DATENSCHUTZ IST UNS WICHTIG!

Bitte erteilen Sie uns die Zustimmung, Ihre Daten zur internen Analyse zu verwenden. Wir geben Ihre Daten nicht weiter. Lesen Sie auch unsere Datenschutz-Erklärung.

Zum Inhalt

Corona-App des Roten Kreuzes - Neuer Anlauf

, aktualisiert am

Neustart für die „Stopp Corona“-App: Ein Update soll technische Probleme beseitigen. Die App will helfen, die Infektionskette möglichst rasch zu unterbrechen. Sensible Daten werden geschützt, Fragen zur Sinnhaftigkeit bleiben aber offen.

Treten bei einer Person, zu der Sie Kontakt hatten, Anzeichen einer Infektion mit COVID-19 auf, werden Sie über die App benachrichtigt. Üblicherweise müssen Behörden diese Kontakte ermitteln und verständigen. Das braucht Zeit. Die „Stopp Corona“-App will diese Verzögerung und damit die Zahl möglicher Ansteckungen verringern.

Viel Diskussionsstoff und Skepsis

Die von Rotem Kreuz und dem Software-Unternehmen Accenture entwickelte App hat in den letzten Wochen und Monaten viel Aufmerksamkeit auf sich gezogen. Diskussionen über eine etwaige Verpflichtung der Installation, technische Probleme und berechtigte Fragen nach ihrem Nutzen in der Praxis haben in der Bevölkerung für Skepsis gesorgt. Derzeit sehen wir aus rechtlicher Sicht aber keine Gesetzesverstöße. Einen Überblick über die Kritikpunkte und Rechtsbedenken liefern wir Ihnen auf den nächsten Seiten dieses Artikels.

Was verändert das Update?

Ein umfangreiches Update soll diese Bedenken nun ausräumen. In den App-Stores von Apple und Google ist die neue Version der „Stopp Corona“-App seit 26. Juni zum Download verfügbar. Die App wechselt auf eine neue technische Grundlage, um die Probleme der Vorgängerversion zu beseitigen. Die Basis bildet ein „Tracing Framework“. Das ist ein von Apple und Google entwickelter externe Dienst, der von der Corona-App als Schnittstelle benutzt wird. Dadurch ist die App genau genommen nur für das Bereitstellen von Informationen, einen Gesundheitscheck via Fragebogen und die Abwicklung von Krankmeldungen zuständig. Die Kontaktnachverfolgung läuft über das Betriebssystem vom Gerät selbst. An Google oder Apple sendet die App aber keine Daten.

Der entscheidende Vorteil dieser Umstellung: In der neuen Version können Kontakte auch dann aufgezeichnet werden, wenn Sie das Gerät gerade nicht aktiv nutzen (App läuft im Hintergrund weiter). Das war bisher ebenso wenig möglich wie der automatische digitale Handshake bei Geräten mit dem Apple-Betriebssystem iOS. Nun funktioniert das auch im Energiesparmodus – vorausgesetzt, Sie haben die App von der Akkuoptimierung des Herstellers ausgenommen. Standortdaten werden von der App nach wie vor nicht erfasst.

Aus für „Kontakt-Tagebuch“

Kern der App war bislang das „Kontakt-Tagebuch“, in dem anonym persönliche Begegnungen mit anderen Nutzern gespeichert wurden. Zum Schutz der Privatsphäre verzichtet die neue Version gänzlich darauf. Als Nutzer haben Sie keine Einsicht in die registrierten oder gespeicherten Begegnungen bzw. IDs. Sie können jedoch auf Anfrage die bereits gespeicherten IDs löschen lassen. In dem Fall wird man selbstverständlich nicht benachrichtigt, wenn einer der Begegnungen krank wird. Auch der manuelle Handshake, bei dem beide Nutzer aktiv zustimmen mussten und erst danach der Kontakt eingetragen wurde, ist nach dem Update nicht mehr möglich.

Wie funktioniert die freiwillige App?

Sie treffen eine andere Person, sitzen neben ihr im Bus, Kino oder Restaurant. Haben Sie und diese andere Person die App installiert, erstellt sie einen sogenannten „automatischen Handshake“. Diese digitale Kontaktaufnahme von App zu App geschieht, sobald ein anderes Gerät über 15 Minuten innerhalb von 2 Metern geortet wird, so das Rote Kreuz. Tests haben aber ergeben, dass der Handshake auch durch Wände oder auf größere Entfernungen erfolgreich war. Das ist der Technologie geschuldet, mit der Smartphones in Ihrer Nähe geortet werden. Über Bluetooth-Signale tauschen die Smartphones untereinander die anonymen Kenn-Nummern (Unique IDs) aus, die bei der Installation angelegt wurden. Seit dem Update wechseln diese IDs (und damit die nach außen gesendete Kennung) alle 15 Minuten.

Voraussetzungen und Ablauf der Krankmeldung

Voraussetzungen für Gebrauch

Damit der automatische Handshake auch tatsächlich funktioniert, gibt es einige Voraussetzungen:

  • Bluetooth muss aktiv sein.
  • Das Smartphone hat eine aktive Internetverbindung.
  • Die App muss von der Akku-Optimierung des Herstellers ausgenommen sein.
  • Bei iOS-Geräten ist mindestens die iOS-Version 13.5 erforderlich, bei Android-Geräten Version 6 mit Bluetooth Low Energy (BLE).

Ältere Smartphones und Huawei-Geräte

Ältere Smartphone-Modelle sind damit ebenso ausgeschlossen wie aktuelle Android-Geräte von Huawei. Ihnen fehlen wegen des Handelsbanns der USA die nötigen Google-Dienste. Android-Nutzer, die die App bereits vor dem Update verwendet haben, müssen die Anwendung deinstallieren und dann die aktualisierte Version neu installieren. Andernfalls stürzt die neue Version laufend ab.

Datenübermittlung ans Rote Kreuz

Solange Sie keine Krankmeldung vornehmen, können Sie als Nutzer Ihre Daten jederzeit löschen. Besteht bei Ihnen der Verdacht auf eine Infektion mit COVID-19, sollten Sie das aber in der App melden. Erst dann werden Sie aufgefordert, Ihre Telefonnummer bekannt zu geben. Die App übermittelt diese dann ans Rote Kreuz, zusammen mit Namen, Kontaktdaten und den eingesammelten IDs der vergangenen 14 Tage. Das Rote Kreuz erfährt allerdings nur, wer sich krankmeldet und nicht die Identität der übertragenen Kontakte. In diesem Fall bewahrt das Rote Kreuz Ihre Daten für 30 Tage auf und löscht sie anschließend. Vor der Krankmeldung werden alle Tracing-Informationen nur lokal auf Ihrem Smartphone gespeichert.

Krankmeldung und Folgen

Sobald Sie sich krankmelden, schickt die App eine anonyme Warnmeldung an alle Handshake-Kontakte der letzten 54 Stunden. An wen die Warnung ergeht, wissen Sie als Krankmelder nicht. Auch die Benachrichtigten wissen nicht, welcher ihrer Kontakte erkrankt sein könnte. Ist keine Warnmeldung nötig, werden erfasste Kontakte bzw. IDs nach Ablauf von zwei Wochen automatisch gelöscht.

Die Krankmeldung selbst verläuft seit dem Update in zwei Schritten. Sobald Sie als User entsprechende Symptome verspüren, sollten Sie das in der App melden und dadurch eine Warnung verschicken. Diese „gelbe Warnung“ bekommen alle relevanten Kontakte als Benachrichtigung. Erst, wenn sich der Fall durch einen Corona-Test bestätigt, wird den Kontakten in einer neuerlichen Warnung geraten, sich in Selbstquarantäne zu begeben und ebenfalls einen Test durchführen zu lassen.

 

 

Datenschutz und Recht

Ist der Datenschutz gesichert?

Die App legt eindeutige Identifikationsnummern an (personenbezogene Unique IDs), wechselt diese Kennung nach außen aber alle 15 Minuten. Durch die Krankmeldung bzw. wenn ein Verdacht auf COVID-19 vorliegt, werden daraus Gesundheitsdaten. Die Übermittlung dieser Daten an die Gesundheitsbörden ist erlaubt. Denn das Rote Kreuz holt für sämtliche Verarbeitung die Zustimmung ihrer Nutzer ein.

Erfolgt keine Krankmeldung, bleiben Ihre Daten dank des Updates lokal auf Ihrem Smartphone gespeichert. Für die Datenübermittlung nach eigenständiger Krankmeldung fordert die App eine Einwilligung. Der Vorgang, so unser VKI-Datenschutzbeauftragter Wolfgang Schmitt, „ist somit rechtskonform.“

Kein Zugriff ohne Einwilligung

Ohne rechtskonforme Einwilligung darf allerdings nicht auf Daten, die im Smartphone von Verbrauchern gespeichert sind, zugegriffen werden. Darunter fällt auch das Kontakt-Tagebuch. Die E-Privacy-Richtlinie (umgesetzt in § 96 Abs 3 TKG) schützt derartige Daten. Eine Einwilligung ist somit zwingend erforderlich. Dann ist auch eine weitere Übermittlung an die Gesundheitsbehörden rechtens. Die App ist derzeit freiwillig. Unser Urteil bezieht sich demnach nur auf die freiwillige App.

Verpflichtende App grundrechtswidrig

Wäre die Verwendung der App verpflichtend, würde das anders aussehen. Eine verpflichtende Verwendung mit standardgemäß eingestellten automatischen Handshakes ist sowohl grundrechts- als auch europarechtswidrig. Auch verfassungsrechtlich wäre das fragwürdig.

Freiwilligkeit als Bedingung

Seit dem Update und der Einführung des Contact-Tracing von Apple und Google steht fest: Die Freiwilligkeit der App bleibt in jedem Fall garantiert. Beide Unternehmen haben das allen Herstellern solcher Apps vorgeschrieben. Ansonsten wird die Anwendung nicht in ihren jeweiligen App-Stores aufgenommen und angeboten. Nicht-autorisierte App-Hersteller haben keinerlei Zugriff auf die Contact-Tracing-Funktionen für Android und iOS.

Politik beschwichtigt

Zudem versucht auch die österreichische Politik, die Befürchtungen und Skepsis der Bevölkerung zu zerstreuen. So betonte etwa Arbeitsministerin Christine Aschbacher (ÖVP) in einer Beantwortung einer parlamentarischen Anfrage, dass Arbeitgeber ihre Mitarbeiter nicht zur Installation der App zwingen können.

Positiv - negativ

Positiv

  • Die App ist freiwillig und bleibt freiwillig.
  • Die App verarbeitet keine Standortdaten.
  • Sie holt die Einwilligung der Nutzer ein und ist damit rechtskonform.
  • Laut Rotem Kreuz werden die Daten bis zur Krankmeldung nur lokal am Smartphone des Nutzers gespeichert.
  • Nutzer können bis zur Krankmeldung Ihre Daten selbstständig löschen.
  • Die Speicherdauer ist auf 30 Tage nach Krankmeldung begrenzt bzw. bei den Kontaktdaten bis nach Ende der Epidemie. Letzteres ist nicht näher bestimmt, kann aber realistischer Weise auch noch nicht vorhergesagt werden.
  • Die Datenschutzerklärung ist einfach, verständlich und enthält alle notwendigen Informationen.
  • Der Quellcode der App ist nach anfänglicher Kritik inzwischen öffentlich zugänglich, also Open Source. Vorab hat ihn das Rote Kreuz an ausgewählte Organisationen zur Prüfung übergeben: SBA Research, Noyb und EpicenterWorks stellten der App insgesamt ein "Stopp Corona": Codeanalyse offenbart App-Defizite aus. Dennoch sahen sie bei insgesamt 26 Punkten Verbesserungsbedarf. Das betraf technische und datenschutzrechtliche Aspekte. Durch das neue Update haben die Entwickler alle Beanstandungen bereinigt.

Negativ

  • Kritik an Praxistauglichkeit: Laut Datenschutzorganisation ARGE Daten - Österreichische Gesellschaft für Datenschutz ist die App "Stopp Corona"-App laut ARGE Daten "nicht praxistauglich". Sie gebe den Usern "falsche Sicherheit". Begründung: Die Distanzmessung sei zu ungenau und die App können nicht feststellen, wie eng der Kontakt zu einem möglichen "Match" tatsächlich war. Auch andere Kritiker bezweifeln, dass Bluetooth für diese Art von Anwendungen überhaupt verlässlich funktionieren kann. Das betrifft vor allem Orte, an denen viele Menschen zusammenkommen. Es bestehe die Gefahr, dass entweder viele falsche Warnungen verschickt werden oder die App ein falsches Sicherheitsgefühl vermittle. Über den tatsächlichen Nutzen in der Praxis gibt es bisher viele theoretische Annahmen, aber noch kaum brauchbare Erfahrungswerte.
  • Zu viele Einschränkungen: Aktive Bluetooth- und Internetverbindung, aktuelle Betriebssysteme, keine Akku-Optimierung – das alles ist u.a. nötig, um die App überhaupt verwenden zu können. All jene, die ein älteres Smartphone, ein neues Huawei-Gerät oder überhaupt kein Smartphone besitzen, werden von vornherein ausgeschlossen. Viele User wissen zudem nicht ausreichend darüber Bescheid, was das Funktionieren der App alles erfordert.
  • Sicherheit: Durch das Update und die damit verbundenen Sicherheitsmaßnahmen von Google und Apple hat sich diesbezüglich einiges verbessert (Stichwort: laufend wechselnde IDs). Die durchgängige Aktivierung von Bluetooth macht Smartphones aber allgemein angreifbarer. In den vergangenen Jahren sind hier immer wieder Sicherheitslücken in den Betriebssystemen aufgetaucht.
  • Verwendung bei Missbrauch: Die App behält sich es vor, die gesammelten Daten auch bei rechtswidriger bzw. missbräuchlicher Verwendung ihrer Nutzer zu verarbeiten. Offenbar soll damit vor allem gegen Nutzer vorgegangen werden, die sich in der App zum Spaß krank melden. Das ist kein ungewöhnlicher Hinweis, lässt aber einen breiten Verwendungsspielraum offen.
  • Veröffentlichen: Das Rote Kreuz hat zweifelsfrei vorab eine Datenschutz-Folgenabschätzung vorgenommen und sowohl Risiken als auch Maßnahmen im Zusammenhang mit der App beurteilt. Auch diese Ergebnisse sollten für Nutzer veröffentlicht werden.
  • Daten in den USA: Die App nutzte anfangs Dienste von Microsoft für das Hosting, für Push-Benachrichtigungen jene von Google. Datenübermittlungen in die USA sind damit möglich. Das Rote Kreuz erklärte, dass die Dienstleister aus diesen Daten keine Rückschlüsse ziehen können. Wir konnten diese Behauptung nicht überprüfen, aber die Erklärung klingt plausibel. Rechtlich ist das Versenden von Daten an US-Unternehmen problematisch: Der EuGH kippt Datenschutzabkommen zwischen EU und USA hat die EU-US-Datenschutzvereinbarung „Privacy Shield“ Mitte Juli gekippt. Damit wurde eine Übertragung von Nutzerdaten in die USA als rechtswidrig eingestuft.

Bildergalerie: 5 Screenshots

×

Technik

Bei der Installation erhält die App folgende Berechtigungen:

  • voller Netzwerkzugriff
  • Netzwerkverbindungen anzeigen
  • Stand-by-Modus deaktivieren
  • beim Start ausführen
  • Internetdaten erhalten

Diese Berechtigungen sind für eine Vernetzung zwingend notwendig. Außerdem benötigt die App bei erstmaliger Aktivierung den Zugriff auf Mikrofon und Bluetooth.

Mikrofon: Die Suche nach anderen Geräten erfolgt über ein Audio-Signal. Ultraschalltöne werden erzeugt, die für das menschliche Gehör nicht erkennbar sind. Diese Art von Suche kann in der Praxis manchmal bis zu 1 Min dauern.

Bluetooth: Die Bluetooth-Funktion zeigt die verfügbaren Geräte in der Nähe an. Achtung: Es gibt kein Pairing mit anderen Geräten. Pairing ist das Verbinden von Bluetooth-Geräten. Kein Datenaustausch möglich!

Fehlermeldung?

Zwar fragt die Android-App nach der Standortfreigabe. Sie greift aber nicht auf den Standort/GPS zu.  (Bild: Screenshot 4/2020; J.B./VKI)Zwar fragt die Android-App nach der Standortfreigabe. Sie greift aber nicht auf den Standort/GPS zu (siehe Abbildung Android-Standortfreigabe). Möglicherweise handelt es sich dabei um eine Default–Meldung (Standardeinstellung) des Google Play Store. - Die iOS-App fragt nur nach Bluetooth- und Mikrofon-Freigabe.

Technischer Hintergrund

Ist die Bluetooth-Funktion aktiv, sind Bluetooth-fähige Geräte in einem sogenannten Bereitschaftsmodus. Sie suchen (scannen) die nähere Umgebung nach anderen Bluetooth-Geräten ab. Die Stopp-Corona-App verwendet Bluetooth-Scanning, um die Reichweite der Bluetooth-fähigen Geräten zu bestimmen. Der zugeteilte Code in der App wird über das Mikrofon gesendet.

Der Nutzer kann dann auswählen, zu welchem Gerät eine Verbindung aufbauen möchte (Pairing). Die App stellt von sich aus keine Verbindung zu einem anderen Gerät her. Beim ersten Verbindungsaufbau gibt der Nutzer zur Sicherheit einen PIN-Code ein, um die Verbindung zu bestätigen. Somit wird das entsprechende Gerät als vertrauenswürdig eingestuft und die Verbindung automatisch aufgebaut, sobald das Gerät in Reichweite ist.

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail
Zum Seitenanfang