Am 16.06.2020 wurde nun die Corona Warn App veröffentlicht. Sie soll uns helfen, die Pandemie weiter im Griff zu behalten und die Infektionsketten schnellstmöglich zu brechen. Wie es bei der Corona Warn App (CWA) mit Datenschutz und Sicherheit aussieht, möchten wir in diesem Artikel beleuchten.
Wir wollen und können nicht den Quellcode prüfen und die App auf die Schnelle prüfen (lassen). Aber darum geht es auch nicht.
Wenn Sie uns kennen, wissen Sie, dass wir gut und ausführlich recherchieren. Wir arbeiten nach bestem Wissen und Gewissen und kennzeichnen deutlich, wenn bestimmte Aussagen unsere persönliche Meinung darstellen. Beachten Sie – wie immer – dass es sich hierbei aber um keine Rechtsberatung handelt.
Inhaltsverzeichnis
Auf den Punkt gebracht: Datenschutz und Sicherheit rund um die Corona Warn App
- Freiwilligkeit der Nutzung nach Art. 6 (1) lit. a DSGVO ist für alle drei Funktionen der App gegeben.
- Die Datenschutzerklärung, der offene Quellcode und die ausführliche Datenschutzfolgenabschätzung schaffen Transparenz.
- Die Anonymität der persönlichen Daten, die durch die App verarbeitet werden, ist gewährleistet.
- Wie die Daten der neuen Betriebssystemfunktion (auf der die App aufbaut) von den Herstellern zukünftig verwendet wird, ist offen.
Funktionen der App
Bevor wir ins Detail gehen, noch kurz die Funktionen, die die App anbietet.
Risikoeinschätzung
Die Risikoeinschätzung ist eigentlich die Funktion, die wir alle unter der Corona Warn App verstehen. Ich als Nutzer habe die Möglichkeit abzufragen, wie groß mein Risiko aufgrund meiner Begegnungen ist, mit der Krankheit infiziert zu sein.
Nutzt man diese Funktion (nur dann macht die App Sinn), wird vom Server abgefragt, ob meine Begegnungen ein positives Testergebnis gemeldet haben und ob dadurch mein persönliches Risiko erhöht ist.
Dies erfolgt alles anonymisiert. Ich erfahre nicht, wer von meinen Begegnungen der positiv getestete Kontakt war.
Testergebnis erhalten
Müssen Sie selbst einen Test machen, weil der Verdacht auf eine Infektion besteht, können Sie sich das Ergebnis automatisch an die App übermitteln lassen. Dies setzt voraus, dass ihr Arzt mit einem Labor zusammenarbeitet, welches diese Funktion unterstützt. Anderweitig müssen Sie sowieso auf herkömmlichem Wege auf das Ergebnis warten.
Testergebnis teilen
Wenn Sie Ihr positives Testergebnis teilen möchten, erfahren die anderen Nutzer NICHT, von welchem Kontakt die Meldung kam. Das ist ein wesentlicher und ganz wichtiger Punkt!
Datenschutzerklärung der App
Ich hab’s getan! Ich hab mir doch tatsächlich die ganze Datenschutzerklärung der App durchgelesen. Für den einen grausame Qual, für den anderen ein Vergnügen 😉 Na ja, irgendwo dazwischen wahrscheinlich.
Das Lesen der DSE führte mich dann auf ein paar neue Begriffe und zu weiteren Quellen, die mir als Recherche dienten. Die Zusammenfassung finden Sie im Artikel an den jeweiligen Stellen.
Welche Datenverarbeitungen erfolgen NICHT durch die App?
Laut den Verantwortlichen werden folgende Verarbeitungszwecke nicht durch die App abgedeckt:
- Durch Geolocation die Nachverfolgung der Ausbreitung
- Echtzeit-Warnungen, wenn man einer positiv getesteten Person begegnet
- Überwachung infizierter Personen
- Flächendeckende Überwachungsstruktur
- Prognosen für den Verlauf der Epidemie
Hohe Transparenz als Anspruch an die Corona Warn App (CWA)
Transparenz und Datenschutz scheinen an oberster oder zumindest sehr hoher Stelle in der Entwicklung der App zu sein. Das begrüßen natürlich Datenschützer, Sicherheitsexperten und hoffentlich auch die Anwender.
Offener Quellcode
Der offene Quellcode sollte viele in der Nutzung der App beruhigen. Wer lässt sich schon gern in die Karten schauen, wenn er etwas zu verbergen hat? Die ganz Abgebrühten, die nicht nur Datenschutzerklärungen toll finden, können hier auf GitHub den Quellcode einsehen.
Systemarchitektur
Selbst wenn es nur eine grobe systematische Darstellung der Architektur ist, wird sie immerhin gezeigt, als vertrauenserweckende Maßnahme.
Rauslesen kann man relativ wenig. Wenn man ehrlich ist, könnte sich dahinter trotzdem alles verbergen. Aber in Kombination mit dem Quellcode ist es sicherlich gut, das Grundverständnis der Funktionsweise zu haben.
Verantwortlichkeit für die Corona Warn App
Aufgrund der Architektur haben den größten Einfluss auf die Daten die Betriebssystemhersteller und der Nutzer selbst. Für das RKI sind die Daten, die nur lokal auf dem Gerät (bzw. in der App) verarbeitet werden, faktisch anonym.
Ohne an dieser Stelle weiter ausholen zu wollen (im Detail finden Sie alles Weitere dazu in der DSFA auf Seite 81), ist es aufgrund der nicht personenbezogenen Daten aus Sicht des RKIs, nicht unbedingt eindeutig, dass das RKI im Sinne von Art. 4 (7) DSGVO der Verantwortliche für die Datenverarbeitung ist.
Der BfDI hat allerdings erhebliche datenschutzrechtliche Bedenken geäußert, sollte sich das RKI nicht als Verantwortlicher für die App bekennen. Um den Eindruck zu vermeiden (so wortwörtlich in der DSFA), das RKI fühle sich nicht für die Daten verantwortlich, hat es sich offen als Datenverantwortlicher bekannt und ist in diesem Sinn auch Anbieter der App.
Datenschutzfolgenabschätzung für die CWA?
Transparenz zeigt der Auftraggeber (also die Bundesregierung) auch mit der Veröffentlichung der Datenschutzfolgenabschätzung. Wer sich an die DSFA ran traut, für den ist die Datenschutzerklärung vom Umfang her ein Witz. 116 Seiten CWA, aber an manchen Stellen interessant zu lesen.
Die Inhalte der DSFA lasse ich an unterschiedlichen Stellen hier in diesen Beitrag einfließen.
Mein Verständnis von einer Datenschutzfolgenabschätzung habe ich ziemlich ausführlich in einem Beitrag auf dem Blog erläutert. Die Kernbewertung der Risiken fehlt mir leider in dem Bericht zur DSFA der Corona Warn App. Im 116-seitigen Bericht wird zum Abschluss kurz erwähnt, dass eine Risikoanalyse zugrunde liegt. Diese kann man leider nicht einsehen.
Im Punkt 10.4 auf Seite 95 der DSFA sind kurz auf einer halben Seite die identifizierten Risiken aufgelistet. Allerdings ohne Bewertung von Schaden und Eintrittswahrscheinlichkeit. Das fehlt mir etwas, da die Liste damit relativ aussagelos ist.
Altersbeschränkung oder nicht
Interessant ist, dass zum Zeitpunkt der Veröffentlichung die Altersbeschränkung der App im Google Play Store auf 0 Jahre gesetzt ist, während sie im App Store bei Apple auf 17+ steht.
Das hat Vor- und Nachteile. Da die App mit der Rechtsgrundlage Einwilligung (Art. 6 (1) lit. a DSGVO) arbeitet, muss der oder die Betroffene mind. 16 Jahre alt sein, um die Einwilligung allein tätigen zu dürfen.
Eltern von Jugendlichen unter 16 (ich verdränge noch immer den Gedanken, dass Kinder ein Handy haben (sollen)) müssten die Inhaltsbeschränkung heruntersetzen oder die Altersfreigabe aufheben. Aber genau das will man ja eigentlich nicht. Setzt man nach der Installation der App die Altersfreigabe wieder auf 17+, verschwindet die App.
Ich denke, die dementsprechende Anpassung wird sicherlich in Kürze vorgenommen.
Freiwilligkeit oder gesetzliche Vorgabe bei der Installation der App
Großer Wert wurde bisher darauf gelegt, dass die Installation und Nutzung der App rein auf Freiwilligkeit beruht.
Das beruhigt mich persönlich sehr. Mehr als kritisch würde ich es sehen, wenn die Verwendung gesetzlich erzwungen werden würde. Wo wäre noch der Unterschied zu einem Überwachungsstaat wie China?
Rechtsgrundlage für die Verwendung der App
Die Verwendung der App basiert ausdrücklich auf der freiwilligen Einwilligung nach Art. 7 DSGVO.
Alle Punkte, bzw. die genannten Funktionen über Risikoermittlung, Testergebnis erhalten, Testergebnis teilen können einzeln eingewilligt werden. Es liegt damit in allen Fällen die Rechtsgrundlage Art. 6 (1) lit. a DSGVO vor.
Bedenken oder Aussagen von (fachlich nicht fundierten) Kritikern (siehe unten) gehen in die Richtung, dass durch die App Daten von Dritten verarbeitet und weitergegeben werden, die nicht zugestimmt haben.
Diese Bedenken kann ich nicht teilen.
Interne Unternehmensvorgabe
Dürfen wir Kunden oder Mitarbeiter dazu auffordern, die App verpflichtend zu verwenden?
Dürfen Sie die Warn App als Pflicht in Ihrem Unternehmen fordern? Wäre es nicht einfacher für Restaurantbetreiber, die App als Voraussetzung des Gaststättenbesuchs zu fordern, anstatt jede Gruppe um ihre Kontaktangaben zu bitten? Weniger Stress mit der Erfassung, weniger personenbezogene Daten – das wäre doch interessant, oder?
Grundsätzlich ja, aber lassen Sie unbedingt die Finger davon. Sie dürfen die Nutzung der App nicht als Voraussetzung für Ihre Gäste / Kunden oder Ihre Mitarbeiter einfordern.
Die Rechtsgrundlage für die Datenverarbeitung ist und bleibt (hoffentlich) freiwillig. Eine Pflicht zur Nutzung darf es definitiv nicht geben.
Dürfen wir die App dann wenigstens als Alternative fordern?
Der Gedanke liegt nahe, dass man beim Friseur, im Café die App doch dann wenigstens alternativ einfordern kann. Das heißt, wer die App nicht hat, trägt sich in eine Liste ein. Wäre logisch, hätte keinen Zwang, wie aber überprüft der Verantwortliche das?
Das kann nur funktionieren, wenn man sich einen Einblick in die App geben lässt, ob diese auch läuft. Zum Glück positioniert sich der Bundesdatenschutzbeauftragte auch ganz klar in seiner Stellungnahme mit folgendem Zitat:
Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/12_Corona-Warn-App.html
In der DSFA wird auch auf diesen Punkt eingegangen. Sie kommt zu der Anforderung, dass das RKI fortwährend beobachten soll, ob sich die Nutzung der App zu einem „sozialen Zwang“ entwickle. Und diesem Fall müssten gegensteuernde Maßnahmen ergriffen werden.
Gibt’s keine kritischen Punkte?
Ein Haar in der Suppe lässt sich doch immer finden.
Medienbruch bei der Testeingabe
Wer sich testen lässt und einen Arzt bemüht, der nicht an ein Labor angeschlossen ist, das automatisch die Rückmeldung des Tests and die App übermitteln kann, muss einen anderen Weg wählen. Hierbei handelt es sich um die Funktionen Testergebnis erhalten / teilen.
Um falsche positive Tests zu vermeiden, die der App – vielleicht einfach nur aus Spaß – mitgeteilt werden, hat der Auftraggeber eine Hürde einbauen lassen. Positive Testergebnisse können nur mit Hilfe eine teleTAN erfasst werden. Dazu muss eine Hotline angerufen werden. Hier werden bestimmte Informationen abgefragt, um zu verifizieren, ob es sich um eine tatsächliche Positivmeldung handelt. In diesem Fall erstellt die Hotline eine teleTAN, die an die Telefonnummer des Anrufers weitergeleitet wird.
Dies bemängelt der Bundesdatenschutzbeauftragte. Hier sollte noch nachgebessert werden. Die Telefonnummer wird aktuell nach einer Stunde gelöscht.
Zukünftige Nutzung der Daten aus der Corona-Warn-App
Der Punkt 8.2 der Datenschutzfolgenabschätzung zur App schließt mit folgendem Satz ab:
Falls Daten, Prozesse oder sonstige Mittel der CWA für diese Zwecke (doch) genutzt werden sollen, muss eine entsprechende DSFA durchgeführt bzw. die vorliegende DSFA um eine Betrachtung der jeweiligen benachbarten Zwecke erweitert werden.
https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf, Seite 45
Das finde ich ehrlich gesagt unschön. Allein der Satz lässt offen, ob die Daten denn nicht vielleicht doch irgendwann anderweitig verwendet werden sollen.
Aus meiner Sicht ist das nicht unbedingt eine vertrauensbildende Maßnahme.
Warum benötigt die App Zugriff auf die Kamera des Mobilgeräts?
Das haben wir uns auch gefragt. Beim Durchlesen der Datenschutzerklärung wurde klar, dass die Kamera eigentlich nur benötigt wird, wenn der QR Code im Falle eines Tests gescannt werden muss.
Zwei Möglichkeiten gibt es dafür. Entweder erhält man schon einen QR Code bei der Durchführung des Tests oder dann später, wenn man das Ergebnis eines positiven Tests „in den Händen hält“.
Expositionsbenachrichtigungswerkzeug (ENF)
Dieser Punkt ist aus meiner Sicht aktuell der mit dem – für die Zukunft – kritischsten Potential aus der Sicht des Datenschutzes.
Diese Funktion ENF wurde von den Betriebssystemherstellern Google und Apple in Zusammenarbeit speziell vor dem Hintergrund der Corona-Pandemie entwickelt. Hier geht es um die Annäherungserkennung, um anschließend das Ansteckungsrisiko zu ermitteln.
Die Freigabe der Nutzung dieser Funktion wird durch die Hersteller gesteuert. Derzeit ist es so, dass nur eine App pro Land die Freigabe für diese Funktion erhält. Diese App muss dann auch von einer Gesundheitsbehörde angeboten werden. Das hört sich gut an, solange wir in einem (hoffentlich) demokratischen Land leben (wer mich kennt weiß, dass ich kein Verfechter von Verschwörungstheorien bin, also gehen wir vom guten Willen aller aus).
Was aber passiert in der Zukunft? Für wen ist zukünftig diese Funktion offen? Wie bindend ist die Nutzung durch eine Gesundheitsbehörde? Das bleibt aus meiner Sicht offen und ist für die Zukunft gesehen auf jeden Fall ein Risiko, welches wir im Blick behalten sollen.
Die CWA App nutzt das von Apple und Google entwickelte Expositionsbenachrichtungswerkzeug (ENF) für „Privacy-Preserving Contact Tracing“, das Bestandteil der Betriebssysteme Android (ab Version 6) und iOS (ab Version 13.5) ist und es Smartphones erlaubt, wechselnde zufallsgenerierte Kennnummern (sogenannte RPIs) zur Kontaktnachverfolgung per Bluetooth Low Energy (BLE) im Hintergrund auszutauschen
Bluetooth als Angriffsziel
Die Kontaktermittlung erfolgt durch die Nutzung der BLE Technologie (Bluetooth Low Energy). BLE ist ein Teil der Gesamtspezifikation von Bluetooth v4.0. Dadurch können verschiedene Geräte miteinander sprechen, allerdings mit einem geringeren Stromverbrauch.
Hier gibt es natürlich Bedenken bei der Nutzung von Bluetooth. Grundsätzlich empfehlen wir, die Schnittstelle auszuschalten, wenn man sie nicht benötigt.
Hier muss ich mich auch selbst an der Nase fassen. Selbst bin ich selten so konsequent und schalte Bluetooth aus, wenn ich aus dem Auto steige und die Freisprecheinrichtung nicht nutze. Das heißt, ja, das Risiko besteht, aber die Frage ist, inwieweit münzt man es nur auf die App um.
Wenn Sie natürlich vorher Bluetooth vermieden haben, müssen Sie mit der App nun die Schnittstelle aktivieren und erhöhen dadurch auch ein potentielles Risiko, dass Schwachstellen der Technologie ausgenutzt werden können.
Es ist damit zu rechnen, dass die Technologie auch bisher nicht bekannte Schwachstellen aufweist, die zu Fehlern oder zur Ermöglichung einer unbefugten Datenverarbeitung hinsichtlich der Daten der CWA ausgenutzt werden können. Derartige Risiken, die auf die nicht vermeidbare Abhängigkeit der CWA von Dritt-Technologien und teilweise auch auf die individuelle Nutzungsverhalten des Nutzers zurückgehen, müssen und dürfen daher – soweit sie vom RKI nicht durch angemessene Maßnahmen reduziert werden können – hingenommen werden. Andernfalls wären die CWA oder andere von Dritt- Technologie abhängige staatliche Angebote nicht realisierbar.
https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf, Seite 112
Wie hoch das Risiko der aktuellen Bluetooth Schnittstelle ist, hängt meist von der Version des Betriebssystems ab. Dies sollte man auf jeden Fall im Blick haben.
Wer hier fundierte Links zu Testberichten der Bluetooth Schnittstelle hat, darf sie uns gerne nennen. Bitte „fundierte“ Links, wie schon erwähnt, wir sind keine Verschwörungstheoretiker.
Kritische Posts in den sozialen Medien
Gerade wurde die App veröffentlicht und schon habe ich über zwei Wege denselben (sinnlosen) Post erhalten. Darüber brauchen wir ja nicht weiter zu sprechen. Soziale Medien sind ja eine Keimzelle von Inhalten dieser Art.
Witzig ist aber auch zu erwähnen, dass eine dieser Meldungen über WhatsApp gesendet wurde (??!!).
Auf die Nachfrage, auf welchen fachlichen Quellen die Informationen beruhen, kommt leider nichts zurück.
Fazit
Nun sind die Recherchen und der Artikel doch länger geworden als geplant. Interessanterweise war ich vor der Recherche selbst verhalten, die App zu nutzen. Inzwischen habe ich sie installiert und werde sie auch auf meinem Smartphone lassen. Ich habe ja noch Glück. Mein altes Gerät erfüllt gerade noch die Anforderungen, damit die CWA läuft.
Dieses Fazit möchte ich auch Ihnen an die Hand mitgeben: Meiner Überzeugung nach haben die Verantwortlichen und Entwickler viel getan, um Vertrauen aufzubauen und ein gutes Ergebnis bereit zu stellen.
Ziel ist die Vermeidung einer weiteren Pandemie-Welle und die Eindämmung der Corona Pandemie. Vielleicht schaffen wir ja dadurch auch weitere Lockerungen. Wenn wir mit der Verwendung der App dazu beitragen können, sollte es in unser aller Interesse sein.
Nach meiner aktuellen Einschätzung zahlen wir keinen hohen Preis durch unsere persönlichen Daten.
Natürlich gibt es immer die Möglichkeit, dass im Hintergrund etwas passiert, was wir nicht wissen und nicht wollen. Das können wir nie ausschließen. Aber hier habe ich persönlich das Vertrauen in das BfDI und die Verantwortlichen sowie in die Entwickler. Ich denke nicht, dass es ihr primäres Interesse ist, uns zu schaden.
Ich weiß, dass es aber viele Kritiker gibt, die das anders sehen. Für die erübrigt sich die Frage nach der CWA Installation aber sowieso, denn die haben ja kein Smartphone, über das sie evtl. getrackt werden könnten.
Unser Fazit als Stellungnahme für Ihre Mitarbeiter
Unseren Kunden stellen wir eine offizielle Stellungnahme zur Verfügung, dass wir dem Einsatz der App positiv gegenüber stehen.
Dieses Dokument und viele weitere erhalten Sie „all inklusive“ mit einer Mitgliedschaft in unserem DSB Experten Club.
Weitere Fragen (FAQs)
Hat die App Zugriff auf mein Adressbuch?
Nein, es erfolgt kein Zugriff auf die Adressen in irgendeiner App.
Kann ich durch die App getrackt werden?
Nein, die App erfasst keine Geodaten im Sinne von Tracking einer Person, also um die Bewegungen nachzuvollziehen und um diese dann darzustellen und auszuwerten.
Kann die App meine Social-Media-Kanäle einsehen?
Nein, die App steht in keiner Verbindung zu Social-Media-Kanälen.
Muss ich in der App meine Kontaktdaten angeben?
Nein, die App arbeitet anonym und bedarf keiner persönlicher Kontaktdaten.
Kann ich die App jederzeit deinstallieren und wieder installieren?
Ja, die Nutzung der App ist freiwillig. Wird die App nicht mehr benötigt oder ist sie nicht mehr gewollt, kann sie einfach wieder deinstalliert werden. Umgekehrt kann sie natürlich auch jederzeit auch wieder installiert werden. Es ergeben sich daraus keine Konsequenzen.
Kann die App auch im Ausland genutzt werden?
Interessante Frage. Gerade für Arbeitnehmer und Pendler in Grenzregionen wie Tschechien und Österreich, wäre es doch hilfreich, wenn die App auch dort Funktionieren würde.
Die Nutzung der App ist zum aktuellen Zeitpunkt nur in Deutschland möglich. Das hängt damit zusammen, dass die Store-Anbieter nur länderspezifisch Apps freigeben.
Es ist daher abzuwarten, ob die App zukünftig auch für andere Länder freigeschalten wird.
Quellen:
- Datenschutzfolgenabschätzung zur Corona Warn App (abgerufen am 19.06.20)
- Stellungnahme des BfDI zur Corona Warn App (abgerufen am 19.06.20)
- Unterschied zwischen Bluetooth und BLE (abgerufen am 20.06.20)
