Corona: BundesrAPPublik – was soll da schon schiefgehen?

Luca, Immuny, IRIS … Darf’s eine App mehr sein?

Kein App-Wildwuchs!
Die Corona-Warn-App (CWA) muss sinnvoll weiterentwickelt werden. Mit dem KnowHow der besten Apps.
Eine App für alle!

Ich bin Organisationsprogrammierer. Ich finde Softwarelösungen, die Abläufe sauber erfassen und deren Vorgangsorganisation abbilden, vereinfachen und automatisieren, grundsätzlich gut und wichtig.

Ich bin Datenschützer und IT-Sicherheits-Spezialist. Ich finde, vernetzt genutzter Software, die nicht Open-Source oder zumindest von unabhängiger Stelle geprüft ist, darf grundsätzlich misstraut werden.

Die Corona-Warn-App ist seit Mitte 2020 in Deutschland und danach auch in anderen Ländern verfügbar und nutzbar. Herausgeber und Datenschutz-Verantwortlicher der Corona-Warn-App ist die Deutsche Bundesregierung, vertreten durch das Robert-Koch-Institut (RKI). Die CWA wurde bis heute im mittleren zweistelligen Millionenbereich heruntergeladen. Man darf annehmen, dass die Corona-Warn-App im zweistelligen Millionenbereich benutzt wird.

Seit Wochen wird nun die luca-App mehr oder weniger gehype’t. Nicht zuletzt durch den öffentlichkeitswirksamen Auftritt von Smudo von den Fantastischen Vier bei Anne Will. Kanzleramtschef Helge Braun liess es sich in dieser Sendung nicht nehmen, die von der Bundesrepublik herausgegebene Corona-Warn-App zu diskreditieren, indem er die Frage stellte, ob der Staat immer alles bereitstellen müsse.

Unterdessen werden landauf, landab weitere Apps diskutiert und beworben.

Nachdem der NRW-Ministerpräsident und mögliche CDU-Kanzlerkandidat Armin Laschet noch im Februar mit der fragwürdigen Äußerung „… alle technischen Möglichkeiten nutzen …“ auf die luca-App setzte, ruderten das NRW-Wirtschaftsministerium und die CDU-Landtagsfraktion zwischenzeitlich zurück, um jetzt die Anwendung IRIS eines NRW-StartUp-Unternehmens gut zu finden.

Auch in meinem Heimatkreis Wesel sprangen Politiker vermutlich unreflektiert auf den luca-Zug auf. Die SPD-Landtagsabgeordneten aus dem Kreis Wesel und die beiden SPD-Bundestagskandidaten Rainer Keller und Jan Dieren fordern in einer gemeinsamen Pressemitteilung ‚LUCA APP MUSS STANDARD WERDEN!‘. René Schneider (SPD-MdL) lässt es sich in seinem Blog nicht nehmen, der APP Datenschutzkonformität zuzuschreiben und will das dadurch gestützt sehen, dass selbst der Chaos Computer Club (CCC) nur ‚wenig zu meckern‘ habe. Dabei nennt der CCC ‚Transparenz und Prüfbarkeit‘ als einen wesentlichen Prüfstein. Genau das ist aber beides nicht gegeben. Netzpolitik.org beschreibt das zentrale Problem von Luca.

Der Moerser Bürgermeister Christoph Fleischhauer hat seinen eigenen Favoriten, den er per offizieller Pressemitteilung der Stadt Moers bewirbt: ‚immuny‚, die APP eines lokalen IT-Dienstleisters.

Die CDU-Landtagsfraktion und das NRW-Wirtschaftsministerium gehen – siehe oben – ebenfalls einen eigenen Weg und führen Gespräche mit den Entwicklern der Open-Source-Plattform „Iris“.

Allen Entwicklern dieser Apps unterstelle ich, dass sie Anwendungen anbieten wollen, mit denen die Beschränkungen vermindert werden können, denen Bürger und Unternehmen durch Verordnungen unterliegen.
Dass sie sich hierbei an den Grenzen des Datenschutzes bewegen, liegt in der Natur der erhobenen und verarbeiteten Daten. Es sind Personendaten und hierin je nach Vorfall besonders schützenswerte Personendaten.

Die Anbieter der Apps werben mit höchstem Datenschutz und DSGVO-Konformität.
Nun gibt es gemäß Artikel 6 DSGVO mehrere Bedingungen, nach denen die Verarbeitung personenbezogener Daten gerechtfertigt werden kann. Die Apps lassen sich vom Nutzer (hier ist der die App nutzende Mensch gemeint, nicht die Gastgeber oder Gesundheitsämter) eine Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten geben. Die DSGVO-Konformität ist also auf die Bedingung mit dem geringsten Rechtfertigungshintergrund abgestellt, der Einwilligung. Diese Vorgehensweise kennen wir auch von anderen Angeboten wie facebook etc.. Sie ist für (privatwirtschaftliche) Anbieter meist der einzig mögliche Rechtfertigungsgrund und die einzig mögliche Bedingung, die erfüllt werden kann.

Die Freiwilligkeit der Nutzung und Einwilligung ist Segen und Fluch zugleich.

Nutzer können sich frei entscheiden, die App zu nutzen. Das ist gut so.
Wenn sie sich entscheiden, können sie allerdings nur ‚Alles‘ nehmen.
Was dieses ‚Alles‘ beinhaltet, wird meist in langen Bedingungen erklärt. Im Idealfall bringen die Nutzer die Zeit auf und lesen und verstehen die Bedingungen vollumfänglich und wissen danach, worauf sie sich einlassen, Dass dieser Idealfall eher die Ausnahme als die Regel ist, darf vorausgesetzt werden. Es ist damit zu rechnen, dass sehr viele Nutzer ihre Einwilligung erklären, ohne wirklich zu wissen, in was alles genau sie einwilligen.

Die Anbieter der luca-App klären auf ihrer Webseite umfangreich auf, was die App alles leistet. In Teilen klären sie auch auf, wie die App das macht. Hier ist in den letzten Wochen viel an Information hinzugekommen. Das ist lobenswert und hilft sicher, Vertrauen zu schaffen. Die anderen mir bekannten Apps hinken hier weit hinterher.
Es stellt sich dennoch die Frage, ob die App alle erhobenen Daten braucht, um zu funktionieren. So lassen sich die Betreiber das Recht einräumen, die Stammdaten Name, Vorname, Anschrift, Telefonnummer und E-Mail-Adresse zu erfassen und zu verarbeiten. Bei den Bewegungsdaten sind es Name und Adresse der Gastgeber, Datum, Beginn und Ende des Aufenthalts. Hinzu kommen sollen später noch Daten wie Testergebnisse und Impfnachweise.
Das alles wird von den Anbietern der App datensparsam genannt, widerspricht aber nach meiner Auffassung der grundlegenden Forderung nach Datenminimierung, wie die DSGVO sie fordert (DSGVO Art. 5,1c ).
Die datenschutzgerechte Umsetzung der Verpflichtung für Gastronome zur Erfassung der Besucherdaten umfasst lediglich Name und Telefonnummer oder E-Mail-Adresse oder postalische Adresse von jeweils nur einer Person pro Hausstand und den Zeitraum des Aufenthalts. Die luca-App geht weit darüber hinaus.

Und: Die Kernfrage nach der Prüfbarkeit der Funktionsweise der App bleibt letztlich unbeantwortet.

Kritisieren muss man auch, dass für die luca-App noch keine Datenschutz-Folgenabschätzung existiert.

Trotzdem beschäftigen sich mehrere Bundesländer mit der Anschaffung und Nutzung der luca-App und stellen dabei die Übernahme der Kosten im insgesamt hohen zweistelligen Millionenbereich in Aussicht.
Nachdem viele Millionen Euro in die Entwicklung der Corona-Warn-App investiert wurden und werden und der Betrieb der CWA-Infrastruktur laufend bezahlt wird, soll hier nun eine weitere App teuer bezahlt werden.

Nachdem also eine vom Bund verantwortete und dezentral organisierte App (CWA) seit Monaten läuft und in kleinen Schritten weiterentwickelt wird, setzen manche staatliche Entscheidungsebenen nun darauf, parallel eine (oder im Wildwuchs mehrere) App zu kaufen und betreiben zu lassen.

Statt die von Datanschützern anerkannte Corona-Warn-App weiterzuentwickeln sollen privatwirtschaftliche Anwendungen mit zentral gespeicherten Personendaten das Nachverfolgungsdilemma lösen, das Bund und Länder nun seit einem Jahr nicht gelöst bekamen.
Das ist ein weiterer trauriger Aspekt des aktuellen App-Wildwuchses.

Ich will keine Horrorszenarien erfinden und mir ausmalen, was mit zentral gespeicherten Personendaten abseits der gwünschten Verwendung passieren kann. Datenlecks, Datenpannen und Datendiebstahl in großem Umfang kommen seit Jahren immer wieder vor, hier braucht es keine Erfindungen, um höchste Vorsicht zu verlangen und die Sicherstellung von bestmöglichen Maßnahmen auch prüfen zu wollen!

Wir brauchen schnelle und bestenfalls lückenlose Kontaktnachverfolgung.

Der Königsweg für eine schnelle und lückenlose Kontaktnachverfolgung ist für mich die Weiterentwicklung der Corona-Warn-App mit weitestgehender Pseudonymisierung und dezentraler Datenhaltung, sowieit möglich.
Gerne unter Einbeziehung der App-Anbieter, die ihr KnowHow natürlich ordentlich vergütet bekommen müssen.

SAP, Deutsche Telekom, Fraunhofer-Gesellschaft, HealthyTogether, Helmholtz-Zentrum, RKI, TÜViT, culture4life, HMM Deutschland und alle anderen: Setzt euch zusammen und baut gemeinsam eine App für alle!

( Etwa zwei Stunden nach diesem Post darf ich folgende Meldung lesen: https://t.co/ECONtTOl5i Die Corona-Warn-App bekommt eine lang ersehnte Funktion, anonymes Einchecken per QR-Code. Große Freude!)

Artikel kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden. Weiteres entnehmen Sie bitte der Datenschutzerklärung.