Wie unsere veralteten Datenschutzgesetze Kontaktverfolgungs-Apps zum Scheitern verurteilt haben

Die Pandemie hat uns vieles gelehrt: Wie anfällig wir noch immer für unkontrollierte Krankheiten sind. Wie gespalten wir politisch sind, auch wenn es um den Schutz unserer Gesundheit geht. Wie selbstverständlich haben wir die Ausrottung früherer Krankheiten wie Polio und Pocken hingenommen. Wie sehr wir die einfache Freiheit genießen, in einem Restaurant zu essen oder in einem Geschäft zu stöbern. Wie sehr wir für unser tägliches Glück auf die Interaktion mit Freunden und Familie angewiesen sind.





Ich bin Datenschutzanwältin. Eine der Lektionen, die ich aus der Pandemie gelernt habe, betrifft den Datenschutz und das Versagen von Apps zur Kontaktverfolgung. Im vergangenen Frühjahr, als sich die Krankheit zum ersten Mal schnell ausbreitete, wurden diese Apps als vielversprechender Weg, es zu kontrollieren durch Nachverfolgung von Diagnosen und Exposition durch Selbstauskunft und Standortverfolgung. Damals kündigten Apple und Google eine gemeinsame Anstrengung Technologie zu entwickeln, mit der die Gesundheitsbehörden der Regierung Apps für ihre Gemeinden erstellen können, wobei der Datenschutz und die Sicherheit der Benutzer im Mittelpunkt des Designs stehen. Während diese Apps hatten gemischter Erfolg weltweit waren sie in den Vereinigten Staaten ein großer Fehlschlag. Tatsächlich haben die Amerikaner trotz früher Hoffnungen und mehrerer Bemühungen, diese Apps in verschiedenen Bundesstaaten und Orten zu implementieren, sie weitgehend abgelehnt, und sie haben mitgespielt minimale Rolle bei der Kontrolle der Krankheit.



Ein Hauptgrund für dieses Versäumnis ist, dass die Menschen den Technologieunternehmen oder der Regierung nicht vertrauen, ihre personenbezogenen Daten zu sammeln, zu verwenden und zu speichern, insbesondere wenn diese Daten sie betreffen Gesundheit und genauer Aufenthaltsort . Obwohl Apple und Google zugesagt haben, zu bauen Datenschutzmaßnahmen in das Design der Apps – einschließlich Opt-in-Option, Anonymität, Nutzungsbeschränkungen und Speicherung von Daten nur auf dem Gerät eines Benutzers – ließen sich die Amerikaner einfach nicht überzeugen. Zum Beispiel eine Washington Post/University of Maryland Umfrage Die kurz nach der Ankündigung der App durchgeführte Studie ergab, dass 50 % der Smartphone-Benutzer keine Kontaktverfolgungs-App verwenden würden, selbst wenn sie versprach, sich auf anonyme Verfolgung und Berichterstattung zu verlassen; 56% würden den großen Technologieunternehmen nicht zutrauen, die Daten anonym zu halten; und 43% würden nicht einmal öffentlichen Gesundheitsbehörden und Universitäten trauen, dies zu tun. Bis Juni hatte das Misstrauen der Amerikaner zugenommen, mit einem neue Umfrage Dies zeigt, dass 71 % der Befragten keine Kontaktverfolgungs-Apps verwenden würden, wobei der Datenschutz als Hauptgrund genannt wird.



Datenschutzbedenken waren nicht der einzige Grund, warum diese Apps fehlgeschlagen sind. Wie Experten vorhergesagt haben, scheiterten sie auch aus anderen Gründen, darunter die unzureichenden Tests, die Unzuverlässigkeit der Selbstauskunft und die breite und schnelle Ausbreitung der Krankheit. Die Reaktion der Amerikaner auf diese Apps zeigt jedoch, dass der Datenschutz jetzt eine entscheidende Rolle bei ihrer Entscheidungsfindung spielt. Entgegen der langjährigen Argumentation, dass Menschen sagen sie kümmern sich um die Privatsphäre, aber Gesetz wie sie es nicht tun (manchmal auch als bezeichnet) Privatsphäre-Paradox ) weigerten sich die Amerikaner, diese Apps hauptsächlich aus Datenschutzgründen zu verwenden. Privatsphäre war wirklich wichtig.



Die Amerikaner hatten guten Grund, bei der Datenerfassung durch diese Apps vorsichtig zu sein. In den letzten Jahren wurden sie immer wieder Opfer von Datenschutzverletzungen und andere Datenschutzverletzungen (auch von der große Technik Firmen ) zu zahlreich, um sie zu erwähnen. In vielen Fällen haben die Datenschutzgesetze in diesem Land sie nicht vor diesen Missbräuchen geschützt, sei es, weil die Missbräuche nicht in den begrenzten Anwendungsbereich dieser Gesetze fielen oder weil die Gesetze unzureichende Strafen oder andere Rechtsmittel vorsahen. Die gleichen Gefahren drohten in Bezug auf Kontaktverfolgungs-Apps. Wie die Leser dieses Blogs wahrscheinlich wissen, gibt es in den USA kein grundlegendes Datenschutzgesetz, das die über diese Apps erhaltenen sensiblen Daten schützt.



Wann ist die Mondfinsternis?

In den USA gibt es zwar Gesetze zum Schutz sicher Daten in sicher Marktsektoren haben diese Gesetze hier nur begrenzte Anwendung. Tatsächlich würde kein mir bekanntes US-Gesetz eindeutig vorschreiben, dass alle durch COVID-Tracing-Apps gesammelten Daten sicher gespeichert und übertragen, nur zum Zweck der Verfolgung von COVID verwendet und sicher entsorgt werden müssen, wenn sie für diesen Zweck nicht mehr benötigt werden. Ohne einen solchen Schutz gibt es keine Garantie dafür, dass diese sensiblen Daten nicht in die Hände von Versicherungsunternehmen, Arbeitgebern, Gläubigern, Identitätsdieben oder Stalkern gelangen, um sie auf eine Weise zu verwenden, die Einzelpersonen schaden oder sie diskriminieren könnte.



Zum Beispiel bietet das Health Insurance Portability and Accountability Act (HIPAA) einen gewissen Schutz für unsere medizinischen Informationen, jedoch nur, wenn die Daten von einem abgedecktes Unternehmen – d. h. ein medizinischer Dienstleister wie ein Arzt oder ein Krankenhaus oder ein Geschäftspartner, der bei der Durchführung medizinischer Tätigkeiten hilft. Dies war hier nicht der Fall, da staatliche und lokale Gesundheitsämter die Daten erhoben und verwendet haben. Auf jeden Fall hatte HHS bereits im April angekündigt, dass es so ist aussetzen HIPAA-Durchsetzung und Strafen für viele erfasste Einrichtungen, die in gutem Glauben Maßnahmen zur Bekämpfung von COVID ergriffen haben, was die Frage weitgehend strittig macht und darauf hindeutet, dass HHS seine eigenen Datenschutzbestimmungen für die Gesundheit als schlecht gerüstet ansah, um mit einem Notfall im Bereich der öffentlichen Gesundheit fertig zu werden.

Anderen US-Gesetzen ergeht es nicht viel besser. Der FTC-Gesetz ermöglicht es der FTC, unlautere oder betrügerische Handlungen oder Praktiken im Geschäftsverkehr, in der Regel im Nachhinein, anzufechten – einschließlich wesentlicher Falschdarstellungen in Bezug auf Datenschutz oder -sicherheit oder Datenpraktiken, die erhebliche Verbraucherschäden verursachen, ohne den Nutzen aufzuheben. Obwohl dieses Gesetz wohl die breiteste Anwendung aller US-amerikanischen Datenschutzgesetze hat, bietet es nicht annähernd den hier erforderlichen spezifischen Schutz – klare Grenzen dafür, wie (und wie lange) Daten verwendet werden können, die über COVID-Tracing-Apps gesammelt werden, gespeichert und geteilt. Stattdessen können Unternehmen in den meisten Fällen selbst entscheiden, welchen Datenschutz sie bieten (oder nicht), solange sie Täuschung und offensichtliche Verletzungen vermeiden. Hinzu kommt, dass das FTC-Gesetz außer in begrenzten Fällen keine zivilrechtlichen Sanktionen (erforderlich zur Abschreckung von Fehlverhalten) zulässt.



Wenn die Apps von Bürgern bestimmter Bundesstaaten oder Gemeinden verwendet werden, können bundesstaatliche oder lokale Gesetze gelten. Ein kurzer Blick auf das führende staatliche Gesetz (den California Consumer Privacy Act oder CPPA) ist jedoch nicht erfolgversprechend, da es nicht für die Regierungsbehörden die diese Apps erstellen und verwenden. Selbst wenn CCPA Anwendung fand, bietet ein Gesetz, das Bürger nur in einem Staat schützt, kaum die Datenschutzgarantien, die für eine breite landesweite Verbreitung von Kontaktverfolgungs-Apps erforderlich sind.



Monate nach der Pandemie versuchte der Kongress, diese rechtliche Lücke zu schließen, indem er ein weiteres enges, situationsspezifisches Gesetz erließ. Im Mai und Juni, nachdem bereits Apps zur Kontaktverfolgung entwickelt und an bestimmten Orten eingesetzt worden waren, eilten mehrere Senatoren in Umlauf Gesetzentwürfe um die Apps und die von ihnen gesammelten sensiblen Daten zu regulieren. Einige dieser Rechnungen hatten ernste Mängel und Lücken , und keiner von ihnen kam im Kongress voran.

Welche Lehren können wir aus dieser Erfahrung ziehen? Die erste ist die offensichtliche Lektion, die oben hervorgehoben wurde, dass Bedenken hinsichtlich des Datenschutzes das öffentliche Misstrauen gegenüber diesen Apps schürten und dazu beigetragen haben, ihr Scheitern sicherzustellen. Seit Jahren argumentieren Befürworter strenger Datenschutzgesetze – oft vor einem skeptischen Branchenpublikum –, dass robuste Schutzmaßnahmen erforderlich sind, um das Vertrauen der Verbraucher in den Markt zu wahren. Die Kontaktverfolgung ist ein konkretes Beispiel.



Was hier passiert ist, erinnert uns auch daran, dass klare Standards zur Datennutzung nicht nur als Zurückhaltung , aber auch als eine Möglichkeit, ermöglichen verantwortungsvoller Umgang mit Daten, einschließlich der Datenverwendung für Notfälle. Richtig ausgearbeitet sollte ein Datenschutzgesetz unsere täglichen Datenpraktiken sowie die Verwendung personenbezogener Daten zur Bekämpfung einer Pandemie regeln und leiten.



Darüber hinaus veranschaulicht unsere Erfahrung hier treffend das Chaos und die Verwirrung, mit denen wir routinemäßig konfrontiert sind, wenn wir versuchen, die Privatsphäre in den USA zu verwalten – ein Flickenteppich von Gesetzen, der viele unserer Daten ungeschützt lässt, Ungewissheit darüber, welche Gesetze gelten, hastige Bemühungen, die Lücken in die Hitze des Gefechts und das Vertrauen der Öffentlichkeit erodieren.

Zusammengenommen führen uns all diese Lektionen zurück zu derselben Schlussfolgerung, die das Thema meines früheren Blog-Posts war – dass wir ein grundlegendes Bundesdatenschutzgesetz brauchen, um klare und durchsetzbare Datenschutzregeln auf dem gesamten Markt festzulegen, die unsere personenbezogenen Daten schützen in guten und in Krisenzeiten.