KONSUMENT.AT - Corona-App des Roten Kreuzes - Krank? App informiert Kontakte der letzten 3 Tage

Corona-App des Roten Kreuzes

Datenschutz weitgehend gesichert

Seite 1 von 6

Nächsten Inhalt anzeigen
veröffentlicht: 03.04.2020, aktualisiert: 20.04.2020

Inhalt

Die App will helfen, die Infektionskette möglichst rasch zu unterbrechen. Sensible Daten bleiben geschützt.

Die App "Stopp Corona" von Rotem Kreuz und dem Dienstleister Accenture hat in den letzten Wochen viel Aufmerksamkeit auf sich gezogen und für Kontroversen gesorgt. Aus rechtlicher Sicht sehen wir derzeit aber keine Gesetzesverstöße. Einen Überblick über die Kritikpunkte, Beanstandungen und Rechtsbedenken finden Sie auf den nächsten Seiten.

Wie funktioniert die freiwillige App? Ihr Kern ist ein "Kontakt-Tagebuch". Es speichert anonym persönliche Begegnungen mit anderen Nutzern der App. Treten bei einer Person Anzeichen einer Corona-Erkrankung (COVID-19) auf, wird man als Kontakt benachrichtigt und gebeten, sich zu isolieren. Üblicherweise müssen Behörden diese Kontakte ermitteln und verständigen. Das braucht Zeit. Die Corona-App will diese Verzögerung und damit die Zahl möglicher Ansteckungen verringern.

2 Apps begrüßen sich

Sie treffen eine andere Person. In dem Fall können Nutzer einen sogenannten "Handshake" durchführen. Das ist eine digitale Kontaktaufnahme von App zu App. Da gibt es zwei Wege. Der eine ist: Beide Nutzer müssen dem Handshake aktiv zustimmen. Nur so wird er im Kontakt-Tagebuch protokolliert. Der Dienst Google-Nearby führt diesen manuellen Handshake durch. Von ihm möchte man sich verabschieden. Zwischen Android-Geräten funktioniert der manuelle Handshake ohne Internet. Ist ein iOS-Gerät beteiligt, wickelt die App den Handshake mit einer zufällig generierten Kennzahl über eine Google-Cloud-Platform ab.

Automatischer Handshake

Neu ist die Funktion des automatischen Handshakes. Wenn er aktiviert ist, werden automatisch Einträge im Kontakt-Tagebuch erstellt. Das geschieht, sobald andere Geräte über 15 Minuten innerhalb von 2 Metern geortet werden, so das Rote Kreuz. Tests haben ergeben, dass der Handshake allerdings auch durch Wände oder auf größere Entfernungen erfolgreich war. Die Schweizer Firma UepaaAG führt diesen automatischen Handshake mittels p2pkit durch. Diese Technologie greift auf die Bluetoothfunktion zu, um Smartphones in Ihrer Nähe zu orten. Damit der automatische Handshake funktioniert, benötige die App  laut Rotem Kreuz  eine aktive Bluetooth- und Internet-Verbindung.  

Vor der Durchführung des Handshakes erstellt die App zufällig generierte Kennzahlen der Geräte und sendet sie in die Schweiz. Dort werden diese Daten 14 Tage zur Verrechnung mit dem Roten Kreuz und zur Qualitätssicherung  gespeichert. Das geschieht auf Amazon Web Services. In Kürze möchte sich das Rote Kreuz von diesem Schweizer Cloud-Service verabschieden. Auf dem eigenen Smartphone werden die Handshakes bis zum Ende der Epidemie bzw bis zur Löschung der App gespeichert.

Das Kontakt-Tagebuch

Nach Installation legt die App eine eindeutige Kenn-Nummer (Unique ID) an. Die App speichert weder Namen noch Telefonnummer. Solange man keine Krankmeldung vornimmt, können Nutzerinnen und Nutzer die Daten jederzeit löschen. Melden sich Nutzer in der App als krank (infiziert), werden sie aufgefordert die Telefonnummer bekannt zu geben.

Krankmeldung und Folgen

Einer der Nutzer erkrankt an Corona (SARS-CoV-2) und möchte seine Infektion in der App melden. Die App informiert nun alle Kontakte der letzten 54 Stunden, dass einer ihrer Handshake-Kontakte als infiziert gilt. Sie teilt nicht mit, welcher Kontakt das ist. Der Krankmelder bleibt gegenüber seinen Handshake-Kontakten anonym.

Für die Krankmeldung muss der Nutzer seine Telefonnummer bekannt geben. Die App übermittelt diese ans Roten Kreuz, zusammen mit Namen, Kontaktdaten und der Krankmeldung. Ist eine Krankmeldung erfolgt, bewahrt das Rote Kreuz Ihre Daten für 30 Tage auf und löscht sie anschließend.

Bewertung

Wertung: 1 von 5 Sternen
208 Stimmen
Weiterlesen

Kommentare

  • Geht in die richtige Richtung
    von petzi am 08.05.2020 um 17:41
    Da der Source Code der RK-Corona-App nun offengelegt ist (https://github.com/austrianredcross) und auch dem sich durchsetzenden dezentralen Standard DP-3T (der zentrale PEPP-PT-Ansatz ist praktisch tot) folgt, sehe ich einen guten Weg zur breiten Akzeptanz beschritten.
    Falls noch die letzten kritischen Code-Stellen (Review u.a. durch Epicenter.Works,NoYB.eu) repariert werden, sehe ich einem breiten Einsatz mit Zuversicht entgegen.

    Denn wir haben meiner Meinung nach nur 2 Möglichkeiten:
    Die relativ starken gesellschaftlichen Einschränkungen noch bis zu einem Jahr (bis zum Impfstoff) weiter zu ertragen oder mithilfe des Einsatzes von technischen Hilfsmitteln wie der Corona-App eine maximale Aufhebung der Einschränkungen zu erreichen ohne den Replikationsfaktor über 1 ansteigen zu lassen.
  • Ich verstehe den Hype nicht
    von 39373 am 25.04.2020 um 11:25
    Die Frage des Datenschutzes ist sicher wichtig, wobei zugleich regelmäßig vergessen wird, dass durch das tägliche Verhalten (Verwendung von Kundenkarten, bargeldloses Bezahlen, Onlinekäufe, Handynutzung etc.) ohne größere Probleme ein nahezu lückenloses Profil jedes Menschen in unserer technisierten Gesellschaft erstellt werden könnte - unter Missachtung der Datenschutzregeln, versteht sich. Aber genau darum geht es ja. Wenn sich alle Beteiligten an die Persönlichkeitsrechte halten würden, bräuchte niemand Datenschutzregeln.

    Sich aber "freiwillig" derart zu exponieren und das dann als Heilsmittel gegen die Pandemie zu verkaufen, ist schon sehr fragwürdig. Insbesondere, weil die Praxistauglichkeit NIEMALS gegeben sein wird.
    1. alle Menschen müssten die App nutzen und ständig aktiv halten (das Handy muss immer eingeschaltet und der Akku voll sein)
    2. die Technologie müsste tatsächlich funktionieren wie erwartet, was aber technisch bereits widerlegt wurde
    3. eine Infektion müsste immer mit Symptomen einhergehen, was sie aber offenbar nicht tut
    4. ein Test müsste sofort durchgeführt und ausgewertet werden (binnen Stunden), was dzt. nicht passiert
    5. jeder Betroffene müsste ehrlich seine Infektion melden
    6. jeder vergangene Kontakt müsste sich daraufhin sofort selbst testen lassen und ohne Zeitverzug bei positivem Ergebnis wieder Meldung machen

    Diese ganze Idee ist ein derart hanebüchener Nonsense, dass ich mich ernsthaft fragen muss, wie dies von einigermaßen rationalen Menschen (und die habe ich bisher auch im VKI vermutet) verbreitet werden kann.
  • Schutz der Daten vor Fremdzugriff ist nicht gewährleistet
    von Tarifdschungler am 23.04.2020 um 19:11
    "Diese Daten (generierte Handy-IDs) werden 14 Tage zur Verrechnung (?) und zur Qualitätssicherung (??) auf Amazon Web Services in der Schweiz gespeichert". Was ist der Grund für die Speicherung in der Schweiz und was ist mit "zur Qualitätssicherung" gemeint? Wird da ein wohlklingender Begriff verwendet, um Sand in die Augen zu streuen?

    Unter Qualitätssicherung (QS) versteht man Maßnahmen, die sicherstellen sollen, dass die Software den Anforderungen entspricht: Fehlerfreiheit, adäquate Speicherung der Daten, Datensicherheit etc. Das Speichern als solches ist keine Qualitätssicherung. Aus QS-Sicht muss jedoch sichergestellt werden, dass die Speicherung auf adäquaten Medien und in jeder Hinsicht (privacy!) so sicher wie möglich erfolgt. Das ist bei einem Server von Amazon im Ausland aber nicht garantiert.

    Ein entscheidender Aspekt wird völlig außer Acht gelassen. Selbst wenn beide Software-Komponenten (App auf dem Smartphone und Server-Software) sich nach Überprüfung des vorliegenden offenen Source-Codes als komplett unproblematisch herausstellen sollten, sind die auf dem Server gespeicherten Daten der Knackpunkt. Sie könnten ja vor der Löschung von Hackern oder anderen (nicht veröffentlichten) Programmen abgesaugt werden. Um das zu verhindern, müsste es QS-Beauftragte geben, die kontrollieren, welche Programme laufen. Dazu braucht man natürlich die Kontrolle über den gesamten Server, was bei der Microsoft-Cloud nicht der Fall ist.

    Der Schutz der Daten vor Fremdzugriff ist also keineswegs gewährleistet - auch bei einem europäischen Dienstleister nicht! Solange nicht kontrollierbar ist, ob z.B. Accenture Datenabsauger auf dem Server installiert hat, ist es völlig egal, wo er steht.

    Das Rote Kreuz präsentiert sich als kompetente, neutrale NGO und bekommt medial einen Heiligenschein aufgesetzt. Dass die App-Entwicklung von der Uniqa-Stiftung bezahlt wird, geschieht ja nicht aus purer Menschenfreundlichkeit, da stehen Interessen dahinter. Geschäftsanbahnung Uniqa - RK? Gesundheitsdaten gegen Spenden? Das Rote Kreuz stand vor einigen Jahren wegen Geschäftemacherei mit Blutplasma in der Kritik. Die RK-App ist nach so viel medialer Aufmerksamkeit natürlich ein hervorragendes PR-Vehikel, um die Erfolgsquote der als Rot-Kreuz-Mitarbeiter verkleideten Spenden-Keiler zu steigern, wobei von den Spenden im ersten Jahr aber nur die Keiler profitieren. Jeder, der die Gratis-App installiert hat, muss sich doch geradezu zu einer Spende verpflichtet fühlen ... Blinde Vertrauensseligkeit gegenüber dem Roten Kreuz ist nicht angebracht.
  • @Redaktion
    von reader2020 am 23.04.2020 um 16:58
    Danke für den Hinweis. Ich habe irrtümlich auf einen Zusammenschluss / Kauf geschlossen. Über diesen wurde aber nur spekuliert.

    Allerdings konnte ich einen Beitrag direkt auf accenture.com finden, der eine "enge Zusammenarbeit in vielen verschiedenen Projekten" belegt:

    "We work closely with Palantir technologies in a high variety of projects. (...) Discover more about the company, our team, the roles, and the tasks."

    "Common Workflows: - Ingest large datasets from different types of data sources (...) Connect 3rd party applications to the platform"

    Quelle:
    https://www.accenture.com/es-es/careers/jobdetails?id=00733479_es&title=Software+Engineer+for+Palantir+Technologies

    Die Praxis, Datensätze anderer Unternehmen zu kaufen oder zu leasen, ist in der Industrie gängige Praxis und läuft unter dem Schlagwort "Daten anreichern" - die Zusammenführung von On- und Offlinedaten und allen anderen, erdenklichen Quellen.
  • an reader2020
    von REDAKTION am 23.04.2020 um 13:14
    Accenture ist, soviel wir wissen, kein Tochterunternehmen von Palantir (wir bitten um Belege). Palantir ist ein ganz großes Big-Data-Unternehmen. Es entwickelt angeblich für Trump ein Corona-Tracking-System. Ein entsprechendes Angebot hat das Gesundheitsministerium laut "Standard" abgelehnt.
    Ihr KONSUMENT-Team