Seit dem 16. Juni 2020[1] ist die Corona-Warn-App des Robert-Koch-Instituts (RKI) im Einsatz und wurde schon 16,4 Millionen Mal (Stand 27.07.2020)[2] heruntergeladen. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit Prof. Ulrich Kelber erklärte selbst, dass die Corona-Warn-App den datenschutzrechtlichen Anforderungen genüge.[3] In letzter Zeit häufen sich jedoch die Berichte, dass Google die Nutzerdaten der App abgreift.[4] Diesbezüglich stellt sich nun die Frage, ob die Corona-Warn-App nun wirklich so datenschutzkonform ist wie angenommen.
Funktionsweise der Corona-Warn-App
Viele Menschen verwenden heutzutage ein Smartphone, welches mit Bluetooth ausgestattet ist. Auf dieser Technologie baut die Corona-Warn-App auf. Die App basiert auf dem DP3T-Konzept (Decentralized Privacy-Preserving Proximity Tracing).[5] In diesem Sinne wird auf einen dezentralen Ansatz gesetzt: Die Daten werden auf dem eigenen Endgerät abgespeichert und nicht auf einem zentralen Server.[6]
Die Tracing App der Bundesregierung erfasst hierbei Kontakte, bei denen der Mindestabstand nicht eingehalten worden ist. Hierzu tauschen die Smartphones zufällig generierte kraptografische Schlüssel aus. Die Entfernung zwischen den beiden Personen wird dabei durch die Signalstärke des Bluetooth-Signals ermittelt.[7]
Sobald ein Benutzer positiv auf SARS-COV-2 getestet worden ist, kann dieser sein Testergebnis in der App teilen. Nachdem der Nutzer sein Testergebnis in die App eingetragen hat, wird dieses an die Server des RKI übermittelt. Durch tägliche Updates der Corona-Warn-App erfährt der Nutzer schließlich, ob er mit einer infizierten Person Kontakt hatte oder nicht. Bevor Benutzer ihren Test hochladen, werden sie ausdrücklich gefragt, ob sie diesen teilen möchten.[8]
Einsatz der Google Play Services
Die Nachverfolgung von Kontakten erfolgt über Bluetooth. Hierbei wird auf Bluetooth low energy (BLE) gesetzt, welches energiesparender als die herkömmliche Bluetooth-Technologie ist. Somit ist die App, auch wenn sie im Hintergrund läuft, ressourcensparend.
Um den Abstand zwischen zwei Personen – oder besser gesagt, zwei Smartphones – zu ermitteln, wird ein Signal über mehrere Meter gesendet, welches dann von Bluetooth-Modulen anderer Smartphones aufgefangen und verarbeitet wird.[9]
Damit die App auf die jeweiligen Module des Smartphones zugreifen zu können, müssen Schnittstellen bereitgestellt werden, die sich Apps wie die Corona-Warn-App zunutze machen können. Hier kommen Google und Apple ins Spiel. Diese beiden Firmen decken selbst mehr als 99 % der weltweiten Smartphone-Betriebssysteme ab[10] und stellen wichtige technische Funktionalitäten des Smartphones, unter anderem auch die Schnittstellen für die entsprechenden Bluetooth-Module, für eine Vielzahl von Geräten bereit.[11] Bei den Google Play Services handelt es sich um eine Sammlung von Schnittstellen, die einen Datenaustausch zwischen den Hardware-Modulen und der jeweiligen Software ermöglicht.[12]
Hierbei setzt vor allem Google auf eine Lösung, die über das Google-Konto realisiert wird, um von den Smartphone-Herstellern unabhängig die Software verteilen zu können. Ob Sie die Schnittstelle von Google auf Ihrem Handy haben, können Sie ganz einfach überprüfen:
Öffnen Sie dazu Ihre Einstellungen und Navigieren Sie zu den Einstellungen ihres Google-Kontos. Hier sollte, sofern Sie die entsprechende Schnittstelle von Google haben, „COVID-19-Benachrichtigungen“ als erster Eintrag erscheinen.[13]
Google Play Services Überträge Nutzerdaten an Google
Forscher des Trinity College in Dublin haben herausgefunden, dass bei der Corona-Warn-App die Google Play Services Daten an Google übermitteln. Dabei greifen die Google Play Services in der Regel alle 20 Minuten Daten ab, wie beispielsweise die IP-Adresse, Telefonnummer, E-Mail des Google-Kontos, Seriennummer der SIM-Karte, die MAC-Adresse des Wifi-Moduls und Nutzungsdaten von Apps, also welche Apps in welchem Umfang genutzt werden.
Generell loben die Wissenschaftler, dass die Corona-Warn-App nur minimal Anfragen an Server stellt und zudem auch noch quelloffen ist, im Gegensatz zu beispielsweise SmitteStop (Spanien) oder RadarCOVID (Schweden).
Die oben beschriebene Schnittstelle „COVID-19-Benachrichtigungen“ ist ein Teil der Google Play Services und kann deaktiviert werden. Für eine funktionstüchtige COVID-19-Tracing-App ist es jedoch essentiell, dass diese Schnittstelle aktiviert bleibt. [14]
Generelle Datenübermittlung durch die Google Play Services
Auch wenn es nicht besonders nutzerfreundlich ist, dass Google Daten über seine Nutzer sammelt, so ist es doch nichts Neues. Google verwendet und sammelt die Daten seiner Nutzer in vielerlei Hinsicht. So werden beispielsweise die besuchten Orte, Geräteinformationen, die Nutzung des Google Assistant oder der YouTube Verlauf an Google gesendet und von der Firma verarbeitet.[15] Im Hinblick auf Google Maps werden beispielsweise sowohl IP-Adresse als auch GPS Daten verwendet, um den Standort der virtuellen Landkarte zu verbessern.[16] Die gesammelten Daten werden meist genutzt, um personalisierte Werbung zu schalten.[17]
Verbesserungsvorschläge seitens der Wissenschaftler
Die Wissenschaftler erkennen an, dass die Google Play Services eine extrem häufig genutzte Software ist, dennoch haben sie drei Verbesserungsvorschläge:
Sie bemängeln einerseits die mangelhafte Dokumentation hinsichtlich der „exposure notifications“, also jener Benachrichtigung, die man erhält, wenn man sich in der Nähe einer infizierten Person aufgehalten hat. Sie fordern eine Dokumentation, die die Google Play Services datenschutzfreundlich macht und gleichzeitig die öffentliche Gesundheit schützt. Sowohl Google als auch Apple wollen dieses Problem angehen, indem sie die jeweiligen Schnittstellen und Services besser dokumentieren.
Zudem sollte Google einen sog. „quiet mode“ einführen, welcher es den Benutzern erlaubt, den Datenaustausch zwischen den Google Play Services und Google zu unterbrechen. Dies könnte auch den Nutzern zugutekommen, die noch immer aus datenschutzrechtlichen Gründen daran zweifeln, sich die Corona-Warn-App zu installieren.
Zuletzt wird den zuständigen Behörden geraten, ihre Zusammenarbeit mit Google und Apple zu überdenken. Google und Apple leisten einen unverzichtbaren Beitrag um die Corona-Warn-App am Laufen zu halten. Die Konzerne stehen jedoch in einer sogenannten „gate keeper“-Position. Sie nehmen dadurch, dass sie die Schnittstellen für die Apps zur Verfügung stellen, eine sehr zentrale Schlüsselposition ein. Somit können die Technologie-Konzerne ultimative Kontrolle über die Corona-Tracing-Apps erlangen. Die Forscher raten daher, dass die Regierung und Behörden den Services und Schnittstellen ein ähnliches Maß an Kontrolle auferlegen, wie sie es auch bei der Tracing-App tun.[18]
Fazit
Eine umfangreiche Datensammlung über seine User ist nicht unbedingt das Nutzerfreundlichste, was ein Konzern machen kann. Bei der Corona-Warn-App ist es möglich, entsprechende Schnittstellen zu deaktivieren, dies würde die Funktionalität der App einschränken bzw. diese unbrauchbar machen.
Zudem werden laut der Studie des Trinity Colleges keine gesundheitsbezogenen Daten an Google übermittelt. Bei den übermittelten Daten, die die Forscher gefunden haben, handelt es sich „lediglich“ um Daten, die ohnehin an Google gesendet werden, unabhängig ob man die App installiert hat oder nicht.
Die Corona-Warn-App erfüllt somit insgesamt höchste datenschutzrechtliche Anforderungen, eine bedenkenlose Nutzung der App ist also möglich.
[1] Corona-Warn-App zum Download bereit, tagesschau.de, 16.06.2020, zuletzt abgerufen am 28.07.2020.
[2] Infektionsketten digital unterbrechen mit der Corona-Warn-App, rki.de, 27.07.2020, zuletzt abgerufen am 28.07.2020.
[3] Kelber, Datenschutz bei Corona-Warn-App ausreichend, 16.06.2020, zuletzt abgerufen am 28.07.2020.
[4] Vgl. beispielsweise Welchering, Play Services übermitteln Daten an Google, deutschlandfunk.de, 25.07.2020, zuletzt abgerufen am 28.07.2020 oder Welchering, Google späht Anwender der Corona-Warn-App aus, zdf.de, 24.07.2020, zuletzt abgerufen am 28.07.2020.
[5] Muth, Was die Corona-Warn-App können soll, sueddeutsche.de, 13.05.2020, zuletzt abgerufen am 31.07.2020.
[6] Corona-Warnung per App: Fragen und Antworten zur deutschen Tracing-App, verbraucherzentrale.de, 28.07.2020, zuletzt abgerufen am 28.07.2020.
[7] Lauck, So funktioniert die Warn-App, tagesschau.de, 27.07.2020, zuletzt abgerufen am 31.07.2020.
[8] Lauck, So funktioniert die Warn-App, tagesschau.de, 27.07.2020 (vgl. Fn. 7).
[9] Moßburger/Schiffer, FAQ: Was Sie über die Corona-Warn-App wissen müssen, br.de, 24.07.2020, zuletzt abgerufen am 28.07.2020.
[10] Marktanteile der führenden mobilen Betriebssysteme an der Internetnutzung mit Mobiltelefonen in Deutschland von Januar 2009 bis Mai 2020, de.statista.com, zuletzt abgerufen am 28.07.2020.
[11] Corona-Warnung per App: Fragen und Antworten zur deutschen Tracing-App, verbraucherzentrale.de, 28.07.2020 (vgl. Fn. 6).
[12] Welchering, Play Services übermitteln Daten an Google, deutschlandfunk.de, 25.07.2020 (vgl. Fn. 4).
[13] Corona-Warnung per App: Fragen und Antworten zur deutschen Tracing-App, verbraucherzentrale.de, 28.07.2020 (vgl. Fn. 6).
[14] Leith/Farrell, Contact Tracing App Privacy: What Data Is Shared By Europe’s GAEN Contact Tracing Apps, scss.tcd.ie, 18.07.2020, zuletzt abgerufen am 28.07.2020.
[15] Nield, All the Ways Google Tracks You—And How to Stop It, wired.com, 27.05.2019, zuletzt abgerufen am 05.08.2020.
[16] How Google Uses Location Information, policies.google.com, zuletzt abgerufen am 31.07.2020.
[17] Nield, All the Ways Google Tracks You—And How to Stop It, wired.com, 27.05.2019 (vgl. Fn. 15).
[18] Leith/Farrell, Contact Tracing App Privacy: What Data Is Shared By Europe’s GAEN Contact Tracing Apps, scss.tcd.ie, 18.07.2020 (vgl. Fn. 14).