Im Jahr 2020 haben die meisten europäischen Regierungen beschlossen, eine mobile App zur Ermittlung von Kontaktpersonen zu entwickeln, um mit ihrer Hilfe die Verbreitung von COVID-19 einzudämmen. Während diese Apps in einigen Ländern wegen mangelnder Transparenz oder schwacher Datenschutzgarantien Kontroversen auslösten, wird die von Deutschland entwickelte Corona-Warn-App (CWA) seit langem als bestes Beispiel für Datenschutz und Transparenz gepriesen.
COVID-19 Contact Tracing Apps in the EU: Lessons From Germany, ist eine neue Studie der Civil Liberties Union For Europe, einer Organisation für Menschenrechte und digitale Rechte mit Sitz in Berlin. Sie zeigt, wie die deutschen Behörden von ihrer ursprünglichen und datenschutzfreundlichen Corona-App abrückten und mit der Luca-App eine weitaus aufdringlichere mobile App förderten. Damit reagierten sie auf den wachsenden Druck der Öffentlichkeit wegen ihres zögerlichen Vorgehens gegen die Verbreitung des COVID-19-Virus.
"Die Studie zeigt, wie die Behörden während der Pandemie die Transparenz und den Schutz personenbezogener Daten aufs Spiel setzten, um ihr Gesicht zu wahren. Gewählte Beamte haben die Pflicht, die Öffentlichkeit genau zu informieren und zu erklären, warum die Luca-App eine schlechtere Lösung zum Schutz persönlicher Daten und zur Verfolgung von Virusinfektionen war", so Christian Thönnes, Berater für digitale Rechte bei der Civil Liberties Union For Europe und Autor der neuen Studie.
"Privacy is a human right that must be defended more than ever in times of crisis, like a pandemic. Treating our right to privacy as a scapegoat to improve political perceptions and appear more competent is a dangerous path. This study provides evidence of how easily German policymakers choose a populist solution over an alternative, expert-backed solution ”, said Julia Reda, former Member of the European Parliament and project coordinator at the Gesellschaft für Freiheitsrechte (GFF).
Hintergrund
Die vom Robert-Koch-Institut im Auftrag des Bundesministeriums für Gesundheit entwickelte CWA wurde im Juni 2020 nach einer öffentlichen Debatte mit den einflussreichsten Technologie- und Datenschutzexpert*innen sowie Organisationen der Zivilgesellschaft als offizielle deutsche App zur Kontaktverfolgung freigegeben.
Bei der Entwicklung der neuen App wurden die Anliegen der Bürgerinnen und Bürger berücksichtigt. Deutschland wurde in der internationalen Gemeinschaft für Menschenrechte und digitale Rechte für seinen transparenten und integrativen Entwicklungsprozess gefeiert. Die CWA wurde seit ihrer Einführung von 33,1 Millionen Nutzern heruntergeladen. In der Werbekampagne wurde die CWA, genau wie eine Reihe anderer Apps zur Ermittlung von Kontaktpersonen in Europa, der Öffentlichkeit als die ultimative Lösung zur Eindämmung und potenziellen Ausrottung der Pandemie verkauft. Steigende Infektions- und Sterblichkeitsraten haben jedoch die positive Einstellung der Öffentlichkeit gegenüber der App verändert, und mehrere öffentliche Kommentatoren vertraten die Ansicht, der Hauptgrund für die Ineffizienz der CWA läge bei ihrer strengen Datenschutzpolitik. Anstatt die CWA zu verbessern, haben sich die politischen Entscheidungsträger für eine neue Lösung, nämlich Luca, entschieden, um den politischen Gesichtsverlust zu minimieren.
Die jetzt veröffentlichte Studie zeigt, dass diese Anwendung aus mehreren Gründen problematisch ist.
Unsichere Speicherung personenbezogener Daten: Die CWA wurde entwickelt, um die personenbezogenen Daten der Nutzer*innen der App dezentral zu speichern, so wie es die an der Konsultation beteiligten externen Datenschutzexpert*innen vorgeschlagen haben. Dagegen speichert die Luca-App die persönlichen Informationen der Nutzer, einschließlich sensibler Daten, auf zentralen Datenservern, die von vornherein anfälliger für Datenschutzverletzungen und Missmanagement sind. Seit ihrer Einführung ist die Luca-App von technischen Problemen und Sicherheitsverletzungen geplagt.
Fehlende Transparenz: Bei der Entwicklung der Luca-App herrschte wenig Transparenz. So wurde der Quellcode von Luca erst nach erheblichem Druck durch die Online-Community freigegeben und auch dann hörten die Probleme nicht auf: Zunächst verwendete der Hersteller eine äußerst restriktive Lizenz, die es jedem untersagte, den Code zu vervielfältigen, zu teilen oder anderweitig in öffentlichen Netzen zu reproduzieren - eine kritische Analyse des Codes war damit praktisch unmöglich. Außerdem wurde die Datenschutz-Folgenabschätzung der App nicht veröffentlicht.
Verwendung öffentlicher Gelder: Bis April 2021 hatten 13 der 16 Bundesländer für insgesamt mehr als 20 Millionen Euro Lizenzen für die neue App erworben. Diesen Käufen ging keine Folgenabschätzung voraus, und es ist nicht klar, auf welcher Grundlage die Luca-App ausgewählt wurde.
Überlastung des Gesundheitspersonals: Es gibt ernsthafte Zweifel an der Wirksamkeit der Luca-App. Die CWA gibt Warnungen für Risikokontakte sofort aus, nachdem ein Nutzer, der positiv getestet wurde, seine Testergebnisse eingesandt hat, während es bei Luca die ohnehin schon überlasteten Gesundheitsbehörden sind, die die Warnungen erst auslösen müssen. Darüber hinaus scheinen die Daten weniger nützlich zu sein - mehrere Gesundheitsbehörden haben berichtet, sie hätten die Daten kaum genutzt.
Untätigkeit der Aufsichtsbehörden: Im Frühjahr 2021 haben die meisten Bundesländer ihre Vorschriften (Infektionsschutzverordnungen) ausdrücklich geändert, um die Verwendung von Luca anstelle der manuellen Kontaktdatensätze zu ermöglichen. Als jedoch das auf Bundesebene zuständige Robert-Koch-Institut im April 2021 eine ähnliche, datenschutzfreundlichere Meldefunktion freigab, versäumten es die lokalen Aufsichtsbehörden, Rechtsgrundlagen für Check-ins über die CWA zu schaffen.
Lade den vollständigen Bericht hier herunter.
Besuche unseren englischsprachigen 'Information Hub' zum Thema Corona-Apps
Wenn du über die Arbeit von Liberties zu COVID-19 Kontaktverfolgungs-Apps und anderen Fragen rund um das Thema Datenschutz auf dem Laufenden bleiben willst, aboniere unseren Newsletter.