Personalisierte Gesundheitsdaten in der Microsoft-Cloud

Im Zuge der Maßnahmen zur Pandemie-Eindämmung in Verbindung mit der Verarbeitung personenbezogener Daten hat es immer wieder eklatante Fälle von Fehlentscheidungen und Datenlecks gegeben. Sei es bei der Programmierschnittstelle von Google und Apple für die Corona-Warn-App, unzureichenden Datenschutz-Konzepten und Sicherheitslücken in Testzentren oder mangelnder Transparenz zur Aufklärung von Maskenskandalen. In dieser Chronik einer halbherzigen Digitalisierung aus der Not ohne Dialog reiht sich nun auch das unachtsame Vorgehen zur Überprüfung von Impf-/Genesenenstatus bei Beschäftigten, besonders Hilfskräften, in Hochschulen und Universitäten ein.

Impf-/Genesenenzertifikat per Postkarte

Da wir davon ausgehen, dass die meisten von Euch geimpft oder genesen sind, wäre es am einfachsten, wenn Ihr das vollständige Impf- oder Genesenenzertifikat (2G-Zertifikat) aus der Corona- oder Covpass-App als pdf erzeugt (bitte keinen Screenshot des QR-code!) und dann an [@Dekanat] mailt. Dort werden dann die Daten in die, in der Präsidiumsmail erwähnten, Liste übertragen. Diese ist auch nur dem Dekanat bekannt und wird sofort gelöscht, wenn das Führen dieser Liste nicht mehr von Nöten ist. Wie man sehen kann, steht im dem pdf auch nicht mehr als Name, Datum der Impfung und das Geburtsdatum – also alles Informationen, die entweder notwendig sind oder bereits in der HSD bekannt sind.

Ebenso einfach wäre es den 2G-Nachweis auf eine Postkarte zu kleben und diese gesammelt bei einem Unternehmen zu lagern, welches sämtliche, darauf enthaltene Informationen außerhalb der EU (und damit auch außerhalb der Gültigkeit der EU DS-GVO) automatisch durchsuchen und weiterverarbeiten darf. Denn E-Mail Postfächer von Studierenden (Hilfskräften) an der Hochschule Düsseldorf fristen ihr Dasein bereits “by Design” in der Microsoft 365 Cloud. Damit verbleibt eine Kopie des Impf-/Genesenen-Zertifikats dauerhaft im Postausgang und ist damit auswertbar durch Microsoft nach CLOUD Act und höchstwahrscheinlich auch durch die Campus IT. Es ist zwar richtig, dass Name und Geburtsdatum bereits bekannt sind, jedoch stellen diese Informationen zusammen mit dem Impf- bzw. Genesenenstatus personalisierte, sensible Daten zur Gesundheit dar und stehen unter einem besonderen Schutz. Bei E-Mails kann dieser Schutz, auf Grund der Postkarten-Analogie, nur mit einer Ende-zu-Ende Verschlüsselung (vgl. Briefumschlag) ausreichend gewährleistet werden. Doch diese seit über 20 Jahren bewährte Möglichkeit kennen nur die Wenigsten; selbst in den technischen Fachbereichen und Einfachheit hat hier offenbar höhere Priorität.

Einfach und bequem Daten sammeln

Die oben beschriebene Vorgehensweise erscheint mir als die einfachste Lösung, da die Hochschule nicht bis zu diesem Nachweis betreten werden darf – auch nicht bis zum Dekanat hoch. Wir müssten dann auf der Straße oder via Teams kontrollieren, wenn ich den Inhalt der heutigen Sitzung richtig rekapituliere. Daher möchte ich Euch bitten diese Lösung mitzutragen, auch wenn ich Euch formal nicht dazu verpflichten kann – andernfalls müsste ein Termin für eine visuelle Kontrolle vereinbart werden. Ein solcher Termin ist für Personen, die nicht unter die 2G-Regelung fallen, also die einen Testnachweis haben, in jedem Fall fällig. Dafür muss dann im Vorfeld ein Termin zur Kontrolle mit dem Dekanat oder mir vereinbart werden, bevor die Hochschule betreten werden kann. Jedes einzelnes Testergebnis muss dann händisch in die Liste eingetragen werden.

Das Zitat verdeutlicht, wie Bequemlichkeit und Gewöhnung an die zwingend vorgegebene Microsoft-Infrastruktur andere, datensparsame Alternativen aus dem Blickfeld verbannen und auf diese Weise unterschwellig zum Datensammeln animieren. Denn die Überprüfung auf eines der 3G könnte stichprobenartig, ohne personenbezogene Daten erfasst werden. Grundsätze nach EU DS-GVO scheinen in der Hochschule Düsseldorf allerdings nicht geläufig zu sein und deren Einhaltung wird von vielen Betroffenen noch nicht stark genug eingefordert.

Die zwei Arten von 3G-Armbändern

Schild für die 3G-Zugangsregelung an der HS Düsseldorf

So ist es auch nicht verwunderlich, dass die zu Beginn des Wintersemesers eingeführte allgemeine 3G-Kontrolle für Studierende mit Armbändern in leuchtenden Farben, statt einem dezenten Aufkleber auf dem Studierendenausweis, keinerlei Protest ausgelöst hat, obwohl damit auch jede*r Andere erkennen kann, wer geimpft bzw. genesen (weißes Immunisierungsarmband) ist, oder als Getesteter mit seinem Tagesarmband “Farbe bekennen” muss. Außerhalb einer Kontrollsituation ist es zwar erlaubt das Armband nicht sichtbar zu tragen nämlich zu verdecken, kurzärmlige Oberbekleidungen waren bei dieser Entscheidung jedoch vermutlich (noch) kein Thema. Genauso wenig wie die lange Schlange vor der Armbandausgabe durch Lehrende, in welcher sich freiwillig auch Geimpfte und Genesene für eine tägliche Plakette anstellen könnten, um sich mit getesteten Kommiliton*innen solidarisch zu zeigen.

Immunisierungs- und Tagesarmband für 3G-Kontrolle

Schleichend und unter dem Deckmantel von Freiwilligkeit tragen Methoden dieser Art zum Diskriminierungspotential in einer bereits polarisierten Gesellschaft bei und erzeugen mitunter das Gefühl von Digitalzwang. Die gelebte Praxis im Hinblick auf den Schutz personenbezogener Daten an öffentlichen Einrichtungen wie der Hochschule Düsseldorf ist mangelhaft und begünstigt Assimilationspolitik. Idealismus und Kreativität fehlen, während Studierende, Lehrende und andere Beschäftigte pandemiemüde oft den einfachsten = bequemsten Weg gehen.

#HSD #Microsoft365 #Cloud #Covid19 #Corona #Pandemie #Datenpanne #Datensammeln #Gesundheitsdaten #2G #Impfzertifikat #3G #Armband #Digitalzwang

Anregungen, Kritik o.ä. an: ecaps(tod)rebu.nev(ta)onag