Neuester Artikel

Lesen Sie hier den neuesten Artikel des Autors zum Thema Datenschutz und Informationssicherheit.

Sofort lesen Übersicht

Stellungnahme der Datenschutzaufsichtsbehörden zu Kontaktnachverfolgungs-Apps

 

Stellungnahme der Datenschutzaufsichtsbehörden zu Kontaktnachverfolgungs-Apps

Der Weg aus der Corona-Pandemie wird wohl nur durch ein Zusammenspiel verschiedener „Werkzeuge“ erreicht werden können. Eines dieser „Werkzeuge“ ist sicherlich die Kontaktnachverfolgung, bevorzugt natürlich via Apps. Zur Kontaktnachverfolgung mit Hilfe von Apps hat sich nun auch die DSK in einer Stellungnahme geäußert.

Getreu dem Motto: „Es gibt für alles eine App!“, haben verschiedene Unternehmen in den letzten Monaten unterschiedlichste Kontaktnachverfolgungs-Apps auf den Weg und auf die Smartphones gebracht. Die bekannteste dürfte die App „Luca“ sein, nicht zuletzt wegen ihres prominenten Paten Smudo.

Mittlerweile hat auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 26.03.2021 zur Kontaktnachverfolgung mittels App Stellung genommen.

Elektronische Kontaktnachverfolgung im Allgemeinen

Nach Ansicht der DSK bietet eine App erhebliche Vorteile gegenüber einer Kontaktnachverfolgung in Papierform. Eine solche - das hat die Vergangenheit gezeigt - öffne Tür und Tor für Missbrauch. Die entscheidenden Vorteile einer App sind nach Ansicht der Datenschützer:

  • eine automatisierte und fristgemäße Datenlöschung;
  • ein abgesicherter Weg der Bereitstellung der Daten an das Gesundheitsamt;
  • eine unverzügliche Unterrichtung der Betroffenen nach Identifikation eines Infektionsrisikos.

Die DSK gibt einem System den Vorzug, bei dem die Daten so verschlüsselt sind, dass sie auch für den Betreiber des Kontaktnachverfolgungssystems nicht lesbar sind. Ferner sieht die DSK folgende Punkte als wesentlich für eine Kontaktnachverfolgung via App an:

  • eine klare Verteilung der datenschutzrechtlichen Verantwortung für die Verarbeitung der personenbezogenen Daten;
  • die Transparenz der Datenverarbeitung;
  • eine effektive Gewährleistung der Betroffenenrechte;
  • kein Zwang zur Nutzung;
  • die Einhaltung der strengen Zweckbindung der Datenverarbeitung.

Hinsichtlich dieser Punkte sieht die DSK den Betreiber der App in der Verantwortung, der durch technische und organisatorische Maßnahmen die vorgenannten Punkte gewährleisten muss.

Die App „Luca“ im Speziellen

Die DSK bescheinigt der App „Luca“, dass die oben genannten Merkmale umgesetzt und bisher identifizierte Risiken teilweise abgestellt wurden. Gleichwohl wird noch Anpassungsbedarf gesehen:

Gegenwärtig werden mit „Luca“ alle Daten zentral gespeichert. Dies führt dazu, dass eine große Datenbank die Anwesenheit der Nutzerinnen und Nutzer in Einrichtungen verschiedenster Art und ihre Teilnahme an Veranstaltungen unterschiedlichster Natur erfasst. So können mit Hilfe von „Luca“ etwa auch die Teilnahme an Gottesdiensten oder der Besuch von Gesundheitseinrichtungen erfasst werden. In diesem Fall würde die Verarbeitung besonders sensibler Daten erfolgen. In der zentralenDatenspeicherung sieht die DSK die Gefahr, dass bei einer unbefugten Offenlegung eine schwere Beeinträchtigung der persönlichen Rechte und Freiheiten der Nutzerinnen und Nutzer erfolgen könnte. Die DSK wirkt aus diesen Gründen auf eine dezentrale Speicherung hin.

Darüber hinaus sind die zentral gespeicherten Daten verschlüsselt. Sollte eine Entschlüsselung der Daten nötig sein, muss der Veranstalter mit dem jeweiligen Gesundheitsamt zusammenwirken. Problematisch erscheint jedoch, dass alle Ämter die gleichen Schlüssel für die Entschlüsselung der Kontaktdaten haben, wobei die Verwaltung der Schlüssel durch das Betreiberunternehmen der App „Luca“ erfolgt. Die DSK sieht hier die Gefahr, dass durch ein Ausspionieren oder durch einen Missbrauch dieser Schlüssel auf sämtliche zentral gespeicherten Daten zugegriffen werden kann. Auch ist der Veranstalter - etwa ein Restaurant oder ein Krankenhaus - kaum in der Lage, zu überprüfen, ob eine Entschlüsselungsanforderung berechtigt ist. Ein mögliches Missbrauchsszenario könnte hier Social-Engineering sein, mithin eine zwischenmenschliche Beeinflussungen, um unberechtigten Zugang zu vertraulichen Informationen oder IT-Systemen zu erlangen.

Weiter begrüßt die DSK die angekündigte Offenlegung des Quellcodes von „Luca“ - dieser Punkt wurde durch den Autor bereits bemängelt - damit dieser auf etwaige Fehler von unabhängigen Dritten überprüft werden kann.

Zudem kündigte die DSK an, zeitnah eine eigenständige Orientierungshilfe für den Betrieb von Kontaktnachverfolgungssystemen mit allgemeinen Anforderungen für die digitale Kontaktnachverfolgung erarbeiten und veröffentlichen zu wollen. In diesem Zusammenhang wurde der Gesetzgeber auf Landes- und Bundesebene aufgefordert, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen.

Die Stellungnahme der DSK kann hier heruntergeladen werden.