Salut und herzlich Willkommen zur 627. Ausgabe des Social Media Briefings. Heute schauen wir uns ausführlich an, wie Deutschland Covid-19 mit einer App eindämmen will und erklären, warum das Spannungsfeld zwischen Datenschutz und Gesundheitsschutz gar kein Widerspruch sein muss. Zudem zeigen wir, was Du über den neuen Social-Media-Star Zoom besser wissen solltest. Wir wünschen eine gewinnbringende Lektüre und bedanken uns für das Vertrauen! Merci, Tilman, Simon und Martin

Hinweis: Unsere Briefings sind eigentlich kostenpflichtig. Da wir unsere Recherchen zum Coronavirus aber nicht hinter einer Paywall „verstecken“ möchten, sind alle Analysen zum Thema Covid-19 frei zugänglich.

👉🏻 Falls du noch kein Abonnent bist und unsere Arbeit unterstützen möchtest, kannst du entweder via Steady ein Abo abschließen oder uns via Paypal einen Kaffee kaufen. Vielen Dank!

Artikel zum Coronavirus:

Deutschland will Covid-19 mit einer App eindämmen

Was ist: Zum dritten Mal in anderthalb Wochen geht es in diesem Briefing um Handydaten, die im Kampf gegen Covid-19 helfen sollen. In Ausgabe #624 und #626 haben wir das Spannungsfeld zwischen Datenschutz und Gesundheitsschutz beleuchtet. Jetzt erklären wir, warum das gar kein Widerspruch sein muss.

Das Robert-Koch-Institut (RKI) und das Heinrich-Hertz-Institut (HHI) des Fraunhofer-Instituts entwickeln gemeinsam eine App, die mögliche Kontaktpersonen von Infizierten warnen soll – ohne in die Privatsphäre der Nutzerïnnen einzugreifen.

Uns liegt ein bislang nicht veröffentlichtes Whitepaper vor, das vielversprechend aussieht. Die Details sollen in den kommenden Tagen auch öffentlich vorgestellt werden.

Warum das wichtig ist: Dutzende Länder setzen auf Technik und Daten, um die Ausbreitung des Virus zu verlangsamen. Staaten wie China, Taiwan, Südkorea und Hong Kong wählen dabei mitunter repressive Methoden und Apps, die in Deutschland schon allein aufgrund der DSGVO kaum denkbar wären.

Mittlerweile sammeln auch die USA GPS-Daten (WSJ) und kooperieren dabei mit zwielichtigen Unternehmen, die massenhaft Standortdaten sammeln und dabei nicht immer legal vorgehen. Datenschutz-Aktivist Wolfie Christl sagt zurecht, die Industrie betreibe „Covidwashing” und versuche, ihre fragwürdigen Praktiken schönzufärben.

Die RKI/HHI-Lösung kommt ohne solche Risiken und Nebenwirkungen aus. Sie funktioniert anonym und im Einklang mit deutschem Datenschutzrecht. Die App könnte ein wichtiger Baustein sein, um die Kurve in den kommenden Wochen flach zu halten.

Wie die App arbeitet: RKI und HHI setzen auf Bluetooth-Technik. Die App verwandelt das Smartphone in einen Sender und einen Empfänger zugleich. Das Gerät scannt die nahe Umgebung und protokolliert alle Handys, die sich in Reichweite befinden. Diese können später benachrichtigt werden, wenn Nutzerïnnen der App positiv auf Covid-19 getestet werden.

Als Inspiration dient die TraceTogether-App aus Singapur, deren Code bald Open Source werden soll (Heise). Dort wird allerdings die Telefonnummer gespeichert, wodurch Handy-Besitzerïnnen für den Staat und Gesundheitsbehörden identifizierbar werden. Das geschieht bei der deutschen Version nicht. Zudem sollen weitere Modifikationen die Privatsphäre der Nutzerïnnen schützen.

Warum die App anonym funktioniert: Das einzige Identifikationsmerkmal ist eine zufällig generierte ID, die keine Rückschlüsse auf individuelle Nutzerïnnen ermöglicht und sich in regelmäßigen Abständen ändert. Sämtliche Daten werden lokal und verschlüsselt auf dem Smartphone gespeichert. Die Funktionsweise schützt die Identität der Nutzerïnnen:

  • Wer die App installiert, erhält eine temporäre ID.
  • Wenn zwei Handys für einen bestimmten Zeitraum einen gewissen Mindestabstand unterschreiten, sodass sich die Besitzerïnnen theoretisch hätten anstecken können, speichern beide Apps die ID des anderen Geräts – zunächst ausschließlich lokal.
  • Im Fall einer positiven Diagnose übertragen die Erkrankten die Liste der IDs an einen zentralen und abgesicherten Server, auf den nur RKI oder HHI zugreifen könnten.
  • Diese Informationen enthüllen nicht die Identität der Nutzerïnnen, sondern ermöglichen es lediglich, einmalig eine Push-Benachrichtigung an die Geräte zu verschicken, die sich hinter den jeweiligen IDs verbergen.
  • Diese Personen werden aufgefordert, sich testen zu lassen, und sollen bis zur Diagnose in Quarantäne bleiben.
  • Ältere Daten, die keinen epidemiologischen Wert mehr haben, sollen automatisch gelöscht werden.

Auf Informationen wie Namen, dauerhafte, gerätebezogene Merkmale wie die IMEI-Nummer des Smartphones oder sensible GPS- und Bewegungsdaten kann dabei verzichtet werden. Johannes Abeler, Matthias Bäcker und Ulf Buermeyer, die eher der Datenschutzfraktion angehören und Bedenken sicher nicht leichtfertig beiseite schieben, halten die Lösung für effektiv und sinnvoll (Netzpolitik)

„So eine App könnte eine Kontaktverfolgung deutlich wirksamer implementieren als ein System, das auf Funkzellendaten oder Standortdaten basiert, denn beide Kategorien von Daten erlauben keine Positionsbestimmung mit der erforderlichen Präzision von höchstens zwei Metern. Und gleichzeitig wäre ein solches Konzept datenschutzrechtlich einwandfrei.“

Welche Fragen offen bleiben: Das Whitepaper geht nicht ins Detail und spart einige wichtige Punkte aus. Unter anderem fragen wir uns:

  • Wie sind die Apps und vor allem der zentrale Server gegen Hackerangriffe geschützt?
  • Das Bluetooth-Protokoll öffnet Einfallstore für kriminelle Hacker (ERNW), wenn Geräte permanent im Discovery-Mode sind. Werden Nutzerïnnen über diese potenziale Gefahr in Kenntnis gesetzt?
  • Mit welcher kryptografischen Methode werden die IDs ver- und entschlüsselt?
  • Ein TAN-System soll sicherstellen, dass sich nur Nutzerïnnen als infiziert melden können, die tatsächlich positiv getestet wurden. Das ist sinnvoll, um Trolle gar nicht erst auf üble Gedanken zu bringen. Wie genau soll dieser Mechanismus ablaufen, und wie wird dabei die Identität der Erkrankten geschützt?
  • Gibt es unabhängige Kontrollinstanzen, die garantieren, dass Daten sicher aufbewahrt und wie versprochen zeitnah gelöscht werden?
  • Wie viele Menschen müssen die App mindestens nutzen, damit das System funktioniert?

Be smart: Das Konzept klingt auf dem Papier gut. Doch damit eine solche Bluetooth-App eine wirksame Hilfe im Kampf gegen das Coronavirus werden kann, braucht es eine große Zahl an Nutzerïnnen. Gerade in Deutschland dürfte es schwierig werden, einen Großteil der Bevölkerung zu überzeugen.

In Umfragen erklären sich zwar viele Befragte bereit, einen Teil des Datenschutzes dem Gesundheitsschutz unterzuordnen (was in diesem Fall gar nicht nötig wäre). Aber RKI-Präsident Lothar Wieler und Gesundheitsminister Jens Spahn haben in den vergangenen Wochen mit unklaren Äußerungen und einem kontraproduktiven, mittlerweile geänderten Entwurf des Infektionsschutzgesetzes selbst dazu beigetragen, Verwirrung zu stiften.

Eine mögliche Alternative könnten Apple und Google sein. In einem offenen Brief fordern Dutzende Wissenschaftlerïnnen und Medizinerïnnen die beiden Unternehmen auf, das Contact-Tracing direkt in ihre mobilen Betriebssysteme zu integrieren. Dann bräuchten Nutzerïnnen nur noch per Opt-in zustimmen, aber keine App mehr installieren. Dieses Vorgehen wirft aber etliche datenschutzrechtliche Fragen auf, die vorher geklärt werden müssten.

Neben der nötigen Überzeugungsarbeit gibt es noch mehr Herausforderungen: Die Mehrheit der Menschen in Deutschland mag ein Smartphone besitzen und ständig mit sich herumtragen – ausgerechnet die besonders gefährdeten Seniorïnnen sind aber oft noch mit älteren Handys unterwegs und könnten nicht gewarnt werden.

Auch die Testkapazitäten könnten zum Flaschenhals werden. Jede Kontaktperson müsste sich umgehen prüfen lassen. Bereits jetzt gibt es diese Möglichkeit nicht mal für alle Menschen, die Symptome aufweisen. Die App könnte auf einen Schlag etliche weitere Nutzerïnnen ins Krankenhaus schicken.

Trotz aller Bedenken: Was RKI und HHI planen, geht definitiv in die richtige Richtung. Nach allem, was wir bislang wissen, können wir sagen: Wir würden die App installieren – und allen Freundïnnen, Verwandten und Bekannten raten, dasselbe zu tun.

Autor: Simon Hurtz

Zoom, die Trolle und der Datenschutz

Was ist: Die Videokonferenz-App Zoom geht durch die Decke – doch der Boom wird von negativen Schlagzeilen begleitet. Zwischenzeitlich übermittelten die Apps ungefragt Nutzerdaten an Facebook, außerdem wird der Dienst von Trollen geplagt.

Warum das wichtig ist: In Briefing #625 haben wir die Zoom-Mania beleuchtet. Millionen Menschen müssen zuhause bleiben, also videotelefonieren sie mit Zoom. Die App dominiert die Download-Charts, der Börsenkurs geht durch die Decke. Was als Business-App startete, wird mittlerweile von Schulen, Universitäten, Politikerïnnen, Journalistïnnen und Millionen Jugendlichen genutzt.

Worum es im Detail geht: In den vergangenen Tagen haben eine Reihe von Artikeln die Schwachstellen und Probleme von Zoom offenbart:

  • Zoom versichert selbst, dass auch Gruppenanrufe Ende-zu-Ende-verschlüsselt seien. Das ist offenbar nicht der Fall (The Intercept). Demnach sind die Gespräch nur transportverschlüsselt – was bedeutet, dass Zoom selbst die Videoaufnahmen sehen kann. Für sensible Telefonate sollte man also besser auf Apps wie Signal ausweichen.
  • „Zoombombing”: Die Quarantäne hindert Trolle nicht an üblen Scherzen. Sie klinken sich in öffentliche Zoom-Calls ein und teilen ihren Bildschirm – auf dem pornografische oder gewaltverherrlichende Inhalte zu sehen sind (NYT). Die Angriffe treffen etwa Wahlkampfveranstaltungen oder öffentliche Diskussionen.
  • Bereits im vergangenen November hatte ein US-Staatsanwalt Zoom als „Netflix der Kinderpornografie” (NYT) bezeichnet. Die Plattform wird auch von Pädophilen genutzt.
  • Zwischenzeitlich enthielt die iOS-App ein Software Development Kit von Facebook, das Nutzerdaten übermittelte (Vice) – sogar von Menschen, die gar keinen Facebook-Account besitzen. In der Datenschutzerklärung fehlte dieser Hinweis. Mittlerweile hat Zoom das SDK entfernt (Vice) und sagt, dass es sich um ein Versehen gehandelt habe.
  • Trotzdem hat ein Zoom-Nutzer eine Sammelklage gegen Zoom eingereicht (Vice). Der Vorwurf: Zoom habe kalifornisches Datenschutzrecht gebrochen, weil es nicht über die Datenweitergabe an Facebook informiert und keine Zustimmung eingeholt habe.
  • Mehrere tausend E-Mailadressen und Profilfotos wurden versehentlich veröffentlicht (Vice) und anderen Nutzerïnnen angezeigt. Das Problem: Zoom hatte Provider wie Gmail, Yahoo und Outlook als jeweils ein Unternehmen gezählt und ein „Company Directory” erstellt.
  • Nun interessiert sich auch die New Yorker Generalstaatsanwältin für Zoom (NYT). Sie will wissen, wie Zoom die Privatsphäre seiner Nutzerïnnen schützt und welche Maßnahmen das Unternehmen plant, um „Zoombombings“ und andere Angriffe zu verhindern.
  • Eine Kurzanalyse des Sicherheitsforschers Mike Kuketz zeigt, dass Zoom zahlreiche weitere personenbezogene Daten an mehr als ein Dutzend Drittanbieter weitergibt. Das ist nicht unbedingt illegal, und andere Apps gehen noch dreister vor – Vertrauen schafft es aber auch nicht unbedingt.
  • John Gruber erinnert an einen Vorfall aus dem vergangenen Jahr (Daring Fireball). Damals gab eine üble Sicherheitslücke Hackerïnnen Zugriff auf Webcams. „If you ever installed Zoom, I’d go through the steps to eradicate it and never install it again”, lautete das Fazit von Gruber.
  • Die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) kritisiert, dass Admins oder Vorgesetzte mit Hilfe von Zoom andere Gesprächsteilnehmerïnnen überwachen können. Sie werden etwa benachrichtig, wenn einer der anderen Nutzerïnnen mehr als 30 Sekunden lang den Fokus auf ein anderes Fenster legt.

Autor: Simon Hurtz

Kampf gegen Desinformation

Twitter & Facebook löschen Posts von Bolsonaro : Twitter und Facebook haben erstmalig Inhalte eines Staatschefs von ihren Plattformen gelöscht (Techcrunch). Die Relativierungen und Irreführungen in Sachen Coronavirus, die Brasiliens Staatspräsident auf den Plattformen teilte, verstießen gegen die Community Standards, so die Unternehmen. Das ist deshalb so spannend, weil die Plattformen bislang den Ansatz gefahren sind, Politiker von Fact-Checks in aller Regel auszunehmen. Mal schauen, wen es als nächstes erwischt. Oder anders ausgedrückt: Ob sie sich an Trump auch rantrauen.

Snapchats Myth Game: Ja, es ist ein Quizspiel. Und nein, Covid-19 ist kein Spiel. Trotzdem ist das neue Myth-Buster-Spiel von Snapchat (Mashable) eine gute Idee. Das Quiz funktioniert als regulärer, interaktiver Filter und lässt Nutzerïnnen zu Mythen rund um das Coronavirus quizzen. Die Grundlage bilden dabei Informationen, die von der WHO ausgegeben wurden. Snaps Idee: Kids spielerisch an das Thema heranführen und der gesellschaftlichen Verantwortung als Netzwerk mit über 200 Millionen Nutzerïnnen gerecht werden. Sounds legit.

Social Media & Journalismus

100 Millionen Dollar für den Journalismus: Facebook hat angesichts der durch die Coronakrise wegbrechenden Werbeerlöse 100 Millionen Dollar an Zuschüssen für (lokale) Zeitungen angekündigt (Facebook). Mit dem Geld werden 50 kleinere Redaktionen in den USA und Kanada unterstützt, wie z.B. die South Carolina Post and Courier, die Southeastern Missourian und El Paso Matters. Das Geld fließt on top zu den 300 Millionen Dollar des Facebook Journalism Projects.

Follow the money

Facebook schließt AR-Deal ab: Facebook wird exklusiver Kunde des AR-Display-Herstellers Plessey (The Information $). Solche Displays sind vor allem für Datenbrillen interessant, wie wir sie bislang am ehesten von Snapchat kennen. Eigentlich stand wohl im Raum, das britische Unternehmen zu kaufen. Auch Apple hatte darüber nachgedacht. Doch durch die exklusive Partnerschaft kann Facebook nun einerseits ziemlich schnell die Herstellung von smarten Brillen umsetzen, andererseits eine regulatorische Prüfung vermeiden.

Neue Features bei den Plattformen

Facebook

  • Viele neue Livestreaming-Features: Das Coronavirus führt bekanntlich zu einem echten Livestream-Boom. Das hat natürlich auch Facebook registriert. Das Unternehmen lanciert daher eine Reihe neuer Features für das eigene Live-Streaming-Angebot (The Verge):
    • einen Audio-Only-Modus
    • ein Live-Producer-Feature
    • neue Möglichkeiten, Kreative mittels Stars zu bezahlen,
    • sowie eine Option, mittels Public Switched Telephone Network, Audio-Livestreams auch über Telefonnummern anzubieten statt übers Internet. Ein Feature, das gerade in Ländern interessant sein dürfte, in denen Facebook-Dienste gesperrt sind.

Snapchat

  • Stories bald überall Snapchat arbeitet ja bereits länger an der Idee, Snapchat Stories auch in anderen Apps sichtbar zu machen. Nun ist es tatsächlich so weit: Bei Hily (Dating-App), Triller (Music-App) und Squad (Co-Watching) können Nutzerïnnen fortan auf Stories zugreifen, die eigentlich bei Snapchat produziert wurden. Der Hintergedanke: Das Format Stories ist so populär geworden, dass Snap nun sicherstellen möchte, dass nicht noch weitere Unternehmen eigene Stories-Funktionen bauen (und lieber auf das Original zurückgreifen).

One more thing

Danke! Ganz ehrlich: Ich kann gar nicht in Worte fassen, wie großartig es ist, dass wir beim Social Media Watchblog +3k zahlende Abonnentïnnen haben und komplett unabhängig von Werbeumsätzen und Einzel-Verkaufszahlen arbeiten können! In Zeiten wie diesen ist das doppelt wertvoll! Danke für Euer Interesse und Euer Vertrauen, liebe Steady-Member und liebe Organisationen und Unternehmen, die uns über ein Firmen-Abo lesen! Merci, Martin 💛

Header-Foto von Max Anderson bei Unsplash