Seite 2: Welche Datenschutz-Bedenken gibt es?

Inhaltsverzeichnis

Laut unabhängigen Sicherheits- und Datenschutz-Experten deutet nichts darauf hin, dass die App unbefugt Daten an irgendwelche Server übermittelt, den Nutzer trackt oder ihn zu enttarnen versucht. Die einzige Datenübermittlung, die stattfindet, passiert, nachdem der Nutzer sich eindeutig dafür entschieden hat, ein positives Testergebnis zu melden. Und auch dann wird nur eine Ansammlung von pseudonymen Krypto-Schlüsseln übermittelt, aus der man nach aktuellem Stand der Forschung nicht herauslesen kann, wer der betroffene Nutzer ist.

Es gibt ein oder zwei sehr theoretische Angriffe, mit denen die Server-Betreiber (die Deutsche Telekom) in Zusammenhang mit den App-Entwicklern (SAP) einzelne oder gar alle positiv getesteten Nutzer enttarnen könnten, das würde aber mit ziemlicher Sicherheit sehr schnell auffallen. Nicht zu Letzt, weil der Quellcode von App und Server-Infrastruktur offen ist. Da mit dem Robert-Koch-Institut aber so oder so eine Bundesbehörde über genaue persönliche Daten zu allen positiv getesteten verfügt – schließlich ist COVID-19 eine meldepflichtige Erkrankung nach dem Infektionsschutzgesetz (IfSG) – ist nicht ganz klar, warum Angriffe nicht eher auf diese Infrastruktur erfolgen würden.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Umfragen immer laden Umfrage jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Es gibt bei einigen Datenschützern Bedenken, dass Nutzer der App in der Öffentlichkeit mit Bluetooth-Beacons getrackt und enttarnt werden könnten. Zwar haben sich Apple und Google alle erdenkliche Mühe gegeben, einem solchen Angriff auf Betriebssystem-Ebene den Riegel vor zu schieben, mögliche wäre er allerdings wahrscheinlich trotzdem. Ein solcher Angriff wäre allerdings mit erheblichem Aufwand verbunden. Nicht zuletzt, weil der Angreifer über Bluetooth-Geräte an all den Orten verfügen muss, an denen er den Nutzer tracken will. Da hierzulande Bluetooth-Beacons im öffentlichen Raum noch nicht sehr weit verbreitet sind (anders als etwa in einigen Städten in den USA), müsste ein hypothetischer Angreifer diese erst installieren. Denkbar wäre auch, dass ein Angreifer eine technische Infrastruktur übernimmt, die landesweit im Einsatz ist und über Bluetooth-Fähigkeiten verfügt – etwa moderne Kartenlesegeräte, die mit Handys oder Tablets des Ladenbesitzers gekoppelt sind.

Hat ein Angreifer diese Hürde genommen, muss er noch die pseudonymen Bluetooth-IDs mit den Menschen zusammenbringen, die er tracken will. Das geht theoretisch, wenn er auf dem Handy, auf dem die Corona-Warn-App läuft eine eigene App installiert hat, der der Nutzer vertraut und die Bluetooth-Berechtigungen hat. So oder so bedeutet ein solcher Angriff erheblichen Aufwand und es ist sehr unwahrscheinlich, dass er zum lückenlosen Tracking der App-Nutzer verwendet werden kann. Denkbar ist das Szenario aber immerhin.

Kann ein Geschäft durch die App die Zahl der Kunden ermitteln und diese wiedererkennen?

Ein Geschäft könnte sicherlich grob zählen, wie viele Kunden durch die Tür hereinkommen. Dafür braucht es aber die App nicht, sondern nur Kunden, die Bluetooth am Handy aktiviert haben und somit Funksignale aussenden. Die Corona-Warn-App könnte die Anzahl der Kunden, bei denen das der Fall ist, allerdings signifikant in die Höhe treiben. Andererseits könnte ein Geschäft die Kunden allerdings auch mit Hilfe von Bilderkennung und bereits vorhandenen Überwachungskameras (etwa an den Kassen) zählen. Das wäre wahrscheinlich technisch einfacher zu lösen und außerdem genauer.

Die Kunden wiederzuerkennen ist per Bluetooth schwer, da eigentlich alle modernen Smartphones ihre Bluetooth-Adressen zufällig generieren und alle paar Minuten ändern. Auch hier spielt die App eher eine kleinere Rolle und eine Lösung über bestehende Kameras wäre wahrscheinlich einfacher.