1 40 Table of Contents 42 48

dbb magazin 5/2020

phones länger als 15 Minuten weniger als zwei Meter vonein- ander entfernt, speichert das Telefon die anonymen IDs. Wird jemand später positiv auf Corona getestet, kann die oder der Betroffene die lokalen Da- ten vom Smartphone hochla- den. Dann wird ausgewertet, mit welchen anderen IDs das Telefon in Kontakt war. Der Datenserver benachrichtigt daraufhin die entsprechenden Handys, damit sich ihre Nutze- rinnen und Nutzer in Quarantä- ne begeben und sich beim Ge- sundheitsamt melden können. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) war maß- geblich an der Entwicklung des zugrunde liegenden Sicher- heitskonzepts beteiligt. „Eine solche Lösung kann nur dann funktionieren, wenn die Privat- sphäre der Nutzer geschützt ist“, sagt Prof. Dr. Claudia Eckert, Institutsleitung des Fraunhofer AISEC. „Der Fokus der Sicherheitsexperten am Fraunhofer AISEC lag bei der Entwicklung des Sicherheits- konzepts deswegen auf der Pseudonymisierung der erho- benen Daten unter den stren- gen Richtlinien der Daten- schutz-Grundverordnung. Nur dann wird die Lösung auch angenommen.“ „Die App verfolgt lediglich Kontakte zu Pseudonymen“, ergänzt der zuständige Abtei- lungsleiter am Fraunhofer AISEC. „Bei der Registrierung wird für jeden Nutzer eine pseudonyme ID erzeugt. Durch die symmetrische Verschlüsse- lung dieser ID entsteht für je- den Nutzer eine individuelle, temporäre ,Ephemeral Blue- tooth ID (EBID)‘. Temporär des- halb, weil sich der Schlüssel in einem Zeitintervall von einer Stunde regelmäßig ändert. Das bietet zusätzlichen Schutz.“ Ein zentraler Aspekt ist es laut Fraunhofer, dass keine Bewegungsdaten gespeichert werden und auch keine Be­ wegungsprofile der Nutzer erstellt werden können. << Datenschutz ausreichend? Zur „Datenspende-App“ des RKI hatte sich der Datenschutz- beauftragte des Bundes, Ulrich Kelber, am 7. April 2020 geäu- ßert: „Die Bürgerinnen und Bürger müssen eindeutig und widerspruchsfrei informiert sein, welche Daten die App zu welchem Zweck sammelt. Au- ßerdemmuss das RKI noch konkretisieren, wie lange die Daten gespeichert werden. Ich erwarte zusätzlich, dass regelmäßig evaluiert wird, ob die App ihren Zweck erfüllt. Tut sie das nicht, muss die Ver- arbeitung beendet werden. Ganz allgemein weise ich dar- auf hin, dass das Datenschutz- niveau bei Fitness-Trackern und Smartwatches je nach Herstel- ler sehr unterschiedlich ist. Die- se Schnittstelle ist wahrschein- lich das größte Problem aus Sicht des Datenschutzes.“ Bundesjustizministerin Chris­ tine Lambrecht äußerte sich gegenüber dem Redaktions- netzwerk Deutschland (RND) zu Datenschutzbedenken be- züglich der PEPP-PT-Corona- App und unterstrich, dass de- ren Nutzung freiwillig erfolgen müsse, denn Freiwilligkeit be- deute Akzeptanz: „Die ist wie- derum erforderlich, damit die App effektiv ist. Dafür müssen deutschlandweit hinreichend viele Menschen mitmachen. Es muss also klar sein, dass die Daten nur für diesen begrenz- ten Zweck genutzt werden, in welcher Frist Daten gelöscht werden und dass sie nicht per- sonalisiert sein dürfen.“ Sie setze auf die Einsicht der Men- schen und darauf, dass sie auch ein eigenes Interesse daran hätten zu erfahren, ob sie durch Kontakte gefährdet sein könnten. Umfragen zeigten, dass eine hohe Akzeptanz für eine solche App bestehe. Kei- nesfalls dürften die erhobenen Daten später zu anderen Zwe- cken wie etwa zur Kriminalitäts- bekämpfung genutzt werden. „Eine solche Zweckentfrem- dung würde das Recht auf in- formationelle Selbstbestim- mung absolut verletzen“, so Lambrecht. Datenschutzbedenken sind es auch, die das Erscheinen einer offiziellen Corona-App weiter verzögern. Zum Redaktions- schluss dieser Ausgabe wurde bekannt, dass es noch dauern werde, bis alle Anforderungen an Datenschutz und Datensi- cherheit gewährleistet werden könnten. Darüber hinaus gibt es Unstimmigkeiten zwischen den Entwicklern bezüglich technischer und Datenschutz- Standards. Nach Informationen des „Handelsblatt“ vom 20. April 2020 hat sich unter ande- rem das an der App-Entwick- lung beteiligte Helmholtz Insti- tut für Informationssicherheit (CISPA) aus dem europäischen Corona-App-Projekt PEPP-PT zurückgezogen, wie der Infor- matik-Professor Cas Cremers mitteilte. Grund ist der Streit darüber, ob die in der App ge- sammelten Daten dezentral auf dem Handy oder dezentral auf einem europäischen Server gespeichert werden sollen. Cremers befürwortet aus Datenschutzgründen eine de- zentrale Speicherung: „CISPA hat sich aus dem Programm PEPP-PT zurückgezogen“, so Cremers auf „Twitter“.„Wir werden unsere Arbeit an DP-3T, einem dezentralisier- ten, quelloffenen System für die Ermittlung von Kontaktper- sonen auf der Grundlage von Privacy by Design, fortsetzen.“ Damit ist es wahrscheinlich, dass es am Ende der Entwick- lung verschiedene „Corona- Apps“ geben könnte. br online © RKI © Tekso / Colourbox 41 dbb > dbb magazin | Mai 2020

RkJQdWJsaXNoZXIy Mjc4MQ==