Max Schrems: Verpflichtende Corona-App wäre hoch problematisch

Die Regierung setzt auf die „Stopp Corona“-App, um das Virus zu stoppen. Das Rote Kreuz bietet sie an, aber bezahlt wird die Anwendung von einer privaten Versicherung. Jetzt denkt die Regierung auch laut über eine verpflichtende Corona-App nach. Datenschützer sind skeptisch.

Anonymer, digitaler „Handschlag“

Die „Stopp Corona“-App ist nach dem Prinzip privacy-by-design entwickelt, ein Fokus liegt dabei auf Datenschutz. So gibt es kein direktes Tracking, sondern jeder User hat eine eigene ID. Diese wird bei einem „digitalem Handshake“ mit anderen Usern ausgetauscht, die diese App benutzen. Die Apps erkennen einander und speichern die ID des anderen ab. Dieser Handshake ist (derzeit) nicht automatisiert, der User muss ihn also manuell durchführen.

So können Nutzer der App ein Kontakt-Tagebuch führen. Falls einer der Kontakte erkrankt, werden die anderen Kontakte verschlüsselt benachrichtigt. Das Kontakt-Tagebuch reicht zwei Tage zurück. Falls man eine Person danach erneut trifft, muss man wieder einen digitalen Handshake ausführen.

Öffentliche App, private Finanzierung

Daten zur statistischen Auswertung werden bei einem Cloud-Service von Microsoft gesichert und für Handshakes kommen bei Bedarf Services von Google zum Einsatz. Sicherheitsforscher von SBA Research bescheinigten der Android-Version der App, aus technischer Sicht datenschutzrechtlich in Ordnung zu sein.

Entwickelt und betrieben wird die „Stopp Corona“-App für das Rote Kreuz von der globalen Beratungsfirma Accenture. Das Unternehmen ist auf Dienstleistungen in verschiedenen Bereichen spezialisiert, wie zum Beispiel auf Outsourcing von technischen Lösungen. Das bedeutet, dass das Unternehmen Firmen zuerst in technischen Fragen berät und dann die Umsetzung an Dritte weitergibt.

Finanziert wird die „Stopp Corona“-App wiederum nicht direkt vom Roten Kreuz, sondern von der Uniqa-Privatstiftung. Die Stiftung ist auch der größte Aktionär der gleichnamigen Versicherung, Uniqa Insurance Group (vormals Bundesländer-Versicherung und Raiffeisen Versicherung).

Uniqa und Accenture haben auch schon in der Vergangenheit zusammengearbeitet: Die größte Versicherung greift bei der Verwalten ihrer Daten – und die der Versicherten – auf das Know-How der Beratungsfirma zurück.

Epicenter.Works empfiehlt Datenschutz-Überprüfung und Open Source

Die Grundrechts-NGO Epicenter.Works kritisiert daher die Finanzierung der App sowie, dass die Daten in der Microsoft Azure-Cloud gehostet werden.

US-Unternehmen wie Microsoft fallen unter US-Überwachungsgesetze. Ein weiterer Schwachpunkt ist, dass die App nicht open-source ist und ihr Quellcode somit nicht von unabhängigen Experten überprüft werden kann.

Epicenter.Works empfiehlt daher, dass der Quellcode der App offengelegt wird. Das würde es auch anderen Ländern vereinfachen, die App ebenfalls zu nutzen und für ihre Sprache zu übersetzen. Damit würde Österreich auch einen sinnvollen Beitrag zur internationalen Kooperation in dieser Krise leisten, die leider noch viel zu national behandelt wird.

Ebenfalls soll über die App besser aufgeklärt und das Hosting in Österreich realisiert werden. Außerdem verlangt Epicenter.Works eine professionelle IT-Security-Überprüfung sowie eine Datenschutzfolgenabschätzung, die beide publiziert werden. Eine umfangreiche Analyse veröffentlichte die Organisation auf ihrer Webseite.

Gesundheitsministerien lässt sich App-Angebot aus USA machen

Laut einem Bericht von Bloomberg hat die österreichische Regierung ein Angebot für eine Software des US-amerikanischen Big Data-Unternehmens Palantir Technologies. Palantir versucht in Europa Softwares für die Bekämpfung des Corona-Virus zu verkaufen. Das Vereinigte Königreich soll schon einen Deal abgeschlossen haben. Das österreichische Gesundheitsministerium prüft laut Medienberichten das Angebot.

Über die Software-Lösung sind zwar noch keine Details bekannt, aber Palantir gilt als umstritten, weil das Unternehmen Big Data-Projekte für US-Geheimdienste realisiert. Einer der ersten Geldgeber der Firma war die Beteiligungsgesellschaft In-Q-Tel, die vom Budget der CIA gespeist wird. In-Q-Tel versucht gezielt, in IT-Unternehmen zu investieren, welche sich mit Datenanalyse beschäftigen.

Derzeitiger Stand der Überwachung

Bisher setzt die Bundesregierung bei der Überwachung auf Bewegungsströme von Handynutzern, die von dem Mobilfunker A1 zur Verfügung gestellt werden. Laut der Klubobfrau der Grünen, Sigi Maurer, wird es auch keine individuelle Überwachung geben.

Kanzler Sebastian Kurz erklärte jedoch, dass es sich beim Datenschutz um eine Abwägungsfrage handle:

„Was ist uns wichtiger? Datenschutz, oder dass Menschen wieder normal aus dem Haus können? Datenschutz oder Leben zu retten? Alles basiert auf Freiwilligkeit. Bis es eine Impfung gibt, werden wir weiterhin Maßnahmen finden müssen.“

Deal: Freie Bewegung gegen Überwachung

Einem Bericht der Kleinen Zeitung zufolge werden in der Regierung die Stimmen lauter, die darüber nachdenken, die freie Bewegung an die Installation einer App zu koppeln. Einigkeit in der Regierung gibt es bei diesem Thema derzeit jedoch noch nicht.

Der Nationalratspräsident der ÖVP, Wolfgang Sobotoka, spricht sich in einem Interview mit dem Profil für eine Verpflichtung der App aus: „Die Rote-Kreuz-App kann sehr helfen. Wenn sie einen gewissen Verpflichtungsgrad hat, könnte sie noch mehr helfen.“

Auch der der Vizekanzler will eine verpflichtende Corona-App nicht ausschließen:

https://twitter.com/maxschrems/status/1244721951253422080

Datenschutz-Aktivist Max Schrems hat mit seiner Organisation noyb ein Paper zu einer möglichen Corona-App veröffentlicht, in er erklärt, wie man eine solche Lösung datenschutzkonform realisieren kann.

„Es gibt von Big Data bis zur Rotkreuz-App einen Haufen Vorschläge. Vieles davon ist unrealistisch: Man kann mit extrem ungenauen Handynetz-Daten von etwa 50 Metern keine Kontakte berechnen.“

„Andere Ansätze, wie das speichern von Kontakten in einer lokalen App und die Erkennung via Bluetooth mach sehr viel Sinn und ist auch vom Datenschutz optimal. Wir müssen schauen dass Leute der App vertrauen können, sonst wird das nie funktionieren.“

Seiner Meinung nach muss die Rotkreuz-App sicher noch nachbessern, was die Nutzbarkeit und die Transparenz betrifft. Sehr problematisch wäre es auch, wenn diese Apps verpflichtend wären. Unter anderem, weil es auch in der praktischen Umsetzung zu Problemen kommen wird. Es können zum Beispiel Akkus ausgehen. Und es haben viele Leute auch heute noch kein Smartphone. Die App-Anwender würden sich damit in falscher Sicherheit wiegen.

Das Thema "Big Data" im Parlament