Beispiel für Datenschutz und Informationssicherheit
In Online-Medien und Radio Features sowie in der Print Presse konnte man die letzten Wochen eine spannende Entwicklung verfolgen. Die Entwicklung der Corona App. Ich weiß nicht, wie es Euch dabei ging, aber ich hatte nur einen Anspruch, neben der Usability, den Schutz meiner Privatsphäre. Mir ist es wichtig, dass meine Daten nicht in falsche Hände gelangen können.
Inzwischen bin ich beruhigt, denn die Entwicklung dieser App ist ein gutes Beispiel für die Berücksichtigung der Belange von Datenschutz und Informationssicherheit. Die berechtigten Interessen der Bürger an ihren Daten und ihrer Privatsphäre, sehe ich zum derzeitigen Zeitpunkt gewahrt. Dies war nicht immer so.
Hackathon
Wie kam es dazu? Mit den Vorbereitungen zum Bundes-Hackathon am 23.03.2020 wurden Bürgerinnen und Bürger, Spezialisten und Fachexpertinnen aufgerufen, „Wir gegen das Virus“ anzutreten.
Ein Teil stellte sich der Aufgabe, unter Abwägung von Risiken und Anforderungen, eine App zu entwickeln, deren Ziel es ist, schnell die Infektionswege nachzuvollziehen und Infizierte zu einem klärenden Test oder einer Quarantäne zu verhelfen. Dabei durften Akzeptanz und Nachvollziehbarkeit nicht vernachlässigt werden, denn nur bei einer breiten Akzeptanz unter der Bevölkerung wären die Installationszahlen der App so hoch, dass die damit zur Verfügung stehenden Daten auch verwertbar genutzt werden könnten.
Diese und einige Überlegungen mehr, erzeugten verschiedene Entwicklungszweige unter Abwägung der gangbaren Umsetzungsmöglichkeit. Man landete bei drei Varianten. Wie gesagt, nur wenn es sehr viele Nutzer gibt, wird der Sinn einer Corona App auch erreicht. Akzeptanz gibt es aber nur, wenn nachvollzogen werden kann, welche Daten erhoben, wo sie verarbeitet und für was sie verwendet werden.
Software als „Blackbox“ nicht geeignet
Eine Software als „Blackbox“ kann dies nicht erreichen. Daher ist es erstrebenswert, wenn die App quelloffen ist, und Zertifikate angesehener Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Landesdatenschutzbeauftragten dafür vergeben, dass die App den Datenschutz berücksichtigt und sicher vor z.B. Cyberkriminellen ist.
Bei nicht nachvollziehbarer Verarbeitung könnten zwar die (pseudonymisierten) Daten verwendet werden. Möglicherweise würden sie aber von einem an der Entwicklung beteiligten Konzern verwertet werden. In den Augen des Konzerns wäre dies vielleicht marktgerecht und man könnte mit dem Vorwand, das Gesundheitswesen mit Statistiken zu versorgen, hier auch eine gewisse Akzeptanz erreichen. In etwa so: der Bürger gibt Daten, der Konzern hat Aufwand für Entwicklung und laufende Kosten für die Server, also wäre es legitim, damit Werbeeinnahmen zu generieren. Das Gesundheitswesen kann dann dafür Statistiken aufbauen, Krankenkassen damit werben.
Doch es geht hier nicht einfach um einen Warenkorb beim Onlineshop, um ein paar Fotos auf der Life-Style Plattform oder der Telefonnummer beim Messenger. Es geht um Bewegungsdaten, wer wo war und mit wem er sich getroffen hat.
Transparente App = einsehbarer Quellcode
Daher geht die richtige Richtung in ein gänzlich anderes System. Es ist eben ein grundsätzlich transparentes System als Software notwendig, bei der sogar der Quellcode einsehbar ist. Nur so können die Daten, die erhoben werden, die Schnittstellen, die dazu benötigt werden, die Art und Weise der Erhebung und die Verarbeitung der Daten auch bewertet werden.
Tracking App
Der Schritt in die Richtung einer App, bei der also nicht die Daten zentral gespeichert werden, war für die Bundesregierung ein etwas längerer Weg der Entscheidung, denn man hielt sich die Entscheidung bis zum 26.04.2020 offen. Als der Schwenk vollzogen wurde, lobten dafür dann die Datenschützern und sogar der Chaos Computer Club (CCC).
Schnell war dagegen klar, dass eine Tracking App nicht geeignet wäre, das Vertrauen der Bürger in den umzusetzenden Datenschutz zu erlangen. Denn mit GPS werden die Bewegungsdaten erhoben. Dieser globale Dienst ermöglicht die Lokalisierung des genauen Standortes. Drohnen und autonome Fahrzeuge werden so gesteuert, das Navi im Auto oder die Fitness App funktionieren so. Anhand dieser GPS Daten kann also genau nachvollzogen werden, wer wann wo war.
Perfekt also, um einen Überwachungsstaat zu bilden. Sportfreunde und Autofahrer wären zwar da schon alle im Boot, die unbewusste Akzeptanz wäre fast unendlich groß. Doch wo bleibt da der Datenschutz? Wo das Recht auf Privatsphäre?
Kontaktdaten gegen Bewegungsdaten
Die andere Technik des Tracings musste also her, auch wenn, oder gerade weil, bereits Google und Apple hier die ersten Schnittstellenkomponenten entwickeln und testen. Diese beiden Konzerne verfolgen bereits von Anfang an diese Möglichkeit der Kontaktdatensammlung. Dabei tauschen die Handys eine verschlüsselte und eigens von Dritten nicht nahvollziehbare Identifikationsnummer, ein sogenanntes Beacon, aus.
Es geht also hierbei nicht darum, zu erfahren, wer wann wo war, sondern mit wem sich das Mobiltelefon in den letzten 14 Tagen in einem Abstand, geringer als 1,5 Meter und länger als 10 Minuten befunden hat. Also für einen Nutzer die potentiellen Risiken einer Ansteckung im definierten Zeitraum am höchsten lagen.
D3PT App mit BLE
Die Entwicklung hin zu einer transparenten und datensicheren App ist jetzt in vollem Gange. Sie erhebt die benötigten Informationen über standardisierte Schnittstellen, unter Beteiligung von Google und Apple. Die Verarbeitung läuft dann dezentralisiert auf den einzelnen Handys ab und nicht zentral auf einem Konzernserver, der auch von Cyberkriminellen gehackt werden kann. Mit der EU-DSGVO konformen App können also nicht per GPS Bewegungsprofile erstellt werden. Zudem können die Daten nicht zentral gespeichert, nicht für andere (Werbe-)Zwecke verwendet oder z.B. Quarantäne Patienten an die Fahndungsdatenbank der Polizei oder Interpol gemeldet werden. Zwar haben sowohl die zuerst präferierte PEPP-PT Corona App als auch die D3PT App die Daten via Bluetooth Low Energy ermittelt. Dies ist eine vom Handy Betriebssystem zur Verfügung gestellte Standardschnittstelle, die wenig Energie benötigt und dabei nach fremden Signale innerhalb des relevanten Corona-Abstandes sucht. Doch nur bei der D3PT App lobt z.B. der Chaos Computer Club den dezentralen Ansatz der Datenhaltung und Auswertung. Was sich sperrig Decentralized Privacy Preserving Proximity Tracing nennt, macht aber zwischen dem zentralisierten Ansatz (PEPP-PT) einen großen und zwischen dem sogenannten Profiling (GPS Profile) einen datenschutz- und informationstechnischen riesigen Unterschied.
Fazit, es kommt eine dezentrale Tracing App, die eine Schnittstelle zum Robert-Koch-Institut besitzt, aber so transparent ist und die Belange des Datenschutzes vollumfänglich berücksichtigt, dass sie vielleicht sogar ein „Checked by CCC“ Zertifikat erhält.
weiterführende (Externe-) Links gibt es hier in etwa chronologisch bei SZ, Heise und Tagesschau:
https://www.heise.de/mac-and-i/meldung/Corona-Tracking-Apple-und-Google-wollen-nur-eine-App-pro-Land-4714456.html, 05.05.2020
https://netzpolitik.org/2020/hat-sachsen-anhalt-die-uebermittlung-von-coronalisten-an-die-polizei-vertuscht/, 25.04.2020
https://www.sueddeutsche.de/digital/bluetooth-low-energy-corona-apps-pepp-pt-dp3t-tracing-1.4880839, 20.04.2020
https://www.sueddeutsche.de/digital/tracing-app-corona-1.4890984, 29.04.2020
https://www.sueddeutsche.de/digital/corona-app-tracing-apple-1.4890126, 27.04.2020
https://www.sueddeutsche.de/digital/coronavirus-pepp-pt-dp-3t-smartphone-app-streit-1.4882612, 20.04.2020
https://www.heise.de/newsticker/meldung/Corona-App-per-PEPP-PT-CCC-Co-warnen-Bundesregierung-vor-Server-Loesung-4709212.html, 24.04.2020
https://www.heise.de/mac-and-i/meldung/Corona-Kontaktverfolgung-Apple-Schnittstelle-kommt-schon-bald-auf-iPhones-4708472.html, 23.04.2020
https://www.heise.de/newsticker/meldung/Corona-Kontaktverfolgung-und-PEPP-PT-Es-zaehlt-mehr-als-kryptographische-Eleganz-4708335.html, 23.04.2020
https://www.heise.de/newsticker/meldung/Stopp-Corona-App-Oesterreich-will-Vorzeigemodell-fuer-Europa-schaffen-4707620.html, 22.04.2020
https://www.heise.de/newsticker/meldung/Corona-Kontaktverfolgung-Bundesregierung-prueft-drei-App-Modelle-4706775.html. 21.04.2020
https://www.heise.de/newsticker/meldung/Corona-Apps-in-der-Kritik-4691477.html, 26.03.2020
Das Umdenken der Regierung:
https://www.tagesschau.de/inland/coronavirus-app-107.html, 26.04.2020