Kampf gegen Corona: Mit KI und Metadaten?

Seit sich der Coronavirus über die Welt ausbreitet, grüble ich, ob ich meine Haltung zur digitalen Privatsphäre unter Umständen überdenken muss. Ein Gedankenexperiment.

Konkret frage mich, ob die in unseren Smartphones massenweise erhobenen und auf diesen Seiten leidenschaftlich bekämpften Metadaten letztlich nicht doch ihren Sinn haben. Möglichweise könnten ein Schlüssel zur Eingrenzung der Epidemie sein. Das Robert-Koch-Institut (RKI) überlegt beispielsweise, die Standortangaben von Smartphones zu nutzen, um den Weg des Virus ohne aufwändige Befragungen nachzeichnen zu können. Doch die Möglichkeiten einer (grundsätzlich kritischen, möglicherweise aber gebotenen) Auswertung von Metadaten enden hier nicht. Die beispielweise von Whatsapp gesammelten Infos, wer wann wo mit wem kommuniziert, könnten dabei helfen, bei Verdachtsfällen Kontaktpersonen zu ermitteln. Lange Chat-Konversationen zu später Stunde von zu Hause aus deuten auf vertraute Personen hin (Familie/Freund*in/Partner*in), vereinzelte, von außerhalb des Hauses gesendete Nachrichten an Werktagen zwischen 9 und 17 Uhr auf berufliche oder schulische Kontakte.

Weitere Möglichkeiten zur Epidemie-Bekämpfung bietet [das Maschinelle Lernen, genannt:] Künstliche Intelligenz: Die Vorteile der darin verwendeten Künstlichen Neuronalen Netze liegt darin, in großen Datenmengen Muster zu erkennen. In meinem Buch erläutere ich die Funktionsweise und Anwendungsgebiete anhand einiger Beispiele. Auch im Blick auf Corona wird die Technologie eingesetzt. In China wird ein KI-System getestet, auf CT-Aufnahmen einer Verdachtsperson den Virus auszumachen. Dazu gleicht es die Bilder in Sekundenschnelle mit den Aufnahmen von bestätigten Fällen ab. Zum Vergleich: Ein normaler Coronatest dauert mehrere Stunden.

Doch was wäre, wenn ein Computersystem, das mit Maschinellem Lernen arbeitet, sämtliche Metadaten aus den Handys der Bevölkerung z. B. Deutschlands erhielte? Es könnte vermutlich in Echtzeit aufzeigen, wo das Virus besonders aktiv ist, in welche Region es sich ausbreitet und wo die Infektionen zurückgehen. Mit den richtigen Parametern ausgestattet könnte das System erkennen, welche Personengruppe mit bestätigten Infizierten Kontakt hatte, woraufhin diese Menschen dann von den Behörden direkt kontaktiert werden können (die Handynummer liegt ja vor). Die KI würde darstellen, wo sich das Virus auf Risikogruppen zubewegt, die dann vorbereitet oder auch abgeschottet werden könnten.
Eine KI könnte also helfen, dass Virus einzudämmen, schwere Krankheits- und Sterbefälle zu verhinden und die Bevölkerung zu schützen. Selbst für mich als überzeugtem Datenschützer und KI-Skeptiker ist diese Perspektive so reizvoll, dass ich überzeugt bin, dass wir diese Chance nicht ungenutzt lassen dürfen. Konkret: Wir müssten probieren a) an die Daten zu kommen und b) die Daten dementsprechend zu nutzen.
Doch jetzt kommen die „Abers“.

  1. Es müsste sichergestellt sein, dass die Smartphonenutzer*innen mit der Datenverwendung einverstanden sind. Dazu verpflichtet die DSGVO, aber auch der gesunde Menschenverstand. Doch zunächst müssten die Bürger*innen darüber informiert werden, dass die kommerzielle Datensammlung in einem solch großen Maße überhaupt stattfindet. Dann müsste ihnen versichert werden, dass die nachstehenden weiteren Prämissen erfüllt werden. Wer schon einmal eine DSGVO-Einverständiserklärung ausgefüllt hat, weiß, worauf das hinausläuft.
    Voraussetzung: kaum erfüllbar.
  2. Es müsste geklärt werden, wem die Metadaten gehören. Ich bin der Ansicht: den Nutzer*innen (weshalb ich mich immer noch mit Whatsapp kloppe); vermutlich betrachten Facebook, Google & Co. diese Daten aber als ihr Eigentum. Darüberhinaus haben die Unternhemen sicherlich kein Interesse daran, dass das Thema (Meta-)Datensammlung so breit in die Öffentlichkeit kommt. Nicht, dass sie womöglich ethische gegen kommerzielle Überlegungen abwägen müssten…
    Voraussetzung: nur erfüllbar, wenn die App-Hersteller mitmachen.
  3. Die Entwicklerfirmen der Betriebssysteme Android und iOS, Google und Apple, müssten eine Schnittstelle für den Export der Daten liefern. Updates auf den Smartphones wären nötig – die viele Nutzer*innen aber nicht regelmäßig machen.
    Voraussetzung: kaum erfüllbar.
  4. Die Entwickler*innen von Android und iOS müssten überhaupt an die Daten kommen – die zum Glück aber meist auf verschlüsselten Smartphones liegen. Apple und Google besitzen die Schlüssel zum Dekodieren nicht, also kämen sie nur durch Hacking an die Daten.
    Damit als Voraussetzung: auszuschließen.
  5. Die Alternative zu 3) und 4) wäre, eine Schnittstelle zu den Servern aller metadaten-sammelnden Servern herzustellen, d. h. zu Facebook, Google, Amazon und Co. Ich bin sicher, da würden schnell Sicherheitsbedenken im Blick auf Firmengeheimnisse laut.
    Voraussetzung: immerhin nicht unerfüllbar.
  6. Die Daten müssten an einem sicheren Ort gespeichert werden. Doch wo liegt dieser sichere Ort? Im Bundestag, wo es bereits mehrere Hackerangriffe gab? Bei der Telekom, die zwar sichere Rechenzentren hat 615-544-5748 , letztlich aber ein kommerzieller Telekommunikationsanbieter ist? Oder bei den Datenkraken Google, Facebook, Amazon und Co.? Voraussetzung: Erfüllbarkeit unklar.
  7. Es müsste sichergestellt werden, dass die Geheimdienste nicht an diese Daten gelangen. Nach allem, was wir über die Methoden der NSA, des GCHQ und des BND und deren Rückendeckung durch die Politik wissen, ist diese
    Voraussetzung: unerfüllbar
  8. Das KI-System müsste von unabhängigen Programmierer*innen oder zumindest von unabhängigen Stellen überwachten Programmierer*innen aufgesetzt werden. Die Coder*innen gibt es beispielweise an Universtitäten und Hochschulen, überwachen könnten bspw. Expert*innen des RKI, das Bundesamt für Sicherheit in der Informationstechnologie (BSI) und und der Datenethikkommission.
    Voraussetzung: erfüllbar.
  9. Die Ergebnisse der KI müssten gesichtet werden, bevor konkrete Aktionen ergriffen werden. Denn immerhin könnten die Eingangsdaten von den Smartphones falsch sein, z. B. wenn ein Handynutzer einen VPN-Dienst zur Verschleierung seines Standorts nutzt (was ich grundsätzlich jedem empfehle).
    a) Doch zu dieser Nachkontrolle fehlt den Behörden Manpower, immerhin sind die Gesundheitsämter bereits jetzt personell an der Grenze. Noch gravierender ist das Problem, dass Menschen für die Überprüfung in Sekundenschnelle erzeugter Computerausgaben Zeit brauchen. Die uns das Coronavirus nicht gibt.
    Voraussetzung: nicht erfüllbar.
    b) Zum anderen sind die Entscheidungswege in Machine Learning-Prozessen nicht transparent. Bis heute gibt es keine verlässliche Möglichkeit nachzuvollziehen, wie eine KI zu ihrem Ergebnis gekommen ist. An der sogenannten Explainable AI wird intensiv geforscht, so dass hier in den kommenden Jahren mit einem Durchbruch zu rechnen ist. Doch auch hier: Soviel Zeit lässt uns Corona nicht.
    Voraussetzung: nicht erfüllbar.
  10. Die Daten müssten hinterher sicher gelöscht werden. Unter Aufsicht und Kontrolle des BSI und seiner Forensiker*innen ist das möglich, also
    Voraussetzung: erfüllbar.

Fazit: Nur zwei von zehn Prämissen sind erfüllbar. Damit ist mein Gedankenspiel leider nicht mehr als ebendieses.
Die globalen Datensammler ließen sich möglicherweise überzeugen, immerhin leiden sie selbst wg. des Virus‘ ja unter Produktionsausfall. Vielleicht fände sich auch ein sicherer Speicher-Ort für die Metadaten. Doch der Black-Box-Charakter von KI-Systemen zum einen und die nötige Aufklärungskampagne zum anderen machen die Umsetzung leider unmöglich, bzw. erst zu spät möglich.

Ich bin nichtsdestotrotz überzeugt, dass wir über solche Ideen (die ich nicht nur für mich reklamiere) nachdenken und sprechen sollten. Möglicherweise liegt in der Epidemie die Chance, dass wir Bürger*innen, unsere Zivilgesellschaft und die Politik endlich zu einer konkreten Positionierung zu den Themen Datensammlung, Massenüberwachung, Künstliche Intelligenz und dem Nutzen von Technologie für die Gesellschaft kommen. Vielleicht liegt die Chance auch darin, dass diejenigen, die bereits eine Haltung dazu haben, vielleicht ihre Positionswechsel auslöst. Ich selbst stand der Datensammlung noch nie so ambivalent wie heute gegenüber.

Seminar „Digital Privacy“

In verschiedenen Beiträgen dieses Blogs habe ich auf Tools und Einstellungen verwiesen, die – gemäß dem inoffiziellen Motto von Spähgypten – persönliche Daten schützen können, ohne den Komfort in der Nutzung von Computern, Smartphones oder Tablets zu beeinträchtigen (z. B. für Windows 615-544-1257 , Android, Google…).

Am 31. August 2019 findet in Lingen ein Seminar zu diesem Thema statt. Dafür möchte ich, weil ich es organisiert habe, hier schamlos werben möchte.
Der Datensicherheitsexperte Elmar Brandhorst wird den Interessierten, die an diesem Tag ins Ludwig-Windthorst-Haus kommen, einen Blick in einen Privacy-Werkzeugkasten werfen lassen. Elmar beschäftigt sich seit Jahren u.a. mit den Fragen sicherer Email-Kommunikation, Tracking im Netz oder Alternativen zu Google & Co. Vor allem aber bringt er die Inhalte tierisch unterhaltsam rüber.
Meine wärmste Empfehlung für „Digital Privacy“ am Samstag, 13. August 2019, von 10 bis 17 Uhr im Ludwig-Windthorst-Haus. Die Seminargebühr beträgt 75,00 €

» zur Veranstaltung

Die Zukunft des Internets wird in Europa entschieden.

Am 4. Juli [Orig.post: morgigen Mittwoch] stimmt das EU-Parlament über ein neues Urheberrecht ab. Das Gesetz wurde vor allem von Verlegern forciert, die ihre Texte im Internet schützen wollen. Doch wie viele andere sehe ich durch das Gesetz die Freiheit des Netzes gefährdet. Deshalb habe ich „meinen Europaabgeordneten“ um ein „Nein“ gebeten. Folgendes schrieb ich ihm am Freitag:

Ich wende mich an Sie, weil ich Sie bitten möchte am 20. Juni im
Parlament nicht für die Reform des Urheberrechts zu stimmen. Vor allem
die in Art. 13 beinhalteten "Uploadfilter" machen mir Sorgen. Denn die
Erfahrungen mit vergleichbaren Filtern dieser Art (wie sie bspw. bei
Youtube Verwendung finden) zeigen, wie fehleranfällig sie sind. Die
Identifizierung von urheberrechtlich geschützten Inhalten mithilfe von
allem Anschein nach intransparenten Algorithmen wird, da sind sich
Informatiker und Techjournalisten einig, nicht funktionieren. Ein
gemeinnütziges Projekt wie Wikipedia wäre mit den geplanten Filtern
beispielsweise nicht möglich gewesen.

Die Reform des Leistungsschutzrechts halte ich für gefährlich, weil
dadurch die Verbreitung von Fakten in Sozialen Medien erschwert wird -
auch von seriösen Medien, die gemeinsam mit den Nutzer/innen der Netze
gegen Falschmeldungen, Hoaxes und populistische Medien vorgehen.
Davon abgesehen funktioniert das LSG in Deutschland nicht - was selbst
Springerchef Mathias Döpfner bestätigt.

Lieber Herr ■■■■■, in meinen Veranstaltungen zur Medienbildung im und
für das LWH versuche ich die Mündigkeit der Teilnehmenden im Umgang mit
digitalen Medien zu fördern. Dazu gehört fraglos die Anerkennung
geistigen Eigentums. Vor allem gehört dazu aber: Ein freies Internet, in
dem sich jeder seine Meinung bilden kann. Dieses freie Internet steht am
20. Juni zur Entscheidung. Ich bitte Sie um eine kurze Rückmeldung zu
dieser Email und vor allem: zu einem Nein am 20. Juni.

Bislang habe ich nichts von ihm gehört. Wichtiger ist mir aber 615-544-4474 , dass er dem Gesetz nicht zustimmt und so ein zweifaches Zeichen setzt: Für ein freies Netz – und gegen die Macht der Lobbyisten.

Weiterführende Links:
Dennis Horn im WDR-Blog
Stefan Niggemeier in Übermedien (zu Döpfner)
Beitrag im Arte-Journal vom 12.1.2018
Kommentar von Julia Reda MdEP, Piratenpartei, auf t3n
Friedhelm Greis auf Golem zur Stimmung im Parlament

[EDIT 20.6.: Schlecht recherchiert, sorry! Heute hat nicht das Parlament, sondern erst einmal der Rechtsausschuss abgestimmt – zugunsten des Paketes. Die Abstimmung findet am 4. Juli statt. Quelle]