Anti-Corona-App: Infektions- und Datenschutz aus einer Hand?


corona app

© stevanovicigor

Um die Corona-Pandemie einzudämmen müssen Infektionswege effektiv und schnell nachvollzogen werden können. Helfen soll nun eine datenschutzrechtlich angepasste Anti-Corona-App.

Hinweis: Dieser Beitrag wurde zuletzt am 16.06.2020 aktualisiert.

Sobald eine Infektion bei einem Patienen nachgewiesen wurde, geht die Arbeit für die Gesundheitsämter erst richtig los: Es wird versucht, bei jeder Infektion herauszufinden, zu welchen anderen Menschen der Patient in den letzten 14 Tagen Kontakt hatte – wen er also unwissentlich angesteckt haben kann.

Diese Befragungen sind nicht nur aufwendig und lückenhaft (wer kennt schon alle Menschen, denen er im Bus oder beim Einkaufen begegnet ist?), sondern vor allem auch sehr zeitintensiv. Bis Kontaktpersonen ermittelt worden sind, können diese ebenfalls das Corona-Virus weiterverbreitet haben. Hier soll nun die Anti-Corona-App für Smartphones, die “Corona-Warn-App”, helfen.

Corona-Warn-App Vorbild kommt aus Singapur

Das Vorbild für die deutsche Corona-Tracing-App bietet eine App aus dem südostasiatischen Stadtstaat Singapur namens “TraceTogether”. Aber auch viele andere Länder haben inzwischen eigene Apps entwickelt, mit teils unterschiedlichen Ansätzen. Die Entwicklung dieser Apps ist aber häufig etwas holprig und schleppend verlaufen. So auch in Deutschland.

Die deutsche Anti-Corona-App wurde zunächst federführend vom Fraunhofer-Institut für Nachrichtentechnik, Heinrich-Hertz-Institut (HHI/Fraunhofer HHI) gemeinsam mit dem Robert-Koch-Institut (RKI) entwickelt. Es handelte sich dabei aber nicht um eine rein deutsche, sondern eine europäische Entwicklung. Zum Team gehörten über 130 Experten aus acht Ländern. Zusammen arbeiteten sie an Pepp-PT (Pan-European Privacy-Preserving Proximity Tracing).

Die Anti-Corona-App soll dabei nicht nur helfen, die Corona-Pandemie in den Griff zu kriegen und Infektionswege leichter nachvollziehen zu können. Sie soll dabei auch den notwendigerweise hohen Datenschutzstandards gerecht werden, die bei solch sensiblen Daten zwingend erforderlich sind.

Aus diesem Grund kam es zu internen Zwist. Zentraler Streitpunkt war dabei die Frage, ob Daten der App zentral (z.B. auf einem Server des RKI) oder dezentral (also auf den einzelnen Handys) gespeichert werden sollen. Aus diesem Grund hat sich letztlich eine Forschergruppe Pepp-PT gelöst und den eigenen – dezentralen – Ansatz weiter vorangetrieben. Diesem dezentralen Ansatz folgt nunmehr auch die Deutsche Bundesregierung mit der Corona-Warn-App.

Die offizielle deutsche Anti-Corona-App wurde nun von SAP und der Deutschen Telekom entwickelt. Als Grundlage dienen die Protokolle DP-3T (Decentralized Privacy-Preserving Proximity Tracing) und TCN sowie die Spezifikationen für Privacy-Preserving Contact Tracing von Apple und Google. Viele Details und weitere Informationen lassen sich auf GitHub einsehen.

Wie eine datenschutzfreundliche Alternative technisch funktionieren soll

Im Gegensatz zu “TraceTogether” und bei anderen staatlichen Anti-Corona-Apps sollen die Gesundheitsbehörden sowie andere staatliche Einrichtungen nicht erfahren, wer genau die App benutzt, wer mit wem Kontakt hatte und wer sich (möglicherweise) infiziert hat. Beim Vorbild aus Singapur wurde mit der App auch die Handynummer der Nutzer verbunden – und damit ist eine Rückverfolgung zu einzelnen Personen möglich.

Im Gegensatz dazu dient in der hiesigen Corona-Warn-App eine zufällig generierte ID als einziges Identitfikationsmerkmal. Diese ändert sich darüber hinaus auch regelmäßig. Alle notwendigen Daten werden dabei lokal auf den Smartphones gespeichert – und gerade nicht zentral auf Servern, die vom Staat oder anderen Akteuren betrieben werden. So sollen Nutzerdaten bestmöglichst geschützt werden. Der technische Ablauf ist dabei wie folgt vorgesehen:

Datenschutz kann in aktuellem App-Konzept potenziell gewahrt werden

Gerade die Frage nach der Vereinbarkeit von gewünschter Nachverfolgbarkeit der Infektionswege und Datenschutz ist ein sehr heikler Punkt einer jeden Anti-Corona-App. Eine hohe Nutzungsbereitschaft der Corona-Warn-App hängt maßgeblich auch davon ab, dass der Schutz der personenbezogenen Daten gesichert ist.

Das umgesetzte Konzept scheint hier den Schutz der Nutzerdaten wahren zu können. Dass dies grundsätzlich möglich ist wurde schon in in einer ausführlichen Erstanalyse am Beispiel der App “TraceTogether” aus Singapur von Johannes Abeler, Matthias Bäcker und Ulf Buermeyer deutlich:

So ist dort zum Beispiel jede App-Installation mit der Telefonnummer des Nutzers verbunden und somit identifizierbar, was nicht erforderlich und daher aus Gründen der Datensparsamkeit abzulehnen ist. Das grundsätzliche Konzept erscheint uns aber überzeugend. So eine App könnte eine Kontaktverfolgung deutlich wirksamer implementieren als ein System, das auf Funkzellendaten oder Standortdaten basiert, denn beide Kategorien von Daten erlauben keine Positionsbestimmung mit der erforderlichen Präzision von höchstens zwei Metern. Und gleichzeitig wäre ein solches Konzept datenschutzrechtlich einwandfrei.

https://netzpolitik.org/2020/corona-tracking-datenschutz-kein-notwendiger-widerspruch

Auch in einer weiteren Einschätzung kamen Ulf Buermeyer und Christian Thönnes von der Gesellschaft für Freiheitsrechte e.V. (GFF) zu einem verhalten positiven Fazit:

Kann eine App nach dem kürzlich vorgeschlagenen Standard Pepp-PT diese Anforderungen erfüllen? Vorab sei gesagt: Wir haben den Quellcode des Systems nicht analysieren können. Unsere Einschätzung basiert auf dem von Pepp-PT  publizierten Manifest. Hieran anknüpfend können wir sagen: Wir sind vorsichtig optimistisch.

https://www.lto.de/recht/hintergruende/h/corona-app-gesundheitsschutz-infektion-virus-datenschutz-pepp-pt/

Alle diese Einschätzung wurden jedoch abgegeben, bevor die Details zu der nun geplanten App genauer bekannt wurden und gehen primär der Frage nach, ob eine Lösung, die die Datenschutzrechte der Nutzer wahrt, überhaupt grundsätzlich denkbar ist. Und auch wenn bei der konkreten Umsetzung bei der Corona-Warn-App noch einzelne Fragezeichen bestehen bleiben: Bislang wird die Umsetzung überwiegend als datenschutzfreundlich und vorbildlich gelobt.

Wo die (technischen) Probleme und Fragezeichen bestehen

In der öffentlichen Diskussion sind ein paar einzelne Punkte verblieben, die noch ungeklärt sind. Denn obwohl der Quellcode für die Corona-Warn-App selbst öffentlich einsehbar ist, so gilt dies z.B. nicht für die Schnittstelle von Apple und Google (dem „Google Apple Protokoll“, GAP), auf die die App aufbaut.

So hat ein Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg hier verschiedene Schwachstellen und mögliche Sicherheitsrisiken gefunden:

So kann zum einen ein externer Angreifer detaillierte Bewegungsprofile von mit COVID-19 infizierten Personen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren. Zum anderen ist ein Angreifer in der Lage, die gesammelten Kontaktinformationen durch sogenannte Relay-Angriffe zu manipulieren, was die Genauigkeit und Zuverlässigkeit des gesamten Kontaktnachverfolgungssystems beeinträchtigen kann.

https://www.tu-darmstadt.de/universitaet/aktuelles_meldungen/einzelansicht_263296.de.jsp

Auch hatte die TÜV-Nord-Tochter TÜV-IT, im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI), die App bereits vor Veröffentlichung untersucht. Dabei wurde eine schwerwiegender Mangel bei der TAN-Generierung festgestellt, der sogleich – noch vor der Veröffentlichung – behoben wurde. Weitere Schwachstellen hat der TÜV-IT bislang wohl nicht gefunden. Gleichzeitig ließ deren Chef, Dirk Kretzschmar, mitteilen, sie hätten sich mehr Zeit zur Überprüfung gewünscht, da noch nicht die gesamte App überprüft werden konnte.

Ein weiterer Schwachpunkt, der das Vertrauen in die App schwächen könnte liegt jedoch nicht in der App selbst: Eigentlich sollen Nutzer zusammen mit einem positiven COVID-19-Test auch einen QR-Code erhalten, mit dem sie das Testergebnis in der App mitteilen und sich als infiziert bestätigen können. Damit soll zugleich verhindert werden, dass Nutzer sich versehentlich oder absichtlich als infiziert melden, ohne es wirklich zu sein.

Weil viele Labore darauf aber nicht vorbereitet sind und QR-Codes auch verloren gehen können, gibt es noch einen zweiten Weg sich als infiziert zu bestätigen. Dafür muss man bei einer Hotline anrufen, die einem nach einigen Fragen einen Code gibt, den man in der App eingeben kann. Eben diese Hotline könnte eine (menschliche) Schwachstelle darstellen. Denn es bleibt auf diesem Weg potenziell möglich, sich selbst als Infiziert bestätigen zu lassen, ohne wirklich infiziert zu sein.

Auch ist unklar, wieviele Nutzer eine Anti-Corona-App haben muss, damit diese wirklich effektiv ist und ihren potenziellen Mehrwert überhaupt erreichen kann. Klar ist aber: Damit es eine breite Nutzerschaft geben kann, müssen auch die offenen Fragen geklärt werden und mit der App, ihren Voraussetzungen und technischen Gegebenheiten offen umgegangen werden.

Nutzung der Anti-Corona-App wird freiwillig bleiben

Was die meisten Beteiligten stets versichern: Die Nutzung der Anti-Corona-App ist und soll in jedem Fall freiwillig bleiben. Niemand soll gezwungen werden, die App zu installieren und zu nutzen. Dies würde die aktuelle Gesetzeslage auch nicht hergeben: Trotz aller aktuellen Verschärfungen und Neuerungen. Wer – aus welchem Grund auch immer – auf die Nutzung lieber verzichten möchte, kann das selbstverständlich tun!

Dabei gilt es zu bedenken, dass es auch andere Faktoren gibt, die potenziellen Nutzern das Gefühl geben könnten, zur Nutzung verpflichtet zu sein. Dies wäre insbesondere der Fall, wenn (auch medial) eine Art “Gruppendruck” erzeugt würde. Auch deshalb ist die Versicherung, dass die Nutzung rein freiwillig ist, sehr wichtig. Denn nur so, kann diesem Zwangsgefühl entgegengewirkt werden und Freiwilligkeit bleibt nicht nur eine leere Phrase.

Vorschläge insbesondere von einzelnen Politikern, man solle überlegen an die Nutzung der Anti-Corona-App bestimmte Vorteile zu koppeln, sind daher – richtigerweise – auf erheblichen Widerstand gestoßen und werden wohl nicht umgesetzt werden. Ebenfalls wenig Aussicht auf Umsetzung hat der Wunsch insbesondere der Grünen, dass noch ein begleitendes Gesetz verabschiedet wird, dass die Freiwilligkeit explizit festschreibt und auch Dritte an Diskriminierungen von Nicht-Nutzern hindern soll. Die Bundesregierung sieht für ein solches zusätzliches Gesetz bislang jedoch keine Notwendigkeit.

Viele andere Apps auf dem Markt – Verwechslungsgefahr bei Anti-Corona-Apps!

Die Corona-Warn-App ist seit dem 16.05.2020 für Android- und Apple-Smartphones verfügbar – nachdem es zuvor zu erheblichen Verzögerungen gekommen war. Aber schon vorher gab es eine Vielzahl weiterer Apps, die sich dem Kampf gegen Corona verschrieben haben und dabei auf vielfältige Arten Unterstützung leisten wollen. Nutzer sollten hier daher sehr aufmerksam sein, was genau sie herunterladen und die App verspricht.

So hat auch das Robert-Koch-Institut bereits eine App namens “Corona-Datenspende” für Smartwatches und Fitnessarmbänder veröffentlicht. Diese App soll – freiwillig und pseudonymisiert – mögliche Infizierte erkennen und dem RKI damit eine weitere Datenquelle für die Lageeinschätzung zur Verfügung stellen. Die App stellt aber selbst keine Diagnose und verfolgt keine Infektionswege und Kontakte nach. Trotzdem hatte beispielsweise die Gesellschaft für Informatik diese Corona-Datenspende-App als “überraschend schlecht gemacht” kritisiert.

Daneben gibt es weitere eigentlich seriöse Apps, wie z.B. “COVID-19” von der BS software development GmbH & Co. KG und ihrem Cloud-Partner Telekom Healthcare Solutions. Doch schon bei diesen fiel kurz nach Veröffentlichung auf, dass eine allzu hastige Programmierung Sicherheitslücken übrig lassen kann.

Andererseits tummeln sich sehr viele unseriöse Apps und Anbieter in einem Feld, dass den Nutzern Sicherheit und Hilfe verspricht. Denn nicht nur schlampige Programmierung unter großem Zeitdruck sind eine ernsthafte Gefahr für die Nutzer solcher Apps: Gerade auch Betrüger versuchen hier die Notlage der Menschen auszunutzen und so möglicherweise an persönliche Daten von Nutzern zu gelangen.

Die deutsche Corona-Warn-App zur Verfolgung der Infektionswege ist eine Chance zu beweisen, dass sich Daten- und Gesundheitsschutz nicht ausschließen müssen. Durch maximale Transparanz wird ein solches Projekt nicht angreifbar, sondern an Rückhalt gewinnen können: Und damit an Nutzern, die eine solche Anti-Corona-App auch freiwillig installieren und verwenden.

Unsere Schwerpunktreihe: Die Wirtschaft in der Coronakrise

Unsere Blogbeiträge zum Themenbereich “Coronavirus – die wichtigsten rechtlichen Auswirkungen” informieren Sie über die fortlaufenden Entwicklungen, was Sie nun besonders beachten müssen und welche Maßnahmen Ihnen helfen könnten.

Bisher haben wir die Themen der Kurzarbeit aus Sicht von Arbeitgebern, der Fürsorge- und Schutzpflichten von Arbeitgebern, den Auswirkungen von Corona für arbeitende Eltern sowie zur Arbeit im Home-Office durch jeweils eigene Beiträg vertieft. Darüber hinaus finden Sie bei uns bereits Beiträge zum Datenschutz für Arbeitgeber in der Coronakrise, zum Datenschutz bei Zoom und Co., Informationen zur Aussetzung der Insolvenzantragspflicht, zur Möglichkeit von Fristverlängerungen, einen Überblick über mögliche Entschädigungszahlungen, was bei Veranstaltungsabsagen zu beachten ist und wie die neue Gutscheinlösung bei Veranstaltungsabsagen aussehen soll. Weitere Beiträge widmen sich den steuerlichen Hilfsmaßnahmen, dem Kündigungsschutz für Mieter sowie den besonderen Hilfsangeboten für Künstler und andere Kreative. Auch über die deutsche Corona-Warn-App informieren wir in einem eigenen Beitrag.

Abgerundet werden unsere Beiträge durch eine Übersicht auch bezüglich der wichtigsten Anlaufstellen und Informationen zu finanziellen Hilfsangeboten und Maßnahmen, Hinweise zur Antragstellung auf die Corona-Soforthilfen sowie dazu, dass man sich bei allzu leichtfertiger Antragstellung wegen Betrugs strafbar machen könnte.


Bewertung: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 5,00 von 5 Sterne, basierend auf 4 abgegebenen Stimmen.
Loading...

Hinterlasse einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Absendung eines Kommentars erfolgt auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Newsletter abonnieren
Die Datenverarbeitung im Zusammenhang mit der Eintragung in den Newsletter erfolgt primär auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.
Weitere Blogbeiträge zum Thema Corona
Newsletter abonnieren
Die Datenverarbeitung im Zusammenhang mit der Eintragung in den Newsletter erfolgt primär auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.
Weitere Blogbeiträge zum Thema Corona
Newsletter der Kanzlei: Gerne senden wir Ihnen regelmäßig kostenlose Informationen aus unseren Rechtsgebieten.
Holler Box