Interview in "Guten Morgen Österreich" am 7.4.2020 zu Stopp Corona App

Am 7.4.2020 war René Mayrhofer im Interview in "Guten Morgen Österreich", um Fragen zum Datenschutz der "Stopp Corona" App zu beantworten. Die nächsten 7 Tage sind die Interviews in der ORF TVThek zum Nachsehen: ab 7:00 und ab 8:00.

Zur Vollständigkeit und Unterstützung nicht hörender Menschen sind hier alle zuvor vorbereiteten Fragen und Antworten im Detail (im Live-Interview wurden die Fragen gekürzt und leicht anders behandelt):

  • Was ist die Rot Kreuz Coronavirus-App und wo finde ich diese?
    Dies ist eine App (Anwendung für das Smartphone), die im Auftrag des Roten Kreuzes entwickelt wurde und im Apple App Store sowie Google Play Store publiziert ist. Das Ziel ist es, physische Kontakte systematisch zu erfassen.
  • Jeder von uns ist es gewohnt wenn man etwas vom Internet runterlädt, dann auch gleich ein paar persönliche Fragen beantworten zu müssen. Welche Daten gebe ich schon automatisch bekannt nur beim Installieren der Ap?
    Bei der Installation erzeugt die App eine zufällige Kennung. Sonst werden, soweit mir bekannt, bei der Installation und Verwendung der App noch keine anderen Daten erzeugt oder versandt.
  • Es gibt ja die unterschiedlichsten Funktionen der Datenübermittlung von Apps, sie sind oft mit einer GPS-Funktion ausgestattet und wir wissen, dass da viele persönliche Daten übermittelt werden - ist dies auch bei der Coronavirus App?
    Nein, diese Stopp Corona App zeichnet bewusst nicht die absolute Position des Geräts, also wo man sich auf der Landkarte befindet, auf. Weder GPS noch andere Lokalisierungsdienste wie die vom Netzbetreiber werden verwendet. Für die Erkennung, ob man anderen Smartphones nahe kommt, sind diese absoluten Positionen auch gar nicht notwendig. Wo ich diesen anderen Personen begegnet bin, ist egal. Nicht notwendige Daten sollten aus Datenschutzgründen erst gar nicht erfasst werden.
  • Es gibt ja berechtigte Bedenken bezüglich Speicherung von persönlichen Daten, was macht die App welche Daten speichert sie, wie lange und wo eigentlich, auf welchem System und wem gehören diese Daten?
    Die App speichert Kontakte lokal auf dem Gerät in der App selbst. Aktuell muss man solche Kontakte manuell auf beiden Seiten eintragen, was über das Bluetooth-Protokoll funktioniert. Eine zukünftige Version wird vermutlich automatisch diese Kontakte im Hintergrund eintragen können. Dabei werden keine Daten des anderen Smartphones oder der Person als diese zufällig generierte Kennung gespeichert.

    Erst wenn eine Infektion gemeldet wird – und zwar in der App selbst – wird nach der Telefonnummer gefragt und andere registrierte Kontakte, d.h. die aufgezeichneten zufälligen Kennungen der anderen Geräte, von der Infektion verständigt.

  • Es ist ja viel die Rede vom Rot Kreuz Coronavirus App aber wer ist der tatsächliche Betreiber und bei wem liegen die Rechte der Daten?
    Da ich in die Entwicklung nicht direkt eingebunden bin, kann ich hier keine Aussage machen. Aus meiner Sicht in der bisherigen Kommunikation ist das Rote Kreuz aber als Auftraggeber für den Betrieb und die sichere Haltung der Daten verantwortlich, selbst wenn die Entwicklung an andere Firmen vergeben wurde.
  • Zur Zeit funktioniert die App nur durch meine persönliche Nutzung, also ich muss sie runterladen und dann andere aktive App Benutzer sozusagen die Hand schütteln, damit ich sie als meinen nahen Kontakt gespeichert habe. Wie soll das in Zukunft sein, wenn viele Menschen diese App nutzen sollen und wollen.
    Um in der Praxis sinnvoll zu funktionieren, wird die App höchstwahrscheinlich automatisch Kontakte in der Nähe abspeichern müssen. Der manuelle Kontakt – in der App genannt Handshake – würde vermutlich zu aufwendig sein, um das aktiv zu pflegen. Ohne die automatische Aufzeichnung würde die App aus meiner Sicht nicht ausreichend Nutzen bringen.
  • Wenn ich keine SmartphonebesitzerIn bin, dann soll es auch die Möglichkeit geben einen Schlüsselanhänger mit gleicher Funktion wie die Coronavirus App zu erwerben, wie kann ich mir das vorstellen?
    Hier kann ich nur spekulieren, da ich bisher keine technischen Details oder geplante Entwicklungsrichtungen kenne. Aber mit Standard-Chips, die günstig erhältlich sind, könnte man relativ einfach kleine Anhänger bauen, die nur das Bluetooth-Protokoll unterstützen und mit einer Akkuladung sogar einige Wochen durchhalten könnten. Aktuelle Smart Watches funktionieren ganz ähnlich, und die Funktion der Stopp Corona App wäre sogar einfacher als das was dort derzeit schon alles passiert.

    Allerdings würde das nur als Bluetooth-Gerät für andere detektierbar sein und selbst automatisch entsprechende Bluetooth-Kontakte aufzeichnen können. Eine Meldung dieser aufgezeichneten Kontakte bei festgestellter Infektion müsste dann aber über einen anderen Prozess erfolgen. So könnte ich mir vorstellen, dass ein anderes Smartphone oder ein Laptop verwendet werden könnten, um die aufgezeichneten Kontakte aus dem Schlüsselanhänger auszulesen und diese dann zu verständigen. Aber das ist wie gesagt lediglich Spekulation aufgrund der technischen Möglichkeiten, die mir bekannt sind.

  • Bei welcher Variante, also Smartphone mit App oder Schlüsselanhänger, sind meine Daten besser geschützt?
    Hier sehe ich prinzipiell keinen Unterschied, da die Smartphone-App im Falle ohne Infektion ebenfalls nur lokal im Gerät und ohne Kommunikation mit einem externen Server die Daten verarbeiten würde.
  • Wer garantiert mir den Datenschutz?
    In der aktuellen Konstellation müsste das Rote Kreuz als Verantwortlicher den Datenschutz garantieren und andere Firmen per Verschwiegenheitsverpflichtung binden. Allerdings ist, so wie die App funktioniert, auch ein Missbrauch der Daten durch das Rote Kreuz selbst schon recht schwierig. Die besonders sensiblen Daten, nämlich die absoluten Positionen der Geräte, werden gar nicht aufgezeichnet.

    Die Trennung des Betriebs dieser App von politischen Instanzen wie z.B. dem Innenministerium wo mehr Daten vorliegen, die z.B. mit den in dieser App gemeldeten Telefonnummern verknüpft werden könnten, ist sehr sinnvoll und sollte aus meiner persönlichen Sicht beibehalten werden.

  • Können Sie abschließend jetzt guten Gewissens sagen, dass diese App ein reines Warnsystem bezogen auf eine Coronavirusinfektion ist oder doch ein verstecktes Überwachungssystem der Österreicherinnen und Österreicher?
    Soweit ich die Funktion der App derzeit beurteilen kann: Ja, das Ziel ist ein reines Warnsystem zu sein, und die mir bekannte Funktionsweise der App unterstützt keine Massenüberwachung.

Hinweis: Alle Aussagen stützen sich auf öffentlich bekannte oder anderweitig an uns kommunizierte Informationen. Der Source Code der App liegt uns aktuell noch nicht vor, weshalb wir bisher keine Detailanalyse der Funktionsweise durchgeführt haben.