IOC Anti-Doping Forschungsantrag

Auch 2015 wurden vom Internationalen Olympischen Komitee Fördergelder für Anti-Doping Forschungsprojekte ausgeschrieben. Damit sollen Projekte unterstützt werden, die zu maßgeblichen Veränderungen in der Durchführung von Anti-Doping Programmen führen und einen unmittelbaren positiven Einfluss auf das tägliche Leben sauberer Athleten haben.

Selbstverständlich haben auch wir unseren Antrag eingereicht. Die wesentlichen Abschnitte – Hypothese, Ziele und Vorgehen – hier zum Nachlesen.

Forschungshypothese:

Die erfolgreiche Durchführung von Doping-Kontrollen ist bislang abhängig von der Genauigkeit der Whereabouts Angaben in ADAMS.

Umfragen zeigen jedoch, dass Doping-Kontrollen nicht durchgeführt werden konnten, weil die Athleten aus folgenden Gründen nicht angetroffen wurden. (1) der Aufenthaltsort der Athleten änderte sich zu kurzfristig; (2) zu ungenaue Ortsangaben der Athleten; (3) der Kontrolleur konnte den Aufenthaltsort mangels Ortskenntnis nicht finden.

Darüber hinaus zeigt eine Einschätzung führender Datenschützer, dass die Erhebung und Speicherung der Whereabouts in ADAMS in ihrer gegenwärtigen Form vielfach mit nationalem und europäischem Datenschutzrecht kollidiert (»Datenschutzrechtliche Bewertung der Melde- und Kontrollpflichten im Rahmen von Anti-Dopingprogrammen, die die von SP.IN vertretenen Athleten betreffen« Wedde, 2011. »Datenschutz und Dopingbekämpfung« Wagner, Weichert, 2011. »Vereinbarkeit des WADA-Codes und des ADAMS-Systems mit Datenschutzbestimmungen« BfDI, 2009. »Dopingbekämpfung und Datenschutz« Weichert, DANA 4/2011.).

Wenn die Lokalisierung von Athleten aufgrund von Ortungstechnologien jederzeit möglich ist, dann kann ein System entwickelt werden, welches die rechtlichen Belange datenschutzkonform berücksichtigt und den Freiheitsgrad für Athleten erhöht. Der Erfolg lässt sich am Rückgang von Kontrollversäumnissen messen.

Projektziele:

Das primäre Ziel des Projektvorhabens eves ist die Erforschung des Einsatzes eines dedizierten mobilen Endgeräts, das einem autorisierten Doping-Kontrolleur im Falle einer angesetzten Dopingkontrolle datenschutzkonform die genaue temporäre Position des Athleten anzeigt. Das eves-Device lässt sich zu diesem Zweck leicht in den Datenerfassungsprozess von ADAMS integrieren und unterstützt die Interaktion zwischen den Athleten, den Kontrollorganen sowie den Anti-Doping-Agenturen. Im Speziellen ermöglicht eves Athleten eine flexible und individuelle Lebensführung und sorgt gleichzeitig für das effektive und effiziente Auffinden der Athleten im Kontrollfall.

Wichtig für das Design des Gesamtsystems sowie der Prozesse ist es, die Sicherheitsanforderungen und Datenschutzbedenken sowohl der Athleten als auch der Kontrolleure einzubeziehen. Eves stellt daher insbesondere sicher, dass das neuartige mobile Eves-Device zur Lokalisierung der Athleten den unterschiedlichen internationalen Datenschutzgesetzen und –regularien genügt. Die Referenz für die Umsetzung wird das strenge deutsche Datenschutzgesetz bilden.

Dies bedeutet u.a.: (1) Die Erhebung von Positionsdaten von Athleten ist fest an die jeweilige Dopingkontrolle gebunden und wird nicht weiterverarbeitet oder drittverwertet. (2) Unautorisierte oder willkürliche Lokalisierungen von Athleten oder gar die Erstellung von Bewegungsprofilen ist dank eines datenschutzfreundlichen Systemdesigns nicht möglich. (3) Alle Lokalisierungsvorgänge, d.h. die Tatsache, dass man lokalisiert wurde, werden hingegen festgehalten und können von Athleten im Nachgang von Dopingkontrollen eingesehen werden.

Effektivität:
Bei der tagesaktuellen Planung von Kontrollen nutzt der DCO die Angaben der Whereabouts. Je genauer die Ortsangaben des Athleten hinterlegt sind, desto größer ist die Wahrscheinlichkeit ihn dort anzutreffen. Im Umkehrschluss hat der Athlet dadurch die Möglichkeit indirekt Einfluss auf die Zeitfenster für Kontrollen zu nehmen. Durch den Einsatz von eves verliert die Qualität der im Vorfeld hinterlegten Ortsangaben an Bedeutung, da die Position des Athleten unabhängig von den Whereabouts ermittelt werden kann.
Effizienz:
Nationale und internationale Anti-Doping Agenturen können durch den Einsatz von eves Zeit in der Vorbereitung von Doping Kontrollen einsparen. Die Anzahl der erfolglosen Kontrollversuche wird sich vermindern und damit auch der bürokratische Aufwand für die Rechfertigung nach versäumten Kontollversuchen abnehmen.
Gebrauchstauglichkeit:
Für die Leistungssportler soll durch den Einsatz von eves einen Zugewinn an persönlicher Freiheit – nicht jede Ortsveränderung muss online angezeigt werden – geschaffen werden. Eves wird die von dem Athleten in ADAMS hinterlegten Aufenthaltsorte (»Whereabouts«) zunächst ergänzen. Wenn Abweichungen zwischen den Ortsangaben und dem tatsächlichen Aufenthaltsort bestehen (z.B. spontane Reiseänderungen bei Streik, Krankheit, familiären Verpflichtungen), soll der Prüfer mit Hilfe von eves den Athleten zukünftig dennoch antreffen können. Für den Athleten bedeutet der Einsatz, dass er sich weniger Sorge um einen fehlgeschlagenen (»Missed«) Test machen muss.
Internationalisierung:
Das eves System nutzt die weltweit verfügbaren Standards zur Positionsbestimmung (GPS/GNSS) und Kommunikation (GSM). Zugang zum Internet, wie er aktuell bei der Pflege der Whereabouts vorausgesetzt wird, ist nicht notwendig. In Hinblick auf den Datenschutz setzt eves auf die strenge Deutsche bzw. Europäische Gesetzgebung.
Sicherheit und Privacy by Design:
Gleichzeitig bedeutet der Einsatz von eves, dass der Athlet nicht von vornherein, aus Angst vor spontanen Aufenthaltsänderungen, potenzielle Aufenthaltsorte in großer Zahl und entgegen der Forderung an Datensparsamkeit in ADAMS hinterlegen muss. Neben der rein technisch/fachlichen Ausrichtung ist eines der Hauptziele des Forschungsprojektes die Erfüllung der Datenschutzanforderungen und dem »right to be left alone« der Athleten.

In Anlehnung an den IT-Grundschutz und unter Beachtung weiterer Prüfkataloge wie z.B. OWASP werden, gemeinsam mit dem Fraunhofer Institut AISEC, die Komponenten des Gesamtsystems auf mögliche Gefährdungen untersucht und Risiken bewertet. Dabei geht die Betrachtung über die rein technischen Aspekte hinaus, indem auch Elementare Gefährdungen, Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen als Risiken betrachtet werden.

Die fachliche Begleitung und Dokumentation des Projekts durch die jeweiligen Experten soll die notwendige Transparenz von eves sicherstellen.

Projekt Zusammenfassung:

1. Forschungsgegenstand

Bei eves handelt es sich um ein Gesamtsystem mit organisatorischen und technischen Komponenten. Für die organisatorischen Komponenten gilt es u.a. die Interaktion zwischen den wesentlichen Rollen DCO und Athleten sowie ADAMS zu definieren. Die technischen Komponenten basieren auf einer Cloud-based Service Oriented Architecture.

Das eves-System und dessen Kommunikation baut auf folgenden Komponenten auf:

eves-Client: Das tragbare Endgerät. Nach Empfang einer autorisierten Positionsanfrage über einen dedizierten verschlüsselten Kanal (SMS) prüft es die aktuelle Position mittels Satellitennavigation oder kombinierter Satelliten/Mobilfunk-Ortung (GNSS oder AGPS). Kann keine aktuelle Position bestimmt werden, wird die letzte verfügbare Position oder eine Fehlermeldung auf demselben Weg wie die Anfrage übermittelt. Die letzte verfügbare Position wird in einem internen Speicher für ein Wertepaar, bestehend aus Längen- und Breitenangabe, vorgehalten.

eves-Server: Ein hochverfügbares System, das in zertifizierten Rechenzentren betrieben werden soll. Innerhalb des Servers ist den einzelnen Athleten ein eineindeutiges Gerät zugeordnet. Anfragen werden über gesicherte Verbindungen (https) entgegengenommen. Die Weiterleitung der Anfrage erfolgt über SMS an das jeweilige Endgerät. Zurückgeliefert wird die Längen- und Breitenangabe der letzten Position des Athleten oder eine Statusmeldung. Protokolliert werden dabei Zeitpunkt und Autorisierung des anfragenden Prüfers, der Status und die Erreichbarkeit des eves-Clients. Der Athlet hat später die Möglichkeit, auf sämtliche im Zusammenhang mit einer Kontrollanfrage über ihn im System hinterlegten Protokolldaten zuzugreifen. Der Server nimmt auch Meldung des eves-Clients zum Zustand des Systems, z.B. bei einem kritischen Ladezustand der Batterie, über SMS entgegen.

ADAMS: Enthält unter anderem die Whereabouts der Athleten. Eine technische Anbindung des Systems erfolgt nicht; lediglich der Prüfer kann die Informationen der beiden Systeme abgleichen.

Prüfer: Der Prüfer erhält eine Liste der Athleten, die zu einem bestimmten Zeitpunkt getestet werden sollen. Aus dem ADAMS System erhält er online Informationen zu den Whereabouts über eine Web-Schnittstelle. Für jeden Athleten dieser Liste kann er eine Anfrage über eine gesicherte Web-Schnittstelle an den eves-Server richten und erhält, sofern verfügbar, die aktuelle Position des Athleten. Diese Positionsangaben kann er über eine Karten-Applikation mit den Whereabouts aus ADAMS vergleichen und so seine Anfahrtswege optimiert planen. Der eves-Server gibt nur in einem begrenzten Zeitraum Angaben zur Position des für einen Test vorgesehenen Athleten. Jede Anfrage wird protokolliert.

Technische und organisatorische Schutzmaßnahmen: Der Betrieb von eves erfordert die Einbettung der technischen Komponenten in einen sicheren Prozess. Auch wenn dieser zum jetzigen Zeitpunkt noch nicht gestaltet werden kann, müssen folgende Rahmenbedingungen für die datenschutzfreundliche Gestaltung auf jeden Fall eingehalten werden:

  • Produktion und Ausgabe der Ortungsgeräte müssen manipulationsfrei erfolgen.
  • Die Zuweisung eines Prüfauftrags an einen Kontrolleur muss eindeutig und nachvollziehbar erfolgen. Sie darf die einzige Voraussetzung für die Erteilung einer Ortungsbefugnis für den Prüfer bzgl. des zugeteilten Athleten sein. Zuweisung und Ortungsvorgang müssen verfälschungssicher protokolliert werden.
  • Die Ortung nicht zu kontrollierender Athleten und die Ortung durch nicht mit der Kontrolle betraute Prüfer muss wirksam unterbunden werden.
  • Für abgeschlossene Kontrollvorgänge müssen enge Löschfristen für alle Instanzen von Ortungsergebnissen festgelegt werden.

Bei der Entwicklung des eves-Clients stehen folgende Eigenschaften im Vordergrund:

  • Lange Batterielaufzeit und -lebensdauer. Das Gerät wird den Träger über eine Statusleuchte informieren, ob ein Fehler vorliegt. Weitere Informationsanzeigen, beispielsweise über den Status einer Abfrage, sind nicht vorgesehen.
  • Schutz vor Manipulation. Das Gerät wird über keine externen Schnittstellen verfügen. Das Aufladen erfolgt ohne Steckverbindung durch Induktion. Das Gehäuse ist wasserdicht und vollständig gekapselt.
  • Einfache Bedienbarkeit, Selbstbestimmbarkeit und hoher Tragekomfort. Der Athlet kann das Gerät abschalten, beispielsweise wenn er sich in einem Flugzeug oder in einer Klinik befindet.
  • Eine Kennzeichnung, um das versehentliche Vertauschen von Geräten zu verhindern.
  • Schnelle Ermittlung der Position auch innerhalb von geschlossenen Räumen.
  • Sichere und unverfälschbare Übermittlung von Positions- und Statusinformationen ausschließlich zum Zweck der Testanbahnung.

Das tragbare Gerät ermittelt und sendet seinen Standort nur dann, wenn dieser von einem autorisierten Prüfer angefordert wird. Bewegungsprofile können daher nicht erstellt und mithin auch nicht gespeichert werden.

2. Methodisches Vorgehen

2.1 Feldtest

Derzeit laufen die Vorbereitungen für einen Feldtest, bei dem die folgenden Fragestellungen und Hypothesen in Hinblick auf Sicherheit, Nachhaltigkeit, initiale und laufende Kosten sowie technische Machbarkeit untersucht werden.

  1. Welche Methoden der Positionsbestimmung erlauben eine ausreichend genaue Lokalisierung in unterschiedlichen Alltagssituationen (u.a. GPS / GNSS, GSM-Triangulation, WLAN, RF);
  2. Welche Kommunikationswege genügen den hohen Anforderungen an Vertraulichkeit und Integrität der Daten (z.B. GSM, GPRS, WLAN);
  3. Weitere Randbedingungen wie Gebrauchstauglichkeit und Tragekomfort im Alltag, Batterielaufzeit, Material- und Umweltverträglichkeit, Transport und Logistik etc.

Der Test selbst ist ergebnisoffen angelegt mit dem Ziel einer Gesamtlösung, die in Bezug auf Sicherheit, Nachhaltigkeit und Kosten optimiert ist. Sollte keine signifikante Verbesserung der Testanbahnung zwischen Athleten und Prüfer zu beobachten sein, bleibt zu prüfen, ob der Zugewinn an persönlicher Freiheit und verbessertem Schutz der Persönlichkeitsrechte der Athleten den Einsatz dennoch rechtfertigen.

Die wesentlichen Rahmenanforderungen in Bezug auf Datenschutz wurden bereits formuliert. Sie weiter zu detaillieren und in die Prozesse zu implementieren ist der nächsten Projektphase vorbehalten, wenn der Test eine grundsätzliche Machbarkeit ergeben hat.

2.2 Identifizierung der zu unterstützenden Aufgaben

Aufgaben: Nach aktuellem Stand sind folgende Kernaufgaben identifiziert worden die ggf. durch ein System, welches auf modernen Ortungstechnologien beruht, unterstützt werden können. Ggf. sind weitere Aufgaben, gemeinsam mit der NADA, zu identifizieren:

  • Die Pflege der »Whereabouts« in ADAMS (Eingaben, Korrekturen) durch die Athleten.
  • Die Lokalisierung der Athleten für die nächste durchzuführende Kontrolle durch die Kontrolleure

Rollen: Als Rollen mit Bezug zum Gesamtsystem wurden die Athleten und die Kontrolleure identifiziert. Ein weiter gefasster Rollenbegriff kann unter anderem die interessierte Öffentlichkeit, Sponsoren, die nationalen und internationalen Anti-Doping-Agenturen sowie das Internationale Olympische Kommittee beinhalten.

Schwachstellen des aktuellen Systems: Das aktuelle System ist nach Schwachstellen in der Nutzung zu untersuchen, um wichtige Nutzungsanforderungen festzustellen, die bei dem Projekt zu berücksichtigen sind. Hierzu kann der standardisiserte ERGONORM- Fragebogen der Fraunhofergesellschaft eingesetzt werden.

2.2.1 Erhebung des Nutzungskontextes

Um die wesentlichen Anforderungen an die neue Anwendung zu identifizieren, ist gemäß ISO 9241 der Nutzungskontext auf Basis der konkreten Aufgaben der Beteiligten festzustellen. Dies geschieht über strukturierte Interwiews der beteiligten Rollen (Athleten sowie Kontrolleure). Ergebnis ist die Beschreibung der Aufgaben und die Identifizierung zu berücksichtigender fachlicher Anforderungen. Idealerweise können die Aufgaben in Form von Programmablaufplänen (PAPs gemäß DIN 66001) beschrieben werden, um sowohl den genauen Ablauf, als auch die damit verbunden fachlichen Anforderungen zu identifizieren.

2.2.2 Identifizierung von Nutzungsanforderungen

Anhand des Nutzungskontextes werden Nutzungsanforderungen identifiziert, die für die Auswahl der technischen Lösung zu berücksichtigen sind. Beispiele für solche Nutzungsanforderungen sind:

  • Der Athlet muss erkennen können, dass er das Modul aufladen muss.
  • Der Athlet muss das Modul überall (»an jeder Steckdose«) aufladen können.
2.3 Fachliche Anforderungen

Die fachlichen Anforderungen werden durch die Anforderungen der WADA an das System und über die Analyse des Nutzungskontextes festgelegt.

2.4 Software Verfeinerung und Prozessdefinition

In dieser Phase des Forschungsprojekts wird eine Anpassung der funktionalen Anforderungen mit einer präzisierten Systemspezifikation vorgenommen. Besonderes Augenmerk wird bei Implementierung, Integration und Test der Soft- und Hardwarekomponenten der Post-Alpha Generation auf die Belange der Datensicherheit und des Datenschutzes gerichtet.

2.5 Erstellung und Einführung der ersten Generation

In der sich anschließenden Projektphase gilt es, das entworfene technisch-organisatorische Verfahren umzusetzen. Eine begrenzte Anzahl von Athleten wird mit der überarbeiteten Version von Moduln ausgestattet. Darüber hinaus ist ein Zentralserver einzurichten und entsprechend der hohen Sicherheitsanforderungen in Betrieb zu nehmen. Mit den beteiligten Institutionen wird eine Verfahrensvorschrift festgelegt.

2.6 Evaluation

An die Phase der Implementierung soll sich nun eine einjährige Evalualtionsphase anschließen. Gewonnen Erfahrungswerte können so in eine verbesserte Software- und Prozessgestaltung einfließen. Ferner lässt sich der Projekterfolg anhand der formulierten Projektziele überprüfen.