Analyse der "Stopp Corona"-App des Roten Kreuzes
Wir wurden in den letzten Tagen von vielen Menschen nach unserer Meinung zu der "Stopp Corona" App des Roten Kreuzes gefragt. Wir versuchen im folgenden Artikel eine möglichst klare Einordnung zu liefern, was man sich von der App erwarten kann, wo unsere Kritikpunkte sind und ob es Sinn macht, sie zu verwenden.
Der Ziel der App ist das sogenannte "contact tracing", also das Nachvollziehen von Infektionsketten von einer positiv getesteten Person zu anderen, die in unmittelbarer Nähe zu der Person waren und sich vielleicht auch infiziert haben. Das ist epidemiologisch sinnvoll und führt dazu, die Ausbreitung der Krankheit zu verhindern, wenn Menschen frühzeitig in Heimquarantäne gehen, denn nach bisherigem Wissensstand kann eine Person, noch bevor typische Symptome wie Husten oder Fieber auftreten, ansteckend sein. Perfektes "contact tracing" könnte dazu führen, dass wir die Ausbreitung des Virus eindämmen und gleichzeitig die Ausgangsbeschränkungen zumindest in Teilen entschärft würden. Ebenso sinnvoll kann es sein, wenn wir uns daran gewöhnen im Alltag Masken zu tragen und auf diesem Weg die Ansteckung verringern.
Wie man es nicht machen sollte
Bei der Bekämpfung einer Pandemie braucht man sehr spezifische und akkurate Daten. Hier reichen die Verfahren nicht aus, die uns im Internet personalisierte Werbung anzeigen. Standortdaten aus dem Mobilfunknetz zu verwenden, um das contact tracing durchzuführen, wäre gefährlich ungenau. Die räumliche Auflösung der Standortdaten, die Mobilfunkern zur Verfügung stehen, variiert zwischen einigen zehn Metern und mehreren Kilometern, und können daher nicht verwendet werden, um zwischen einzelnen Räumen, Stockwerken oder Zugabteilen zu unterscheiden. In Südkorea wurden Mobilfunkdaten mit einer umfassenden Videoüberwachung und Kreditkartendaten verknüpft. So ein Überwachungsansatz scheitert in Österreich nicht nur an unserer Verfassung, sondern auch an der weiten Verbreitung von Bargeld und der fehlenden technischen Infrastruktur.
Die epidemiologische Sinnhaftigkeit insbesondere von automatischem Aufzeichnen von Kontakten wird aber bezweifelt, weil es darauf ankommt, wie intensiv und in welcher Umgebung ein Kontakt stattgefunden hat. Das bedeutet auch, dass die Technologien, um einen Kontakt festzustellen, auf Methoden wie Ultraschallkommunikation begrenzt sind, da etwa Bluetooth-Signale auch in benachbarten Räumen empfangbar sind und auch recht genaue Standortdaten wie über GPS oder durch den Abgleich sichtbarer WLAN-Netze mit einer Datenbank keine ausreichende Auflösung haben. Ein Datenaustausch könnte, so die beteiligten Geräte das unterstützen, auch über Near Field Communication (NFC) erfolgen, wofür sich die Geräte aber auf wenige Zentimeter nahekommen müssen und menschliche Interaktion notwendig ist.
Die einzigen verhältnismäßig akkuraten Kontaktdaten, also Information darüber, wer mit wem im Kontakt stand, sind also von Smartphones selbst festzustellen oder von Nutzern selbst einzugeben. Das Smartphone ist auch der Kanal, über den man die Menschen am zielgerichtetsten informieren kann. Bei einer Anwendung wie dem contact tracing geht es aber eindeutig um sensible Gesundheitsdaten und da eine App zu diesem Zweck nur sinnvoll ist, wenn sie viele Menschen verwenden, muss das Vertrauen der Bevölkerung in den Datenschutz gegeben sein. Gleichzeitig kann so eine App aber auch desaströse Konsequenzen haben, wenn sich Menschen in falscher Sicherheit wiegen und unvorsichtig werden.
Wie funktioniert die App des Roten Kreuzes?
Wenn man die App des Roten Kreuzes installiert, wird eine eindeutige ID erstellt. Mit dieser kann man händisch mit anderen Nutzern der App, die in unmittelbarer Umgebung sind, einen pseudonymen „Handshake“ austauschen. Das hat zur Folge, dass auf den Smartphones beider Nutzer die ID des jeweils anderen gespeichert wird. Auf einem Server wird der erfolgte Kontakt nicht gespeichert, jedoch wird dem Server zu Statistikzwecken mitgeteilt, dass ein Handshake stattgefunden hat. Findet der Handshake nicht zwischen Android-Geräten statt, sondern es ist ein Apple-Gerät beteiligt, so wird auch Infrastruktur von Google zur Datenübermittlung während des Handshakes verwendet.
Viele Nutzer*innen haben sich darüber gewundert, wieso die App Zugriff auf das Mikrofon und Bluetooth des Smartphones braucht. Über diesen Weg kann das Gerät feststellen, welche anderen Nutzer gerade in der Nähe sind. Die Nutzung des Mikrofons dient dabei der Datenübertragung mittels Nahe-Ultraschall-Signalen. Es ist nicht davon auszugehen, dass die App unsere Gespräche belauscht. Derartige Überwachungsfunktionen wären in einer unabhängigen technischen Überprüfung der Android-App wohl aufgefallen.
Wenn man sich mit dem Coronavirus infiziert, kann man über die App den Nutzer*innen Bescheid geben, mit denen man zuvor einen Handshake ausgetauscht hat. Dabei wird allen Geräten mit der App eine Nachricht zugestellt, die aber nur von den relevanten Geräten entschlüsselt werden kann. Diese Nutzer*innen bekommen dann die Meldung, dass sie in den letzten drei Kalendertagen mit einem Infizierten in Kontakt waren und an welchem Tag zu welcher Stunde der Handshake stattgefunden hat. Die Personen, die diese Meldung erhalten, können sowohl nachvollziehen, um welchen Kontakt es sich gehandelt haben muss und die Art des Kontakts und mögliche andere Betroffene einschätzen. Andererseits sieht sich die infizierte Person durch die recht genaue Angabe dieser Kontaktdaten einem erhöhten Risiko der Stigmatisierung ausgesetzt, was auch dazu führen könnte, dass sie lieber keine entsprechende Meldung macht, was den Zweck der App konterkariert.
Notwendig zur Meldung einer Erkrankung ist eine Mobilfunknummer, da mittels TAN-SMS verifiziert wird, ob die meldende Person real ist und vermutlich auch, um gegen Missbrauch des Systems zu schützen. Die Mobilfunknummer wird vom Roten Kreuz für 30 Tage gespeichert. Gemäß dem Epidemiegesetz kann eine Meldung an die Gesundheitsbehörden notwendig sein, so wie bei positiven Testungen von anzeigepflichtigen Krankheiten in Laboren oder von Ärzten.
Was wurde richtig gemacht?
Die App wurde eindeutig nach dem Prinzip privacy-by-design entwickelt und nimmt Rücksicht auf den Datenschutz der Nutzer*innen. Im Vergleich zu vielen anderen Apps auf unserem Telefon gibt es kein Tracking und keine Werbung. Eine wichtige Frage für uns war, ob es die Möglichkeit gibt, an zentraler Stelle einen sozialen Graphen aufzubauen, also eine Landkarte der Sozialkontakte, wer mit wem einen Handshake ausgetauscht hat. Nach allen uns vorliegenden Informationen wird das Risiko, dass dies geschieht, minimiert.
Auf die Rechte der Betroffenen nach Datenschutzgrundverordnung wird in der App hingewiesen. Man kann der Verarbeitung der Daten also widersprechen und die Daten löschen, korrigieren oder exportieren.
Was wurde falsch gemacht?
Die App des Roten Kreuz wurde von der Uniqa Stiftung finanziert, also einer Organisation, die einer privaten Krankenversicherung nahesteht. Programmiert und betrieben wird die App von der globalen Beratungsfirma Accenture und der Dienst wird in der Microsoft Azure-Cloud gehostet, einem amerikanischen Unternehmen, das unter die US Überwachungsgesetze fällt. Die App ist nicht open-source, ihr Quellcode kann also nicht von unabhängigen Expert*innen überprüft werden. Das führt auch dazu, dass die App in freien AppStores wie F-Droid nicht verfügbar ist, was ihre Verbreitung behindert.
Die App birgt auch die Gefahr, Menschen in falscher Sicherheit zu wiegen. Selbst wenn ein automatischer Austausch von Kontakten stattfinden würde, wäre lange nicht garantiert, dass alle Kontakte die App tatsächlich verwenden. Zudem schafft eine solche automatische Verbindung zwischen allen Geräten in der Umgebung neue Datenschutz- und Sicherheitsprobleme, die aber wahrscheinlich lösbar wären. Jedenfalls müsste ein solches Feature klar kommunizieren, was die Mindest- und Maximaldistanz für einen automatischen Handshake ist und wie dieser durch Hosentaschen oder Wände beeinflusst wird.
Würden wir die App empfehlen?
Die „Stopp Corona“ App verfolgt einen guten Ansatz und hat einige Dinge richtig gemacht. Bevor wir die App aber empfehlen würden, müssten folgende Forderungen erfüllt werden:
- Der Quellcode der App muss offengelegt werden. Das würde es auch anderen Ländern vereinfachen, die App ebenfalls zu nutzen und für ihre Sprache zu portieren. Damit leistet Österreich auch einen sinnvollen Beitrag zur internationalen Kooperation in dieser Krise, die leider noch viel zu national behandelt wird.
- Es braucht eine klare Kommunikation darüber, was die App leisten kann und was nicht. Wenn sich Menschen in falscher Sicherheit wiegen, kann dies tödlich sein. Die App darf etwa nicht dazu führen, dass wir auf Masken verzichten, dort wo es sinnvoll wäre.
- Das Hosting der App sollte in Österreich passieren, ohne auf die Infrastruktur amerikanischer Tech-Konzerne zurückzugreifen. Auf Programmier-Bibliotheken von amerikanischen Firmen (insbesondere Google) sollte, so gut es geht, verzichtet werden.
- Die App und die Server-Komponenten müssen einer professionellen IT-Security-Überprüfung (Audit) unterzogen werden. Der Audit-Bericht muss veröffentlicht werden.
- Es müsste bereits eine Datenschutzfolgenabschätzung für diese App vorliegen. Dieser Evaluierungsbericht sollte unverzüglich veröffentlicht werden.
Wenn dieser Weg für das contact tracing verfolgt wird, ist es wichtig, eine einheitliche App zu verwenden. Bisher gibt es keinen Datenaustausch zwischen verschiedenen Apps zu diesem Zweck, sie sind also nicht inter-operabel. Sobald mehrere Tracing-Apps im Umlauf sind, sinkt die Effektivität von jeder einzelnen. Eine App des Roten Kreuzes wäre jedenfalls gegenüber einem Angebot von Google, Amazon oder dem Innenministerium zu bevorzugen.
Könnte die App verpflichtend werden?
Kanzler und Vize-Kanzler haben sich bereits zu der Frage geäußert, ob diese App vielleicht verpflichtend werden könnte. Wir hielten das für sehr problematisch. Auf einer praktischen Ebene haben nicht alle Menschen in Österreich Smartphones. Insbesondere Kinder und Senior*innen haben oft keine passenden Geräte und einige Menschen verzichten aus Datenschutzgründen bewusst auf Smartphones. Daneben haben nicht alle Menschen Mobilfunkverträge mit Datentarifen. Unserer Forderung von vorletzter Woche die Beschränkungen für Datenvolumen in der Krise zu lockern, ist bisher noch kein Mobilfunker nachgekommen. Auf einer rein rechtlichen Ebene bekäme das Rote Kreuz staatliche Funktionen ausgelagert, denn die Polizei kann bei der Kontrolle der Ausgangsbeschränkungen wohl kaum kontrollieren, ob man die App eines (im rechtlichen Sinne) Vereins installiert hat und noch viel weniger, ob man sie korrekt verwendet.
Letztendlich wird ein System zu contact tracing nur funktionieren, wenn die App von breiten Teilen der Bevölkerung freiwillig verwendet wird. Dazu muss die App besser werden, und wir hoffen mit dieser Aufklärung einen Beitrag dazu leisten zu können.
Weitere Quellen
- FAQ der App
- Datenschutzerklärung
- Analyse von NOYB.eu zu tracking Apps aus EU-Datenschutzperspektive
- IT-Security Analyse von SBA Research (Eigeninitiative von SBA) Report
- noyb.eu: Datenverarbeitungen gegen Covid-19
- Genereller Artikel zu Contact Tracing und Erklärung des Konzepts anhand einer App aus Singapur
- Podcast: LNP338 Corona Tracking App
- Sinn und Unsinn von Contact Tracing Apps
Da du hier bist!
… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Jetzt Fördermitglied werden