Benachrichtigungen
Alles löschen

MEZIS ändert Stellungnahme zur Corona-Warn-App  


Beiträge: 8
Admin
Topic starter
(@sahen_2015)
Mitglied
Beigetreten: vor 5 Jahren

Nach Kritik von mehreren MEZIS-Mitgliedern hat der Vorstand seine Stellungnahme zur Corona-Warn-App wie folgt geändert:

Stellungnahme der bundesweiten Ärzteinitiative MEZIS e.V.
MEZIS kritisiert Corona-Warn-App aufgrund fehlenden Patientendatenschutzes

Die Ärzteorganisation MEZIS äußert Bedenken bezüglich der Corona-Warn-App (CWA). Gründe dafür sind neben den bekannten, überwiegend negativen Erfahrungen aus anderen Ländern im Hinblick auf die Effektivität, die bekannten Sicherheitslücken und das mangelnde Begleitgesetz sowie insbesondere der mangelnde Patientendatenschutz.

Denn durch exklusive Verbreitung über konzerneigene App-Stores kennen Google und Apple jeden Nutzer der CWA und können damit E-Mailadresse und meist Telefonnummer zur eindeutigen Identifizierung nutzen. Menschen ohne ein (Google\Apple konformes) Mobiltelefon werden hingegen diskriminiert, eine anonyme Nutzung ist nicht möglich. Durch die nicht offengelegten Schnittstellen der CWA zu diesen Firmen sowie der engen Integration der App in das Betriebssystem kumulieren durch die systeminterne Verknüpfung mit anderen Daten enorme Datenschutzrisiken. So ergeben die Corona-App-Daten trotz ihrer dezentralen Speicherung durch Verknüpfung mit dem Betriebssystem (mit IP-Adressen, Suchanfragen, Browserverläufen und Bewegungsprofilen) ein sehr detailliertes Bild zur erkrankten Person und dem Infektionsgeschehen auf Bundesebene quasi in Echtzeit – nur, dass all diese Daten von Millionen deutschen potentiellen „digitalen Patienten“ exklusiv in den Datensilos amerikanischer Konzerne landen und nicht bei den zuständigen deutschen Seuchenschutzbehörden. Diese bekommen nur – und mit erheblicher Verzögerung und Ungenauigkeit – einen Bruchteil der generierten Daten aus der App.

Die Hersteller der CWA wissen laut ihrer eigenen Datenschutzfolgenabschätzung nicht, "inwieweit Google und Apple die Daten [...] verarbeiten" und sehen selbst das Risiko, dass ein "Zugang/Zugriff zu Gesundheitsdaten (Infektionsstatus) trotz fehlender Berechtigungen zu CWA über API/ ENF (Datenabfluss an Google/ Apple)" erfolgt. Weiter heißt es in der offiziellen Folgenabschätzung: "Der Umstand, dass die CWA App die Konnektivitäten und das ENF von Google und Apple verwendet, stellt ein erhebliches Risiko dar, welches durch das RKI jedoch praktisch nicht beseitigt und auf technischer Ebene auch nicht reduziert werden kann.“

Niklas Schurig, MEZIS-Vorstandsmitglied: „Eine von der Regierung empfohlene Software, die mit Metadaten zusammen hochsensible und potentielle Patientendaten in gigantischem Umfang erhebt und mit Millionen an Steuergeldern finanziert wird, darf nicht zum kostenlosen Datensammeltool für amerikanische Datensammelgiganten werden. `Google Health` nutzt alle verfügbaren Patientendaten, um mit künstlicher Intelligenz Gewinne im Gesundheitsmarkt zu erzielen – genau wie ein pharmazeutisches Unternehmen – nur mit den kostenlosen digitalen Rohstoffen, die Patienten auf Anraten der Bundesregierung gratis und wohl meist unwissentlich in die USA liefern“.

MEZIS fordert: Die App wird nur Erfolg haben, wenn die Menschen Vertrauen in sie haben. Deshalb muss dem sich bereits jetzt abzeichnenden Missbrauch als Immunitätsnachweis rasch Einhalt geboten werden. Vertrauen durch effektiven Datenschutz: Auch alle verknüpfbaren (Meta-)Daten der Corona-App müssen als potentiell medizinische Daten von digitalen Patienten in Deutschland bleiben und nach DSGVO geschützt bei den verantwortlichen Stellen (Bundesministerium für Gesundheit BMG, Robert-Koch-Institut RKI) exklusiv zur Seuchenbekämpfung genutzt werden. Sicherlich nicht für private Profitinteressen ausländischer Konzerne – das geht nur ohne Schnittstellen zu Datensammlern.

3 Antworten
Beiträge: 9
Admin
(@nis-2015)
Mitglied
Beigetreten: vor 5 Jahren

Hallo,

es gibt eine neue Studie von irischen Computer-Experten, die alle europäischen Corona-Warn-Apps und auch deren Datenabfluß an Google untersucht hat (unten auch als PDF angehängt):

Contact Tracing App Privacy: What Data Is SharedBy Europe’s GAEN Contact Tracing Apps

by Douglas J. Leith, Stephen Farrell School of Computer Science & Statistics,Trinity College Dublin, Ireland 18th July 2020

 

Deren Ergebnisse und Einschätzungen gehen sogar noch über unsere unserer MEZIS-Kritik hinaus und sind für mich nicht überraschend :

"This level of intrusiveness seems incompatible with a recommendation for population-wide usage."

"Extending public governance to the full contact tracing ecosystem, not just of the health authority client app component, therefore seems to be urgently needed if public confidence is to be maintained."

"In contrast to the client app component, our measurements indicate that the Google Play Services component of these contact tracings apps is troubling from a privacy point of view. Google Play Services connects to Google servers roughly every 20 minutes. These requests necessarily disclose the handset IP address to Google, a rough proxy for location, and also contain persistent identifiers that allow requests from the same device to be linked together. These requests therefore potentially allow fine-grained tracking by Google of device location over time."

"The data that Google Play Services sends to Google in these connections also includes, amongst other things, the phone IMEI, the handset hardware serial number, the SIM serial number, the handset phone number, the WiFi MAC address and the user email address. When combined with the potential for fine-grained location tracking via IP address made possible by the frequent nature of the requests Google Play Servicesmakes to Google servers, on the face of it it is hard to imagine a more intrusive data collection setup."

"The broad nature of this data collection and the inability of users to change Google settings so as to opt out of it appears,on the face of it, in conflict with GDPR rules in Europe and we therefore recommend it be brought to the attention of the national data protection authorities. It also indicates that some caution is warranted by governments and health authorities currently promoting widespread use of their contact tracing apps."

Die nun dazu aufkommende Medien-Öffentlichkeit kommt zur Unzeit, denn neben stagnierenden Downloads und technischen Problemen kommt nun ein Vertrauensverlust hinzu:

https://www.zdf.de/nachrichten/digitales/corona-app-google-play-datenschutz-102.html

https://www.deutschlandfunk.de/corona-warn-app-play-services-uebermitteln-daten-an-google.684.de.html?dram:article_id=481253
https://www.tagesschau.de/inland/corona-warn-app-117.html

Ich befürchte, dass ein ähnlicher Vertrauensverlust bei einer nicht absolut transparenten und wissenschaftlich einwandfreien Impfstoff-Zulassung ebenfalls auftreten wird.

Meint,

Niklas Schurig

Antwort
Beiträge: 1
(@docthomas)
Mitglied
Beigetreten: vor 2 Wochen

Ihr Meinung in allen Ehren, Herr Schurig und Frau Hensold,

aber Ihr Beitrag offenbart, wie wenig Ahnung Sie von der Materie haben.

Darüber hinaus gibt es die Corona Warn App seit geraumer Zeit komplett unabhängig vom Google Playstore. Sie ist also auch komplett ohne Google Dienste nutzbar.

Google Health, das sie hier konkret erwähnen, kommt nicht auch nur annährend in die Nähe von verwendbaren Daten aus der Corona Warn App. Das schmeißen Sie einfach mal so in den Ring, leider ohne jegliche Belege und ohne jeglichen Bezug.

Unprofessionell, schlecht recherchiert und schlicht falsch. Schade!

In medizinischen Themen finde ich Ihren Verein und Ihre Arbeit unterstützenswert. Schuster bleib bei deinen Leisten!

Gruß

Prof. Dr. Friedrich Thomas

 

Mein Tipp: 

Lesen Sie mal, was der Chaos Computer Club zum Thema Datenschutz der Corona Warn App sagt. Die Kritikpunkte an der App sind auch ganz andere:

https://linus-neumann.de/2020/10/die-corona-warn-app-verliert-den-anschluss/

Antwort
1 Antwort
Admin
(@nis-2015)
Beigetreten: vor 5 Jahren

Mitglied
Beiträge: 9

@docthomas

Hallo Kollege Thomas,

Sie schrieben:

Darüber hinaus gibt es die Corona Warn App seit geraumer Zeit komplett unabhängig vom Google Playstore. Sie ist also auch komplett ohne Google Dienste nutzbar.

Ihre gefühlte "geraume Zeit" sind gerade mal knappe 4 Wochen: https://codeberg.org/corona-contact-tracing-germany/cwa-android/releases

Ja, diesen CWA-Fork gibt es seit gerade mal 4 Wochen, und das auch nur aufgrund ehrenamtlicher unbezahlter Programmierer. Die Bundesregierung hat hierzu rein nichts beigetragen, sehr wohl aber für ihre Google-Variante Millionen an "Influencer" und an große Konzerne wie SAP gezahlt. Es fehlt übrigens auch immer noch ein Link zum Download der freien Version auf der offiziellen Webseite.

Sie schrieben:

Google Health, das sie hier konkret erwähnen, kommt nicht auch nur annährend in die Nähe von verwendbaren Daten aus der Corona Warn App. Das schmeißen Sie einfach mal so in den Ring, leider ohne jegliche Belege und ohne jeglichen Bezug.

Wenn Sie mir "Unprofessionaliät" und "schlechte Recherche" vorwerfen, dürfte ich Sie um Belege bitten, dass Google nicht an die Daten kommt. Bis dahin ist dies nur als Ihr frommer Wunsch zu bezeichnen, aber in meinen Augen schon seit Jahren widerlegt, so wie Googles Mantra "Dont be evil"() siehe: https://en.wikipedia.org/wiki/Don%27t_be_evil).  

Mein Quellenzitat stammt direkt aus der Datenschutzfolgenabschätzung der CWA: die CWA-Macher sehen selbst das Risiko, dass ein "Zugang/Zugriff zu Gesundheitsdaten (Infektionsstatus) trotz fehlender Berechtigungen zu CWA über API/ ENF (Datenabfluss an Google/ Apple)" erfolgt. Das wird auch in der Studie vom Trinity College bestätigt (siehe oben), dort wird auch der Mechanismus nochmals en Detail erklärt.

Noch mehr Quellen zu Google Health ( https://de.wikipedia.org/wiki/Google_Health): "Der Bundesdatenschützer Peter Schaar warnte vor Google Health und ähnlichen Diensten, da ein Missbrauch der Daten kaum zu verhindern wäre.[5] Die Bundesärztekammer warnt davor, dass die Patientendaten kommerziell weiterverwendet werden könnten.[6]"

-------

Ich habe mir übrigens gleich nach Erscheinen der freien CWA-Version diese auf mein googlefreies Handy installiert und wage noch eine "steilere" These:

Die CWA ist in Deutschland gescheitert.

Begründung:

1. Eigene Beobachtung: Ich arbeite in einer Corona-Schwerpunkt-Praxis und habe täglich vielfach engen Kontakt zu nachweislich Corona-positiven Patienten. Ich trage mein Handy seit Installation in der Hosentasche. Ich habe in den ganzen 4 Wochen maximal 3 Kontakte mit niedrigem Risiko gehabt.

Klar werden Sie sagen, ist nur eine Einzelbeobachtung, vielleicht sind die Kontaktzeiten auch teilweise zu kurz. Eine andere mögliche Interpretation wäre aber: Es haben einfach zu wenige Menschen die App installiert und es haben zu wenige ihren positiven Test eingetragen. Diese Beobachtung wird gestützt durch:

2. Zu geringe Nutzung lt Wikipedia "Das RKI hat bisher nicht veröffentlicht, wie es „Nutzung“ oder „aktive Nutzung“ der App definiert und wie dies dann messbar gemacht werden soll. Zwar kündigte das RKI Anfang Juli 2020 an, es werde Nutzerzahlen nicht näher benannter Art „bald“ veröffentlichen.[64] Dies ist aber bisher nicht erfolgt. Auch gibt das RKI seit dem 12. Oktober 2020 jede Woche verschiedene „Kennzahlen“ der App an. Darunter befand sich in den ersten beiden Ausgaben zwar eine Schätzung der Anzahl „aktiver Nutzerinnen und Nutzer“. Unbekannt blieb aber, auf welche der unterschiedlichen Funktionen der App das RKI damals diese Schätzung bezog. Seit Ende Oktober 2020 macht das RKI keine derartige Angabe mehr.[65]"

Und weiter: "Da das RKI nicht veröffentlicht, wie oft die App bereits vor Risiko-Begegnungen gewarnt hat, ist man auf Abschätzungen angewiesen, wenn man die Wirksamkeit der App beurteilen möchte. Da nur ungefähr 12 Prozent aller Risiko-Kontakte von der App als solche erkannt werden können (siehe: Positive Corona-Tests im Warn-Server) und momentan weniger als 25 Prozent der Bevölkerung von der Corona-Warn-App Gebrauch machen, kommt es durchschnittlich bei weniger als 5 Prozent aller Neuinfektionen zu einer Warnung durch die App, bzw. die App warnt im besten Fall ein einziges Mal bei 20 Neuinfektionen."

3. Zu geringe Rückmeldung für positive Testergebnisse (Wikipedia): "Dagegen lässt sich aus Analysen der öffentlich zugänglichen Server-Daten des App-Systems schätzen, dass das Verhältnis der App-Nutzern mit positivem Corona-Test, die ihre Diagnoseschlüssel in den Warn-Server eintragen ließen („teilten“), und der Gesamtzahl der amtlich gemeldeten positiven Corona-Tests im 7-Tage-Mittel im Dezember 2020 nur etwa 12 Prozent beträgt.[60]"

Noch mehr Kritikpunkte=Gründe für diesen Flop stehen alle bei Wikipedia (Link siehe oben), gut belegt.

 

Mein Fazit:

Es ist nicht so, dass wir damals die CWA an sich kritisiert haben. Nein, wir haben damals kritisiert, dass die Daten (und es sind letztendlich identifizierbare Patientendaten von Googles Seite aus betrachtet) nicht durch deutsches Recht geschützt sind, weil das zugrundeliegende Betriebssystem gerade dies zu verhindern sucht. 

Und ich glaube weiterhin, dass wir mit unserer Kritik leider Recht haben, Zitat Wikipedia:

"In einem noch vor der Einführung der App von Infratest-Dimap durchgeführten ARD-Deutschlandtrend kündigten 42 Prozent der Befragten an, dass sie eine solche App nutzen würden. Der häufigste Grund für die Ablehnung war der Datenschutz.[190]"

Beste Grüße,

Niklas Schurig

 

P.S

Sie schrieben:

In medizinischen Themen finde ich Ihren Verein und Ihre Arbeit unterstützenswert. Schuster bleib bei deinen Leisten!

Die CWA ist für mich ein durch und durch medizinisches Thema.

Wir werden nicht mehr durch banale "Kullis" oder "Essen" beeinflußt: Der Pharmareferent ist längst digital und sitzt in Ihrem Computer. Er sagt ihnen über ihre Praxissoftware, welche Patienten für Anwendungsbeobachtungen in Frage kommen, er weiß, daß ihre MFA's heute schon 20 Mal vergeblich nach Schnelltests gegoogelt haben und kann Ihnen eine passende Werbung in Ihrem Doccheck-Account anzeigen, er weiß welche Fortbildung Sie interessiert, ... und die Datengrundlage dazu findet sich in Googles (und Anderen) Datensilos ....

Ist das keine Beeinflussung? Kein Mezis-Thema? Darüber würde ich gerne diskutieren.

 

Meine Cookies lösche ich selbst.

 

 

 

Antwort