Datenschutz

Mit Smartphone-Daten gegen das Virus

15. Juni 2020
smartphone-1707069_1920
Quelle: pixabay

In den letzten Wochen konnte man sich vor Nachrichten zu sogenannten »Corona-Apps« kaum retten. Verschiedene Konzepte von verschiedenen Akteuren gingen durch die Medien – und natürlich höchst unterschiedliche Meinungen. Worum es eigentlich geht und welche datenschutzrechtlichen Implikationen »PEPP-PT« und »DP3T« haben, verrät Thilo Weichert in »Computer und Arbeit« 6/2020.

In China ist man wenig zimperlich. Das gesamte bestehende Überwachungsinstrumentarium von Staat und Wirtschaft wurde und wird genutzt, um die Ansteckungen in den Griff zu bekommen und zu halten. Datenbanken über die Nutzung öffentlicher Verkehrsmittel werden ausgewertet, um festzustellen, ob jemand nahe einer infizierten Person saß. Über alle Menschen werden Bewegungsprofile der letzten 14 Tage auf Basis von Mobilfunkdaten erstellt. Arbeitgeber fragen die Profile ab, bevor sie ihr Personal auf das Firmengelände lassen. Alibaba und Tencent, die beiden wohl wichtigsten Online-Unternehmen im Land, stellen unter den Namen »Gesundheitscode« und »Anti-Virus-Code« Apps zur Verfügung, mit denen die Daten der Kundinnen und Kunden sowie die Daten der Gesundheitsbehörden untereinander abgeglichen werden, um aus diesen Merkmalen die Infektionsgefahr zu berechnen und mithilfe eines Ampelsystems anzuzeigen: »Grün« bedeutet freie Bewegung, bei »Gelb« wird eine siebentägige, bei »Rot« eine vierzehntätige Quarantäne nahegelegt. In vielen Regionen Chinas werden so fast 100 Prozent der Bevölkerung erfasst und die Daten landen natürlich auch bei der Polizei. Die Weltgesundheitsorganisation (WHO) lobte diesen Digitaleinsatz ausdrücklich und empfahl diesen zumindest indirekt zur Nachahmung in anderen Staaten.

In Südkorea hatte man bereits vor fünf Jahren Erfahrungen mit der Masseninfektion durch das Middle East Respiratory Syndrome (MERS, ebenfalls hervorgerufen durch Coronaviren) gemacht und war auf das neue Virus vorbereitet. Die Regierung bietet eine App an, mit der Dritten Alter, Geschlecht, Nationalität und das Bewegungsprofil von Infizierten angezeigt wird. Um die Daten zu erlangen, arbeiten die Gesundheitsbehörden mit drei Telekommunikationsunternehmen und 22 Kreditkartenunternehmen zusammen. Die GPS-basierte App zeigt an, wenn sich eine infizierte Person in der Nähe eines App-Nutzenden aufhält. Zwar wird der Name der oder des Infizierten durch die App grundsätzlich nicht übermittelt, allerdings können zumindest Nachbarn, Bekannte und Kolleginnen oder Kollegen den Namen der Betroffenen erraten.

Ähnliche Tracking-Methoden verfolgen auch Hongkong und Singapur. In Israel wurde vom Inlandsgeheimdienst »Schin Bet« am Parlament vorbei ein besonders ausgeklügeltes Überwachungssystem auf den Weg gebracht, das vom Smartphone GPS-Standorte, WLAN- und Bluetooth-Kontakte sowie weitere Sensordaten ausspioniert. Aber auch in Europa gibt es Beispiele für die Überwachung per Smartphone zwecks Eindämmung von Corona. So ist in Polen die App »Kwarantanna Domowa« (Hausquarantäne) im Einsatz, mit der die Polizei die Personen in Quarantäne digital über eine GPS-Lokalisierung kontrolliert. Über die App erhalten Nutzende zu wechselnden Zeiten eine SMS. Danach müssen sie innerhalb von 20 Minuten ein Foto aufnehmen und abschicken, um nachzuweisen, dass sie die behördlichen Quarantäne-Vorgaben einhalten. Von dieser Form der Überwachung waren Anfang April 2020 bereits 300.000 Menschen betroffen.

Und bei uns?

Auch in Deutschland besteht die Forderung, per Smartphone die Infektionsketten nachzuvollziehen und zu durchbrechen. Gesundheitsminister Jens Spahn legte Mitte März 2020 einen Gesetzentwurf »zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite« vor, mit welchem das Infektionsschutzgesetz (IfSG) geändert werden sollte. Es war geplant, dass das Robert Koch-Institut (RKI) als nationale Gesundheitsbehörde »zum Zweck der Nachverfolgung von Kontaktpersonen technische Mittel einsetzen (kann)«. Hierfür sollte das RKI von den Mobilfunkbetreibern die Standortdaten und weitere erforderliche Daten möglicher Kontaktpersonen abfragen können. So wollte man die »ermittelten Kontaktpersonen von dem Verdacht einer Erkrankung informieren«. Das Bundesjustizministerium meldete angesichts dieses Vorgehens verfassungsrechtliche Bedenken an, sodass die Funkzellenortung letztlich fallengelassen, der übrige Entwurf aber vom Bundestag bewilligt wurde. Tatsächlich wäre eine Funkzellenordnung wohl auch viel zu grob, um vor möglichen Ansteckungen zielgerichtet zu warnen.

Derweil versuchen Unternehmen mit Apps und der Corona-Angst Geschäfte zu machen. So wurden Arbeitgeber für »nur 16,90 € pro Woche und Mitarbeiter« von einem dubiosen Firmenkonsortium aufgefordert, per App die Gesundheitsdaten ihrer Beschäftigten zu sammeln. Die angepriesene »Covid-19-Check«-App sei angeblich »100% DSGVO-konform« und die Daten würden »nach ISO 27001 zertifiziert« gespeichert.

Auch weitere Apps mit Corona-Bezug kommen bereits zur Anwendung, etwa eine der Firma BS Software Development, mit der Betroffene umgehend über die Ergebnisse ihrer Corona-Tests informiert werden. Dafür müssen sie zuvor lediglich bei ihrem Arzt den QR-Code des Tests gescannt haben. Und das RKI selbst wirbt seit Anfang April 2020 für eine sogenannte »Datenspende-App«, mit der über Smartwatches und Fitnesstracker erfasste Vitaldaten an das RKI übermittelt werden. Daraus sollen Erkenntnisse über mögliche Erkrankungsherde abgeleitet werden. Diese App wurde schon am ersten Tag ca. 50.000-mal, nach einer Woche gar 300.000-mal, heruntergeladen. Obwohl es sich hier an sich um einen seriösen Anbieter handelt und die Daten einem vermeintlich guten Zweck dienen, ist Vorsicht geboten: Eine Untersuchung des Chaos Computer Clubs ergab, dass die »Datenspende-App« des RKI erhebliche technische Schwachstellen aufweist.

PEPP-PT oder DP3T?

Die bisherige Diskussion über Corona-Apps zeigt, dass viele Menschen bereit sind, sich an digitalen Programmen zur Bekämpfung der Pandemie zu beteiligen. Zugleich bestehen aber auch große Vorbehalte in Bezug auf den Datenschutz. Innerhalb der Europäischen Union (EU) hat man daher versucht, sich auf ein gemeinsames Vorgehen zu verständigen. 130 Vertreterinnen und Vertreter aus der europäischen Wissenschaft und IT-Branche entwickelten zunächst gemeinsam eine Basissoftware für Corona-Apps unter dem etwas sperrigen Namen »Pan-European Privacy-Preserving Proximity Tracing«, kurz PEPP-PT. Hierbei handelt es sich um ein Software-Gerüst, auf dem App-Entwickler aufsetzen können. Der Quellcode sollte unter der Open-Source-Lizenz der Mozilla Foundation veröffentlicht werden. Open Source bedeutet, dass der Code der Software frei zugänglich ist und von Externen auf Schwächen, Fehler und »Hintertüren« wie z.B. versteckte Datenübermittlungen geprüft werden kann. Zum Einsatz kommen keine Funkzellendaten, sondern eine Bluetooth-Low-Energy-Funktechnik (BLE): Deren Nutzung ist besonders energiesparend und die Funkwellen reichen nur einige Meter weit. Jedes Handy, das die Software lädt, erhält eine zufällige Identifikationsnummer (ID), die sich alle 30 Minuten ändert. Andere Geräte, die sich für mindestens 15 Minuten in der infektionskritischen Reichweite von unter zwei Meter befanden, werden mit ihrer ID als Pseudonym lokal verschlüsselt gespeichert. Nach einer positiven Diagnose überträgt die oder der Erkrankte die Liste der gespeicherten Kontakt-IDs auf einen zentralen Server. Dieser fordert per Push-Nachricht die Kontaktpersonen der erkrankten Person dazu auf, sich testen zu lassen. Darüber hinaus sollen keine persönlichen Informationen, Standortdaten oder andere Merkmale gespeichert werden. Ältere Daten ohne weiteren epidemiologischen Wert werden automatisch gelöscht.

Über die Frage der zentralen Datenverarbeitung entstand eine Auseinandersetzung unter den Entwicklern. Die beteiligte Initiative DP3T (Decentralised Privacy-Preserving Proximity Tracing) forderte, dass die Kommunikation völlig dezentral zwischen den Mobilgeräten erfolgt, also lediglich die Geräte untereinander kommunizieren, ohne dass ein zentraler Server beteiligt ist. Denn über den zentralen Server wäre es leichter möglich, die Pseudonyme der mobilen Geräte aufzulösen und die erfassten Daten so für andere Zwecke zu gebrauchen. Für die Lösung über einen Server spricht allerdings, dass das System so auch »trainiert werden« könnte und die Daten auch für Forschungszwecke zur Verfügung stünden. Beides ist bei einer rein dezentralen Lösung nicht möglich, da die mobilen Geräte ja lediglich untereinander kommunizieren. Es läge also keine Instanz vor, die auf die gesamten Daten zugreifen könnte.(...)

Den vollständigen Beitrag lesen Sie in »Computer und Arbeit« 6/2020.

Jetzt 2 Ausgaben »Computer und Arbeit« gratis testen und sofort online auf alle Inhalte zugreifen!

© bund-verlag.de (ct)

Newsletter Allgemein viertel - Anzeige -
Wolfgang Däubler, u.a.
EU-Datenschutz-Grundverordnung - Neues Bundesdatenschutzgesetz - Weitere datenschutzrechtliche Vorschriften
lieferbar 99,00 €
Mehr Infos

Das könnte Sie auch interessieren

§-Symbole_529732451-2
Kurzarbeit - Aktuelles

Kurzarbeit wird verlängert

COVID-19
Kündigung - Aus den Fachzeitschriften

7 Fragen zur Kündigung wegen Corona