Corona-App des Roten Kreuzes - Neuer Anlauf

Voraussetzungen für Gebrauch

Damit der automatische Handshake auch tatsächlich funktioniert, gibt es einige Voraussetzungen:

• Bluetooth muss aktiv sein.
• Das Smartphone hat eine aktive Internetverbindung.
• Die App muss von der Akku-Optimierung des Herstellers ausgenommen sein.
• Bei iOS-Geräten ist mindestens die iOS-Version 13.5 erforderlich, bei Android-Geräten Version 6 mit Bluetooth Low Energy (BLE).

Ältere Smartphones und Huawei-Geräte

Ältere Smartphone-Modelle sind damit ebenso ausgeschlossen wie aktuelle Android-Geräte von Huawei. Ihnen fehlen wegen des Handelsbanns der USA die nötigen Google-Dienste. Android-Nutzer, die die App bereits vor dem Update verwendet haben, müssen die Anwendung deinstallieren und dann die aktualisierte Version neu installieren. Andernfalls stürzt die neue Version laufend ab.

Datenübermittlung ans Rote Kreuz

Solange Sie keine Krankmeldung vornehmen, können Sie als Nutzer Ihre Daten jederzeit löschen. Besteht bei Ihnen der Verdacht auf eine Infektion mit COVID-19, sollten Sie das aber in der App melden. Erst dann werden Sie aufgefordert, Ihre Telefonnummer bekannt zu geben. Die App übermittelt diese dann ans Rote Kreuz, zusammen mit Namen, Kontaktdaten und den eingesammelten IDs der vergangenen 14 Tage. Das Rote Kreuz erfährt allerdings nur, wer sich krankmeldet und nicht die Identität der übertragenen Kontakte. In diesem Fall bewahrt das Rote Kreuz Ihre Daten für 30 Tage auf und löscht sie anschließend. Vor der Krankmeldung werden alle Tracing-Informationen nur lokal auf Ihrem Smartphone gespeichert.

Krankmeldung und Folgen

Sobald Sie sich krankmelden, schickt die App eine anonyme Warnmeldung an alle Handshake-Kontakte der letzten 54 Stunden. An wen die Warnung ergeht, wissen Sie als Krankmelder nicht. Auch die Benachrichtigten wissen nicht, welcher ihrer Kontakte erkrankt sein könnte. Ist keine Warnmeldung nötig, werden erfasste Kontakte bzw. IDs nach Ablauf von zwei Wochen automatisch gelöscht.

Die Krankmeldung selbst verläuft seit dem Update in zwei Schritten. Sobald Sie als User entsprechende Symptome verspüren, sollten Sie das in der App melden und dadurch eine Warnung verschicken. Diese „gelbe Warnung“ bekommen alle relevanten Kontakte als Benachrichtigung. Erst, wenn sich der Fall durch einen Corona-Test bestätigt, wird den Kontakten in einer neuerlichen Warnung geraten, sich in Selbstquarantäne zu begeben und ebenfalls einen Test durchführen zu lassen.

Ist der Datenschutz gesichert?

Die App legt eindeutige Identifikationsnummern an (personenbezogene Unique IDs), wechselt diese Kennung nach außen aber alle 15 Minuten. Durch die Krankmeldung bzw. wenn ein Verdacht auf COVID-19 vorliegt, werden daraus Gesundheitsdaten. Die Übermittlung dieser Daten an die Gesundheitsbörden ist erlaubt. Denn das Rote Kreuz holt für sämtliche Verarbeitung die Zustimmung ihrer Nutzer ein.

Erfolgt keine Krankmeldung, bleiben Ihre Daten dank des Updates lokal auf Ihrem Smartphone gespeichert. Für die Datenübermittlung nach eigenständiger Krankmeldung fordert die App eine Einwilligung. Der Vorgang, so unser VKI-Datenschutzbeauftragter Wolfgang Schmitt, „ist somit rechtskonform.“

Kein Zugriff ohne Einwilligung

Ohne rechtskonforme Einwilligung darf allerdings nicht auf Daten, die im Smartphone von Verbrauchern gespeichert sind, zugegriffen werden. Darunter fällt auch das Kontakt-Tagebuch. Die E-Privacy-Richtlinie (umgesetzt in § 96 Abs 3 TKG) schützt derartige Daten. Eine Einwilligung ist somit zwingend erforderlich. Dann ist auch eine weitere Übermittlung an die Gesundheitsbehörden rechtens. Die App ist derzeit freiwillig. Unser Urteil bezieht sich demnach nur auf die freiwillige App.

Verpflichtende App grundrechtswidrig

Wäre die Verwendung der App verpflichtend, würde das anders aussehen. Eine verpflichtende Verwendung mit standardgemäß eingestellten automatischen Handshakes ist sowohl grundrechts- als auch europarechtswidrig. Auch verfassungsrechtlich wäre das fragwürdig.

Freiwilligkeit als Bedingung

Seit dem Update und der Einführung des Contact-Tracing von Apple und Google steht fest: Die Freiwilligkeit der App bleibt in jedem Fall garantiert. Beide Unternehmen haben das allen Herstellern solcher Apps vorgeschrieben. Ansonsten wird die Anwendung nicht in ihren jeweiligen App-Stores aufgenommen und angeboten. Nicht-autorisierte App-Hersteller haben keinerlei Zugriff auf die Contact-Tracing-Funktionen für Android und iOS.

Politik beschwichtigt

Zudem versucht auch die österreichische Politik, die Befürchtungen und Skepsis der Bevölkerung zu zerstreuen. So betonte etwa Arbeitsministerin Christine Aschbacher (ÖVP) in einer Beantwortung einer parlamentarischen Anfrage, dass Arbeitgeber ihre Mitarbeiter nicht zur Installation der App zwingen können.

Positiv

• Die App ist freiwillig und bleibt freiwillig.
• Die App verarbeitet keine Standortdaten.
• Sie holt die Einwilligung der Nutzer ein und ist damit rechtskonform.
• Laut Rotem Kreuz werden die Daten bis zur Krankmeldung nur lokal am Smartphone des Nutzers gespeichert.
• Nutzer können bis zur Krankmeldung Ihre Daten selbstständig löschen.
• Die Speicherdauer ist auf 30 Tage nach Krankmeldung begrenzt bzw. bei den Kontaktdaten bis nach Ende der Epidemie. Letzteres ist nicht näher bestimmt, kann aber realistischer Weise auch noch nicht vorhergesagt werden.
• Die Datenschutzerklärung ist einfach, verständlich und enthält alle notwendigen Informationen.
• Der Quellcode der App ist nach anfänglicher Kritik inzwischen öffentlich zugänglich, also Open Source. Vorab hat ihn das Rote Kreuz an ausgewählte Organisationen zur Prüfung übergeben: SBA Research, Noyb und EpicenterWorks stellten der App insgesamt ein "Stopp Corona": Codeanalyse offenbart App-Defizite aus. Dennoch sahen sie bei insgesamt 26 Punkten Verbesserungsbedarf. Das betraf technische und datenschutzrechtliche Aspekte. Durch das neue Update haben die Entwickler alle Beanstandungen bereinigt.

Negativ

• Kritik an Praxistauglichkeit: Laut Datenschutzorganisation ARGE Daten - Österreichische Gesellschaft für Datenschutz ist die App "Stopp Corona"-App laut ARGE Daten "nicht praxistauglich". Sie gebe den Usern "falsche Sicherheit". Begründung: Die Distanzmessung sei zu ungenau und die App können nicht feststellen, wie eng der Kontakt zu einem möglichen "Match" tatsächlich war. Auch andere Kritiker bezweifeln, dass Bluetooth für diese Art von Anwendungen überhaupt verlässlich funktionieren kann. Das betrifft vor allem Orte, an denen viele Menschen zusammenkommen. Es bestehe die Gefahr, dass entweder viele falsche Warnungen verschickt werden oder die App ein falsches Sicherheitsgefühl vermittle. Über den tatsächlichen Nutzen in der Praxis gibt es bisher viele theoretische Annahmen, aber noch kaum brauchbare Erfahrungswerte.
• Zu viele Einschränkungen: Aktive Bluetooth- und Internetverbindung, aktuelle Betriebssysteme, keine Akku-Optimierung – das alles ist u.a. nötig, um die App überhaupt verwenden zu können. All jene, die ein älteres Smartphone, ein neues Huawei-Gerät oder überhaupt kein Smartphone besitzen, werden von vornherein ausgeschlossen. Viele User wissen zudem nicht ausreichend darüber Bescheid, was das Funktionieren der App alles erfordert.
• Sicherheit: Durch das Update und die damit verbundenen Sicherheitsmaßnahmen von Google und Apple hat sich diesbezüglich einiges verbessert (Stichwort: laufend wechselnde IDs). Die durchgängige Aktivierung von Bluetooth macht Smartphones aber allgemein angreifbarer. In den vergangenen Jahren sind hier immer wieder Sicherheitslücken in den Betriebssystemen aufgetaucht.
• Verwendung bei Missbrauch: Die App behält sich es vor, die gesammelten Daten auch bei rechtswidriger bzw. missbräuchlicher Verwendung ihrer Nutzer zu verarbeiten. Offenbar soll damit vor allem gegen Nutzer vorgegangen werden, die sich in der App zum Spaß krank melden. Das ist kein ungewöhnlicher Hinweis, lässt aber einen breiten Verwendungsspielraum offen.
• Veröffentlichen: Das Rote Kreuz hat zweifelsfrei vorab eine Datenschutz-Folgenabschätzung vorgenommen und sowohl Risiken als auch Maßnahmen im Zusammenhang mit der App beurteilt. Auch diese Ergebnisse sollten für Nutzer veröffentlicht werden.
• Daten in den USA: Die App nutzte anfangs Dienste von Microsoft für das Hosting, für Push-Benachrichtigungen jene von Google. Datenübermittlungen in die USA sind damit möglich. Das Rote Kreuz erklärte, dass die Dienstleister aus diesen Daten keine Rückschlüsse ziehen können. Wir konnten diese Behauptung nicht überprüfen, aber die Erklärung klingt plausibel. Rechtlich ist das Versenden von Daten an US-Unternehmen problematisch: Der EuGH kippt Datenschutzabkommen zwischen EU und USA hat die EU-US-Datenschutzvereinbarung „Privacy Shield“ Mitte Juli gekippt. Damit wurde eine Übertragung von Nutzerdaten in die USA als rechtswidrig eingestuft.

• voller Netzwerkzugriff
• Netzwerkverbindungen anzeigen
• Stand-by-Modus deaktivieren
• beim Start ausführen
• Internetdaten erhalten

Diese Berechtigungen sind für eine Vernetzung zwingend notwendig. Außerdem benötigt die App bei erstmaliger Aktivierung den Zugriff auf Mikrofon und Bluetooth.

Mikrofon: Die Suche nach anderen Geräten erfolgt über ein Audio-Signal. Ultraschalltöne werden erzeugt, die für das menschliche Gehör nicht erkennbar sind. Diese Art von Suche kann in der Praxis manchmal bis zu 1 Min dauern.

Bluetooth: Die Bluetooth-Funktion zeigt die verfügbaren Geräte in der Nähe an. Achtung: Es gibt kein Pairing mit anderen Geräten. Pairing ist das Verbinden von Bluetooth-Geräten. Kein Datenaustausch möglich!

Fehlermeldung?

Zwar fragt die Android-App nach der Standortfreigabe. Sie greift aber nicht auf den Standort/GPS zu (siehe Abbildung Android-Standortfreigabe). Möglicherweise handelt es sich dabei um eine Default–Meldung (Standardeinstellung) des Google Play Store. - Die iOS-App fragt nur nach Bluetooth- und Mikrofon-Freigabe.

Technischer Hintergrund

Ist die Bluetooth-Funktion aktiv, sind Bluetooth-fähige Geräte in einem sogenannten Bereitschaftsmodus. Sie suchen (scannen) die nähere Umgebung nach anderen Bluetooth-Geräten ab. Die Stopp-Corona-App verwendet Bluetooth-Scanning, um die Reichweite der Bluetooth-fähigen Geräten zu bestimmen. Der zugeteilte Code in der App wird über das Mikrofon gesendet.

Der Nutzer kann dann auswählen, zu welchem Gerät eine Verbindung aufbauen möchte (Pairing). Die App stellt von sich aus keine Verbindung zu einem anderen Gerät her. Beim ersten Verbindungsaufbau gibt der Nutzer zur Sicherheit einen PIN-Code ein, um die Verbindung zu bestätigen. Somit wird das entsprechende Gerät als vertrauenswürdig eingestuft und die Verbindung automatisch aufgebaut, sobald das Gerät in Reichweite ist.

• Corona-Tests - Arten, Kosten, Möglichkeiten und Grenzen (6/2020)

• Coronavirus: FAQ - Was Sie wissen sollten (2/2020)

• GPS-Tracker - Für Haustiere oder Gepäck (5/2020)

• Desinfektionsmittel im Haushalt - Corona und Hygiene (5/2020)

• Coronavirus: Mein Tagebuch - Ich war in Quarantäne (4/2020)

• Corona und Finanzen - Ruhig Blut und keine Panik! (4/2020)

• Coronavirus: Fakten statt Fakes - Dichtung und Wahrheit (3/2020)

• Corona: Der Siegeszug der Babyelefanten - Eine Kolumne von Michael Hufnagl (5/2020)

• Coronavirus: VKI-Hotline zu Reiserecht - Bis 30. September verlängert (3/2020)

• Coronavirus-Extra: alle Infos, alle Artikel

• "Stopp Corona"-App: FAQ

• Neustart für "Stopp Corona": Mit Apple und Google soll alles besser werden

• Neuer Anlauf für „Stopp Corona“-App

• EuGH kippt Datenschutzabkommen zwischen EU und USA

• Tracking the Global Response to COVID-19

• Datenschutz in Zeiten des Coronavirus

• Corona-Tracking & Datenschutz: kein notwendiger Widerspruch

• "Stopp Corona": Codeanalyse offenbart App-Defizite

• "Stopp Corona"-App laut ARGE Daten "nicht praxistauglich"

• Epicenter Works

• SBA Research: research center for Information Security