Datenschutz und Sicherheit der Corona-App

Datenschutz und Sicherheit der Corona-App

Aktuell gibt es viele Debatten um den Datenschutz, die Sicherheit persönlicher Daten und die Freiwilligkeit der Preisgabe dieser bei Nutzung der Corona-App. Wir erläutern diese Thematik näher.

Das Ziel der Corona-App

Seit Dezember 2019 breitet sich Covid-19 (coronavirus disease 2019, auf Deutsch: Coronavirus-Krankheit 2019) rasant überall auf dem Globus aus. Um der Pandemie Herr zu werden, suchen die Regierungen seit einiger Zeit nach Lösungen. Diese sollen die Bürger und Wirtschaft möglichst wenig einschränken. Eine davon könnte die Einführung einer sogenannten Corona-App sein.

Einzelheiten zu dieser App

Die deutsche Regierung denkt über verschiedene Varianten für eine Corona-App nach. So diskutiert man unter anderem, ob die zentrale oder dezentrale Speicherung der Daten weiterzuverfolgen wäre. Momentan neige man wegen datensicherheitstechnischer Warnungen zu einer dezentralen Lösung. Des Weiteren steht zur Diskussion, welche Daten zu sammeln wären. Die App selbst soll den Aufenthaltsort und die Dauer nachverfolgen können. Sobald ein Nutzer eine offizielle Bestätigung einer Infektion mit Covid-19 eingibt, versendet die App eine Nachricht. Diese geht an alle Personen, die sich innerhalb der letzten 14 Tagen miteinander in räumlich nahem Kontakt befanden. – Dieser Kontakt wird hier ab einer bestimmten Mindestdauer registriert. Diese soll fünf Minuten betragen. Man denkt, erst dann bestünde eine gewisse Infektionswahrscheinlichkeit. – Durch diese Benachrichtigung wüssten die potentiell Infizierten, sich in Quarantäne zu begeben. Eine Schwachstelle täte sich insofern auf, dass beispielsweise auch Kassierer in Supermärkten informiert werden würden. Diese befinden sich aber hinter verglasten Kassen.

Bedenken zum Datenschutz

Vonseiten der Bürger, Institute, Wissenschaftler etc. kamen jedoch Einwände. Die Entwickler der App behaupteten, dass die Daten anonymisiert wären. Um eine Person aber auf eine mögliche Ansteckungsgefahr hinweisen zu können, speichern manche App-Betreiber die auf dem Telefon hinterlegte Rufnummer. Durch Kenntnis der Nummer kann man aber Rückschlüsse auf die Identität der jeweiligen Person ziehen. Demzufolge müsse man annehmen, dass man bei bestimmten Versionen der Corona-App nicht mit anonymisierten Daten arbeiten würde. Selbst wenn man hierfür stattdessen auf die Bluetooth-Funktion der Mobiltelefone zurückgreifen würde, ergäben sich neue Sicherheitsschwachstellen.

Konzepte von Apple und Google

Google und Apple schlagen vor, Bluetooth zu nutzen. Deren Ansatz, die Corona-App datenschutzkonform zu gestalten, besteht in einer Messung der Bluetooth-Signalstärke. So würde man wohl keine Standortdaten erfassen. Der Austausch soll mit einem Kryptoschlüssel umgesetzt werden. Besagter Schlüssel ändert sich nach Zufallsprinzip mehrmals innerhalb einer Stunde.

Sicherheit sensibler Daten

Bei Eingabe eines positiven Corona-PCR-Testergebnisses durch den Nutzer würden letztendlich auch sensible Daten gemäß Art. 9 Abs. 1 DSGVO (Gesundheitsdaten) dokumentiert. Je nachdem für welche Version die Regierung sich entscheidet, gibt es weiterführende Szenarien der Datenerfassung. Bei verbreiteter Nutzung ließe sich eine Art Verhaltensmuster eines Bürgers erstellen, wenn die Standortdaten nicht wie jetzt geplant dezentral auf dem eigenen Gerät gespeichert würden: Wo hält sich jemand wann für wie lange und mit wem auf? Man könnte ein Netzwerk des Personenkreises, in dem sich jemand bewegt, erstellen.

Zusätzliche Quellen der Daten

Das Robert Koch-Institut (RKI) hat eine andere App entwickeln lassen. Deren App sammelt über Fitness-Armbänder bestimmte physiologische Parameter zusammen mit der Postleitzahl. Daraus hofft man, Rückschlüsse auf die Ausbreitung der Pandemie zu erhalten. Diese fließen in die Analysen und Empfehlungen des RKI ein. Es geht dabei also nicht um die Warnung von zu langem und engem Kontakt mit Infizierten. Dies bedeutete auch, Daten bezüglich einer möglichen Infektion würden ohne Zustimmung Betroffener gesammelt werden. Eine Ausnahme sei Apples Health-App.

Verbleib der Daten

Es kommen auch Fragen danach auf, was mit den Daten passiert, wenn die Regierung oder das RKI sie nicht (mehr) benötigt. Manche befürchten, aus dieser App genutzte Erkenntnisse würden für andere Zwecke verwendet. Der Gedanke an eine potentielle Entwicklung einer Art Überwachung durch den Staat schleicht sich ein.

Fazit

Bei der Entwicklung einer App zur Kontrolle von Covid-19 gibt es viele Details zu bedenken. Solch eine App erfüllt auch nur ihren Zweck, wenn die Mehrheit der Bevölkerung sie nutzt. Dafür muss man das Vertrauen der Verbraucher gewinnen. Die Regierung muss aber auch das Versprechen einhalten, dass man weder Datenschutz-, Grund- noch Menschenrechte verletzt und absolute Transparenz über die Nutzung der Daten wahrt.

___________________________________________________________________

Update (14.10.2020)

Die Corona-App ist inzwischen veröffentlicht und wird auf freiwilliger Basis in Deutschland genutzt. Auf einem dezentralen Ansatz basierend soll sie Nutzern höchstmögliche Transparenz zur Verarbeitung ihrer Daten bieten.

Funktionsweise der Corona-App

Hält sich ein Nutzer in der Nähe eines anderen auf, so tauschen die Mobiltelefone einen automatisch verschlüsselten Zufallscode aus. Dabei wird die Dauer, während der man sich in der Präsenz voneinander befindet und der Abstand voneinander gespeichert. Nach 14 Tagen werden diese Codes dann gelöscht. Tritt der Fall ein, dass eine Person ein auf Corona positives Testergebnis erhält, kann die App diesen Code anonym den anderen Nutzern, mit denen die Person in Kontakt war, zur Verfügung stellen.

Weiterhin bestehende Skepsis

Trotz des Bemühens, den Nutzen der App anonym zu gestalten und den Datenschutz zu beachten, gibt es dennoch fortbestehende Bedenken.

Zur Anonymität

Gemäß der Webseite zur Corona-App scheint es wohl unter anderem technische Probleme bezüglich der Abrufbarkeit des Testergebnisses geben. Um dieses Problem zu lösen, bietet die SAP SE – eine der Entwicklerinnen – einen Anruf bei einer Hotline an. Von einer logischen Denkweise ausgehend muss ein Nutzer dann jedoch persönliche Daten angeben. Hier entsteht der Eindruck, dass das Robert-Koch-Institut die Anonymität nicht mehr gewährleisten kann. Das gleiche gilt für die Zufallscode. Die sind zwar verschlüsselt, aber die Entwickler und Verantwortlichen hätten auch die Möglichkeit, die Daten zu entschlüsseln.

Zur Weitergabe der Daten

Auch wenn die Corona-App selbst keine personenbezogenen Daten wie den Standort, die Kontaktdaten etc. verarbeitet, gehen diese Daten aber an Google und Apple (mehr dazu im Beitrag hier). Des Weiteren mögen sich manche Nutzer die Frage stellen, wie das Gesundheitsamt die Daten erhalten. Im Zusammenhang mit der App müsste es ja eigentlich unnötig sein, das Gesundheitsamt mit einzubeziehen, wenn man die reine Benachrichtigung betrachtet.

Zusammenfassung

Bei der Entwicklung und bei dem Betrieb einer App gibt es viele Punkte zum Datenschutz zu bedenken. Wie Sie an dem Beispiel der Corona-Warn-App sehen, kann die Einhaltung der DSGVO über den Erfolg einer App entscheiden. Falls Sie möglicherweise vorhaben, eine App zu entwickeln und Beratung zum Datenschutz benötigen, sind wir gern erreichbar.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.