Schattenblick → INFOPOOL → MEDIZIN → GESUNDHEITSWESEN


RECHT/660: Die Corona-Warn-App - Fluch oder Segen? (Dr. Datenschutz)


DatenschutzbeauftragterINFO - Informationen zum Datenschutz - 19.6.2020

Die Corona-Warn-App - Fluch oder Segen?

von Nicolas Kötter


Die lange angekündigte Corona-Warn-App des RKI ist nun da. Doch wie sieht es aus mit der datenschutzrechtlichen Bewertung der App? Die - auch hier geäußerten - Bedenken im Vorfeld waren ja groß.


Die Corona-Warn-App ist da

Man kann sie in den App Stores der von Apple und Google herunterladen, was nach ZDF-Informationen bereits 8 Millionen Nutzer gemacht haben. Wer ein älteres Smartphone als das iPhone 6s besitzt, kann die App nicht nutzen, weil dort das Apple-Betriebssystem iOS nicht in einer neuen Version installiert werden kann, die für den Betrieb der App benötigt wird.

Funktionsweise

Von Apple und Goggle wurde eine dezentrale Struktur vorgegeben:

Die App soll durch die Speicherung der sozialen Kontakte der letzten zwei Wochen helfen, Nutzer auf einen Kontakt mit Infizierten hinzuweisen. Die Smartphones tauschen für die Ermittlung von Kontakten über Bluetooth auf einem Tagesschlüssel beruhende Kurzzeitschlüssel, sog. RPIs (Rolling Proximity Identifier), aus. Man kann es sich wie ein Händeschütteln vorstellen. Wenn zwei Geräte über eine bestimmte Dauer in bestimmter Nähe zueinander sind, werden die Schlüssel ausgetauscht und lokal auf den Geräten gespeichert. Die Schlüssel werden zudem alle 10 - 20 Minuten neu generiert, um so eine Nachverfolgbarkeit zu einer Person zu vermeiden. Zudem soll alles kryptografisch abgesichert sein.

Das bedeutet, dass die App keine Daten erfasst, die es dem RKI oder anderen Nutzern ermöglichen, auf die Identität, den Gesundheitsstatus oder den Standort des Nutzers zu schließen. Zudem verzichtet die App auf die Erfassung oder Analyse des Nutzungsverhaltens durch Tracking-Tools.
Eine gute Beschreibung der Funktionsweise finden Sie in dem allgemein hörenswerten Podcast von dem Rechtsanwalt Niko Härting mit dem Softwareexperten Henning Tilmann "Corona im Rechtsstaat" Folge 13 [1] und in einem Video der Tagesschau [2].

Transparenz und Datenschutz

Zudem ist der Programmcode der App Open Source, also öffentlich einsehbar, es wurde eine Datenschutz-Folgenabschätzung [3] veröffentlicht und zudem ist die Verwendung freiwillig (dazu aber später noch mehr).

Die kritischen Stimmen wie der Chaos Computer Club [4] und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) mit seiner Datenschutz-Folgenabschätzung [5] wurden also erhört, aber es gibt dennoch ein paar Haken.


Das Fundament: Google und Apple

Die App basiert auf einer Grundlage im Betriebssystemen von Google und Apple, dem sogenannten Exposure Notification System, d.h. einer Funktion die die Kontaktaufzeichnung überhaupt erst ermöglicht.

Die Blackbox

Das Fundament, auf dem das RKI seine App gebaut hat, ist also nicht Bestandteil der App, sondern des Betriebssystems der Smartphones und liegt damit außerhalb des Einflussbereichs des RKI. In der Datenschutz-Folgenabschätzung wird eingeräumt, dass das eine Blackbox ist:

"Die unmittelbarsten Einflussmöglichkeit hinsichtlich des Ablaufs der lokalen Datenverarbeitung (...) haben (...) Apple bzw. Google, die (...) insoweit auf technischer Ebene prinzipiell auch zur Verknüpfung der dort verarbeiteten Tagesschlüssel und RPIs mit einer geräte- (z.B. Werbe-ID) oder nutzerspezifischen Kennung (z.B. Apple-ID oder Google-Konto) haben."

Man weiß also nicht weiß, ob Apple und Google die Daten vielleicht mit anderen Daten verbinden können. Salopp gesagt, macht man den Bock zum Gärtner und hat keine Kontrolle darüber, was er macht.

Akzeptanz der Bürger

Zudem wird pauschal behauptet, dass die Smartphone-Nutzern Apple und Google hinsichtlich Datenschutz vertrauen oder sich zumindest mit der Nutzung ihrer Daten abgefunden haben:

"(...) Allerdings haben die Nutzer durch die Verwendung eines Android- bzw. iOS-Smartphones zum Ausdruck gebracht, dass sie grundsätzlich Vertrauen zu diesen Herstellern haben oder sich jedenfalls mit den Datenschutzrisiken, die mit der Verwendung eines Smartphones dieser Hersteller für persönliche Zwecke einhergehen, abgefunden oder andernfalls ihr Nutzungsverhalten entsprechend angepasst haben (z.B. durch Deaktivierung der Ortungsdienste)."

Naja, das ist nur mäßig überzeugend und wahrscheinlich der faktischen Unmöglichkeit einer Corona-Warn-App ohne die Mitwirkung von Apple und Google - die zusammen 99 % der Smartphones mit Betriebssystemen ausstatten - geschuldet als wirklicher Überzeugung. Das in der Datenschutz-Folgenabschätzung unterstellte Vertrauen zu Apple und Google beruht wohl eher auf dem Mangel an Alternativen. Weitere Informationen zu der Datenverarbeitung durch Google finden Sie hier [6] und für Apple in den Einstellungen Ihres iPhones unter "Datenschutz > Health > COVID-19-Kontaktprotokoll".

Verarbeitung durch das RKI

Die Verarbeitung personenbezogener Daten durch das RKI folgt hingegen nur aus der Verbindung mit der IP-Adresse des Nutzers, die für die Übermittlung der Daten an das RKI verwendet wird. Der Personenbezug soll auch nur für eine technische Sekunde bestehen, da das RKI nach eigenen Angaben die IP-Adresse unmittelbar nach Beantwortung eines Requests (d.h. der Kontaktaufnahme mit den zentralen Servern) zu löschen.


Die Sache mit der Freiwilligkeit

Es bleiben zudem Bedenken hinsichtlich der Freiwilligkeit der App.

Freiwilligkeit gegenüber dem Staat

Der Gesetzgeber ist bei Schaffung der DSGVO selbst davon ausgegangen, dass es so eine Sache ist mit der Freiwilligkeit einer Einwilligung gegenüber einer Behörde. Schließlich ist das Verhältnis zwischen Staat und Bürger eher ein Über-/Unterordnungsverhältnis als ein zwangloser Austausch auf Augenhöhe. So hat der Gesetzgeber in Erwägungsgrund 42 S. 4 DSGVO [7] (als kluger Begleitgedanke zur DSGVO) klargestellt:

"Es sollte nur dann davon ausgegangen werden, dass sie (die Betroffenen) ihre Einwilligung freiwillig abgegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden."

Weiter heißt es in Erwägungsgrund 43 DSGVO [8], dass das gegenüber Behörden - wie dem RKI als Bundesbehörde - nicht der Fall ist:

"Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern."

In der Datenschutz-Folgenabschätzung wird dieser Einwand in Ziffer 10.2.3.3. gewissermaßen lapidar beiseite gewischt:

"als Bundesoberbehörde repräsentiert das RKI ein staatliches Organ. Allein daraus kann jedoch nicht grundsätzlich auf die fehlende Freiwilligkeit geschlossen werden."

Dem ist zwar gewissermaßen zuzustimmen, weil das RKI keine unmittelbare Handhabe gegen den Einzelnen hat, z.B. in Form einer Leistungsverweigerung. Auch wird die App nicht als staatliches Druckmittel gegenüber den Bürgern eingesetzt, z.B. als Voraussetzung für staatliche Leistungen oder Vergünstigungen. Ideen in die Richtung gab es aber viele.

Freiwilligkeit im privaten Bereich

Vielmehr steht zu befürchten, dass die Bürger untereinander die Nutzung der Corona-Warn-App zur Voraussetzung für gesellschaftliche Teilhabe machen könnten. Hier liegt sozusagen der Hund begraben. Man weiß nicht, auf welche Ideen die Menschen kommen werden. Theoretisch sind unzählige Situationen denkbar, in denen die Nutzung der App zur Voraussetzung zur sozialen Teilhabe gemacht wird, z.B. am Arbeitsplatz, auf Konzerten, im Fitnessstudio. Dann wäre es mit der viel beschworenen Freiwilligkeit schnell dahin, da man ohne die App ins soziale Abseits geraten würde. Man schafft also eine App, die potenziell ein Umdenken weg von einem bedingungslosen gesellschaftlichen Teilhaberecht hin zu einem bedingten Teilhaberecht bewirken könnte, nach dem Motto "weise mir erstmal (aktiv) nach, dass du keine Gefahr darstellst".

Die Möglichkeit räumt auch das RKI ein, aber verweist darauf, dass es unwahrscheinlich sei, weil:

"ein erheblicher Teil der Bevölkerung gar kein oder kein geeignetes Smartphone besitzt, insbesondere wenn es sich um besonders junge, alte oder kaufschwache Personen handelt. Daher erscheint es derzeit nicht nur aus wirtschaftlichen, sondern auch aus sozialen und Reputationsgründen unwahrscheinlich, dass private Einrichtungen die faktische Ausgrenzung eines erheblichen (und in der Regel überdurchschnittlich schutzbedürftigen) Teils der Bevölkerung betreiben werden."

Hier ist schon etwas kurios, dass ein Argument angeführt wird, dass allgemein gegen die Wirksamkeit der App spricht, denn alte und sozial schwache Menschen sind besonders gefährdete Bevölkerungsgruppen. Es wird also eingeräumt, dass gerade diese nicht von der App profitieren. Zudem ist es zweifelhaft, ob die Argumente wirklich zutreffend sind, weil durchaus ersichtlich ist, weshalb die Nutzung der App privat als Druckmittel dienen sollte, z.B. weil es der bequemste Wege ist und viele Situationen denkbar sind, wo die gesellschaftlichen Randgruppen bereits nur marginal vertreten sind oder der Arbeitgeber allen Mitarbeitern Diensthandys zur Verfügung stellt.

Das RKI führt gegen einen sozialen Druck zudem an, dass man den Leuten nicht an der Nasenspitze ansieht, ob sie die App nutzen:

"Dem kann jedoch entgegengebracht werden, dass die Nutzung der Corona-Warn-App nicht überprüfbar ist, ohne dass der Nutzer die Corona-Warn-App vorzeigt. Weder dem Verantwortlichen noch Dritten ist es von außen möglich einzusehen, ob die Corona-Warn-App auf einem Smartphone installiert und vollumfänglich genutzt wird. Eine solche Veröffentlichung von Daten ist nicht vorgesehen und geplant."

Hier kann man nur entgegen, dass die Leute dann halt gebeten werden, kurz ihre App vorzuzeigen. Viele werden das wahrscheinlich einem sozialen Ausschluss vorziehen.


Geeignetheit der App?

Zudem ist eine Diskussion über die Geeignetheit der App nach wie vor wichtig. Das wird auch in der Datenschutz-Folgenabschätzung eingeräumt:

"[...] der Nutzen von Corona-Tracing-Apps noch unbekannt ist und die Hinnahme von Grundrechtseinschränkungen somit möglicherweise umsonst gewesen ist."

Stichwort False Positive oder Fehlalarm. Es sind viele Situationen denkbar, in denen zwar ein Kontakt gemessen wurde, aber tatsächlich keine Gefahr besteht, wenn man z.B. durch eine Plexiglasscheibe oder eine Mauer getrennt war oder ein Kontakt unter freien Himmel registriert wird, obwohl der Abstand sehr groß war, weil das Bluetooth-Signal besonders gut übertragen wurde. Es stellt sich also die Frage, ob man sich technikgläubig einer falschen Gewissheit hingibt. Es handelt sich nämlich am Ende auch nur um Schätzwerte. Bluetooth wurde nicht für diese Zwecke entwickelt und viele Faktoren spielen eine Rolle, z.B. ob man das Smartphone in Räumen oder draußen nutzt, in der Hosentasche oder in der Hand hat oder die verbauten Komponenten haben alle einen Einfluss auf die Signalstärke.


Ausgang ungewiss

Nun zugegeben, niemand weiß wie sich die Situation entwickeln wird. Eine kurze Zeitreise zum Jahresanfang zeigt aber wie sehr sich die Maßstäbe der Diskussion schon verschoben haben. Es geht nur noch selten um das "Ob" einer App, sondern meistens nur noch um das "Wie". Hätte man an Neujahr prophezeit, dass zur Mitte des Jahres eine staatliche App zur Nachverfolgung sozialer Kontakte haben werden, wäre man wahrscheinlich für verrückt erklärt worden oder man hätte vermutet, dass man auf einem schlechten Trip ist.

Für die App spricht hingegen gewiss, dass die Behauptung, dass 60 Prozent aller Deutschen die App nutzen müssten, da sie sonst wirkunglos wäre, nicht zutrifft. Das wäre nur dann der Fall, wenn die App das einzige Mittel bei der Bekämpfung der Pandemie wäre. Man nimmt an, dass bereits die Nutzung durch zehn oder 20 Prozent der Bevölkerung einen positiven Effekt haben. Als eine Maßnahme unter vielen, ist die App also bestimmt ein positiver Beitrag. Vielleicht der größte Ritterschlag, den die Corona-App, bekommen konnte: Der Chaos Computer Club empfiehlt sie zwar nicht. Aber: Er meckert auch nicht. [9]


Über den Autor:

Nicolas Kötter ist Volljurist und Consultant mit mehrjähriger Berufserfahrung im Datenschutzrecht. Parallel zum deutschen Studium der Rechtswissenschaften absolvierte er einen Bachelor im französischen Recht in Kooperation mit der Universität Paris-Nanterre. Das Rechtsreferendariat absolvierte er unter anderem am Oberlandesgericht Hamm und der Deutschen Botschaft in Serbien. Durch Tätigkeiten in einer Kanzlei für Datenschutzrecht und seinem Interesse am Programmieren vertiefte er seine Kenntnisse im Datenschutz. Seine datenschutzrechtliche Erfahrung als Consultant und Interesse an aktuellem Zeitgeschehen lässt er in seine Beiträge einfließen.


Fußnoten:

[1] https://ping.podigee.io/13-neue-episode

[2] https://www.tagesschau.de/multimedia/video/video-712647.html

[3] https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

[4] https://www.ccc.de/de/updates/2020/contact-tracing-requirements

[5] https://www.datenschutzbeauftragter-info.de/die-corona-app-risiken-und-nebenwirkungen/

[6] https://support.google.com/android/answer/9888358?hl=de

[7] https://dsgvo-gesetz.de/erwaegungsgruende/nr-42/

[8] https://dsgvo-gesetz.de/erwaegungsgruende/nr-43/

[9] https://www.zdf.de/nachrichten/politik/corona-app-launch-100.html


URL des Originalartikels:
https://www.datenschutzbeauftragter-info.de/die-corona-warn-app-fluch-oder-segen/

*

Quelle:
Newsletter "Dr. Datenschutz" vom 19.6.2020
intersoft consulting services AG
Beim Strohhause 17, 20097 Hamburg
Telefon: +49 40 790235-0
E-Mail: info@intersoft-consulting.de
Internet: https://www.datenschutzbeauftragter-info.de


veröffentlicht im Schattenblick zum 20. Juni 2020

Zur Tagesausgabe / Zum Seitenanfang