Deutschland will Covid-19 mit einer App eindämmen, Zoom und der Datenschutz, Facebook und der Journalismus

Salut und herzlich Willkommen zur 627. Ausgabe des Social Media Briefings. Heute schauen wir uns ausführlich an, wie Deutschland Covid-19 mit einer App eindämmen will und erklären, warum das Spannungsfeld zwischen Datenschutz und Gesundheitsschutz gar kein Widerspruch sein muss. Zudem zeigen wir, was Du über den neuen Social-Media-Star Zoom besser wissen solltest. Wir wünschen eine gewinnbringende Lektüre und bedanken uns für das Vertrauen! Merci, Tilman, Simon und Martin

Hinweis: Unsere Briefings sind eigentlich kostenpflichtig. Da wir unsere Recherchen zum Coronavirus aber nicht hinter einer Paywall „verstecken“ möchten, sind alle Analysen zum Thema Covid-19 frei zugänglich.

👉🏻 Falls du noch kein Abonnent bist und unsere Arbeit unterstützen möchtest, kannst du entweder via Steady ein Abo abschließen oder uns via Paypal einen Kaffee kaufen. Vielen Dank!

Artikel zum Coronavirus:

Deutschland will Covid-19 mit einer App eindämmen

Was ist: Zum dritten Mal in anderthalb Wochen geht es in diesem Briefing um Handydaten, die im Kampf gegen Covid-19 helfen sollen. In Ausgabe #624 und #626 haben wir das Spannungsfeld zwischen Datenschutz und Gesundheitsschutz beleuchtet. Jetzt erklären wir, warum das gar kein Widerspruch sein muss.

Das Robert-Koch-Institut (RKI) und das Heinrich-Hertz-Institut (HHI) des Fraunhofer-Instituts entwickeln gemeinsam eine App, die mögliche Kontaktpersonen von Infizierten warnen soll – ohne in die Privatsphäre der Nutzerïnnen einzugreifen.

Uns liegt ein bislang nicht veröffentlichtes Whitepaper vor, das vielversprechend aussieht. Die Details sollen in den kommenden Tagen auch öffentlich vorgestellt werden.

Warum das wichtig ist: Dutzende Länder setzen auf Technik und Daten, um die Ausbreitung des Virus zu verlangsamen. Staaten wie China, Taiwan, Südkorea und Hong Kong wählen dabei mitunter repressive Methoden und Apps, die in Deutschland schon allein aufgrund der DSGVO kaum denkbar wären.

Mittlerweile sammeln auch die USA GPS-Daten (WSJ) und kooperieren dabei mit zwielichtigen Unternehmen, die massenhaft Standortdaten sammeln und dabei nicht immer legal vorgehen. Datenschutz-Aktivist Wolfie Christl sagt zurecht, die Industrie betreibe „Covidwashing” und versuche, ihre fragwürdigen Praktiken schönzufärben.

Die RKI/HHI-Lösung kommt ohne solche Risiken und Nebenwirkungen aus. Sie funktioniert anonym und im Einklang mit deutschem Datenschutzrecht. Die App könnte ein wichtiger Baustein sein, um die Kurve in den kommenden Wochen flach zu halten.

Wie die App arbeitet: RKI und HHI setzen auf Bluetooth-Technik. Die App verwandelt das Smartphone in einen Sender und einen Empfänger zugleich. Das Gerät scannt die nahe Umgebung und protokolliert alle Handys, die sich in Reichweite befinden. Diese können später benachrichtigt werden, wenn Nutzerïnnen der App positiv auf Covid-19 getestet werden.

Als Inspiration dient die TraceTogether-App aus Singapur, deren Code bald Open Source werden soll (Heise). Dort wird allerdings die Telefonnummer gespeichert, wodurch Handy-Besitzerïnnen für den Staat und Gesundheitsbehörden identifizierbar werden. Das geschieht bei der deutschen Version nicht. Zudem sollen weitere Modifikationen die Privatsphäre der Nutzerïnnen schützen.

Warum die App anonym funktioniert: Das einzige Identifikationsmerkmal ist eine zufällig generierte ID, die keine Rückschlüsse auf individuelle Nutzerïnnen ermöglicht und sich in regelmäßigen Abständen ändert. Sämtliche Daten werden lokal und verschlüsselt auf dem Smartphone gespeichert. Die Funktionsweise schützt die Identität der Nutzerïnnen:

  • Wer die App installiert, erhält eine temporäre ID.
  • Wenn zwei Handys für einen bestimmten Zeitraum einen gewissen Mindestabstand unterschreiten, sodass sich die Besitzerïnnen theoretisch hätten anstecken können, speichern beide Apps die ID des anderen Geräts – zunächst ausschließlich lokal.
  • Im Fall einer positiven Diagnose übertragen die Erkrankten die Liste der IDs an einen zentralen und abgesicherten Server, auf den nur RKI oder HHI zugreifen könnten.
  • Diese Informationen enthüllen nicht die Identität der Nutzerïnnen, sondern ermöglichen es lediglich, einmalig eine Push-Benachrichtigung an die Geräte zu verschicken, die sich hinter den jeweiligen IDs verbergen.
  • Diese Personen werden aufgefordert, sich testen zu lassen, und sollen bis zur Diagnose in Quarantäne bleiben.
  • Ältere Daten, die keinen epidemiologischen Wert mehr haben, sollen automatisch gelöscht werden.

Auf Informationen wie Namen, dauerhafte, gerätebezogene Merkmale wie die IMEI-Nummer des Smartphones oder sensible GPS- und Bewegungsdaten kann dabei verzichtet werden. Johannes Abeler, Matthias Bäcker und Ulf Buermeyer, die eher der Datenschutzfraktion angehören und Bedenken sicher nicht leichtfertig beiseite schieben, halten die Lösung für effektiv und sinnvoll (Netzpolitik)

„So eine App könnte eine Kontaktverfolgung deutlich wirksamer implementieren als ein System, das auf Funkzellendaten oder Standortdaten basiert, denn beide Kategorien von Daten erlauben keine Positionsbestimmung mit der erforderlichen Präzision von höchstens zwei Metern. Und gleichzeitig wäre ein solches Konzept datenschutzrechtlich einwandfrei.“

Welche Fragen offen bleiben: Das Whitepaper geht nicht ins Detail und spart einige wichtige Punkte aus. Unter anderem fragen wir uns:

  • Wie sind die Apps und vor allem der zentrale Server gegen Hackerangriffe geschützt?
  • Das Bluetooth-Protokoll öffnet Einfallstore für kriminelle Hacker (ERNW), wenn Geräte permanent im Discovery-Mode sind. Werden Nutzerïnnen über diese potenziale Gefahr in Kenntnis gesetzt?
  • Mit welcher kryptografischen Methode werden die IDs ver- und entschlüsselt?
  • Ein TAN-System soll sicherstellen, dass sich nur Nutzerïnnen als infiziert melden können, die tatsächlich positiv getestet wurden. Das ist sinnvoll, um Trolle gar nicht erst auf üble Gedanken zu bringen. Wie genau soll dieser Mechanismus ablaufen, und wie wird dabei die Identität der Erkrankten geschützt?
  • Gibt es unabhängige Kontrollinstanzen, die garantieren, dass Daten sicher aufbewahrt und wie versprochen zeitnah gelöscht werden?
  • Wie viele Menschen müssen die App mindestens nutzen, damit das System funktioniert?

Be smart: Das Konzept klingt auf dem Papier gut. Doch damit eine solche Bluetooth-App eine wirksame Hilfe im Kampf gegen das Coronavirus werden kann, braucht es eine große Zahl an Nutzerïnnen. Gerade in Deutschland dürfte es schwierig werden, einen Großteil der Bevölkerung zu überzeugen.

In Umfragen erklären sich zwar viele Befragte bereit, einen Teil des Datenschutzes dem Gesundheitsschutz unterzuordnen (was in diesem Fall gar nicht nötig wäre). Aber RKI-Präsident Lothar Wieler und Gesundheitsminister Jens Spahn haben in den vergangenen Wochen mit unklaren Äußerungen und einem kontraproduktiven, mittlerweile geänderten Entwurf des Infektionsschutzgesetzes selbst dazu beigetragen, Verwirrung zu stiften.

Eine mögliche Alternative könnten Apple und Google sein. In einem offenen Brief fordern Dutzende Wissenschaftlerïnnen und Medizinerïnnen die beiden Unternehmen auf, das Contact-Tracing direkt in ihre mobilen Betriebssysteme zu integrieren. Dann bräuchten Nutzerïnnen nur noch per Opt-in zustimmen, aber keine App mehr installieren. Dieses Vorgehen wirft aber etliche datenschutzrechtliche Fragen auf, die vorher geklärt werden müssten.

Neben der nötigen Überzeugungsarbeit gibt es noch mehr Herausforderungen: Die Mehrheit der Menschen in Deutschland mag ein Smartphone besitzen und ständig mit sich herumtragen – ausgerechnet die besonders gefährdeten Seniorïnnen sind aber oft noch mit älteren Handys unterwegs und könnten nicht gewarnt werden.

Auch die Testkapazitäten könnten zum Flaschenhals werden. Jede Kontaktperson müsste sich umgehen prüfen lassen. Bereits jetzt gibt es diese Möglichkeit nicht mal für alle Menschen, die Symptome aufweisen. Die App könnte auf einen Schlag etliche weitere Nutzerïnnen ins Krankenhaus schicken.

Trotz aller Bedenken: Was RKI und HHI planen, geht definitiv in die richtige Richtung. Nach allem, was wir bislang wissen, können wir sagen: Wir würden die App installieren – und allen Freundïnnen, Verwandten und Bekannten raten, dasselbe zu tun.

Autor: Simon Hurtz

Zoom, die Trolle und der Datenschutz

Was ist: Die Videokonferenz-App Zoom geht durch die Decke – doch der Boom wird von negativen Schlagzeilen begleitet. Zwischenzeitlich übermittelten die Apps ungefragt Nutzerdaten an Facebook, außerdem wird der Dienst von Trollen geplagt.

Warum das wichtig ist: In Briefing #625 haben wir die Zoom-Mania beleuchtet. Millionen Menschen müssen zuhause bleiben, also videotelefonieren sie mit Zoom. Die App dominiert die Download-Charts, der Börsenkurs geht durch die Decke. Was als Business-App startete, wird mittlerweile von Schulen, Universitäten, Politikerïnnen, Journalistïnnen und Millionen Jugendlichen genutzt.

Worum es im Detail geht: In den vergangenen Tagen haben eine Reihe von Artikeln die Schwachstellen und Probleme von Zoom offenbart:

  • Zoom versichert selbst, dass auch Gruppenanrufe Ende-zu-Ende-verschl…

Scroll to Top