Mel
Vor etwa zwei Wochen hat das deutsche Robert-Koch-Institut mit der Datenspende-App (App Store-Link) für iOS und Android eine Anwendung veröffentlicht, die mit Hilfe von teilnehmenden Bürgern genauere Analysen zur Verbreitung des neuartigen Coronavirus ermöglichen soll. Mit der App soll die Epidemiologie vorangetrieben werden, um mehr über die Verbreitung und Häufigkeit des Coronavirus von der Bevölkerung zu erfahren.
Die Datenspende-App übermittelt dabei pseudonymisierte Daten an das RKI (Robert-Koch-Institut), darunter die eigene Aktivität, die Herzfrequenz und das Schlafverhalten. Dazu ist zwingend eine Smartwatch oder ein Fitnesstracker zur Erhebung der Daten notwendig. Unterstützt werden derzeit alle über Apple Health oder Google Fit verbundenen Geräte sowie Wearables von Fitbit, Polar, Garmin und Withings/Nokia. „Das Robert-Koch-Institut kann Infektionen damit tagesaktuell abschätzen und vorhersagen“, heißt es im App Store. Laut Angaben des RKI ist die Nutzung „100% sicher, 100% pseudonym, 100% unerkannt“, auch eine Registrierung wird nicht verlangt. Der Fragebogen kann binnen weniger Minuten erledigt werden, weitere Angaben zu Symptomen sind freiwillig.
Nun hat sich auch der Chaos Computer Club (CCC) nach eingehender Prüfung zur Datenspende-App geäußert – und fällt kein positives Urteil für die Anwendung des RKI. Wenige Tage nach Veröffentlichung wies die App schon Zahlen von über 400.000 Nutzern (laut CCC-Website), die die Datenspende-App geladen und ihre Daten zur Verfügung gestellt haben, auf.
Zu späte Pseudonymisierung der Daten
Schon bei einer oberflächigen Prüfung der Datenspende-App habe man einige Schwachstellen gefunden, „die sowohl den Datenschutz als auch die Sicherheit und Rechtskonformität in der App infrage stellen“, so das Magazin t3n. Einer der vier großen Kritikpunkte des CCC: Die App des RKI pseudonymisiert die Daten, die sie aus Fitnesstrackern und Smartwatches zur Verfügung gestellt bekommt, zu spät – und holt sich diese zudem in vielen Fällen direkt von den Servern der Fitnesstracker. So entstehen zusätzliche Sicherheitslücken und datenschutzrechtliche Bedenken.
„Cloudanbindung: Das RKI holt sich die Daten der meisten Nutzer wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker – und hat über einen Zugangscode potentiell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten vor Beginn der Spende. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen.
Mangelhafte Pseudonymisierung: Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet erst auf Seiten des RKI statt und kann durch die Nutzer nicht kontrolliert oder verifiziert werden.“
So teilt der CCC auf der eigenen Website hinsichtlich dieser Problematik mit. Die durchgängige Pseudonymisierung sei lediglich bei einer Nutzung von Apple Health auf dem iPhone gewährleistet, da dann die Daten direkt vom Apple-Server, und nicht vom Anbieter des Fitnesstrackers zum RKI übertragen würden. Bedingt durch die ansonsten notwendige Angabe der Zugangsdaten für den Fitnesstracker-Dienst entstehen so zudem Möglichkeiten von Man-in-the-Middle-Attacken, bei denen die Zugangsdaten mitgelesen werden könnten.
Die Experten des CCC zweifeln darüber hinaus auch eine Konformität mit der Europäischen Datenschutzgrundverordnung (DSGVO) an. „Sie sehen in dem innerhalb der App zu durchlaufenden Einwilligungsverfahren keine der DSGVO entsprechende und damit wirksame Einwilligung in die Informationsverarbeitung“, so t3n. „Auf dieser Basis dürfe die App im Grunde nicht betrieben werden.“ Das RKI weiß im Grunde genommen nicht, wer die Daten spendet und ob es den Nutzer überhaupt gibt – sogar Manipulationen wären so möglich. Wenn die Identität des Nutzers nicht klar ist, kann dieser sein Betroffenenrecht nicht ausüben. Die CCC-Experten fordern daher, sofortige Korrekturen an der App vorzunehmen, da die Risiken hinsichtlich Datenschutz, Sicherheit und Rechtskonformität „auf Dauer nicht tragbar“ seien. Die gesamte Blackbox-Sicherheitsbetrachung der Corona-Datenspende-App findet sich als PDF hier.
Freddy
Zwei Dinge verstehe ich daran nicht:
1. Wieso ist hier ständig die Rede von „Pseudonymosierung“ die Rede? Pseudonym bedeutet, dass der Personenbezug noch da ist. Wozu ist der Personenbezug noch nötig, wenn doch nur statistische Daten erhoben werden sollen? Dafür reichen doch anonyme Daten.
2. Würde man anonyme Daten verwenden, würde der Datenschutz gar nicht greifen. Insofern würde sich auch das Problem mit der Selbstauskunft erledigen, denn wo es keine personenbezogene Daten gibt, braucht man auch keine Selbstauskunft.
Schade, dass die App vom RKI so dilettantisch implementiert ist, denn hätte man es richtig gemacht, wäre es ja eine gute Sache.
In den FAQ des RKI zur Datenspende-App heißt es dazu:
„Die Nutzung der App basiert auf einer individuellen Nutzer-ID, die Ihnen persönlich zugeordnet ist – dem sogenannten Pseudonym. Nur so können Daten auch über längere Zeiträume richtig zugeordnet und interpretiert werden. Die App ist damit nicht anonym, sondern pseudonym. Dennoch hat das Robert Koch-Institut zu keiner Zeit Kenntnis Ihrer persönlichen Informationen (Anschrift oder Name).“
Quelle: https://corona-datenspende.de/faq/
@Mel: Danke fürs Rausfischen aus der FAQ. Die Erklärung leuchtet ein, denn irgendwie müssen die Daten einer ID zugeordnet werden, selbst wenn man den Klarnamen dazu nicht braucht.
Dennoch entfällt damit für mein Verständnis die Notwendigkeit der Beauskunftung, da die Daten für das RKI „eigentlich“ anonym sind, weil das RKI den Bezug nicht auflösen kann. „Eigentlich“ deswegen, weil das Problem verbleibt, dass die Daten an der App vorbei direkt aus den Portalen gezogen werden.
Was so halt nicht ganz stimmt. Der CCC hat herausgearbeitet das die Anonymisierung erst auf den Servern des RKI stattfindet, lediglich bei Apple Health ist das anders gelöst. Damit hat das RKI sehr wohl die Möglichkeit eine Rückschlüsselung vorzunehmen. Bestätigt mich in meiner Einschätzung daran nicht teilzunehmen.
@hillspills: Ja, genau, das ist das Problem. Vielleicht habe ich mich komisch ausgedrückt, aber das meinte ich. Hätten die das von vornherein richtig gemacht, bestünde gar kein Bedarf zur Beauskunftung, da keine personenbezogene Daten vorhanden.