Datensicherheit von Corona-Apps nach der DSGVO

Diese App wird sich stark am Protokoll des DP-3T Konsortiums orientieren und die Schnittstelle von Apple und Google nutzen. Der Blog-Beitrag untersucht, inwieweit diese beiden Grundlagen nach den bisher bekanntgewordenen Informationen mit der Forderung der Art. 25 und 32 DSGVO nach Datensicherheit vereinbar sind.

Art. 25 DSGVO – Datenschutz durch Systemgestaltung

Art. 25 Abs. 1 DSGVO fordert, dass u.a. Datensicherheit durch Systemgestaltung erreicht werden soll. Die Protokolle des DP-3T Konsortiums und die Schnittstelle von Apple und Google sehen alle technische und organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundsätze iSd. Art. 25 DSGVO vor. Eine echte und vollständige Anonymisierung ist in keinem Ansatz vorgesehen. Allerdings dürfte diese sich auch funktional nicht mit dem Zweck der App vertragen, sodass sie rechtlich nicht gefordert ist. Immerhin beabsichtigt keiner der Ansätze Klarnamen oder Handynummern zu nutzen, da alle Ansätze mindestens eine Pseudonymisierung vorsehen. Ansatz 1 des DP-3T Konsortiums sieht vor, einen zufälligen Tagesschlüssel auf dem Smartphone zu erzeugen, welcher dann mit Hilfe kryptografischer Einweg-Funktionen IDs erzeugt. Ansatz 2 geht darüber sogar noch hinaus, indem nur ein wechselnder Teil der zufällig erzeugten IDs versendet wird und sich erst nach einiger Zeit aus diesen Teilen die vollständige ID zusammensetzen lässt. Die Verbesserung der Datensicherheit erfolgt in diesem Ansatz durch das Aufbrechen der ID: Bewegt sich eine Nutzerin oder ein Nutzer, während die IDs von Geräten zur stillen Beobachtung empfangen werden, so werden wahrscheinlich nicht alle notwendigen Teile der ID empfangen und die Wahrscheinlichkeit der Zuordnung einer ID zu einer Nutzerin oder einem Nutzer sinkt.

Art. 32 DSGVO – Maßnahmen zur Datensicherheit

Art. 32 DSGVO fordert, dass die Gesamtheit aller technischen und organisatorischen Maßnahmen einen unzulässigen Umgang mit personenbezogenen Daten verhindert. Wichtige Ziele der Datensicherheit sind Verfügbarkeit, Vertraulichkeit und Integrität.

Verfügbarkeit

Die Verfügbarkeit von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Durch die Verfügbarkeit soll sichergestellt werden, dass ein System zur Verfügung steht, wenn man dieses verwenden möchte. Dies gilt auch für den Fall eines Hackerangriffes oder einer Naturkatastrophe. Dies kann zum Beispiel dadurch erreicht werden, dass eine Lösung ohne die regelmäßige Verbindung zu einem Server auskommt oder durch die Verwendung resilienter Server-basierter Lösungen, die beispielsweise im Falle eines Angriffs automatisch ein zweites System starten.

Die Ansätze von DP-3T haben den Vorteil, dass die Apps auch bei einem längeren, z.B. einen ganzen Tag dauernden, Serverausfall weiterhin IDs versenden und empfangen können. Lediglich positiv Getestete können von nun an keine Bluetooth IDs mehr hochladen und auch andere Nutzerinnen und Nutzer können keine IDs von positiv getesteten Nutzerinnen und Nutzern mehr herunterladen. Somit kann zeitweise niemand mehr gewarnt werden. Die Kontaktachverfolgung der App bleibt jedoch, nach den Protokollen des DP-3T Konsortiums und bei der Lösung von Apple und Google, auch bei einem Serverausfall verfügbar.

Ein Nachteil, zumindest im Hinblick auf die Verfügbarkeit, ist der Umstand, dass die Lösung von Apple und Google in das Betriebssystem eingepflegt wird und damit jederzeit auf Grundlage einer eigenen Bewertung von den Herstellern deaktiviert werden kann. Daher bleibt es Apple und Google vorbehalten, über das Fortbestehen der Notwendigkeit zu entscheiden, was Apple und Google auch bereits angekündigt haben zu tun. Ein datenschutzrechtlicher Vorteil ist demgegenüber zweifelsfrei die Förderung des Grundsatzes der Datenminimierung und die Einhaltung der Zweckbindung. Soweit der Zweck erfüllt ist, dürfen auch keine weiteren personenbezogenen Daten verarbeitet werden. Kehrseite dieses Vorteils ist wiederum, dass man theoretisch der Bewertung der Zweckerreichung von Apple und Google „ausgeliefert“ ist. Hierbei bleibt zu hoffen, dass eine Deaktivierung in Absprache mit den jeweiligen Länderregierungen erfolgt.

Weiterhin ist das Kriterium der Belastbarkeit als Unterpunkt der Verfügbarkeit, auf dessen Erfüllung hin zu untersuchen. Dieses Kriterium beschreibt die Fähigkeit einer Organisation, einer Beeinträchtigung durch Störung zu widerstehen und eine rasche Wiederherstellung der Verfügbarkeit von bzw. dem Zugang auf personenbezogene Daten bei einem physischen oder technischen Zwischenfall zu gewährleisten.

Die dezentralen Systeme haben in diesem Fall den Vorteil, dass das System selbst bei Verlust aller Daten durch Nutzung eines neuen Servers wieder starten kann. Auf dem Server liegen nur Daten, mit denen die IDs von infizierten Personen berechnet werden können. Da die Apps sich automatisch aktualisieren, ist es wahrscheinlich, dass viele bereits die aktuellsten Datensätze lokal gespeichert haben. Nach einem Neustart können sich die Apps wieder mit dem neuen Server verbinden und lokal die Möglichkeit eines Kontakts zu infizierten Personen prüfen. Ein Verlust dieser Daten wäre also weniger dramatisch, als bei einem zentralen System, da bei diesem alle versendeten IDs aller Nutzer und Nutzerinnen verloren gehen würden und eine Identifizierung im Nachhinein nicht mehr möglich wäre. Wie die Belastbarkeit letztendlich zu bewerten ist, hängt von der konkreten Umsetzung dieser Systeme ab, die gegenwärtig noch nicht zur Verfügung steht.

Vertraulichkeit

Die Vertraulichkeit bezeichnet die Eigenschaft eines Systems, berechtigte Zugriffe festzulegen und das System vor unberechtigten Zugriffen zu schützen. Bei der Vertraulichkeit der Daten kommt es darauf an, dass Dritte keinen einfachen Zugriff auf die Daten erhalten. Somit muss sichergestellt werden, dass sowohl die Daten auf dem Server als auch auf dem Gerät ausreichend geschützt sind. Hinzu kommt, dass die Daten auch während der Kommunikation zum Server oder vom Server nicht ausgelesen werden können.

Auch hier bietet ein dezentrales System einige Vorteile. Alle IDs oder Tageschlüssel, je nach Ansatz, von Erkrankten, die an den Server gesendet werden, sind öffentlich verfügbar, damit alle Nutzerinnen und Nutzer von Kontaktnachverfolgungs-Apps diese mit ihren empfangenen IDs abgleichen können. Da die IDs pseudonym (und zugleich öffentlich) sind, ist ein Schutz vor Angreifern nicht nötig. Auf dem Gerät sollten dennoch alle empfangenen IDs geschützt werden. Eine entsprechende Verschlüsselung der Daten auf dem Smartphone ist jedoch ohne weiteres möglich.

Letztendlich muss bei der Lösung für Deutschland auch der schreibende Zugriff auf den Server geschützt werden. Die App wird die Möglichkeit haben, nach einem COVID-19 Test, IDs an den Server zu senden. Daher muss sichergestellt werden, dass es für Angreifer keine Möglichkeit gibt, sich dieser Schnittstelle zu bedienen, um falsche IDs an den Server zu senden, da dies zu falschen Benachrichtigungen führen würde.

Integrität

Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten (dass die Daten vollständig und unverändert sind) und der korrekten Funktionsweise von Systemen. Dieses Kriterium gilt für jeden Ansatz und kann nicht ohne eine veröffentlichte Softwarelösung validiert werden. Mit Hilfe von verbreiteten kryptografischen Funktionen ist es jedoch möglich, die Einhaltung dieses Kriteriums zu gewährleisten. Ansatz 2 des DP-3T Konsortiums sieht beispielsweise vor, nicht die initiale, zufällige ID einer infizierten Person mit allen Nutzerinnen und Nutzern der App zu teilen, sondern diese in einen kryptografischen Filter zu integrieren. Durch diesen Filter ist es nicht mehr möglich, neue IDs aus den initialen Werten zu generieren und somit andere Menschen fälschlicherweise zu benachrichtigen.

Zusammenfassung und Ausblick

Die Maßnahmen zum Zweck der Datensicherheit des Ansatzes 2 des DP-3T Konsortiums gehen noch über die im Ansatz 1 vorgesehenen Maßnahmen hinaus. Aus Sicht der Datensicherheit wäre daher eine Umsetzung der App nach dem Protokoll des Ansatzes 2 des DP-3T Konsortiums wünschenswert. Ansatz 1 ist jedoch im Zusammenspiel mit der Schnittstelle von Apple und Google leichter umzusetzen und daher praktikabler. Beide Ansätze wären aber geeignet, die Anforderungen von Art. 25 und 32 DSGVO zu erfüllen.

~~~~~~~~~~

• Dr. Tim Grube, Area Head of Smart Protection in Infrastructures and Networks (Spin), The Department of Telecooperation, Technische Universität Darmstadt
• Alexander Heinrich, Wissenschaftlicher Mitarbeiter, Secure Mobile Networking Lab, Department of Computer Science, Technische Universität Darmstadt
• Ass. iur. Sabrina Schomberg, Wissenschaftliche Mitarbeiterin, Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht, Universität Kassel
• Ass. iur. Jan-Philipp Stroscher, Wissenschaftlicher Mitarbeiter, Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht, Universität Kassel