und stellvertretender Vorsitzender des Deutschen Ethikrates Julian Nida-Rümelin. Das Resultat sind kontraproduktive Grundsatzdebatten, deren extreme Flughöhe dazu führt, dass man kaum noch technische Zusammenhänge erkennen bzw. bewerten kann.
Um die angesprochene Rhetorik zu durchschauen, verweisen wir auf den Beitrag in diesem Blog Die deutsche Datenpolitik der CDU/CSU Teil 2: »Jeder ist auf sich gestellt«, insbesondere auf die Punkte 2.1 Das Framing »Datenschutz darf kein Täterschutz sein« und 2.3 Der falsche Whataboutism oder »Barking up the wrong tree«.
Die Corona-Maßnahmen der ROK als Vergleichsmaßstab (Benchmark) zu verwenden, bedeutet auch unbedingt, die spezifischen Umstände des Landes zumindest ansatzweise zu analysieren. Denn die dort eingesetzte Technik inkl. der Datenverarbeitung, lässt sich nicht willkürlich aus dem spezifischen nationalen Kontext herauslösen bzw. übertragen.
[…]. Mit Verwunderung habe ich der Begründung zu dieser nunmehr weggefallenen Regelung entnommen, dass diese mit Erfahrungen aus einem Land [Anmerkung des Autors: Gemeint ist Südkorea] begründet werden, in dem die Datenschutz-Grundverordnung nicht gilt, einer anderen Rechtskultur entstammt und das hinsichtlich seiner Maßnahmen in den letzten Jahren nicht immer ohne Kritik hinsichtlich der Rechtsstaatlichkeit dieser Maßnahmen stand. […]
Zunächst muss man um Geduld und Durchhaltevermögen bei der Lektüre dieses Beitrages bitten – um das Wesentliche zu verstehen, müssen zuerst die Zusammenhänge erläutert werden.
Zudem sei darauf hingewiesen, dass, trotz aller Sorgfalt, Fehlinterpretationen nicht vollkommen ausgeschlossen sind. Dies ist auch dadurch zu begründen, dass eine Sprach- und Schriftzeichenhürde vorhanden ist, die mittels Übersetzungstools überwunden werden musste. Letztlich handelt es sich auch um komplexe und ineinander verwobene Sachverhalte (Technik, Gesellschaft, Recht, Politik, Sicherheit, Gesundheitswesen usw.) innerhalb einer »anderen« Nation & Kultur.
Zudem sind die Quellenangaben wesentlich ausführlicher als gewöhnlich, um eine sachliche, auf Fakten basierende Meinungsbildung zu ermöglichen und nicht auf einem oberflächlichen Niveau zu verharren.
Gastbeitrag von lacrosse
Lacrosse ist betrieblicher Datenschutzbeauftragter in der Konzerndatenschutzorganisation einer deutschen Unternehmensgruppe. In seiner Freizeit engagiert er sich ehrenamtlich, um gemeinnützigen Vereinen bei der Umsetzung der DSGVO zu helfen.
Feedback und Fragen können direkt an ihn gerichtet werden. Spenden für seine Arbeit möchte er direkt dem Kuketz-Blog zukommen lassen. Ihr könnt also direkt an den Kuketz-Blog spenden.
2. Situation der ROK im Kontext des Beitrages
2.1 Von der Diktatur zur Demokratie
Die ROK war bis zum Juni-Aufstand 1987 eine autoritär geführte Nation. Dieser Aufstand führte aber keineswegs zu einem Umsturz, sondern das Militärregime »reformierte« das Land schrittweise zur Demokratie. Zuvor hatte es immer wieder blutige Auseinandersetzungen zwischen Militär und der Zivilbevölkerung gegeben. Zuletzt kam es 2016 zu einer Amtsenthebung der Präsidentin Park Geun-hye. Dem vorausgegangen waren politische Skandale, Korruption und der fragwürdige Umgang mit dem Untergang der Fähre MV Sewol im Jahr 2014.
[…] the most compelling case […] was that of the families of victims of the SEWOL ferry disaster […] The accident was found by the courts to be the result of negligence by authorities and the company who owned the ferry. […] However, when families of the victims initially organized themselves to demand an investigation and fight for compensation, the Government severely obstructed any progress and the Defense Security Commands […] carried out surveillance on the victims’ families. The Rapporteur positively notes that, […], that branch of the Armed Forces has been subjected to deep reform, […] stripped of their competencies on domestic surveillance. The evidence presented so far seems to indicate that […] unfoundedly labelled the families of survivors as sympathizers of the DPRK Government, and illegally collected large amounts of personal data […].
Quelle: Visit to the Republic of Korea; Report of the Special Rapporteur on the right to privacy, Joseph Cannataci, RN 16 Advance Unedited Version, Human Rights Council, 22 February–19 March 2021, Promotion and protection of all human rights, civil, political, economic, social and cultural rights, including the right to development
Der amtierende Präsident Moon Jae-in erlangte 2017 das Präsidentenamt und zeichnete sich durch seine Dialogbereitschaft mit Nordkorea aus.
2.2 Bedrohungslage
Der verheerende Koreakrieg von 1950 bis 1953, der zur Spaltung des Landes in Nord und Süd führte, ist nach wie vor ein schwelender Konflikt (siehe auch Demilitarisierte Zone). Es kommt nach wie vor zu bewaffneten Zwischenfällen oder spektakulären Infiltrierungsversuchen durch den nordkoreanischen Geheimdienst. Als Reaktion auf die Bedrohungslage unterhält Südkorea eine beachtliche Armee. Die Verteidigungsausgaben waren 2021 doppelt so hoch wie die der BRD. Man muss zudem ein latentes Bedrohungsempfinden der Zivilbevölkerung berücksichtigen, denn, auch ohne die atomare Bedrohung durch die nordkoreanische Diktatur, befindet sich z. B. die Metropolregion Seoul in Reichweite der nordkoreanischen Langstrecken-Artillerie.
Gesellschaftliche Spannungen, auch in Bezug auf die Ausübung von Bürgerrechten, können eine Konsequenz dieser Bedrohungslage sein.
[…] social movements in […] who have opposed the construction of an anti-missile defence site and of electricity lines. Instead of engaging in dialogue and negotiation, it seems that the State and/or parastatal agencies opted for confrontation and imposition, sometimes through a disproportionate police presence and the intensive surveillance of protesters (including physical surveillance of the private domiciles of elderly protesters at night), even of those who have legitimately exercised their freedom of assembly in a peaceful manner and could hardly pose a security threat. […]
Quelle: Visit to the Republic of Korea; Report of the Special Rapporteur on the right to privacy, Joseph Cannataci, RN 17 Advance Unedited Version, Human Rights Council, 22 February–19 March 2021, Promotion and protection of all human rights, civil, political, economic, social and cultural rights, including the right to development
2.3 Die Resident Registration Number (RRN)
Die Resident Registration Number (RRN) ist ein Überbleibsel aus den autoritären Herrschaftszeiten des Landes und muss auch in diesem historischen Kontext gesehen werden. Das maßgebliche Gesetz ist der Resident Registration Act (RRA).
The RRA was enacted for the first time in 1962. The legislation was designed to ensure administrative control and surveillance over the population, requiring all citizens to register […].
Quelle: The Evolution of the Resident Registration System in Korea Knowledge Sharing Program 2015
Im Laufe der Jahrzehnte hat sich das dazugehörige Resident Registration System (RRS) von einem Kontrollinstrument zu einem zentralen Baustein für Serviceleistungen der südkoreanischen Behörden entwickelt – ein schneller und einfacher Zugang zu diesen Serviceleistungen (siehe Seite 57 Abbildung 4-1) ist eines der Hauptargumente für die gesellschaftlichen Vorteile der RRN.
Um das Risikopotential zu verstehen, sind folgende Punkte wichtig: i) Es handelt sich um eine »sprechende Nummer«, deren Struktur bereits z. B. das Geburtsjahr, Geschlecht usw. offenlegt. Zudem ist es ii) nur schwer möglich, die RRN zu ändern.
An RRN, once issued, never changes in Korea and is linked with the same person forever.
Quelle: The Evolution of the Resident Registration System in Korea Knowledge Sharing Program 2015
Ein Gerichtsurteil (siehe dazu Change of resident registration number case bezogen auf Art. 7 des RRA / auf der Webseite der südkoreanischen Datenschutzbehörde) des Constitutional Court of Korea ermöglichte ab 2017, dass z. B. bei einem Identitätsdiebstahl die RRN geändert werden konnte.
Allerdings hatte sich bis dahin die RRN zu einem eindeutigen Identifikations-Merkmal in der südkoreanischen Wirtschaft entwickelt – z. B. für die Registrierung von Webseiten, Beantragung von Kreditkarten, Telekommunikationsverträgen usw. Proportional zur digitalen Einbindung der RRN in den Wirtschaftskreisläufen stiegen auch Identitätsdiebstähle und Datenschutzvorfälle an. Durch die Gesetzgebung, u. a. die Einführung des Personal Information Protection Act (PIPA), wurde die Verarbeitung der RRN in der Wirtschaft eingeschränkt und nur mittels einer rechtlichen Grundlage (siehe Annual Report 2017 der südkoreanischen Datenschutzaufsicht) gestattet sowie unter die Maßgabe angemessener Datensicherheitsmaßnahmen gestellt.
Dazu muss auch bedacht werden, dass innerhalb des RRS auch biometrische Merkmale mit besagter RRN »verbunden« sind.
In Korea, the Resident Registration System (RRS) is the national identification system that collects a citizen’s biometric data, such as their facial characteristics and fingerprints, to provide a wide range of public services.
Quelle: The Evolution of the Resident Registration System in Korea Knowledge Sharing Program 2015
Obwohl die Verarbeitung der RRN beschränkt wurde, stellt sie nach wie vor das Identifikations-Merkmal z. B. in den Bereichen Krankenversicherung, Militärdienst, Patienten- und Krankenakte, Finanztransaktionen (siehe Annual Report 2017 der südkoreanischen Datenschutzaufsicht) usw. dar.
Zur Veranschaulichung einer gesetzlichen Regelung, aus der hervorgeht, dass südkoreanische Telekommunikationsunternehmen über die RRN verfügen: Siehe Art. 83 (3) Nr. 2 Telecommunications Business Act.
2.4 Bargeld, Kreditkarten, Smartphones, Netzinfrastruktur und Überwachungskameras (CCTV)
Die Bürger*innen der ROK nutzen im täglichen Zahlungsverkehr kaum mehr Bargeld. Die gängigen Zahlungsmittel sind Kreditkarten und mobiles Bezahlen mit dem Smartphone. Dieses Verhalten erzeugt einen stetigen Strom an Zahlungsdaten. Dementsprechend beläuft sich die Smartphone- / Mobiltelefon-Nutzungsrate auf beinahe 100%.
Die Voraussetzung hierfür ist der Ausbau der entsprechenden Infrastruktur, z. B. der 5G-Infrastruktur.
Die Zahl der Überwachungskameras (Öffentlich und privat) wurde im Jahr 2015 auf 8 Millionen Geräte geschätzt – zum Vergleich: 2014 schätzte man die Anzahl von Überwachungskameras in Deutschland auf circa eine Million. Um einen Eindruck, bezogen auf die Wachstumsraten bei Closed Circuit Televison (CCTV), zu geben: An öffentlichen Plätzen gab es 2010 circa 300.000 Überwachungskameras. Im Jahr 2015 hatte sich die Anzahl mehr als verdoppelt (740.000 Geräte).
2.5 MERS 2015
Die Middle-East-Respiratory-Syndrome-(MERS-)Epidemie 2015 ist ein Schlüsselereignis. Hatte die ROK 2015 noch versucht die Daten der an MERS erkrankten Patienten vertraulich zu behandeln, gelangten diese dennoch an die Öffentlichkeit – auch durch regionale Behörden. So wurden, durch die Regierung der Seoul Metropolitan City, die Daten von 150 Personen in Quarantäne veröffentlicht. In er Stadt Chungwon wurden die Namen, Adressen, Telefonnummern von MERS-Erkrankten und deren Familien (u. a. Kinder und Enkel) geleakt. Dies führte zu Anfeindungen der Betroffenen und ihrer Familien.
Siehe hierzu:
KOREAN RESIDENT REGISTRATION SYSTEM FOR UNIVERSAL HEALTH COVERAGE vom August 2019, Seite 73 Tabelle 11.
Im gleichen Jahr wurden unter dem öffentlichen Druck Regelungen im südkoreanischen Pandemieschutzgesetz beschlossen, die eine gezielte Veröffentlichung von Patientendaten vorsahen (siehe Punkt 2.7).
2.6 Ministry of Health and Welfare (MOHW) und das Korea Centres for Disease Control and Prevention (KCDC)
Während in Deutschland 2019 das Robert Koch-Institut noch vor einer Überlastung der Gesundheitsämter durch Ressourcen- und Personalmangel warnte, hatte die ROK aus dem MERS-Ausbruch, in puncto Organisation, seine Lehren gezogen.
[…] Die Arbeit der rund 400 kommunalen Gesundheitsämter in Deutschland ist vielfältig, unverzichtbar – und nicht ausreichend gewürdigt. […] Die personelle Ausstattung der Gesundheitsämter sinkt seit Jahren. […]
Die südkoreanische Regierung erhöhte das Budget (siehe Seite 14) zur Bekämpfung von Infektionskrankheiten von 62 Millionen US$ im Jahr 2015 auf 175 Millionen US$ im Jahr 2020. Das KCDC (Korea Centers for Disease Control & Prevention) wurde, im September 2020, zur KDCA (Korea Disease Control and Prevention Agency) als eigenständige Behörde aufgewertet. Dies hat zur Folge, dass die KDCA über ein eigenes Budget verfügt, Personalressourcen erhöht wurden und die Behörde direkt verantwortlich für sechs Gesetze (inkl. Pandemieschutzgesetz) zeichnet.
Siehe hierzu:
Kang H, Kwon S, Kim E. COVID-19 health system response monitor: Republic of Korea. New Delhi: World Health Organization Regional Office for South-East Asia; 2020 / December 2020 Updated in February 2021 / Creative Commons License 3.0 IGO (CC BY-NC-SA 3.0 IGO).
Der Kuketz-Blog ist spendenfinanziert!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
2.7 Politisches System, Pandemieschutzgesetz(e), Datenschutzgesetz, Datenschutzaufsicht, Angemessenheitsbeschluss der EU
Im Rechtssystem bzw. politischen System der ROK, mit seiner Präsidialverfassung, kommt dem Amt des Präsidenten (dessen Amtsinhaber mittels Direktwahl bestimmt wird), eine relativ starke Rolle als Staatsoberhaupt zu. U. a. kann dieser Präsidialdekrete erlassen, die nicht durch das Parlament ratifiziert werden müssen. Eine spätere Überprüfung durch den Constitutional Court of Korea ist allerdings möglich. Diese starke Rolle des Präsidenten sowie das Instrument der Präsidialdekrete kennt die parlamentarische Demokratie Deutschlands nicht.
Für diesen Beitrag sind folgende Gesetze relevant:
- Quarantine Act insbesondere Art. 15 (Quarantine) und Art. 17 (Monitoring) Quarantine Act
- Telecommunications Business Act
- Personal Information Protection Act (PIPA)
- Infectious Disease Control and Prevention Act (IDCPA)
Bitte beachten: Dies bezieht sich auf die englische Version vom März 2020. Die aktuell gültige Fassung vom September 2020 liegt bisher nur in der koreanischen Version vor. Wir befassen uns damit in Punkt 6 dieses Beitrages.Insbesondere die Art. 34-2 (Disclosure of Information during Infectious Disease Emergency), Art. 49 (1) Nr. 2 (Preventive Measures against Infectious Diseases) und Art. 76-2 (Request for Provision of Information and Verification of Information) IDCPA.Siehe hierzu auszugsweise:Infectious Disease Control and Prevention Act (IDCPA): Article 76-2 (Request for Provision of Information and Verification of Information) IDC(1) […] corporations, organizations, and individuals to provide the following information concerning patients of infectious diseases, etc. and persons suspected of contracting infectious diseases, and persons in receipt of such request shall comply therewith: […]
1. Personal information, such as names, resident registration numbers prescribed in Article 7-2 (1) of the Resident Registration Act, addresses, and telephone numbers (including cell phone numbers);
2. Prescriptions prescribed in Article 17 of the Medical Service Act and medical records, etc. prescribed in Article 22 of the same Act;
3. Records of immigration control during the period determined by the Minister of Health and Welfare;
4. Other information prescribed by Presidential Decree for monitoring the movement paths of such patients, etc.Infectious Disease Control and Prevention Act (IDCPA): Article 34-2 (Disclosure of Information during Infectious Disease Emergency)(1) Where the spread of an infectious disease harmful to citizens‘ health results in the issuance of a crisis alert of the caution level or higher […], the Minister of Health and Welfare shall promptly disclose information […], such as the movement paths, transportation means, medical treatment institutions, and contacts of patients of the infectious disease, by posting such information on the information and communications network, distributing a press release, etc. <Amended by Act No. 17067, Mar. 4, 2020>
Der Art. 34-2 IDCPA wurde mit Act. No. 13392 im Juli 2015 eingeführt.
Die EU hat ein Verfahren (im Zuge eines Freihandelsabkommens) eingeleitet, das über die Annahme eines Angemessenheitsbeschlusses über das Datenschutzniveau in Südkorea entscheidet. Aktuell hat der Europäische Datenschutzausschuss (EDSA) Gelegenheit zur Stellungnahme. Zentrale Erwägungspunkte der Kommission dabei waren:
- Personal Information Protection Act (PIPA)
- Die Stärkung der südkoreanische Datenschutzaufsicht PIPC
- Die Vereinbarung weiterer Garantien
3. Big Data: Allgemein
Grundsätzlich handelt es sich bei dem in der ROK eingesetzten System um eine Big-Data-Lösung. Diese setzt auf einer bestehenden Smart-City-Infrastruktur mit einem City-Data-Hub auf. Unabdingbare Voraussetzung ist eine eindeutige Kennnummer (Identifier), um Daten über Menschen klar zuordnen zu können. Für die Datenerhebung werden unterschiedliche Arten von Sensoren benötigt, die viele und unterschiedliche Daten möglichst ohne Zeitverlust aufzeichnen können. Hinzu kommen Möglichkeiten, die extrahierten Daten mit Informationen aus einer anderen Datenquelle anzureichern. Damit sind folgende Kennzeichen, die im Allgemeinen Big Data zugeordnet werden, erfüllt:
- Veracity / Richtigkeit; Eindeutigkeit; Genauigkeit, Verlässlichkeit der Daten
- Velocity / Geschwindigkeit, mit der die Daten entstehen
- Volume / (große) Datenmenge
- Variety / Vielfalt der Daten
Eine »zentrale Speicherung«, um eine zusammengeführte Erkenntnisgewinnung zu erreichen, ist ebenso ein wichtiger Aspekt. Verhaltenskontrolle (bis hin zur Verhaltenssanktion) und Verhaltensbeeinflussung sind die logischen Konsequenzen einer Big-Data-Lösung. Ein Rückkanal, ob die getroffenen Maßnahmen wirksam waren, kann mittels der vorhandenen Sensoren erfolgen.
Die ROK nennt dieses System Smart Management System (SMS), teilweise findet sich auch der Begriff Epidemic Investigation Support System (EISS).
Bild: Durch den Autor erstellt / Quelle Cliparts: Opencliparts.org / License: CC0 1.0 Universal / Es wurde eine Spende überwiesen
4. Big Data: Das südkoreanische COVID-19: Smart Management System (SMS)
Zunächst ordnen wir beispielhaft die innerhalb des (a) SMS verarbeiteten Daten sowie Datenquellen den erwähnten Big-Data-Kennzeichen zu (es sind Überschneidungen möglich). Weiter unten in diesem Punkt findet sich ein Datenflussdiagramm, um einen besseren Überblick zu ermöglichen. Nach dem Diagramm folgen ausführliche Quellenangaben und Verweise, um die Richtigkeit der Informationen zu belegen.
Es ist dabei wichtig zu verstehen, dass eine zentrale Datenspeicherung und -auswertung nicht gleichbedeutend mit einer zentralen Organisationsstruktur bei der COVID-19-Nachverfolgung ist. Die ROK hat diese Nachverfolgung teils zentral/ teils dezentral organisiert (siehe Seite 5 ff. in diesem Dokument). Am besten lässt sich dieser Ansatz mit einem Shared Service Center vergleichen.
Zentraler Angelpunkt, um eine eindeutige Zuordnung und Maßnahmen überhaupt zu ermöglichen, ist ein eindeutiger (b) Identifier (Kenn-Nummer). Hierzu wird, nicht ausschließlich, aber vermutlich sehr häufig, die Resident Registration Number (RRN) Verwendung finden.
| Veracity | Resident Registration Number (RRN), Passnummer, Mobilfunknummer, Wohnort usw. |
| Velocity | Technische Infrastruktur, APIs und digitale Freigabeprozesse usw. |
| Volume | Vergleiche hierzu Punkt 2.4. um einen Eindruck über die Datenmenge zu erhalten (z.B. 100% Smartphone-Nutzung): Smartphone-Daten, Standortdaten, FinanzZahlungsdaten, Videodaten, Interviews, Gesundheitsdaten, Fluggastdaten usw. |
| Variety | Closed Circuit Televison (CCTV), Kreditkartenunternehmen und Banken, Telekommunikationsunternehmen, Internetunternehmen, Gesundheitswesen, Daten aus dem Öffentlichen Personennahverkehr, Staatliche technische Infrastruktur (z. B. Apps, Server) usw. |
Wie eingangs erwähnt, ist eine der Voraussetzungen für eine Big-Data-Infrastruktur Sensoren. Die für die COVID19-Datenerhebung verwendeten Sensoren gehen aus den Punkten (i), (ii) und (iii) des untenstehenden Diagramms hervor – CCTV-Videobilder, »ungenaue« Standortdaten der Mobilfunkbetreiber (Anmelden eines Handys in einer Funkzelle), Zeit- und Ortsangaben aus dem Zahlungsverkehr sowie die Informationen, die aus der Befragung von Betroffenen gewonnen wurden. Hinzu kommen eine Selbst-Quarantäne-App sowie eine Selbstdiagnose-App, die zwar primär der Verhaltenskontrolle dienen, aber dennoch Daten generieren. Teilweise sind Löschfristen vorgesehen, wie z. B. nach Ablauf der Quarantäne.
Die Erfassung von Standort- und Zahlungsdaten in den Punkten (i) 2 und 3 erfolgt unter einem Freigabevorbehalt anderer staatlicher Stellen (z. B. National Police Agency). Aus den Zahlungsdaten lässt sich auch ableiten, ob eine Personen z. B. mit dem Taxi, der U-Bahn oder dem Bus gefahren ist.
Die in Punkt (ii) 5 aufgeführte Selbstdiagnose-App dient dazu, den eigenen Gesundheitszustand zu überwachen. Die persönlichen Angaben in der App müssen z. B. bei ankommenden Reisenden mit den Fluggastdaten von Airlines inkl. der Reisepassnummer bzw. Mobilfunknummer übereinstimmen. Die Installation der App ist verpflichtend und wird überwacht. Die Self-Quarantine Safety App in Punkt (ii) 6 hat folgende Kernfunktionen: i) Registrierung der Selbst-Quarantäne und Erfassung personenbezogener Daten, ii) Selbstdiagnose (2x pro Tag), iii) Information bezüglich der Quarantäne und App-Benutzung, iv) Notfall-Kontakt, v) GPS-Standortbestimmung bzw. ob sich das Gerät bewegt. Die staatliche Version der App erlaubt vi) die Überwachung der Quarantäne (z. B. durch Anrufe oder ob sich das Gerät vom Standort wegbewegt). Bei mehrmaligen Verstößen (Verhaltenssanktion) gegen die Quarantäne-Auflagen muss ein, mit der App gekoppeltes, elektronisches Armband (Bluetooth) getragen werden.
Die Zutrittsregistrierung für Örtlichkeiten (die notwendigen Schritte werden in den Quellenangaben geschildert) erfolgt mittels eines kurzlebigen QR-Codes, wie in Punkt (iii) gezeigt. Man entspricht hier den Grundsätzen der Vertraulichkeit & Erforderlichkeit insoweit, dass kurzlebige QR-Codes und personenbezogene Daten getrennt voneinander gespeichert werden. Das KI-Pass-System wurde durch das MOHW entwickelt, unterliegt der Kontrolle der staatlichen Korea Social Security Information Service (KSSS). Dieser speichert die QR-Codes auf MOHW-Servern. Die Apps, die den QR-Code erzeugen, stammen von privaten Anbietern – in deren technischer Infrastruktur werden die personenbezogenen Informationen gespeichert. Im Falle der Erforderlichkeit (Confirmed Case) beantragt das KCDA/KCDC die Zusammenführung von QR-Codes und den personenbezogenen Daten.
Bild: Durch den Autor erstellt / Quelle Cliparts: Opencliparts.org / Creative Commons License 1.0 / Es wurde eine Spende überwiesen
Die Zweckbestimmung der unterschiedlichen Sensoren geht auch aus untenstehenden Quellenangaben hervor.
| Sensor | # in der Übersicht | Zweck |
| CCTV-Kameras | (i) 1 | Kontaktnachverfolgung; Bewegungsroute; Kontaktsituation (z. B. Maske getragen); Überprüfung der Angaben des Betroffenen |
| Mobiltelefon | (i) 2 | Bewegungsroute anhand ungenauer Standortdaten / Anmeldung des Gerätes in einer Funkzelle; Überprüfung der Angaben des Betroffenen |
| Kreditkarten & ATM | (i) 3 | Bewegungsroute, besuchte Örtlichkeiten mittels Zahlungsverkehrs |
| Befragung; Interview | (i) 4 | Kontaktnachverfolgung; Bewegungsroute; Kontaktsituation (z. B. Maske getragen); Überprüfung der Angaben des Betroffenen |
| Digitale Tickets | (i) 17 | Transportmittel und Bewegungsroute |
| Smartphone-App | (ii) | Überwachung des Gesundheitszustandes (von Einreisenden); Überwachung der Quarantäneauflagen; Überwachung des Standortes |
| QR-Code / App | (iii) | Zutrittsregistrierung zu Örtlichkeiten zwecks späterer Kontaktnachverfolgung |
Die Veröffentlichung von Gesundheitswarnungen (iv) und Informationen zur Route sowie besuchten Orten eines COVID-19-Falles geschieht in der ROK über mehrere Kommunikationskanäle. Zunächst ist hier die einfache Push-Technologie Cell-Broadcast zu erwähnen – wem der Begriff aus der Berichterstattung irgendwie bekannt vorkommt, sei hieran erinnert. Die ROK stellt auch (c) Schnittstellen (API) zum SMS zur Verfügung – hier können auch private Entwickler Datenpunkte (z. B. Ort der Infektion) abrufen und diese in Apps oder auf Webseiten verarbeiten.
Die Veröffentlichung von Bewegungsrouten eines COVID-19-Falles findet sich, nach den Quellenangaben, in Punkt 5 dieses Beitrages.
Gerade das Warn- und Meldekonzept der ROK wird oft mit dem dezentralen Ansatz der Corona-Warn-App verglichen, ohne wirklich auf die fundamentalen Unterschiede in den technischen Konzepten hinzuweisen.
Die Datenanreicherung (v) erfolgt mittels der Abfrage von Daten aus dem Gesundheitssystem. Zudem ist eine weitere Verknüpfung mit den Fluggastdaten vorgesehen.
Die im Folgenden angegebenen Quellen beziehen sich auf den gesamten Punkt 4, dienen aber hauptsächlich dazu, das Datenflussdiagramm zu ergänzen und zu belegen – grundsätzlich könnte man den Beitrag auch ohne die Informationen aus den Quellen erfassen, es empfiehlt sich dennoch sie zu lesen, denn sie liefern Zusatzwissen.
Quellen / zu finden in:
zu (a) SMS
Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 13. Ebenso »[…]Formally named Epidemic Investigation Support System (EISS) […].« auf Seite 12.
The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 44ff.
11 Freigabe: Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 4.
Zentrale / Dezentrale Organisaton: Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 13. Ebenso »[…] KDDC officials and local government health officers in charge of contact tracing have access […].« auf Seite 15.
zu (b) Identifier
10 Gesetzliche Vorgabe zur RRN: Article 76-2 (Request for Provision of Information and Verification of Information) IDCPA »[…] corporations, organizations, and individuals to provide the following information concerning patients of infectious diseases, etc. and persons suspected of contracting infectious diseases, and persons in receipt of such request shall comply therewith: […] 1. Personal information, such as names, resident registration numbers prescribed in Article 7-2 (1) of the Resident Registration Act, addresses, and telephone numbers (including cell phone numbers);[…].«
Siehe auch Wikipedia.com: »On February 24, 2020, the Korea Disease Control and Prevention Agency requested a list of all Shincheonji congregants. The list included congregants’ name, citizen registration number, address, name of place of employment, and family member information. […] The official request also did not ask for members’ citizen registration numbers. Despite this, officials from the Korea Disease Control and Prevention Agency requested members’ citizen registration numbers to be included in the data.[…]«
zu (c) APIs
Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 4.
Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 41ff., sowie Seite 43 »[…] provides data on movement of COVID-19 confirmed cases to an open API […].«
zu (d) Analyse
The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 44ff. »[…] Moreover, the big data analysis allows […]«.
Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 27 sowie The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 28 Abbildung 11.
zu (i) Datenerhebung(en) zur Nachverfolgung
1 Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 27 sowie The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 41.
See inside Korean CCTV unit contact tracing citizens / CNN.com / 16.12.2020.
Mit Closed Circuit Televison (CCTV) sind Überwachungskameras gemeint.
2 Privacy in the Time of COVID-19: Divergent Paths for Contact Tracing and Route-Disclosure Mechanisms in South Korea vom Mai 2021 von Sangchuk Park, Gina J. Choi, Haksoo Ko / Lizenz: CC BY 4.0. Seite 52 »[…] does not include GPS or Cell tower trangulation […]«.
Für weitere Informationen zum Thema Handy/Standort verweisen wir auf Punkt 3.1. »Bottom-up« (Vorschlag des Präsidenten des Bundesstädtetages) in dem Blogbeitrag Die deutsche Datenpolitik der CDU/CSU Teil 2.
2 bis 4 Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 27 sowie The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 41.
4 Interview: Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 13. Ebenso »[…]out of an interview to confirm basic facts […]« auf Seite 13.
Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 13. Ebenso »[…]Officials need the access to personal information (location information, credit card transaction records) to correlate the data with the interviews they conducted with the patients […]« auf Seite 16.
Article 76-2 IDCPA: »[…] patients of infectious diseases, etc. and persons suspected of contracting infectious diseases […]«.
1-4 Gesetz: Article 76-2 IDCPA.
17 Article 76-2 IDCPA: »[…] transportation means […]«.
Moon, D., 2021. COVID-19 and Data Privacy: A Discussion of the Disease Control and Prevention Measures in the United Kingdom and South Korea. Rule of Law Journal, 2(1), pp.77–114. Gefunden auf Seite 91 in Abbildung 3.
zu (ii) Überwachung
5 Self-Diagnose App / Self-Diagnose Mobile App. Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 32 sowie The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 29ff. Laut Seite 33 kommen Gesundheitsdaten durch die Self-health Test Results – Body Temperature, Cough, Soure Throat, Difficulty Breathing – hinzu.
Datenschutzerklärung Self-Diagnose App / Self-Diagnose Mobile App: Die App verarbeitet folgende Kategorien personenbezogener Daten: Visit country, mobile phone number, Friend telephone number, school name, Electronic signature, location information, Name, gender, nationality, date of birth, address.
Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 9.
6 Self-Quarantine Safety App: Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 32 sowie The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 35ff. Datenschutzerklärung Self-Quarantine Safety App: Name, DOB, Sex, Nationality, Mobile Phone No., Location information. Health information: Fever (37.5℃) or sense of fever, cough, sore throat, respiratory symptoms (shortness of breath), Passport No.
[Anmerkung: Nach Ansicht des Autors entspricht die Datenschutzerklärung der Self-Quarantine Safety App vielmehr auch den Angaben der Self-Diagnose App, die in den Dokumenten zu finden waren]
7 Saftey-Band: Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 35.
5-7 Qurantine Act und IDCPA: Art. 15 (Quarantine) und Art. 17 (Monitoring) Quarantine Act und Art. 49 (Preventive Measures against Infectious Diseases) IDCPA sowie Art. 72-2 IDCPA.
[16 Sofern das Saftey Band nicht getragen wird oder die Apps nicht installiert werden, erfolgt eine polizeiliche Kontrolle der Quarantäne.]
zu (iii) Zutrittskontrolle
8 und 9 QR-Code: Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 30 sowie Privacy in the Time of COVID-19: Divergent Paths for Contact Tracing and Route-Disclosure Mechanisms in South Korea vom Mai 2021 von Sangchuk Park, Gina J. Choi, Haksoo Ko / Lizenz: CC BY 4.0. Insbesondere Seite 54: »[…] The KI-Pass System separates ephemeral and pseudonymized identifiable data 17 […]«.
Die Abfolge lässt sich aus obigen Dokumenten entnehmen : 1) Besucher: App eines privaten Anbieters z. B. Naver wurde installiert und mit einem Account verknüpft. 2) Besucher: Erzeugt einen kurzlebigen QR-Code mit der App. 3) Betreiber von Örtlichkeit (z. B. Restaurant): Verfügt über eine App des MOHW für den QR-Code-Scan. 4) Betreiber: Der QR-Code wird mit der MOHW-App gescannt. 5) Betreiber: Die MOHW-App übermittelt die Informationen zur Örtlichkeit mit dem QR-Code an die MOHW-Server.
Article 49 (1) Nr. 2 (Preventive Measures against Infectious Diseases) IDCPA. »[…] Restricting or prohibiting performances, assemblies, religious ceremonies, or any other large gathering of people;[…]«.
zu (iv) Health Alerts
Siehe auch Punkt 5. Die Veröffentlichung von Bewegungsrouten.
13 Cell Broadcast: Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 42 »[…] Cell Broadcast […]«.
14 und 15 Websites, Apps: Beispiel für eine Webseite von Privaten: Corona-Map. Screenshot aus dem Abruf mit der Wayback Maschine zur Veranschaulichung. Weiteres Beispiel des Gesundheitsministeriums MOHW:
Asian Development Bank: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 41ff. sowie Seite 43 »[…] provides data on movement of COVID-19 confirmed casses cases to an open API […].«
The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 19, Seite 53ff. sowie 64ff.
zu (v) Datenanreicherung aus dem Gesundheitssystem und Fluggastdaten
Verwendung der RRN als Kenn-Nummer im Gesundheitssystem der ROK: KOREAN RESIDENT REGISTRATION SYSTEM FOR UNIVERSAL HEALTH COVERAGE vom August 2019, Seite 26ff. sowie Abbildung auf Seite 27.
»[…] Figure 12 is a screenshot of the vaccination information system used in medical facilities. After confirming personal information by entering the RR number of the individual, vaccination numbers and dates for all vaccinations are recorded. This history can be accessed by entering the individual’s RR number at any medical facility or local public health center that provides vaccination.[…]«.
The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 46 »[…] The City Data Hub that powers the COVID-19 Platform »[…] covering the domains of […] healthcare. […]«.
Fluggastdaten: The Government of the Rublic of Korea: How Korea responded to a pandemic using ICT; Flattening the curve on COVID-19 vom 11. Mai 2020, Seite 33 Abbildung 9.
5. Die Veröffentlichung von Bewegungsrouten / Detailtiefe
Die Veröffentlichung von Bewegungsrouten unterlag in der ROK einer Entwicklung und war keineswegs unumstritten, so äußerte die National Human Rights Commission ihre Bedenken, was die KDCA / KCDC dazu veranlasste ihre Richtlinien wiederholt anzupassen.
Bild: Durch den Autor erstellt / übersetzt / bearbeitet / ergänzt. Angaben zum Inhalt: Siehe Quellenangabe weiter unten
Dabei spielte auch eine Rolle, dass lokale und regionale Behörden die Detailtiefe der veröffentlichten Informationen unterschiedlich handhabten. Dies führte zu detailreichen Schilderungen von persönlichen Tagesabläufen, Gewohnheiten und Umständen (siehe Punkt 4 der Quellen weiter unten).
All the personal information gathered will be anonymized to avoid the risk of identity exposure.
Quelle: Ministry of Land, Infrastructure and Transport / Korean Agency for Infrastructure Technology Advancement: COVID-19: Smart Management System (SMS) in the Republic of Korea / Dr. Sanghoon Lee vom 22. April 2020, Seite 16
Die in manchen Dokumenten aufgefundene Ansicht, es handele sich um anonymisierte Daten, ist eindeutig als falsch einzustufen. Dies mag zunächst damit zu erklären sein, dass eine Verwechslung zwischen Anonymisierung und Pseudonymisierung vorliegt. Allerdings wäre auch bei der Verwendung des Letzteren Zurückhaltung geboten, denn es ist ja gerade das Ziel des Systems, Menschen zu identifizieren – daher könnte man lediglich von einer äußert schwachen Pseudonymisierung sprechen (wenn überhaupt).
[…] It is a principle not to disclose information specific to an individual such as gender, age, nationality, place of residence and company name, and if all contacts are identified, the space will not be disclosed. […]
Quelle: Assessment of COVID-19 Response in the Republic of Korea / Lizenz: CC BY 3.0 vom 20. April 2021, Seite 41
Es ist ebenso inkorrekt (siehe in Punkt 4 der Quellen weiter unten) davon zu sprechen, dass Informationen wie Geschlecht, Alter oder Nationalität usw. nicht veröffentlicht wurden. Denn es war zumindest zeitweise Behördenpraxis, genau dies zu tun – nach David Moon in COVID-19 and Data Privacy wurden auch Familiennamen veröffentlicht (siehe Seite 98). Daher mag obiges Zitat der letzte Entwicklungsstand sein. Die Aussage übersieht aber die gesellschaftliche Entwicklung (und Kollateralschäden), die zu diesem »Prinzip« geführt hatte. Und damit verschließt man sich der Erkenntnis, welche strukturellen Beweggründe zur Veröffentlichung in dieser Detailtiefe geführt haben.
Quellen / zu finden in:
1 Privacy in the Time of COVID-19: Divergent Paths for Contact Tracing and Route-Disclosure Mechanisms in South Korea von Sangchuk Park, Gina J. Choi, Haksoo Ko / Lizenz: CC BY 4.0
2 Gefunden in Verfassungsblog.de: South Korea’s Combating COVID-19 Under the Rule of Law vom 8.4.2021 / Lee, Seokmin; Kim, Tae-Ho / u.a. die Angabe, dass die Präsidialverfügung noch nicht auf Englisch veröffentlicht wurde
3 Gefunden in CNN.com: South Korea issues privacy warning after local reports link gay people to coronavirus outbreak
4 Beispiel für Angaben eines Health Alert: Gefunden mit der Wayback Machine. Wir verzichten auf die Angabe eines direkten Links und verweisen stattdessen auf ein anderes Capture, um das Auffinden bewusst zu erschweren. Zusätzlich wurden vorhandene Angaben entfernt, wie z. B. Nummern, Geburtsjahr, Geschlecht und Verweise auf andere Patienten oder deren Nationalität sowie gesamte Begegnungstage (rot markiert) gelöscht. Grund: Es ist nicht erforderlich, die Privatsphäre des Betroffenen zu verletzen, um das Ausmaß der Veröffentlichung zu veranschaulichen.
| Seriennummer (#Patientennr.) | Persönliche Daten (Geschlecht, Geburtsjahr) | Infektionsweg |
| [—] | [—] | Am 14. [—] besuchte er mit 5 Gläubigen die Bestattungshalle des Daenam Krankenhauses in Cheongdo, Gyeongbuk. |
| [—] | [—] | 17. [—] 12:00~13:00 Natural Byeolgok (Jamsil Lotte World Wellness Center, eigenes Auto, mit Frau) → 14:00 Rückkehr nach Hause (eigenes Auto) → 21:00 Myeongil Station (Begegnung mit der (aus —- einreisenden) Tochter eines — Missionars (Bekannte) |
| [—] | [—] | 18. [—], 06:00~07:00 Kirche (zu Fuß) → 09:30~09:00 Teilnahme an der Andachtsversammlung → 10:00~12:00 Besuch des Gottesdienstes ([—] LG Apartment Umzug) → 12:00~13:00 Mittagessen im Sushi Sea → 14:00 Besuch der Good Morning HNO-Heilkunde (Amsa-dong) → 14:30 Besuch der Amsangjoeun Onnuri Pharmacy → 14:30~18:00 Kirchendiözesanbüro → 18:00 nach Hause (eigenes Auto) (Entspannung im Haus von [#—], der Tochter eines [—] |
| [—] | [—] | 24. [—], Besuch des öffentlichen Gesundheitszentrums Gangdong-gu. Nachdem er die Diagnose am 25. [—] bestätigt hatte, wurde er in das Hanil-Krankenhaus in Dobong-gu verlegt. |
Vergegenwärtigen wir uns bitte Folgendes: Es ist möglich, mit nur mäßigem Aufwand und ohne Kenntnis der Landessprache, Informationen über die Corona-Erkrankung eines Menschen in Erfahrung zu bringen, der rund 8500 Kilometer Luftlinie entfernt lebt. Unter Zuhilfenahme weiterer Informationsquellen wäre die Wahrscheinlichkeit sehr hoch, den Betroffenen zu identifizieren.
6. Und das Datenschutzgesetz?
Wer sich nun über die passive Rolle des Datenschutzgesetzes PIPA wundert, muss dazu wissen, dass zwei Regelungen dem Pandemieschutzgesetz IDCPA Vorrang einräumen. Dies erschafft ein, wie David Moon es in COVID-19 and Data Privacy ausdrückt, »gesetzliches Niemandsland« (Seite 96). Damit wird das IDCPA de facto vom Pandemieschutzgesetz zum Datenverarbeitungsgesetz, das sämtliche uns in Europa bekannten Datenschutzgrundsätze über Bord wirft. Art. 76-2 IDCPA stellt damit die zentrale Erlaubnis für eine Datenerhebung dar (eine Petition, die der Verfassungsmäßigkeit von 76-2 ICDPA anzweifelt, wird gerade überprüft).
Bild: Durch den Autor erstellt / übersetzt / bearbeitet / ergänzt. Angaben zum Inhalt: Siehe Quellenangabe weiter unten
Quellen / zu finden in:
1 Moon, D., 2021. COVID-19 and Data Privacy: A Discussion of the Disease Control and Prevention Measures in the United Kingdom and South Korea. Rule of Law Journal, 2(1), pp.77–114. Gefunden auf Seite 96.
2 Moon, D., 2021. COVID-19 and Data Privacy: A Discussion of the Disease Control and Prevention Measures in the United Kingdom and South Korea. Rule of Law Journal, 2(1), pp.77–114. Gefunden auf Seite 96.; sowie Seite 103 »[…] Article 58 does not specify a data controller […]«.
Article 58 (Partial Exclusion of Application) PIPA: »[…] (1)Chapter III through VII shall not apply to any of the following personal information: […] Nr. 3. Personal information processed temporarily where it is urgently necessary for the public safety and security, public health, etc.;[…]«.
3 und 7 Moon, D., 2021. COVID-19 and Data Privacy: A Discussion of the Disease Control and Prevention Measures in the United Kingdom and South Korea. Rule of Law Journal, 2(1), pp.77–114. Gefunden auf Seite 101-102. Zu 7: Article 6 (Duties and Rights of Citizens) IDCPA in »[…](2) Each citizen shall have the right to know information on the situation of the outbreak of infectious diseases and the prevention and control of infectious diseases and how to cope therewith, and the State and local governments shall promptly disclose the relevant information.«.
Article 58 (Partial Exclusion of Application) PIPA: »[…] (1)Chapter III through VII shall not apply to any of the following personal information:[…] Nr. 3. Personal information processed temporarily where it is urgently necessary for the public safety and security, public health, etc.;[…]«.
3 Moon, D., 2021. COVID-19 and Data Privacy: A Discussion of the Disease Control and Prevention Measures in the United Kingdom and South Korea. Rule of Law Journal, 2(1), pp.77–114. Gefunden auf Seite 98.
Article 34-2 (1) IDCPA koreanische Version vom September 2020: »[…] However, gender, age, and other information determined to be irrelevant to the prevention of infectious diseases as prescribed by Presidential Decree shall be excluded. <Revised 2020. 3. 4., 2020. 8. 11., 2020. 9. 29., 2021. 3. 9.>[…]«.
Article 34-2 (2) IDCPA koreanische Version vom September 2020: »[…] When the information disclosed pursuant to paragraph (1) no longer needs to be disclosed due to the achievement of the purpose of disclosure, […] shall delete the disclosed information without delay. <Newly established 2020. 9. 29.>[…]«.
4 Article 34-2 (4) IDCPA koreanische Version vom September 2020: »[…] he/she shall take necessary measures, such as correction of the disclosed information, without delay. <Newly established 2020. 3. 4., 2020. 8. 11., 2020. 9. 29.>[…]«.
5 Article 34-2 (5) IDCPA koreanische Version vom September 2020: »[…] Matters necessary for disclosure and deletion of information […]«.
6 3 Moon, D., 2021. COVID-19 and Data Privacy: A Discussion of the Disease Control and Prevention Measures in the United Kingdom and South Korea. Rule of Law Journal, 2(1), pp.77–114. Gefunden auf Seite 100.
6 3 Moon, D., 2021. COVID-19 and Data Privacy: A Discussion of the Disease Control and Prevention Measures in the United Kingdom and South Korea. Rule of Law Journal, 2(1), pp.77–114. Gefunden auf Seite 102.
Im Verlauf der Pandemie hat die ROK, insbesondere in Bezug auf die Veröffentlichung von Informationen (Art. 34-2 IDCPA), gegengesteuert. Allerdings erst nachdem u. a. die National Human Rights Commission im März 2020 ihre Bedenken äußerte. Es mögen zwar Verbesserungen in puncto Betroffenenrechte stattgefunden haben, der im September 2020 eingeführte Art. 40 (5) IDCPA zementiert allerdings auch eine zentrale Datenbank als Mittel zur Pandemiebekämpfung. Die Kompetenzkollision, welche Behörde federführend bei der Kommunikation (Informationsveröffentlichung nach Art. 34-2 bzw. 6-2 IDCPA) ist, kann auf eine widersprüchliche Gesetzesregelung zurückgeführt werden – Art. 34 IDCPA sprach ursprünglich dem MOHW die Regelungskompetenz zu. Dieses Problem wurde nicht beseitigt. Das Risiko einer uneinheitlichen Auslegung, welche Informationen zu veröffentlichen sind, bleibt somit bestehen.
Der Umstand, dass zwar Verfahren für die Veröffentlichung von Informationen, aber nicht zu deren »Löschung« vorgesehen waren, weist auf eine mangelhafte Konzeption und Risikoanalyse hin.
[…] has, over a period of several years preceding his visit to Korea, often talked about the risks of Smart Cities. […]. Therefore, the Special Rapporteur would recommend that the Government develop safeguards in order to prevent its Smart City project subjecting citizens to the excessive collection of their data by, first, completing a Privacy Impact Assessment.
Quelle: Visit to the Republic of Korea; Report of the Special Rapporteur on the right to privacy, Joseph Cannataci / Bezogen auf: Smart City project in Jeju / RN64 Advance Unedited Version, Human Rights Council, 22 February–19 March 2021, Promotion and protection of all human rights, civil, political, economic, social and cultural rights, including the right to development
Zumal die Verhältnismäßigkeit und Erforderlichkeit, insbesondere der Datenveröffentlichung, angezweifelt werden kann. Dies drückt der Sonderberichterstatter des OHCHR der Vereinten Nationen folgendermaßen aus:
[…] explains some of the reasons why the Special Rapporteur finds that a significant amount of personal data collection in the name of combating COVID-19 was for certain periods of time, especially in the period January-June 2020, neither necessary or proportionate:
Disclosed contact trace data (e.g., “where, when, and for how long”) help people to self-identify potential close contacts with people confirmed to be infected. However, location trace disclosure may pose privacy risks because a person’s significant places and routine behaviors can be inferred. […] Disclosing such personal data of already identified persons may not be useful for contact tracing whose goal is to locate unidentified persons who may be in close contact with confirmed people. In other words, for contact tracing purposes, it would be less useful to disclose the personal profile of the confirmed person and their social relationships, such as family or acquaintances. […].
Quelle: Visit to the Republic of Korea; Report of the Special Rapporteur on the right to privacy, Joseph Cannataci, RN 17 Advance Unedited Version, Human Rights Council, 22 February–19 March 2021, Promotion and protection of all human rights, civil, political, economic, social and cultural rights, including the right to development
7. Es sind doch nur Daten, oder? Eine Meinung dazu
Allzu oft zweifelt man die praktischen Auswirkungen von gesammelten Daten an. In Südkorea kann man dies nun beobachten. Man übersieht dabei aber oft, dass die Nebenwirkungen nicht zufällige Fehlentwicklungen sind. Sie entstehen als mittelbare Ergebnisse von Daten- und Informationsmacht. Es gehört allerdings auch zur Wahrheit, dass die Maßnahmen der ROK in der Bevölkerung Akzeptanz (siehe Sangchul Park Privacy in Times of COVID-19 Seite 53) genießen – insbesondere was die Veröffentlichung der Informationen über COVID19-Patienten angeht. Allerdings dürfte die öffentliche Zustimmung stark von einem Punkt abhängen: der Datensicherheit. Denn obwohl es eine schon ausführliche und teils kompromittierende Datenveröffentlichung gibt, sind die Datensätze in diesem System noch weitaus sensibler und umfangreicher – hier stellen sich rechtsstaatliche Fragen von Verhältnismäßigkeit und Erforderlichkeit.
Das Vorgehen der ROK – insbesondere durch eine zentrale Datenspeicherung, die datenschutzrechtliche Grundsätze kaum beachten muss – schafft ein enormes Machtungleichgewicht. D. h. ressourcenreichen und verzweigten Organisationen mit Informationsmacht, die sich durch den Zustand der Nicht-Verantwortung nicht rechtfertigen müssen, stehen einzelne Individuen oder Minderheiten gegenüber. Dies wird dadurch deutlich, dass die Betroffenen einer automatisierten Informationsmaschinerie unterworfen werden, die nicht frei von Willkür oder Missbrauch sein kann und indirekt ein gesellschaftliches Klima aus Angst und Ausgrenzung fördert. Durch die Verneinung eines datenschutzrechtlichen Machtausgleiches, werden die Konsequenzen der Datenveröffentlichung an den Betroffenen externalisiert. Es kommt gleichsam zur Einführung einer »Infektionsschuld«, die eben als Rechtfertigung für jedwede Informationsveröffentlichung dient. Der Betroffene wird von einem Menschen, der Hilfe benötigt, zu einer Bedrohung – denn dazu macht ihn ein Hygienestaat. Indirekt entsteht eine »Kontaktschuld« zum gesellschaftlichen Umfeld eines COVID-19-Betroffenen – diese treibt die toxische Informationsspirale unweigerlich an, denn niemand möchte zum Kreis der Ausgegrenzten gehören. Um Missverständnissen vorzubeugen: Wir sprechen nicht über medizinisch gerechtfertigte Maßnahmen.
Praktische Auswüchse (Beispiele) dieser Fehlentwicklungen werden an folgenden Ereignissen sichtbar:
- Die Stigmatisierung, die mit der Veröffentlichung von Informationen einhergeht, wird mehr gefürchtet als eine COVID-19-Erkrankung. / siehe David Moon in COVID-19 and Data Privacy Seite 89 sowie BBC News vom März 2020
- Naming and shaming: siehe David Moon in COVID-19 and Data Privacy auf Seite 98. Insbesondere:
- Video in Global News Kanada Coronavirus outbreak: Facing survivor stigma in South Korea’s with ‘Patient 47’ – Mar 31, 2020
- David Moon in COVID-19 and Data Privacy auf Seite 99
- der Bürgermeister von Gumi enthüllt Nachnamen auf Facebook. Siehe: BBC News vom März 2020
- Das Verhalten des Bürgermeisters von Gumi lässt zudem die Deutung zu, dass die (medienwirksame) Veröffentlichung auch aus Eigennutz geschah, um die eigene politische Karriere zu fördern.
- Minderheiten als Sündenbock: David Moon in COVID-19 and Data Privacy spricht auf Seite 99 von einer regelrechten Hexenjagd auf die (in Südkorea nicht unumstrittenen) Mitglieder der christlichen Shincheonji-Kirche.
Gleichzeitig sind technisch lose Enden entstanden. Dies wird dadurch deutlich, dass die Beteuerungen zur Datenlöschung kaum zu erfüllen sein werden. Es wurde einerseits in diesem Beitrag bereits aufgezeigt, dass die Daten über das Internet weiterhin abrufbar sind. Viel schwerer wiegt aber die Tatsache, dass ein Big-Data-System strukturell darauf aufbaut, so viele Daten wie möglich zu erfassen und zu behalten. Datenlöschung ist weder ein Merkmal noch das Ziel von Big Data und wird daher auch bei der Systementwicklung nicht beachtet. Dies wird beispielsweise auch dadurch deutlich, dass automatisierte Datenabfragen bei dutzenden Organisationen durchgeführt werden. Diese Abfragen werden wiederum automatisch protokolliert und enthalten damit auch eine indirekte Bedeutung über die Umstände der Abfrage (COVID). Die Unternehmen werden, aufgrund der gesetzlichen Verpflichtung, diese Anfragen so detailliert wie möglich protokollieren, um nachweisfähig zu sein.
[…] Ihre digitale Identität lebt für immer – weil es keinen Löschknopf gibt. […]
Quelle / gefunden in: Speichern und Strafen von Adrian Lobe, Seite 140 / Zitat von Eric Schmidt, ehemaliger Google-Chef
An diesem Punkt und zum Abschluss muss man sich Fragen stellen: Wer wird nach der Pandemie auf die losen Datenhalden aufpassen? Aber nicht nur diese technisch losen Enden werden überdauern. Vor allem, und das lehrt uns das Beispiel Südkorea, steht die eine Frage im Raum. Wo hören erforderliche Maßnahmen zur Pandemiebekämpfung auf und wo beginnt ein paternalistischer Hygienestaat? In Deutschland gibt es einen Ort, wo diese Frage hingehört. Und das ist der deutsche Bundestag.
P.S. An dieser Stelle eine Danksagung an Tschaeggaer für das unermüdliche Korrekturlesen.
Bildquellen:
Virus: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Facebooks Daten-Blowouts: Eine Verständnisbrücke Teil1
Die deutsche Datenpolitik der CDU/CSU Teil 2: »Jeder ist auf sich gestellt«
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
Kuketz-Blog: Jahresrückblick 2021 und Ausblick
Kuketz-Blog: Jahresrückblick 2020 und Ausblick
1 Ergänzungen zu “Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Sehr schöner Beitrag! Wie bei allen guten Beiträgen hier lesen das wahrscheinlich viel zu wenige Leute (siehe Anzahl der Ergänzungen). Bei Südkorea ist auch nicht zu vergessen, dass das Land vor allem durch einige Großkonzerne wie Samsung bzw. die Familien, die sie besitzen, kontrolliert wird.