Die Corona App – Risiken und Nebenwirkungen

Fachbeitrag

Nach Kontaktbeschränkung, Maskenpflicht und vermehrten Tests soll demnächst eine sogenannte Tracing-App helfen, die Ausbreitung von Corona einzudämmen. Mit deren Entwicklung hat die Bundesregierung jüngst den Softwareriesen SAP und die Telekom beauftragt. Es scheint also beschlossene Sache, dass die App kommt. Auch Apple und Google entwickeln schon Smartphone-Schnittstellen. So stellt Apple mit dem letzten Software Update schon „Corona Funktionen“ im iOS Betriebssystem bereit.

Europa als Vorbild

Staaten wie China, Singapur, Südkorea und Israel haben zur Durchsetzung von Quarantäne und zur Kontaktverfolgung teils zu radikalen Maßnahmen gegriffen. Israel setzte den Inlandgeheimdienst zur Überwachung ein und in Singapur mussten Menschen in Quarantäne durch Videoaufnahmen ihrer Wohnung nachweisen, dass sie wirklich zu Hause sind.

Europäische Initiativen, insbesondere das Pan-European Privacy Preserving Proximity Tracing (PEPP-PT) – Konsortium, versprechen dagegen ein datenschutzfreundliches Konzept. Die Bundesregierung beabsichtigt dabei die Nutzung des sogenannten Decentralized Privacy-Preserving Proximity Tracing (DP-3T), einer teilweise dezentralisierten Architektur, die neben dem Informieren von infektionsgefährdeten Personen zugleich epidemiologische Forschung erlaubt.

Eine dezentrale Speicherung der Daten auf den Smartphones der Nutzer soll staatlichen Missbrauch vorbeugen. Doch hält die Technik ihr versprechen?

Zu Risiken und Nebenwirkungen lesen Sie die Datenschutz-Folgenabschätzung

Sie fragen sich möglicherweise, was es mit einer Datenschutz-Folgenabschätzung auf sich hat. Was wie ein Wort-Ungeheuer aus den Untiefen deutscher Behörden klingt, könnte helfen, Licht ins Dunkel der geplanten Corona-Tracing-App zu bringen. Nach Art. 35 DSGVO müssen alle Datenverarbeiter vor riskanten Verarbeitungen eine Datenschutz-Folgenabschätzung durchführen. Das ist bei der Corona-Tracing-App unbestritten der Fall, denn schließlich handelt es sich um eine massenhafte Verarbeitung von Gesundheitsdaten. Es wird daher kritisiert, dass das Robert Koch Institut bisher keine Datenschutz-Folgenabschätzung veröffentlicht hat. Denn diese könnte eine Grundlage für eine gesellschaftliche Debatte zu den Risiken und Chancen einer solchen App ermöglichen.

Mangels einer Datenschutz-Folgenabschätzung von offizieller Seite hat das „Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ e.V. („FIfF“) kurzerhand selbst eine Datenschutz-Folgenabschätzung durchgeführt. Kurzerhand? Nicht ganz. Immerhin setzt er sich über gut 100 Seiten mit der Funktionsweise, den Akteuren und möglichen Risiken einer möglichen Corona-App auseinander.

Erhebliche Risiken auch bei dezentraler Ausgestaltung

Das FIfF stellt zunächst fest, dass die Datenschutzkonformität der geplanten App keine klare Ja/Nein Antwort ermöglicht, sondern die Beurteilung komplexe Erwägungen erfordert.

Hauptrisiken – fehlende Freiwilligkeit und Interventionsmöglichkeiten

Es besteht die Gefahr der mangelnden Freiwilligkeit der App-Nutzung. Es könnte ein faktischer Nutzungszwang entsteht. So könnten Arbeitgeber beispielweise die Rückkehr an den Arbeitsplatz an die Nutzung der App koppeln. Denkbar ist auch, dass die App als Zugangsvoraussetzung zu Gebäuden, Räumen oder Veranstaltungen genutzt wird. Das FIfF spricht insofern von der Illusion der Freiwilligkeit.

Es besteht auch die Gefahr tiefgreifender Grundrechtseingriffe bei „Fehlalarm“. So sei es denkbar, dass es zu einer Kontaktmessung durch die Wand zwischen zwei Wohnungen kommt oder bei vorbeilaufenden Passanten bei Erdgeschosswohnungen sowie fehlerhaften Positivtests von Laboren. Entscheidend ist hier, welche Maßnahmen an die Feststellung eines Kontakts mit einem Infizierten geknüpft werden. Besteht beispielsweise keine Möglichkeit gegen eine verordnete Quarantäne zu intervenieren, besteht die Gefahr ungerechtfertigter Freiheitsbeschränkungen.

Auch die DSGVO sieht in Art. 22 Abs. 3 bei Entscheidungen aufgrund automatisierter Verarbeitungen eine Anfechtungsmöglichkeit vor. Bisher sieht jedoch keines der vorgeschlagenen oder eingesetzten Systeme dahingehend Möglichkeiten vor.

Weitere Schwachstellen und Risiken

Weitere Risiken werden in Kapitel 7 (S. 69) geschildert:

Ein weiteres Risiko stellt das Verhaltensscoring dar. So könnten die Kontaktverläufe infizierter Nutzer verwendet werden, um nachzuvollziehen, wie viel eine Person mit Anderen in Kontakt getreten ist. Behörden könnten bei individueller Nachverfolgung im schlimmsten Fall anhand des Verhaltensscorings Strafverfolgung einleiten, eine individuelle Beteiligung an den Behandlungskosten an den Scores bemessen oder über den Zugang zu knappen medizinischen Ressourcen entscheiden (z.B.: »wer sich gemäß Datenauswertung fahrlässig verhalten hat, hat den Beatmungsplatz nicht verdient«).

Zudem sind Freiheitsbeschränkung bei Nichtnutzung der App denkbar. Ein Vorschlag des Tagesspiegels in einem Gastkommentar vom 07.04.2020 lautete:

Prinzip Führerschein: Wer mit Maske und ›Corona-App‹ sein Gefährdungspotenzial für Andere reduziert, sollte nicht weiter beschränkt werden.

Es ist zudem nicht auszuschließen, dass es zu einer „Sekundärnutzung“ der Tracing-App kommt. So könnten nach einem Terroranschlag Stimmen laut werden, die eine Nutzung der App zur Feststellung von Terrorverdächtigen fordern. Nach dem Motto: „Mittel die man hat, sollte man auch nutzen“.

Auch unklar ist, wie verhindert werden kann, dass Telefon-Betriebssystem-Hersteller wie Apple oder Google Informationen abgreifen, da sie als App-Plattform-Betreiber die technisch und organisatorische Infrastruktur von Apps bereitstellen. Sie verarbeiten die bei der Nutzung anfallenden Metadaten als Bestandteil ihrer Geschäftsmodelle.

Risikofaktoren: Gesundheitsdaten und Anonymität

Wegen der Verarbeitung personenbezogener Gesundheitsdaten, ist zudem besondere Vorsicht geboten. Weil nur Daten derjenigen Personen übertragen werden, die als infiziert diagnostiziert wurden, sind die übertragenen Daten zugleich Gesundheitsdaten. Ihre Verarbeitung ist nach Art. 9 DSGVO nur besonders beschränkten Maße zulässig. Eine mögliche Rechtsgrundlage ist die Einwilligung der Betroffenen, die jedoch nur bei freiwilliger Erteilung wirksam ist. Alternativ könnten gesetzliche Grundlagen geschaffen werden. Das Infektionsschutzgesetz bietet bisher nach überwiegender Ansicht keine Rechtsgrundlage dafür.

Besonderes Augenmerk muss auch der Gewährleistung der Anonymität der Nutzer gelten. Nur durch einen mehrdimensionalen Ansatz könne der Personenbezug wirksam und irreversibel von den verarbeiteten Daten abgetrennt werden, so dass danach von anonymen Daten gesprochen werden kann. Allen derzeit vorliegenden Vorschlägen fehle es aber an einem solchen expliziten Trennungsvorgang. Der FIfF schlägt daher in Kapitel 8 (S. 79 f) rechtliche, technische und organisatorische Anforderungen vor, deren Umsetzung in der Praxis eine wirksame und irreversible Trennung sicherstellen sollen.

Kommt ein Corona-App Gesetz?

Eine Gruppe renommierter Datenschützer hat am 03. Mai einen Vorschlag für ein Gesetz zur Einführung und zum Betrieb einer App-basierten Nachverfolgung von Infektionsrisiken mit dem SARS-CoV-2 (Corona) Virus veröffentlicht.

Einwilligung nicht geeignet

Die Autoren gehen von der Prämisse aus, dass eine Einwilligung nicht als Rechtsgrundlage für die Verarbeitung der Daten geeignet ist und auch das Infektionsschutzgesetz dafür aktuell keine Rechtsgrundlage enthält. Durch den Vorschlag sollen frühzeitig Grenzen für die Nutzung und den Betrieb der App geschaffen werden.

Begrüßenswerte Regelungen

In § 3 wird klargestellt, dass die Nutzung und Installation freiwillig ist, keine Pflicht für medizinische Maßnahmen besteht und die App zudem jederzeit gelöscht werden darf. In § 5 wird das technische Verfahren unter Nutzung von Bluetooth geschildert, sodass möglichst wenig personenbezogene Daten verarbeitet werden (Datensparsamkeit). Weiter wird auch eine strenge Zweckbindung geregelt und ein Ablaufdatum des Gesetzes. Zudem soll das RKI nach § 8 eine Datenschutz-Folgenabschätzung in geeigneter Form öffentlich zur Verfügung stellen. Auch weitere Maßnahmen wie ein monatlicher Transparenzbericht zur Nutzung der App sowie die Klarstellung, dass keine Pflicht zur Registrierung einer Infizierung besteht, sind gute Maßnahmen für eine datenschutzkonforme Ausgestaltung einer Corona-App.

Die DSGVO enthält zwar schon viele der dort geregelten Grundsätze. Die Schaffung eines Gesetzes könnte abereine parlamentarische Debatte zu den Vorteilen und Risiken einer Corona App entfachen. Man könnte so schon frühzeitig vielen der oben aufgezählten Risiken begegnen. Es ist begrüßenswert, dass der Vorschlag von einigen Parteien des Bundestags aufgegriffen wurde. Auch das FIfF hatte diesen diskutiert. Man muss sich aber auch bewusstmachen, dass andere Risiken wie beispielsweise die Gefahr eines faktischen Nutzungszwangs oder die Datennutzung durch die App-Store Betreiber sich durch ein solches Gesetz wohl nicht beseitigen lassen.

Ausgang ungewiss

Es wird sich zeigen, ob die Bedenken wirklich gerechtfertigt sind. Die Datenschutz-Folgenabschätzung zeigt aber zumindest, wie viele komplexe Erwägungen in die Beurteilung der Corona-Tracing-App einfließen. Wir haben es schließlich mit einem gesellschaftlichen Experiment zur digitalen Verhaltenserfassung unter staatlicher Aufsicht zu tun. Die grundrechtrechtlichen Folgen betreffen dabei nicht nur den einzelnen Nutzer, sondern die Gesellschaft als Ganzes. Wie der Nobelpreisträger George Bernard Shaw einmal sagte: Der Weg zur Hölle ist mit guten Vorsätzen gepflastert, nicht mit schlechten.

Es gilt auch zu bedenken, dass Maßnahmen, die in einer Krise getroffen werden, häufig nicht rückgängig gemacht werden. So wurde in den USA nach 9/11 durch den PATRIOT Act viele Bürgerrechte beschnitten. Das Gesetz wurde unter großem Zeitdruck verabschiedet. Die Abgeordnete Lynn Woosley schrieb sogar: „der Kongress hätte Blut an seinen Händen, wenn es zu einem weiteren terroristischen Anschlag käme, während wir uns beraten“. Trotz zeitlicher Befristung auf vier Jahre, sind große Teile der Regelungen noch heute in Kraft. Corona ist kein Terror. Dennoch ist es eine gesellschaftliche Ausnahmesituation. Es ist daher von entscheidender Bedeutung, dass die Maßnahmen ausführlich diskutiert werden, nur zeitlich begrenzt eingeführt werden und möglichst regelmäßig evaluiert werden müssen. Dass der Quellcode der App offengelegt werden soll, ist ein erster Schritt. Eine Datenschutz-Folgenabschätzung von offizieller Seite wäre ein weiterer.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Das Thema „Fehlalarme“ finde ich schon recht beunruhigend. Kann es neben Fehlalarmen eigentlich auch zu absichtlich erzeugten Alarmen kommen? Kann ein Nutzer in seiner App angeben, dass er infiziert ist und dann absichtlich mit vielen anderen Menschen in Kontakt treten um diese in die Quarantäne zu schicken? Oder gibt es entsprechende Maßnahmen, um diesen Mißbrauch zu verhindern?

    • Liebe/r MP, diesen „Troll-Alarm“ hatte ich auch als sehr realistisch befürchtet. Man sehe sich doch nur an, wie krank zahlreiche Mitbürger (Trolle) in der Nutzung digitaler Medien sind; Diese würden auch vor Corona-Fakes nicht zurückschrecken. Aber die App funktioniert anders. Wenn Du diagnostisch medizinisch positiv getestet wurdest, kann anhand Deiner bis dahin erfolgten App-Nutzung nachverfolgt werden, wen Du infiziert haben könntest. Siehe hierzu in der DSFA: Seite 26, 3.5 (5.3) spricht von „die als infiziert diagnostizierten Personen“ ohne zu sagen, wie diese Diagnose in die App gelangen soll, ABER DANN auf Seiten 27/28, 3.6 (6.1 und 6.2): Ein diagnostisch bestätigter Fall muss die App deinstallieren um Fehlmeldungen zu vermeiden. Dein Fremd-Infektionspotenzial wurde ja bereits durch Gesundheitsämter ausgelesen. Wörtlich dann weiter beschrieben auf Seite 31, 4.2 b):

      „Angenommen Smartphone-Benutzerïn A wird später als infiziert diagnostiziert. In diesem Falle erhält sie eine TAN, ob von einer Ärztïn oder einer Behörde, mit der sie den Upload der TempIDs, die mit der Diagnose zu Gesundheits-TempIDs wurden, auf den CA-Server authentisieren kann. Nach dem Upload wird rechtlich, organisatorisch und technisch wirksam anonymisiert, und die infektionsanzeigenden Daten ohne Personenbezug (iDoP) werden auf dem Server als zentralem Zwischenspeicher gespeichert. Anschließend werden sie über Updates an alle genutzten Apps verteilt.“

      unter Ziffer c) auf Seite 32 dann weiter: „Es muss der Prozess noch ausgestaltet werden, mit dem eine ausschließlich einmal und nur von der als positiv getesteten Person nutzbaren TAN auf Seiten der diganostizierenden Ärztïnnen erzeugt und an diese Person übermittelt werden kann. Eine besondere Rolle kann eine TAN spielen, die zur ersten Hälfte unter Anwesenden – also Patientïn und Ärztïn – ausgetauscht wird, während der andere Teil der TAN per Telefon nach dem Ergebnis der Laboruntersuchung der Patientïn mitgeteilt wird. Mit der Eingabe der beiden TAN-Teile wird der Upload auf den Server initiiert, damit die Gesundheits-TempIDs auf den CA-Server hochgeladen werden. Wenn der Upload während des Telefonats initiiert wird, kann die Ärztïn die Gültigkeit der TAN nach dem Ende des Telefonats außer Funktion setzen, andernfalls muss die Patentïn die Ärztin nach dem Upload erneut anrufen, damit diese die TAN außer Funktion setzt. Sobald ein positiver Match festgestellt wird, also Infektionsgefahr besteht, können alle TempIDs in der App gelöscht werden bzw. kann die App deinstalliert werden. Hierbei ist noch der Zeitraum zu berücksichtigen, der beansprucht werden muss, um bereits hochgeladene infektionsanzeigende Daten ohne Personenbezug (iDoP) auf dem CA-Server löschen zu lassen, beispielsweise für den Fall einer doch nicht vorhandenen Infektion.“

      Im Ergebnis kann ich mich dem Beitrag (Danke Dr. Datenschutz) nur anschließen: Eine DSFA müsste durchgeführt und in wesentlichen Punkten (oder komplett) öffentlich bekannt gemacht werden, damit solche Fragen einfach geklärt wären.

  2. Wir werden es in paar Monaten sehen, wenn es die App dann (vielleicht) gibt. Herr Kuketz (kuketz-blog.de) wird die App dann testen. Möglichkeiten für Angriffe (App, Nutzer, Kontaktpersonen) werden schon diskutiert.

    • Von dieser Seite stammt nun mal aktuell die größte Ablehnung sämtlicher Maßnahmen der Bundesregierung, die zur Eindämmung der Pandemie getroffen wurden. Umso wichtiger ist es, dass wir bei der Diskussion genau und nah an den Fakten bleiben, um nicht in den Bereich der Verschwörung abzurutschen. Zudem sollte wir uns dabei, wann immer möglich, von den Verschwörungstheoretikern distanzieren. Man mag zwar ein (Teil-)Ergebnis gemeinsam haben. Das ist dann aber schon das Einzige.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.