Stellungnahme: MEZIS lehnt Corona-App aufgrund fehlenden Patientendatenschutzes ab

Ich bin etwas zweigeteilter Meinung zur MEZIS-Stellungnahme bezüglich der Corona-Warn-App. Ich kann einige Kritikpunkte nachvollziehen; die Schlussfolgerung, dass die App als Ganzes von MEZIS abgelehnt wird, finde ich auf Basis meines aktuellen Kenntnisstandes jedoch überzogen.

Wenn ich es richtig verstanden habe, sind die Bluetooth-Schnittstellen von Google und Apple, welche zur Nutzung der App vorausgesetzt werden, nicht quelloffen. Das ist absolut kritikwürdig. Bei meinem eigenen Android-Smartphone (mit installierter Corona-Warn-App) habe ich außerdem festgestellt, dass für die Nutzung neben Bluetooth dauerhaft auch die Standorterkennung aktiviert sein muss, sonst erscheint eine Fehlermeldung der Corona-App - wobei meines Erachtens die Standorterkennung für die Funktionsweise ja gar nicht erforderlich wäre. Vermutlich wurde das von Google so implementiert, um die Nutzer zum Aktivieren der Standortdienste zu bewegen. Möglicherweise werden also Personen, welche die App nutzen möchten, zur Aktivierung von Funktionen genötigt, welche sie aus Datenschutzgründen ansonsten lieber deaktiviert lassen würden.

Jedoch kann ich mir nicht vorstellen, wie die von der Corona-App erzeugten Daten konkret von Google oder Apple abgegriffen und weiter verwertet werden sollten. Die App selbst ist ja quelloffen und wurde bereits von mehreren seriösen Stellen datenschutzmäßig für gut befunden; ein Austausch der Kontakt-IDs, welche nach Bluetooth-Erkennung durch die App generiert werden, findet ja nicht über Google oder Apple statt, sondern über den mit der App gekoppelten Server des RKI. Ich verlinke hier auch nochmal einen Artikel von SAP, wo einige technische Punkte ausgeführt sind - welche ich zwar fachlich auch nicht vollumfänglich bewerten kann, aber vielleicht gibt es ja hier jemanden, der sich auskennt: https://news.sap.com/germany/2020/05/covid19-technische-grundlage-corona-warn-app/

Kritisieren würde ich also, dass Google und Apple durch die Nutzung der App Metadaten (welche Gesundheitsdaten einschließen) sammeln, was sie ja bisher schon immer bei der Nutzung eines Smartphones tun. Die Corona-App könnte eventuell bewirken, dass mehr Nutzer ihre Datenschutzeinstellungen im Smartphone lockern. Ich würde hier aber nicht schlussfolgern, pauschal von der Nutzung der App abzuraten. Jeder, der ein Smartphone mit Android oder iOS besitzt, stimmt eben ohnehin schon der Erhebung vieler Nutzungsdaten zu.

Zur Frage, ob die App als Immunitätsnachweis missbraucht werden könnte: soweit ich weiß, lässt sich die Risikoerkennung in der App abschalten, ohne dass dies zu einem späteren Zeitpunkt nachvollzogen werden könnte. Man kann die Erkennung also jederzeit wieder einschalten. Als Immunitätsausweis wäre die App somit so gut wie nutzlos.

Inwieweit die App am Ende wirklich einen Nutzen hat, kann man aktuell wahrscheinlich noch nicht bewerten. Ich denke aber: je mehr sie genutzt wird, desto mehr kann es bringen und man sollte dem Ganzen eine Chance geben. Letztendlich ist es ja nur ein kleines Puzzleteil im Umgang mit der Pandemie.

Zusammenfassend würde ich sagen: die Kritikpunkte sind auf jeden Fall wichtig. Sie sollten im aktuellen Fall aber nicht dazu führen, dass man die Nutzung der App pauschal ablehnt, sondern jeder muss sich eine eigene Meinung bilden.

Die Debatte sollte vielmehr in zwei andere Richtungen angestoßen werden: einerseits, wie man die großen Techkonzerne zukünftig dazu zwingen kann, mit den Nutzerdaten sorgsamer umzugehen; und andererseits, wie wir gesellschaftlich verantwortlich mit so einer Pandemiesituation umgehen wollen und hierbei die gefährdeten Personengruppen, um die es ja die ganze Zeit geht, schützen können, ohne dass die Menschenwürde leidet. Ich denke da gerade an die Situation der Menschen in den Pflegeheimen. Meines Erachtens wäre dies eine viel größere gesellschaftliche Debatte wert, als die Corona-App.

Hallo Herr Schug,

zu Ihren Anmerkungen:

"Jedoch kann ich mir nicht vorstellen, wie die von der Corona-App erzeugten Daten konkret von Google oder Apple abgegriffen und weiter verwertet werden sollten."

Das ist korrekt, die Daten aus der CWA sind dezentral und datenschutzkonform in der App. Google/Apple haben sich wohl auch dazu geäußert, dass sie diese Daten nicht nutzen wollen (keine Quelle).

Der Knackpunkt ist für mich, dass Google/Apple diese CWA-Daten aber auch gar nicht brauchen, um unter anderem höchst präzise COVID-Vorhersagen tätigen zu können (Influenzavorhersagen macht Google schließlich auch schon seit Jahren).

Routinemäßig greift Google folgende Daten regelmäßig ab (vollkommen legitim, gedeckt durch "Einverständnis" des Nutzers= Nutzung des Systems):

• - Emails, Such- und Browser-Verläufe sowie Routen- und Standortverläufe
• - E-Mail-Adresse, Telefon- und Kreditkartennummern
• - Alle Gmail-Mails: „Wir nutzen dieselbe Technologie, die nach Viren scannt […] aber auch, um im Zuge des Gmail Benutzererlebnisses Werbung zu schalten.“
• - via Google Streetview: Daten aus offenen WLAN-Netzwerken: falls unverschlüsselt: die darüber gesendeten Passwörter, Emails, Messenger-Nachrichten, Fotos und Accounts
• - Die deaktivierten Ortungsdienste hindern Google nicht, eine Triangulation der Position über WLAN-Netzwerke in der Nähe, andere Bluetooth-Geräte sowie den nächsten Mobilfunkmasten durchzuführen.
• - Und so weiter:
  • Eine Liste der Arten der Bewegungen: (Z.B.: gehen 51%, am Fahrrad 4%, im Zug 3%, usw.)
    Den barometrischen Außendruck.
    Ob eine WLAN-Verbindung besteht.
    Die MAC-Adresse des WLAN-Routers. (MAC ist pro Gerät einzigartig)
    Die MAC-Adresse und Signalstärke aller WLAN-Netzwerke in der Nähe.
    Die MAC-Adresse, den Typ und Signalstärke aller Bluetooth-Geräte in der Nähe.
    Den Akkustand und Ladestatus des eigenen Smartphones.
    Die Stromspannung des eigenen Akkus.
    Die GPS-Koordinaten des Smartphones sowie die Genauigkeit dieser Daten.
    Die GPS-Höhe und deren Genauigkeit.
  • Siehe auch hier: https://de.wikipedia.org/wiki/Kritik_an_der_Google_LLC#Kritik_an_der_Google-Suche_und_Android

Aus diesen Daten (die bei Apple ähnlich umfangreich abfließen dürften) und zusätzlich all den nach Hause telefonierenden (Gesundheits!)-Apps ergibt sich ein quasi Echtzeitbild des Nutzer, seiner Gewohnheiten, seiner Kontakte, seiner Krankheiten und seiner bevorstehenden Aktivitäten.

Kritisieren würde ich also, dass Google und Apple durch die Nutzung der App Metadaten (welche Gesundheitsdaten einschließen) sammeln, was sie ja bisher schon immer bei der Nutzung eines Smartphones tun. Die Corona-App könnte eventuell bewirken, dass mehr Nutzer ihre Datenschutzeinstellungen im Smartphone lockern. Ich würde hier aber nicht schlussfolgern, pauschal von der Nutzung der App abzuraten. Jeder, der ein Smartphone mit Android oder iOS besitzt, stimmt eben ohnehin schon der Erhebung vieler Nutzungsdaten zu.

Genau so sehe ich das auch: Im freien Markt darf jeder das Betriebssystem nutzen, dass er will.

Anders ist die Sachlage aber, wenn aus Konsumenten potentielle Patienten werden und die Regierung diese App nachdrücklich empfiehlt (und Millionen an Steuergeldern dafür ausgibt):

Mein Fazit: Erkrankt ein Patient an Covid, mit installierter CW-App weiß dass Google (mit o.g. Datenreichtum) sicherlich vor den zuständigen Seuchenschutzbehörden - informiert diese aber nicht. Diese gesammelten Daten sind m.E. eindeutig personalisierte Gesundheitsdaten (von außerhalb der App) und müssten dementsprechend nur innerhalb Deutschlands und DSGVO-konform verarbeitet werden.

Das Black-Box-Problem steht auch klipp und klar in der ofiziellen Dokumentation drin:

Weder die Programmierer, noch das RKI wissen, welche Daten Google/Apple aus der CWA über das Betriebssystem ableiten.

https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung-anlage1.pdf (S. 58/59):

"Inwieweit Google und Apple die Daten [...] verarbeiten, entzieht sich der Kontrolle der am Projekt Beteiligten."

"Festzuhalten bleibt, dass Risiken für die Rechte und Freiheiten von Betroffenen bestehen, die sich aus der Entscheidung ergeben, das Framework von Apple und Google für die Corona-Warn-App zu nutzen.

[Dazu  zählt:]

- Erhebung und Speicherung nicht-notwendiger Daten, inklusive Nutzer- und Metadaten durch Apple/ Google

-(Bewusste/ Unbewusste) Erteilung von Berechtigungen an Google/ Apple/ andere App-Anbieter auf Smartphone

-Zugang/ Zugriff zu Gesundheitsdaten (Infektionsstatus) trotz fehlender Berechtigungen zu CWA über API/ ENF (Datenabfluss an Google/ Apple) "

Das RKI schätzt den Datenabfluß selbst als "erhebliches Risiko" ein:

https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

"Der Umstand, dass die CWA App die Konnektivitäten und das ENF von Google und Apple verwendet, stellt ein erhebliches Risiko dar, welches durch das RKI jedoch praktisch nicht beseitigt und auf technischer Ebene auch nicht reduziert werden kann. "(12.6.1)

Auch das RKI nimmt selbst an, dass Google/Apple die Verknüpfungen zwischen anderen Daten des Betriebssystems und der App vornehmen können und auch z.B. die Werbe-ID hierfür nutzen:

"Die genaue technische Umsetzung und Funktionsweise aller betriebssystem-und hardwareseitigen Funktionalitäten ist der Kontrolle des RKI entzogen. Es ist anzunehmen, dass Apple und Google durch eine Änderung des ENF auch zur Verknüpfung der dort verarbeiteten Tagesschlüssel und RPIs mit einer geräte-(z. B. Werbe-ID) oder nutzerspezifischen Kennung (z. B. Apple-ID oder Google-Konto) in der Lage sind.“

Als langjähriges überzeugtes Mezis-Mitglied war ich beim Lesen der Stellungnahme zur Covid-Warn-App ziemlich entgeistert. Mein erster Gedanke war: Austreten.

Für mich ist Mezis eine Initiative, die sich gegen korruptives Verhalten im Gesundheitswesen durch gezielte Manipulation von Multiplikatoren (v.a. Ärztinnen und Ärzten) zum Schaden von Patienten wendet. Dies geht schon aus dem Namen hervor. Auf diesem Gebiet hat sich aus meiner Sicht in den letzten Jahrzehnten schon einiges gebessert, woran sich auch Mezis einen guten Anteil zuschreiben kann.

Hier geht es jetzt aber nicht um die Beeinflussung von Medizinern durch die Pharmaindustrie, sondern um den Umgang mit einer globalen medizinischen Ausnahmesituation mit dem Potenzial von Dutzenden Millionen Todesfällen, die das Leben und den Alltag praktisch der gesamten Bevölkerung massiv verändert hat.

Ich möchte die aufgezählten Datenschutz- und sonstigen Mängel des CWA-Projektes nicht grundsätzlich in Abrede stellen. Einige Punkte halte ich aber für hinfällig, zum Beispiel den Verweis auf die Erfahrungen aus anderen Ländern: diese sind ja zum großen Teil in die Entwicklung der CWA eingeflossen, so dass viele deren Fehler eben nicht wiederholt wurden. Eventuell noch aufzudeckende Sicherheitslücken lassen sich in der Regel per Update patchen, und auch ein Begleitgesetz lässt sich noch auf den Weg bringen, falls sich die Notwendigkeit ergibt.

Was den möglichen Datenabgriff durch Apple und Google angeht, so dürfte der zusätzliche Informationsgewinn für diese Firmen durch die CWA im Verhältnis zu den beträchtlichen bereits sonst erhobenen Daten eines durchschnittlichen Smartphone-Nutzers (in der Regel werden die Standardeinstellungen der Systeme nicht verändert, BT und Standortdienste sind aktiviert) eher gering ausfallen. Und auch wenn es sich um US-amerikanische Konzerne handelt, die in den Augen mancher Zeitgenossen offensichtlich ein Inbegriff des Bösen sind, nehme ich ihnen in diesem Fall die Zusage ab, auf diese Daten nicht zugreifen zu wollen.

Es ist immer gut und wichtig, konstruktive Kritik auszusprechen und im Dialog zu bleiben (darum trete ich jetzt auch nicht aus). In der aktuellen Situation jedoch aufgrund dieser Kritikpunkte die Corona-Warn-App in Gänze abzulehnen, was einem Boykottaufruf gleichkommt, ist in meinen Augen mit den Grundwerten von Mezis, wie ich sie verstanden habe, nicht vereinbar.

Hallo Herr Schurig,

erst einmal Danke für die Korrektur der Mezis-Stellungnahme zur Corona-Warn-App. Mit der neuen Formulierung kann ich schon deutlich besser leben.

In meinen Augen verdient Google einfach Milliarden mit den Vorhersagedaten seiner Benutzer. Das ist legitim und weder gut noch böse: Jeder darf seine Daten an Google verschenken.

Da sind wir schonmal (fast) einer Meinung. Für die Daten bekommt man allerdings durchaus eine Gegenleistung. Ob diese den Wert der Daten aufwiegt, ist eine Frage subjektiver Zuschreibung von Werten, über die man trefflich unterschiedliche Meinungen haben kann.

Die Zusage Googles/Apples, die Daten nicht zu verwenden bezieht sich nach meiner Kenntnis nur auf die CWA-Daten! Mir ist aber keine Äußerung bekannt, dass die Unternehmen ihre routinemäßige Datenerfassung durch Betriebssystem/Apps in Corona-Zeiten deaktivieren würden, oder haben Sie dafür Quellen gefunden?

Ich meinte nur diese CWA-Daten. Deswegen war ich so überrascht, dass Sie wegen dieser minimalen, und wie Sie jetzt selbst sagen, wahrscheinlich gar nicht verwendeten zusätzlichen Daten von der App gleich ganz abgeraten haben.

Dass sich hingegen jemand nur aufgrund der Warn-App eigens ein Smartphone anschafft und damit auch seine sonstigen für die Konzerne vorher nicht erreichbaren Daten preisgibt, halte ich für ziemlich konstruiert und unwahrscheinlich.

Das Multichannel-Marketing z.B. der Pharmafirmen für Blockbuster umfasst schon lange das gesamte Netz sowie alle sozialen Medien und benutzt natürlich auch die gleichen Tools wie Microtargeting und Bots, nur das keine Wähler (siehe Cambridge Analytika) sondern Patienten und natürlich auch Ärzte (Selbsthilfegruppen, ...)  manipuliert werden.

Manipulieren können Sie aber nur, wenn Sie vorhersagen können, wie Menschen sich verhalten (werden) und eben diese Daten kann sich jeder bei Google kaufen.

Das sind in der Tat wichtige Fragen. Ob das Datamining die Wirtschaft beleben, die Kommerzialisierung des Gesundheitswesens vorantreiben, die Umweltzerstörung bescheunigen oder die Gesellschaft weiter spalten wird, kann der Markt nicht entscheiden. Hier sind dringend politische Entscheidungen gefragt. Die DSGVO ist schon mal ein Anfang.

Ich finde aber, dass sich Mezis auf das Gesundheitswesen und insbesondere auf die Pharmaindustrie und deren Marketing konzentrieren sollte. Dazu muss man nicht gleich Apple und Google bekämpfen. Ich muss ja auch nicht gegen die Catering-Branche vorgehen, damit auf Fortbildungen keine kostenlosen Häppchen mehr gereicht werden 😉