Beueler-Extradienst

Meldungen & Meinungen aus Beuel und der Welt

Verwirrung und Täuschung mit Corona-APPs

Seit Bundesgesundheitsminister Jens Spahn zunächst eine “Corona-APP” mit Personentracking und Verfolgung von Bewegungsbildern den Gesetzesnovellen zum Infektionsschutzgesetz unterschieben wollte, diesen Plan aber wegen Datenschutzbedenken aufgeben musste, herrscht zunehmende Verwirrung um die Regierungpläne. Die wurde vor allem mit einer weiteren APP des Robert Koch Instituts ausgelöst, vor der die Gesellschaft für Informatik inzwischen deutlich warnt. Gleichzeitig versuchen dubiose Geschäftemacher, Unternehmen “APPs” zu verkaufen, die offensichtlich unzulässige Datensammlung und-Verwertung betreiben könnten.

Nachdem wir hier auf diesem Blog vor den Datenschutzrisiken solcher APPs warnten und verschiedene Datenschützer und Bürgerrechtsorganisationen sich gegen eine Auswertung von Bewegungsdaten von Personen ausgesprochen haben, schien die Überwachung und Auswertung von personenbezogenen Bewegungsbildern überholt. Denn ein internationales Konsortium, so konnte man vor etwa einer Woche lesen, bereite unter der Bezeichnung PEPP-PT eine APP auf freiwilliger Basis vor, die ohne Tracking von Personen und unter Pseudonymisierung aller personenbezogenen Daten die Kontakte von Handynutzern über Bluetooth nur dann registrieren soll, wenn bestimmte Abstände der Geräte für eine kritische Zeit – etwa 15 min. – unter- bzw. überschritten werden. Wird der Besitzer eines Handys mit einer solchen APP positiv auf Covid 19 getestet, warnt er über sein Handy diejenigen Kontakte pseudonymisiert, die sich in den vergangenen 14 Tagen in der kritischen Entfernung aufgehalten haben.

So jedenfalls die bisher bekannten methodischen Details, die noch nicht nachvollziehbar dokumentiert sind. Die Bundeswehr, hieß es, teste diese Lösung, die nach Ostern vorgestellt werden soll. Verschiedene Politiker, u.a. Robert Habeck von den Grünen, signalisierten für eine solche Lösung vielleicht etwas vorschnell ihre Zustimmung.

In der vergangenen Woche nun verwirrte das RKI die Öffentlichkeit mit der Vorstellung einer weiteren APP.

Gesellschaft für Informatik kritisiert „Datenspende-App“ des Robert-Koch-Instituts

Im Kampf gegen Corona hat das Robert-Koch-Institut am 7.4. zu einer “Datenspende” via App aufgerufen und eine App veröffentlicht, über die Nutzerinnen und Nutzer ihre Daten der Wissenschaft zur Verfügung stellen können. Die Daten sollen dem RKI helfen, die Ausbreitung sowie die mögliche Dunkelziffer an Coronavirus-Infektionen besser einschätzen zu können. Die Gesellschaft für Informatik e.V. (GI) ist davon überzeugt, dass digitale Hilfsmittel bei der Eindämmung von Neuinfektionen und der Nachverfolgung helfen können. Dabei sollten sie jedoch dem Stand der Forschung und den höchsten Anforderungen in Sachen Transparenz, Zweckgebundenheit, Wahrung der Privatsphäre, Anonymisierung, Prüfbarkeit, Verschlüsselung und Datensparsamkeit entsprechen.

GI-Präsident Prof. Dr. Hannes Federrath: „Es gibt sehr gute Ansätze, mit digitalen Werkzeugen der Verbreitung des Virus entgegenzuwirken, wie das PEPP-PT-Framework zur Kontaktverfolgung. Leider ist die vorliegende Datenspende-Anwendung überraschend schlecht gemacht, und daher dem Schutz der Bevölkerung eher abträglich. Das Vertrauen der Menschen in technische Lösungen wird damit bereits frühzeitig und unnötig auf eine harte Probe gestellt. Es bleibt zu hoffen, dass das Robert-Koch-Institut als wichtige Vertrauensinstanz in der aktuellen Krise bei künftigen digitalen Anwendungen – beispielsweise zur Kontaktrückverfolgung – mehr Sorgfalt walten lässt.“

Die GI kritisiert insbesondere, dass der Code der Anwendung proprietär ist, und damit nicht öffentlich dokumentiert und überprüfbar, wie eigentlich für solche Apps zwingend notwendig. Auch weitere wichtige Prinzipien wie Zweckgebundenheit, Anonymität, Datensparsamkeit und Schutz vor unbefugten Zugriff sind entweder nicht erfüllt oder zumindest unklar. So konnte auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bisher keine Einschätzung zur fertigen Version der “Corona Datenspende”-App vornehmen, auch wenn die Anwendung damit wirbt, der BfDI sei bei der Entwicklung beratend eingebunden gewesen.

Trittbrettfahrer im Zeichen der Krise

Der im Zeitalter des Smartphones offensichtlich vorherrschende Glaube, es gäbe zur Lösung eines jeden gesellschaftlichen oder individuellen Problems eine “APP”, treibt angesichts der Corona-Krise seltsame Blüten. So bietet ein undurchsichtiges Firmenkonsortium aus Düsseldorf und München derzeit einer Vielzahl von mittelständischen Unternehmen eine “Corona-APP” an, mit der Arbeitgeber ihre Angestellten verpflichten sollen, jeden Morgen nach dem Aufstehen zahlreiche Gesundheitsfragen u.a. nach Fieber, Kopfschmerzen, Husten zu beantworten, die zwar auch als Symptome bei einer Corona-Infektion auftreten können, aber auch zu einer normalen Erkältung gehören können. Diese sensiblen Gesundheitsdaten, die auch in der Krise nicht in Arbeitgeberhand gehören, sollen nun für die Firmenchefs oder HR-Mitarbeiter offen einsehbar sein. Ein klarer Verstoß gegen Datenschutzgrundverordnung und das Patientengeheimnis. Denn erlaubt ist unter den Bedingungen der Corona-Krise durchaus, dass Arbeitgeber die Frage stellen, ob ihre Mitarbeiter infiziert sind, waren, oder sich in einem Krisengebiet laut RKI befunden haben. Aber auch dies darf nur streng vertraulich und unter Beachtung der Verhältnismäßigkeit geschehen. Die Datenschutzaufsichtsbehörden haben hierzu für alle einsehbar Hinweise eingestellt.

Das dubiose Firmenkonsortium, das nun diese Gesundheits-Spionage-APP vertreibt, möchte offensichtlich mit der Corona-Angst Geschäfte machen: Für “nur € 16,90 pro Woche und Mitarbeiter” sollen Arbeitgeber die Gesundheitsdaten ihrer Mitarbeiter sammeln und überwachen können. Die “Covid-19 Check”-App, sei angeblich “100% DSGVO-Konform” und die Daten würden “nach ISO 27001 zertifiziert” gespeichert. Die Werbung für diese Dienste ging unter anderem an eine Reihe von Kunden eines Unternehmens für Arbeitsschutz in Marl. Dort wird vermutet, dass ein ehemaliger Mitarbeiter, der nun für den Anbieter der APP Werbung betreibt, eine Kundendatei mit zahlreichen Privatadressen “mitgenommen” und genutzt hat, und hat Anzeige erstattet. Wenn schon mit potenziellen Kundendaten so umgegangen wird, ist das für die Sicherheit von Gesundheitsdaten auf dieser “APP” sicher die beste Empfehlung. Dass derartige Geschäftsmodelle überhaupt Aussicht auf Erfolg haben, liegt aber auch an der Naivität und Gedankenlosigkeit, mit der inzwischen Smartphones bedient werden. Eines der traurigsten Beispiele ist der hemmungslose Gebrauch der Datenkrake “Whatsapp”, die dazu dient, Konsumenten- und Verhaltensprofile von Menschen auszuspionieren und samt Adressen mit Facebook abzugleichen. Die meisten Nutzer glauben immer noch einen kostenlosen Messengerdienst zu nutzen. Und wahrscheinlich auch, dass Zitronenfalter Zitronen falten.

Über den/die Autor*in: Roland Appel

Roland Appel ist Publizist und Unternehmensberater, Datenschutzbeauftragter für mittelständische Unternehmen und tätig in Forschungsprojekten. Er war stv. Bundesvorsitzender der Jungdemokraten und Bundesvorsitzender des Liberalen Hochschulverbandes, Mitglied des Bundesvorstandes der FDP bis 1982. Ab 1983 innen- und rechtspolitscher Mitarbeiter der Grünen im Bundestag. Von 1990-2000 Landtagsabgeordneter der Grünen NRW, ab 1995 deren Fraktionsvorsitzender. Seit 2019 ist er Vorsitzender der Radikaldemokratischen Stiftung, dem Netzwerk ehemaliger Jungdemokrat*innen/Junge Linke. Er arbeitet und lebt im Rheinland. Mehr über den Autor.... Sie können dem Autor auch im #Fediverse folgen unter: @rolandappel@extradienst.net

2 Kommentare

  1. Der Maschinist

    Nach meinem, nur durch wenig eigenen Sachverstand getrübten Verständnis, handelt es sich bei PEPP-PT um eine Plattform bzw. einen Standard auf welchem dann verschiedenste Apps insbesondere aber nicht ausschließlich europaweit aufbauen sollen. Das halte ich für äußerst vernünftig. Ob ich mir eine solche App installieren würde? Da schwanke ich noch so lange, bis die KollegINNen vom CCC nicht drüber und rein gesehen haben. Das ist die (deutsche) NGO der ich in diesen Fragen die tatsächlich höchste kollektive Expertise zuschreiben würde. Sorry Ulrich Kelber…

    Doch wenn ich das Ding, so wie gewöhnlich, am Wochenende ausgeschaltet zuhause auf der Kommode liegen habe, ist das dann auch schon wieder egal… da hülfe dann nur die Pflicht zum mitführen eines eingeschalteten Smartphones… und damit machen wir das Fass dann richtig auf!

  2. Der Maschinist

    Update…:

    Offensichtlich haben die Betriebssystemoligarchen Apple & Google entweder den selben Gedanken verfolgt, wie das PEPP-PT Konsortium, oder es gab sogar eine Kooperation? Jedenfalls beschreibt ihre Mitteilung vom Freitag in ihren Grundzügen das gleiche Prinzip, (Nahbereichs-)Bluetooth und pseudo/anonymisiertes ID-matching wieder. Das muss nicht falsch sein, möglicherweise könnte es sogar der Privatsphäre/Datenschutz entsprechend implementiert werden… doch wer mag den Datengoldgräbern, nach all dem, was wir wissen, altruistische Motive unterstellen?

    Jedenfalls sieht es so aus, als würden wir hier eine Implementation auf der Ebene des Betriebssystems, wenn schon nicht im Kern des selben, so doch sehr nah dran, bekommen… Das interpretiere ich so, als dass die Funktion in einer zeitnahen Aktualisierung des Betriebssystems beigefügt, und damit auf allen “aktuellen” Smartphones vorhanden sein würde. Es müsste dann nur noch durch die BenutzerIN per Opt-In aktiviert werden.

    Das ist natürlich für einen flächendeckenden Roll-Out eine “optimale” Lösung. Für DatenschützerINNEN heißt das natürlich: ÜBERSTUNDEN!

    https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology

    https://www.theverge.com/2020/4/11/21216803/apple-google-coronavirus-tracking-app-covid-bluetooth-secure

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

© 2022 Beueler-Extradienst

Theme von Anders NorénHoch ↑