Drücken Sie „Enter“, um den Inhalte zu überspringen
Background Image from geralt / Pixabay

Warnung vor Corona-Warn-App

Link zur original Datenschutzbewertung der Corona-Warn-Apps

Douglas Leith und Stephen Farrell vom Trinity College in Dublin haben sich die Corona Apps einiger Europäischen Länder etwas genauer angesehen und eine Studie dazu veröffentlicht.
Aktuell scheint gerade Google sehr viele personenbezogene Daten hemmungslos abzugreifen. Es wäre doch schön, wenn einfach die Grundrechte auf Datenschutz gewahrt blieben.
Leider greift scheinbar gerade Google auf den Android Smartphones sehr ungeniert alle 20 Minuten vielen Daten ab. Das ermöglicht in Zusammenhang mit den besonders schützenswerten Gesundheitsdaten eine interessante Profilbildung. Daten, die die Gesundheitsbehörden absichtlich nicht auswerten wollten, werden scheinbar ohne Scheu von Google eingesammelt.
Hier beginnt auch der Zwiespalt. Für eine effektive Unterbrechung der Infektionsketten scheinen die Tracing Apps sehr wertvoll. Doch die Erkenntnisse, wie weitgehend Google auch die Anwender der Tracing Apps ausspäht, könnte viele davon abhalten, solche Apps zu installieren. Jedenfalls vergeht einem da doch die Laune, oder?

Die Forscher empfehlen die Herausgabe einer aussagekräftigen Dokumentation und empfehlen eine größere Einflussnahme staatlicher Stellen auf die im Hintergrund laufenden Dienste. Mit dem Ziel die Grundrechte auf Datenschutz seiner Bürger sicher zu stellen.
Doch ist das überhaupt noch durchsetzbar in Anbetracht der Marktmacht der Anbieter?

Hier ein Link zu den rechtlichen Grundlagen im Datenschutz

Die Forscher empfehlen trotzdem drei mögliche Wege, um die oben dokumentierte „Aufdringlichkeiten“ zu mindern.

1.besteht ein erheblicher Mangel an Dokumentation über die internen Aspekte der Warn-App-Implementierung und der anderen Teile der Google Play Services. Diese Sammlung von Schnittstellen und Hintergrunddiensten, unter anderem für den Datenaustausch, sind für den Betrieb der Warn-App erforderlich. Insbesondere sollte eine brauchbare Dokumentation darüber, wie sich Google Play Services bei der Nutzung einer Warn-App-Anwendung so datenschutzfreundlich wie möglich verhalten können, den Gesundheitsbehörden dabei helfen, ihren Nutzern und potenziellen Nutzern fundierte Entscheidungen zu ermöglichen. Den Wissenschaftlern ist keine derartige Dokumentation bekannt. Aber sie sind darüber informiert worden, dass Google und Apple selbst über dieses Problem informiert sind und planen, dieses Problem hoffentlich in naher Zukunft anzugehen.

2.könnte Google einen „Quiet Mode“-Mechanismus implementieren, der es Nutzern, die den Datenaustausch mit den Google Play Services problematisch finden, ermöglicht die Datenübertragung an Google einfach abzuschalten.

3.könnten die Gesundheitsbehörden, die Zivilgesellschaft und andere Stellen zusammen mit Google und Apple die mit dem Warn-App-System verbundenen Governance-Fragen insgesamt erneut prüfen. Die Beteiligung von Google und Apple ist absolut notwendig. In der derzeitigen Situation, in der Google und Apple im Wesentlichen Gatekeeper sind, wäre es sehr wünschenswert, dass sie das Verhalten der Apps von mehreren Partnern kontrollieren und überprüfen ließen.

Wer mehr Details lesen möchte, hier geht es technisch noch etwas weiter…

In der Kurzfassung beschreiben die Wissenschaftler die Daten, die von den Coroan Warn-Apps zur Ermittlung von Kontaktpersonen übertragen werden. In ihrer Studie bewerten sie die Einhaltung der europäischen Datenschutzvorgaben. Dabei haben sie die Corona-Warn-Apps folgender Länder unter die Lupe genommen: Deutschland, Italien, Schweiz, Österreich, Dänemark, Spanien, Polen, Lettland und Irland.

Die Apps bestehen aus zwei getrennten Komponenten: einer „Client“-App, die von den nationalen Gesundheitsbehörden verwaltet werden, und dem Google/Apple Exposure Notification (Warn-App)-Service, der auf Android-Geräten von Google verwaltet wird und Teil der Google Play Services ist.
Douglas und Stephen stellen fest, dass sich die Client-Apps der Gesundheitsbehörden aus der Sicht der Privatsphäre im Allgemeinen gut verhalten, obwohl die Privatsphäre der irischen, polnischen, dänischen und lettischen Apps verbessert werden könnten.
In deutlichem Kontrast dazu finden sie aber, dass die Google Play Services-Komponente dieser Apps aus Sicht des Datenschutzes äußerst beunruhigend ist.
Selbst in einer „datenschutzbewussten“ Konfiguration kontaktieren die Google Play Services nach wie vor etwa alle 20 Minuten die Google-Server, was möglicherweise eine feinkörnige Standortverfolgung über die IP-Adresse ermöglicht. Darüber hinaus geben die Google Play-Dienste auch die IMEI des Telefons, die Hardware-Seriennummer, die SIM-Seriennummer, die Telefonnummer des Handsets, die WiFiMAC-Adresse und die E-Mail-Adresse des Nutzers zusammen mit feinkörnigen Daten über die auf dem Telefon ausgeführten Apps an Google weiter. Diese Datensammlung wird automatisch durch die Aktivierung der Google Play Services aktiviert, auch wenn alle anderen Google-Dienste und -Einstellungen deaktiviert sind. Sie scheint daher für Nutzer von Apps zur Kontaktverfolgung auf Android unumgänglich zu sein.
Sie stellen fest, dass die Client-Komponente der Kontaktverfolgungs-Apps für die Gesundheitsbehörden in der Regel in der Öffentlichkeit sehr genau untersucht wurde und in der Regel eine Datenschutzfolgenabschätzung enthält, während für die Warn-App-Komponente dieser Apps keine derartige öffentliche Dokumentation existieren.
Um das Vertrauen der Bevölkerung zu erhalten, empfehlen die Wissenschaftler die komplette Übernahme und Überwachung des Kontaktverfolgungsökosystem an nationale behördliche Stellen zu übergeben.

Die Forscher sind sich dessen bewusst, dass Google Play Services eine unerlässliche Softwarekomponente auf den Android Smartphones ist und daher möglicherweise nicht einfach modifiziert werden kann. Es kann auch sein, dass Änderungen an den Google Play Services für die Warn-Apps, den kommerziellen Erfolg etwas schmälern, was in Kauf genommen werden könnte.

Weitere Quellen:
ZDF 24. Juli 2020
Deutschlandfunk 25. Juli 2020