Aus Datenschutzsicht kann europäischen Contact-Tracing-Apps ein positives Urteil ausgestellt werden. Zu diesem Urteil kommt die Studie „Contact Tracing App Privacy: What Data Is SharedBy Europe’s GAEN Contact Tracing Apps“, die im Auftrag der nationalen Gesundheitsbehörden durchgeführt wurde. In der Studie haben zwei Forscher das Datensendeverhalten europäischer Contact-Tracing-Apps untersucht – darunter auch die Lösung aus Deutschland. Insgesamt attestieren die Forscher den Apps, die im Auftrag der nationalen Gesundheitsbehörden entwickelt wurden, fast durchgehend eine datenschutzfreundliche Umsetzung. Die deutsche Lösung schneidet unter Datenschutzaspekten technisch sogar am besten ab. Dennoch ist eine Verwendung der Contact-Tracing-Apps hinsichtlich des Datenschutzes problematisch, was weniger an den Apps selbst liegt, sondern an den Systemfunktionen, auf die sie zwangsläufig zurückgreifen müssen. Die Contact-Tracing-Apps funktionieren nämlich nur im Zusammenspiel mit dem von Google und Apple speziell entwickelten „Google/Apple Exposure Notification (GAEN) Framework“ zur Kontaktverfolgung. Dieses Framework ist bei Android wiederum Teil der Google Play Services – ein Bündel an proprietären Hintergrunddiensten und APIs für Android-Geräte.
Datenübermittlung an Google
Damit Contact-Tracing auf Android und iOS funktioniert sind folglich zwei Komponenten notwendig:
- eine Contact-Tracing-App (der Client)
- und das GAEN-Framework von Google bzw. Apple
Erst ein Zusammenspiel beider Komponenten ermöglicht den Austausch von Kontakt-IDs bzw. den notwendigen Bluetooth-Informationen mit anderen Smartphones. Während die Client-Komponente (App) in den meisten europäischen Staaten datenschutzfreundlich umgesetzt wurde, ist die andere Komponente, also die proprietäre Schnittstelle der Betreiber, hinsichtlich der Wahrung der Privatsphäre problematisch. Laut Studie sind die Google Play Services beim Privatsphärenschutz sogar als besonders problematisch einzustufen, da Android-Smartphones etwa alle zwanzig Minuten Verbindung mit Google-Servern aufnehmen und dabei etliche personenbezogene Daten übermitteln – und das trotz einer „datenschutzbewussten“ Android-Konfiguration, wie es die Forscher nennen. Zu den Daten zählen unter anderem:
- Telefonnummer
- SIM-Kartennummer
- eindeutige Gerätenummer (IMEI)
- Seriennummer des Geräts
- WLAN-MAC-Adresse
- Android-ID
- E-Mail-Adresse des Google-Kontos
- IP-Adresse
Aus diesen Informationen könnte Google die Nutzung der Contact-Tracing-App sehr genau verfolgen und mit weiteren Kennungen verknüpfen. Allein die IP-Adresse, die regelmäßig an Google zur „Verbesserung der Ortsbestimmung“ übermittelt wird, genügt im Grunde, um relativ genau nachzuverfolgen, wo sich ein Nutzer aufhält. Die Datenschutzversprechen seitens Google, keine Daten aus dem GAEN-Framework bzw. den darauf aufbauenden Contact-Tracing-Apps aufzuzeichnen, fallen daher kaum ins Gewicht. Denn die dargestellten Datenflüsse kommen allein schon durch die Aktivierung bzw. Nutzung der vorinstallierten Google Play Services zu Stande und treten sogar dann noch auf, wenn andere Google Services und Einstellungen deaktiviert sind. Das bedeutet: Im Grunde ist jeder Android-Nutzer von der anlasslosen Datenübermittlung an Google betroffen – auch ohne die Nutzung von Contact-Tracing-Apps, die auf dem GAEN-Framework aufbauen.
Die dauerhafte Datenübermittlung an Google wird durch die Nutzung einer Contact-Tracing-App unter Umständen sogar noch ausgeweitet. Contact-Tracing-Apps benötigen nämlich dauerhaft Zugriff auf die „Standortermittlung“ bzw. Ortungsfunktion, damit sie Bluetooth-Signale mit anderen Smartphones austauschen können. Dadurch fallen zwar keine Standortdaten an, allerdings muss der Standort dennoch dauerhaft aktiv sein, damit die Contact-Tracing-Apps funktionieren. Die Erklärung liegt im Rechte-Management von Android, das zur „Standortermittlung“ die Ortung per GPS, Mobilfunk- oder WiFi-Netze, aber eben auch den Bluetooth-Funk zählt. Aufgrund dieser Grobgranularität des Rechte-Managements muss die „Standortermittlung“ bei der Nutzung der Contact-Tracing-Apps dauerhaft aktiv sein – eine Funktion, welche die meisten Nutzer unter herkömmlichen Bedingungen eigentlich nicht dauerhaft aktiviert haben, allein schon um die Akkulaufzeit des Geräts zu verbessern. Google wird diese Anbindung der Corona-Tracing-App an die Ortungsfunktion wohl mit Freude sehen, denn dadurch erhält der Konzern (bspw. via GPS) permanent genaue Standortdaten. Dies lässt sich für die Google-Dienste zwar dauerhaft deaktivieren, allerdings ist die Funktion zur (genauen) Standorterhebung im Auslieferungszustand aktiviert. Wer dies nicht möchte, sollte sich über einen PC in sein Google-Konto einloggen und dort unter „Daten & Personalisierung“ → „Aktivitäteneinstellungen“ → „Web- und App-Aktivitäten“ den Schieberegler deaktivieren. Datenschutzfreundliche Voreinstellungen sehen anders aus.
Staatliche Unterstützung
Nun könnte man sagen: „Das ist alles bekannt, das gehört zu Googles branchenüblicher Praxis und hat nichts mit der Corona App zu tun“. Diese Meinung ist natürlich nicht falsch, sie lässt allerdings außer Acht, dass die Contact-Tracing-Apps einen wertvollen Baustein bei der Bekämpfung der Pandemie bilden. In Anbetracht der aufgezeigten Datenschutzproblematik, verursacht von den Google Play Services, stellt sich nun allerdings die Frage, ob man bereit ist auf Datenschutz zu verzichten, um sich oder andere vor dem Virus zu schützen. Letztendlich könnte die weitgehende Ausspähung durch Google zahlreiche Nutzer davon abhalten, solche Apps überhaupt anzuwenden.
Auch ein weiterer Aspekt sollte in dieser Debatte nicht einfach unter den Teppich gekehrt werden: In Deutschland, wie auch in anderen Staaten, werden die Menschen von der Regierung bzw. den Gesundheitsbehörden mehr oder weniger nachdrücklich zum Einsatz der App aufgefordert. Im Kampf gegen das Virus nimmt man dabei offenbar in Kauf, dass Nutzer durch Google ausgespäht werden. Das sollte so nicht sein: Tracing Apps sollten für gesunde, nicht für gläserne Bürger sorgen.
Konflikt mit der Datenschutz-Grundverordnung (DSGVO)
Die Forscher haben versucht, Android so datenschutzfreundlich wie möglich einzustellen. Letztendlich ist es ihnen nicht gelungen, die Datenübertragungen an Google vollständig abzuschalten, sondern lediglich zu reduzieren bzw. zeitlich zu verlangsamen. Die dauerhafte Datenübermittlung an Google bzw. die fehlende Möglichkeit diese abzustellen, könnte im Widerspruch zur DSGVO stehen:
- Fehlende Transparenz: Gemäß DSGVO Art. 5 Abs. 1 a) dürfen personenbezogene Daten nur dann verarbeitet werden, wenn dies für die betroffene Person auf transparente Weise erfolgt. Eine Transparenz ist in diesem Zusammenhang nicht erkennbar.
- Datenminimierung: Die dauerhafte Übermittlung von personenbezogen Daten wie Telefonnummer, IP-Adresse, IMEI etc. widerspricht dem Grundsatz der Datenminimierung, wie es die DSGVO in Art. 5 Abs. 1 c) vorsieht. Demnach müssen personenbezogene Daten dem Zweck angemessen verarbeitet und auf das notwendige Maß beschränkt sein.
- Privacy by Default: Das Prinzip „Privacy by Default“ ist in Art. 25 Abs. 2 der DSGVO verankert und nimmt Verantwortliche in die Pflicht, Systeme bereitzustellen, deren Voreinstellungen möglichst datenschutzfreundlich sind. Da es den Forschern nicht einmal gelungen ist, die Datenübermittlung an Google abzustellen, ist das Ziel „Privacy by Default“ von Google weit verfehlt worden.
Vor diesem Hintergrund sollte man sich nochmal vor Augen führen, dass Google die Informationen über die Google Play Services kontinuierlich abgreift. Das bedeutet: Nahezu jedes Android-Gerät bzw. Nutzer ist von dieser dauerhaften Ausspähung durch Google betroffen – auch unabhängig der Contact-Tracing-Apps.
Konflikt mit der Datenschutz-Grundverordnung (DSGVO)
Aktuell funktionieren die Contact-Tracing-Apps unter Android und iOS nur im Zusammenspiel mit dem GAEN-Framework bzw. den Google Play Services (Android). Langfristig fordern die Forscher eine Kontrolle über das Contact-Tracing-Ökosystem, und damit über die proprietären Schnittstellen, die Google und Apple bereitstellen. Letztendlich sollten europäische Regierungen die Ausspähaktionen durch Google nicht weiter tolerieren – gerade im Zusammenhang mit den von ihnen entwickelten Contact-Tracing-Apps. Nur so kann das Vertrauen in die Nutzung solcher Apps auf Dauer gewahrt werden. Andernfalls machen sich Regierungen letztlich zum „Steigbügelhalter“ für das fragwürdige Geschäftsgebaren und die Datensammelwut von Konzernen wie Google.
Neuesten Ankündigungen zufolge wird es in Zukunft möglich sein, auf die Contact-Tracing-Apps zu verzichten. Die Kontaktverfolgung soll dann direkt über das Betriebssystem erfolgen – bestehende Corona-Tracing-Apps werden aber weiterhin funktionieren. Auf die dargestellte Problematik, ausgelöst durch die Google Play Services, wird dies vermutlich allerdings kaum eine Auswirkung haben.
Mike Kuketz
Aktualisierung 27.10.2020:
Wie „PC Games Hardware“ berichtet, wurden mit Android 11 bzgl. des geschilderten Sachverhalts Änderungen vorgenommen. „Wer Android 11 auf dem eigenen Smartphone installiert, kann die Corona-App nutzen, ohne ihr Zugriff auf die Standortdaten des Geräts erteilen zu müssen. Die Entwickler entsprechen damit einer Forderung von Datenschützern.“ Lesen Sie den gesamten Artikel auf pcgameshardware.de