Update: Das Rote Kreuz hat den Quellcode der Stopp Corona App nunmehr durch epicenter.works, NOYB und SBA Research prüfen lassen. Diese haben im Rahmen der Prüfung 26 datenschutzrechtliche Probleme im Zusammenhang mit der App gefunden (darunter auch das unten beschriebene Problem der Speicherdauer). Erfreulicherweise hat das Rote Kreuz nicht nur einen Teil der beschriebenen Probleme bereits jetzt behoben, das Rote Kreuz hat auch erklärt, in spätestens vier Wochen sämtliche von epicenter.works, NOYB und SBA Research aufgezeigten Probleme (mit Ausnahme von drei juristischen Empfehlungen) zu beheben. An diesem Fall zeigt sich auch, wie wichtig eine unabhängige Prüfung derartiger Software ist: Wie sich aus dem 50-seitigen Bericht von epicenter.works, NOYB und SBA Research ergibt, hat das Rote Kreuz schlicht übersehen, die automatische Löschung der Daten zu implementieren. Dieser Fehler wurde mit dem Update vom 24.4.2020 behoben. Damit steht auch der Nutzung der App nichts entgegen.
Die Stopp Corona App des Österreichischen Roten Kreuzes ist momentan die am heißesten diskutierte App in Österreich, da vielfach Datenschutzbedenken geäußert wurden. Doch: Was ist da dran?
Wie funktioniert die Stopp Corona App? Die Funktionsweise der Stopp Corona App ist simpel. Die App protokolliert lediglich Kontakte, denen der Nutzer der App begegnet ist. Dazu generiert die App eine eindeutige ID und tauscht diese ID mit anderen Nutzern der App via WLAN und Bluetooth aus, wenn diese in der Nähe sind. Die App „weiß“ daher, wen der Nutzer der App getroffen hat. Sollte der Nutzer der App erkranken, gibt er dies in der App bekannt und die App informiert – über einen zentralen Server – all jene Nutzer, die die App protokollierte. Die so informierten Nutzer haben die Möglichkeit, sich selbst in Quarantäne zu begeben, um eine Verbreitung des Coronavirus zu verhindern oder sich testen zu lassen.
Wie ist die App datenschutzrechtlich zu beurteilen? Bei der verwendeten zufälligen ID handelt es sich – so sieht das auch (völlig richtig) das Rote Kreuz selbst – um ein personenbezogenes Datum (um eine personenbezogene Information) des Nutzers der App (des Betroffenen). Da im Rahmen der App auch Gesundheitsdaten (nämlich die Information über den Zustand „Corona positiv“ oder „Corona negativ“) des Nutzers verarbeitet werden, werden sogenannte besondere Kategorien von Daten im Sinn des Art 9 Abs 1 DSGVO verarbeitet. Eine Verarbeitung dieser besonderen Kategorien von Daten ist nur zulässig, wenn ein konkreter im Gesetz genannter Rechtsgrund für die Verarbeitung erfüllt ist. Die Stopp Corona App setzt dabei auf eine Einwilligung des jeweiligen Nutzers, wobei der Nutzer diese Einwilligung beim erstmaligen Start abgibt.
Liegt eine wirksame Einwilligung der Nutzer vor? Voraussetzung für eine wirksame Einwilligungserklärung ist, dass die von der Datenverarbeitung betroffene Person in Kenntnis des Sachverhalts freiwillig und ohne Zwang aktiv ihren Willen erklärt, dass die Verarbeitung für den konkret genannten Zweck zulässig ist. Voraussetzung ist auch, dass der Nutzer die Einwilligungserklärung jederzeit (ohne Angabe von Gründen) widerrufen kann. Die App macht hier alles richtig – die Frage ist nur, wo zu man hier einwilligt (und ob diese Einwilligung überhaupt möglich ist)?
Solange keine Erkrankung vorliegt, passiert nicht viel. Sollte die Datenschutzerklärung der Stopp Corona App korrekt sein, ist die App (vor der Bekanntgabe der Erkrankung) nichts weiter als ein Notizblock, auf dem Kontakte gespeichert werden (wobei nicht einmal der Nutzer selbst aus der App herauslesen kann, welchen anderen Nutzern er begegnet ist). Sollte der Nutzer positiv auf das Covid-19 Virus getestet werden und diesen Status melden wollen, ist dieser verpflichtet, eine Mobilfunknummer anzugeben. Diese Daten werden anschließend an das Rote Kreuz weitergeleitet, damit dieses die Möglichkeit hat, die bisherigen Kontakte (identifiziert anhand der ausgetauschten IDs) zu informieren. In diesem Fall werden – so die Datenschutzerklärung – die IDs der bisherigen Kontakte an das Rote Kreuz übermittelt und anschließend die Kontakte über einen Corona Fall bei den bisherigen Kontakten informiert. Diese Information erfolgt ohne Bekanntgabe, wer denn nun erkrankt ist.
Dieser Vorgang ist – auf Basis der hier transparenten Einwilligung – nicht zu beanstanden. Datenschutzrechtlich ist auch die Nutzung von Microsoft Azure (als zentraler Server) sowie dem Dienst Google Firebase (dieser kümmert sich um die Benachrichtigungen der gespeicherten Kontakte) unbedenklich, da diese Unternehmen dem sogenannten US Privacy Shield unterliegen und daher ein angemessenes Datenschutzniveau gewährleisten müssen.
Problematisch ist jedoch die folgende Weitergabe dieser Daten. Der Nutzer stimmt zu, dass das Rote Kreuz die im Rahmen der App erhobenen Daten nicht nur zum Zweck der Strafverfolgung im Missbrauchsfall weitergeben darf (wobei unklar ist, welchen konkreten Fall das Rote Kreuz hier meint), der Nutzer stimmt auch zu, dass das Rote Kreuz aufgrund des Epidemiegesetzes die Daten an die Gesundheitsbehörde übermitteln darf. Auf den ersten Blick erscheint diese Übermittlung unproblematisch, da die Gesundheitsbehörden ohnedies über die Erkrankung des Nutzers bereits Kenntnis haben (bereits im Rahmen des Tests werden die Daten der betroffenen Person an die Gesundheitsbehörden übermittelt, da es sich beim Covid-19 Virus um eine nach dem Epidemiegesetz meldepflichtige Krankheit handelt) und die gespeicherten „Begegnungen“ keiner konkreten Person zugeordnet werden können. Die App stellt damit lediglich eine weitere Datenquelle dar.
Worin liegt jetzt eigentlich das Problem? Durch die App erhält die Behörde Kenntnis darüber, mit wie vielen Menschen die jeweils erkrankte Person Kontakt hatte. Entsprechend der Datenschutzerklärung verfügt das Rote Kreuz über keine Zuordnung zwischen der jeweiligen ID und einer konkreten Person, bevor nicht die konkrete Person ihre eigene Telefonnummer angegeben hat (erst zu diesem Zeitpunkt werden die Daten an das Rote Kreuz übermittelt und die App wird zu mehr als einem bloßen „Notizblock“).
Bis zur Prüfung des Quellcodes im April 2020 war das ein zentrales Problem, da völlig unklar war, ob die App tatsächlich keine weiteren Daten an das Rote Kreuz übermittelt – die App lag nämlich lediglich als „closed source“ vor (der Quellcode und damit der Funktionsumfang der App konnte nicht überprüft werden). Der Nutzer wusste auch nicht, ob eine „Hintertür“ implementiert war, die einen externen Abruf der Daten durch das Rote Kreuz (oder den Staat oder gar Google) ermöglicht. Dieses Problem der mangelnden Transparenz hat das Rote Kreuz beseitigt, indem es den Quellcode durch epicenter.works, NOYB und SBA Research prüfen ließ.
Mit der Transparenz wurde auch einzweites Problem gelöst, nämlich, wie lange die Stopp Corona App die früheren Kontakte speichert. Voraussetzung für die Verarbeitung personenbezogener Daten ist immer, dass die Grundsätze in Art 5 DSGVO eingehalten werden. Diese umfassen neben dem Grundsatz der „Zweckmäßigkeit“ (die Verarbeitung personenbezogener Daten darf nur für einen konkreten Zweck erfolgen) auch eine sogenannte „Datenminimierungspflicht“ (es dürfen lediglich so viele Daten verarbeitet werden, als zur Erfüllung des jeweiligen Zwecks notwendig ist). Gemäß der Datenschutzerklärung wäre es nur für drei Tage notwendig. Wie die Prüfung durch epicenter.works, NOYB und SBA Research ergeben hat, war die automatische Löschung nicht in der App implementiert, die Daten wurden nicht gelöscht. Diese Problem hat das Rote Kreuz mit dem Update vom 24.4.2020 behoben.
Das wohl gravierendste Problem – und dieses besteht noch immer – ist jedoch das dritte und letzte: Es kann eine zentrale Speicherung sämtlicher Kontakte, die ein Mensch hat, erfolgen. Zwar liegt diese Information lediglich als (für den Einzelnen) nicht zuordenbare Nummer vor, es besteht jedoch die Gefahr, dass diese Information als Basis für weitere Informationen dient. Die Politik erklärt derzeit gebetsmühlenartig, dass eine verpflichtende Nutzung der App nicht vorgesehen ist und der jeweilige Nutzer selbst Herr über seine Daten bleibt. Doch was passiert, wenn die Politik Ihre Meinung ändern sollte? Die App ist so konzipiert, dass sie permanent Informationen (wenn auch nur für wenige Tage speichert). Es ist nicht ausgeschlossen, dass die gegenständliche App in Zukunft missbräuchlich verwendet wird und im Rahmen eines Updates eine Datenweitergabe und eine längere Datenspeicherung implementiert wird. Zweifellos wäre ein Zugriff der Behörden auf die hier gespeicherten Daten ein Verstoß gegen die Datenschutzgrundverordnung – und die Möglichkeit, dass die App missbraucht wird und der Rechtsschutz zu spät kommt, stellt das wahre Problem dar. Auch wenn diese App derzeit wohl datenschutzkonform ist, müsste dieses Problem (durch Transparenz und regelmäßige Quellcodeprüfungen!) gelöst werden, um die Nutzung dieser App (die prinzipiell sicher eine gute Sache ist, und die Normalisierung des Wirtschaftslebens zu beschleunigen) uneingeschränkt empfehlen zu können.
Datenschutzrechtliche Fragen– nicht nur zu dieser App – beantworten wir gerne (markus.doerfler@h-i-p.at).