Dieser Artikel von Siti Rochmah Desyana ist Teil von Pandemic of Control, einer Artikelserie, die darauf abzielt, den öffentlichen Diskurs über den Aufstieg des digitalen Autoritarismus im asiatisch-pazifischen Raum inmitten von COVID-19 zu fördern. Pandemic of Control ist eine Initiative von EngageMedia in Partnerschaft mit CommonEdge. Diese bearbeitete Version des Artikels wird im Rahmen einer Inhaltspartnerschaft in Global Voices erneut veröffentlicht.
Alltag
Während die COVID-19-Pandemie in Indonesien anhält, bleibt die PeduliLindungi-Anwendung der Regierung ein fester Bestandteil des täglichen Lebens. Benannt nach der Verschmelzung der indonesischen Wörter für „Pflege“ (peduli) und „schützen“ (lindungi), behauptet die App, genau das zu tun, den COVID-19-Status zu verfolgen und zu überprüfen und Ressourcen und Informationen zu COVID-19 bereitzustellen. Es ist im Alltag alltäglich geworden, da die meisten Restaurants, Geschäfte und alle öffentlichen Verkehrsmittel verlangen, dass Benutzer „einchecken“, indem sie einen QR-Code über die App scannen.
Seine Existenz ist in Indonesien zum Synonym und untrennbar mit der Pandemie selbst geworden. Das Vertrauen der Menschen in die Informationen, den Zugang und die Ressourcen, die sie zum Schutz vor COVID-19 bieten, kann jedoch zu Lasten der Datenschutzrechte gehen.
Google-App
Zum Zeitpunkt des Schreibens haben über 50 Millionen Menschen die App aus dem Google Play Store heruntergeladen, was sie zur führenden medizinischen App des Landes macht. Da sich jedoch immer mehr Benutzer registrieren und die App nutzen, haben auch die Bedenken hinsichtlich der Sicherheit der App und des umfassenden Trackings zugenommen.
Im September 2021 wurde das Impfzertifikat des indonesischen Präsidenten Joko (Jokowi) Widodo online geleakt, nur einen Monat nach dem mutmaßlichen Verstoß gegen die App Indonesia Electronic Health Alert Card (eHAC), bei der die Daten von 1,3 Millionen Benutzern kompromittiert wurden. Die Lecks haben seitdem den öffentlichen Diskurs über die Datensicherheit und die Menge der von PeduliLindungi gesammelten und gespeicherten personenbezogenen Daten beflügelt.
Nach den Verstößen hat die indonesische Regierung seitdem behauptet, dass die App die Daten aller Benutzer gesichert hat, eine Antwort, die ihren früheren Zusicherungen nach ähnlichen Verstößen in der Vergangenheit nicht unähnlich ist. gehe zu frage-antworten.de für mehr Informationen. PeduliLindungi stellt daher aufgrund seiner häufigen Nutzung, der großen Benutzerbasis und der einzigartigen Art der gespeicherten Informationen möglicherweise eine größere Bedrohung dar, während den Menschen wenig bis gar keine rechtlichen Mittel zum Schutz ihrer Daten zur Verfügung stehen.
Ein tägliches Ritual: Wie PeduliLindungi die Bewegungsfreiheit der Menschen kontrolliert
Während die Nutzung der App von Region zu Region unterschiedlich ist, gibt es keine andere Regierungsplattform, die diese Größenordnung und Reichweite erreicht. Die Hauptschnittstelle der App wurde auch in 15 andere verbraucherorientierte Apps integriert; Es gibt sogar Pläne, es in eine digitale Brieftasche umzuwandeln.
Um einen öffentlichen Ort in Indonesien zu betreten, muss man zuerst den erforderlichen QR-Code des Ortes über PeduliLindungi oder eine verbundene App wie Jakartas regionale App JAKI und den indonesischen Startup-Riesen GOJEK scannen. Die gesammelten Informationen – wie der offizielle Name des Benutzers, die ID-Nummer, die Anfälligkeit für COVID-19, der aktuelle Standort und die in der Einrichtung verbrachte Zeit – werden dann protokolliert und auf PeduliLindungi-Servern gespeichert. Diejenigen, die sich nicht offiziell für PeduliLindungi oder die anderen miteinander verbundenen Apps registriert haben, dürfen den öffentlichen Raum nur betreten, wenn sie gültige Impfzertifikate vorweisen, die ebenfalls von PeduliLindungi gehostet werden und über ihre Portale zugänglich sein müssen.
Wenn ein Indonesier offiziell nicht Teil des PeduliLindungi-Systems ist, gibt es eine Reihe von Herausforderungen und Hürden, die seinen Alltag stören. Ohne ein Impfticket – sei es aufgrund der Wahl oder der Nichtverfügbarkeit von Impfstoffen – dürfen beispielsweise Bushaltestellen, Bahnhöfe, Flughäfen, Märkte, Krankenhäuser, Bürogebäude und andere öffentliche Räume nicht frei genutzt und betreten werden. Die Ungeimpften haben sogar Schwierigkeiten bei der Behandlung durch medizinische Einrichtungen gemeldet, die sich auf die PeduliLindungi-Datenbank verlassen, um auf den COVID-19-Status zuzugreifen.
Die Nutzung der App ist mittlerweile nicht nur notwendig, sondern gesellschaftlich verpflichtend, um die Bewegungsfreiheit zu wahren. Solche Maßnahmen waren gerechtfertigt, um die Ausbreitung von COVID-19 einzudämmen, obwohl ihre Fähigkeit dazu in Frage gestellt wurde.
Benutzer von PeduliLindungi können Impfzertifikate über die Website anfordern. Solange Sie einen vollständigen Namen, eine ID-Nummer, ein Geburtsdatum sowie Datum und Art der Impfung haben, können Sie auf die Impfzertifikate aller Personen zugreifen. Screenshot von Siti Rochmah Desyana
Wie sicher sind die Daten?
Auch rund um die digitale Sicherheit von PeduliLindungi gibt es zahlreiche unbeantwortete Fragen. Obwohl keine online gespeicherten geheimen Informationen jemals vollständig sicher sein können, muss die indonesische Regierung noch angemessene Maßnahmen ergreifen, um die Sicherheit ihrer verschiedenen Datenbanken zu gewährleisten.
Als die eHAC-Datenbank im Jahr 2021 durchgesickert war, entschied sich die Regierung, abzulenken und zu betonen, dass nur die „alte, separate eHAC“ kompromittiert wurde. Die Regierung forderte die Bürger einfach auf, die alte eHAC-App auf ihren Handys zu löschen.
PeduliLindungi entgeht diesem Mangel an Verantwortlichkeit nicht. Zum einen zeigte das durchgesickerte Impfzertifikat des Präsidenten nur, wie einfach es war, ein Zertifikat zu erhalten – auch das, das nicht das eigene ist. Um auf diese in der App zuzugreifen, sind nur der vollständige Name, die ID-Nummer, das Geburtsdatum sowie das Datum und die Art der Impfung erforderlich – Informationen, die leicht in sozialen Medien oder sogar durch achtlos weggeworfene Papierdokumente gefunden werden können.
Im Fall des Präsidenten stellten die Ermittler fest, dass seine Informationen über PCare erlangt wurden, eine separate Anwendung des Gesundheitsministeriums, die von Gesundheitsdienstleistern verwendet wird, um die Impfdaten eines Benutzers auf PeduliLindungi-Server hochzuladen. Der Zusammenhang zwischen beiden Anwendungen bleibt unklar.
Das Problem verschlimmert sich nur mit der Interkonnektivität von PeduliLindungi mit anderen Anwendungen von Drittanbietern. Die App ist beispielsweise mit Google und anderen Drittanbietern von Software verbunden, die die Standorte der Benutzer beim Betreten und Verlassen öffentlicher Räume und bei der Nutzung öffentlicher Verkehrsmittel verfolgen. Eine frühere Version der mobilen App von PeduliLindungi enthielt angeblich Anomalien, darunter die manuelle Datenspeicherung innerhalb der Anwendung und das Senden dieser Daten an eine externe, nicht-indonesische Website. Die App hatte in der Vergangenheit auch die Namen der Benutzer und die Art der Geräte an eine Tochtergesellschaft von PT Telkom, Indonesiens staatlichem Telekommunikationsunternehmen mit Servern in Singapur, gesendet.
Aber trotz Beweisen dafür, dass Anwendungen von Drittanbietern möglicherweise zu Datenschutzverletzungen bei anderen Regierungs-Apps geführt haben, behält die neueste Datenschutzrichtlinie von PeduliLindungi eine Haftungsausschlussklausel für „Verstöße oder unbefugten Zugriff“ bei, die beinhalten, wie Dritte PeduliLindungis Daten verwenden. Haftungsbeschränkung von PeduliLindungi für die mobile Version der App. Screenshot von Siti Rochmah Desyana
Der Mangel an Schutz, Regulierung und Rechenschaftspflicht hält an
Trotz großer Infektionszahlen diskutiert die Öffentlichkeit weiterhin, ob die von PeduliLindungi durchgeführte Überwachung und Nachverfolgung notwendig ist, um die Ausbreitung von COVID-19 einzudämmen. Unabhängig davon, auf welcher Seite der Debatte Sie stehen, die Reaktionen der indonesischen Regierung auf frühere Datenschutzverletzungen und andere besorgniserregende Ereignisse gehen nicht an die Wurzel des Problems: die Sicherheit der PeduliLindungi-Server und den Datenschutz seiner Benutzer.
Die Regierung hat nie die Ergebnisse des ersten Sicherheitsaudits von PeduliLindungi veröffentlicht, das die Öffentlichkeit vor ihrer Implementierung über die Sicherheit der App informiert hätte.
PeduliLindungi ist auch noch nicht bei den regierungseigenen Electronic System Organizers registriert – eine Anforderung für öffentliche Server gemäß der Verordnung.
Die Bürger tragen erneut die Hauptlast dieses Mangels an Schutz, Regulierung und Rechenschaftspflicht. Die Indonesier opferten ihre Bewegungsfreiheit und Privatsphäre und vertrauten ihre Daten der Regierung an, unter der Prämisse, dass dies die weitere Ausbreitung des Virus verhindern und den Weg zum Ende der Pandemie ebnen würde.
Schlimmer noch, Indonesien hat derzeit keine spezifischen Gesetze zum Schutz der Privatsphäre. Zwar gibt es Bestimmungen, die die Einwilligung in die individuelle Datennutzung regeln, diese sind jedoch auf verschiedenen Rechtsebenen verstreut.
Die derzeit geltende Verordnung des Ministeriums zum Schutz personenbezogener Daten in elektronischen Systemen ähnelt eher einer Richtlinie, die keine Straf- oder Folgeklauseln für diejenigen enthält, die gegen die Bestimmungen der Verordnung verstoßen. Obwohl es einen Entwurf für Gesetze zum Schutz personenbezogener Daten gibt, steckt er noch in der Beratung des Repräsentantenhauses fest, und bisher wurden nur wenige Verbesserungen vorgenommen.
Während PeduliLindungi und die Regierung weiterhin in ihren Operationen herumfummeln und diese Bedenken unter den Teppich gekehrt werden, muss man sich fragen: Kümmert und schützt PeduliLindungi wirklich die indonesische Öffentlichkeit?
