Nachdem wir hier auf diesem Blog vor den Datenschutzrisiken solcher APPs warnten und verschiedene Datenschützer und Bürgerrechtsorganisationen sich gegen eine Auswertung von Bewegungsdaten von Personen ausgesprochen haben, schien die Überwachung und Auswertung von personenbezogenen Bewegungsbildern überholt. Denn ein internationales Konsortium, so konnte man vor etwa einer Woche lesen, bereite unter der Bezeichnung PEPP-PT eine APP auf freiwilliger Basis vor, die ohne Tracking von Personen und unter Pseudonymisierung aller personenbezogenen Daten die Kontakte von Handynutzern über Bluetooth nur dann registrieren soll, wenn bestimmte Abstände der Geräte für eine kritische Zeit – etwa 15 min. – unter- bzw. überschritten werden. Wird der Besitzer eines Handys mit einer solchen APP positiv auf Covid 19 getestet, warnt er über sein Handy diejenigen Kontakte pseudonymisiert, die sich in den vergangenen 14 Tagen in der kritischen Entfernung aufgehalten haben.

So jedenfalls die bisher bekannten methodischen Details, die noch nicht nachvollziehbar dokumentiert sind. Die Bundeswehr, hieß es, teste diese Lösung, die nach Ostern vorgestellt werden soll. Verschiedene Politiker, u.a. Robert Habeck von den Grünen, signalisierten für eine solche Lösung vielleicht etwas vorschnell ihre Zustimmung.

In der vergangenen Woche nun verwirrte das RKI die Öffentlichkeit mit der Vorstellung einer weiteren APP.

Gesellschaft für Informatik kritisiert „Datenspende-App“ des Robert-Koch-Instituts

Im Kampf gegen Corona hat das Robert-Koch-Institut am 7.4. zu einer “Datenspende” via App aufgerufen und eine App veröffentlicht, über die Nutzerinnen und Nutzer ihre Daten der Wissenschaft zur Verfügung stellen können. Die Daten sollen dem RKI helfen, die Ausbreitung sowie die mögliche Dunkelziffer an Coronavirus-Infektionen besser einschätzen zu können. Die Gesellschaft für Informatik e.V. (GI) ist davon überzeugt, dass digitale Hilfsmittel bei der Eindämmung von Neuinfektionen und der Nachverfolgung helfen können. Dabei sollten sie jedoch dem Stand der Forschung und den höchsten Anforderungen in Sachen Transparenz, Zweckgebundenheit, Wahrung der Privatsphäre, Anonymisierung, Prüfbarkeit, Verschlüsselung und Datensparsamkeit entsprechen.

GI-Präsident Prof. Dr. Hannes Federrath: „Es gibt sehr gute Ansätze, mit digitalen Werkzeugen der Verbreitung des Virus entgegenzuwirken, wie das PEPP-PT-Framework zur Kontaktverfolgung. Leider ist die vorliegende Datenspende-Anwendung überraschend schlecht gemacht, und daher dem Schutz der Bevölkerung eher abträglich. Das Vertrauen der Menschen in technische Lösungen wird damit bereits frühzeitig und unnötig auf eine harte Probe gestellt. Es bleibt zu hoffen, dass das Robert-Koch-Institut als wichtige Vertrauensinstanz in der aktuellen Krise bei künftigen digitalen Anwendungen – beispielsweise zur Kontaktrückverfolgung – mehr Sorgfalt walten lässt.“

Die GI kritisiert insbesondere, dass der Code der Anwendung proprietär ist, und damit nicht öffentlich dokumentiert und überprüfbar, wie eigentlich für solche Apps zwingend notwendig. Auch weitere wichtige Prinzipien wie Zweckgebundenheit, Anonymität, Datensparsamkeit und Schutz vor unbefugten Zugriff sind entweder nicht erfüllt oder zumindest unklar. So konnte auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bisher keine Einschätzung zur fertigen Version der “Corona Datenspende”-App vornehmen, auch wenn die Anwendung damit wirbt, der BfDI sei bei der Entwicklung beratend eingebunden gewesen.

Trittbrettfahrer im Zeichen der Krise

Der im Zeitalter des Smartphones offensichtlich vorherrschende Glaube, es gäbe zur Lösung eines jeden gesellschaftlichen oder individuellen Problems eine “APP”, treibt angesichts der Corona-Krise seltsame Blüten. So bietet ein undurchsichtiges Firmenkonsortium aus Düsseldorf und München derzeit einer Vielzahl von mittelständischen Unternehmen eine “Corona-APP” an, mit der Arbeitgeber ihre Angestellten verpflichten sollen, jeden Morgen nach dem Aufstehen zahlreiche Gesundheitsfragen u.a. nach Fieber, Kopfschmerzen, Husten zu beantworten, die zwar auch als Symptome bei einer Corona-Infektion auftreten können, aber auch zu einer normalen Erkältung gehören können. Diese sensiblen Gesundheitsdaten, die auch in der Krise nicht in Arbeitgeberhand gehören, sollen nun für die Firmenchefs oder HR-Mitarbeiter offen einsehbar sein. Ein klarer Verstoß gegen Datenschutzgrundverordnung und das Patientengeheimnis. Denn erlaubt ist unter den Bedingungen der Corona-Krise durchaus, dass Arbeitgeber die Frage stellen, ob ihre Mitarbeiter infiziert sind, waren, oder sich in einem Krisengebiet laut RKI befunden haben. Aber auch dies darf nur streng vertraulich und unter Beachtung der Verhältnismäßigkeit geschehen. Die Datenschutzaufsichtsbehörden haben hierzu für alle einsehbar Hinweise eingestellt.

Das dubiose Firmenkonsortium, das nun diese Gesundheits-Spionage-APP vertreibt, möchte offensichtlich mit der Corona-Angst Geschäfte machen: Für “nur € 16,90 pro Woche und Mitarbeiter” sollen Arbeitgeber die Gesundheitsdaten ihrer Mitarbeiter sammeln und überwachen können. Die “Covid-19 Check”-App, sei angeblich “100% DSGVO-Konform” und die Daten würden “nach ISO 27001 zertifiziert” gespeichert. Die Werbung für diese Dienste ging unter anderem an eine Reihe von Kunden eines Unternehmens für Arbeitsschutz in Marl. Dort wird vermutet, dass ein ehemaliger Mitarbeiter, der nun für den Anbieter der APP Werbung betreibt, eine Kundendatei mit zahlreichen Privatadressen “mitgenommen” und genutzt hat, und hat Anzeige erstattet. Wenn schon mit potenziellen Kundendaten so umgegangen wird, ist das für die Sicherheit von Gesundheitsdaten auf dieser “APP” sicher die beste Empfehlung. Dass derartige Geschäftsmodelle überhaupt Aussicht auf Erfolg haben, liegt aber auch an der Naivität und Gedankenlosigkeit, mit der inzwischen Smartphones bedient werden. Eines der traurigsten Beispiele ist der hemmungslose Gebrauch der Datenkrake “Whatsapp”, die dazu dient, Konsumenten- und Verhaltensprofile von Menschen auszuspionieren und samt Adressen mit Facebook abzugleichen. Die meisten Nutzer glauben immer noch einen kostenlosen Messengerdienst zu nutzen. Und wahrscheinlich auch, dass Zitronenfalter Zitronen falten.