Interview mit Ulrich Kelber Was der Datenschutzbeauftragte über die Corona-App denkt

Bonn · Der Bundesdatenschutzbeauftragte Ulrich Kelber berät die Bundesregierung bei der Installierung einer Corona-Warn-App. Im Interview erklärt er, warum diese die Gesundheitsämter bei der Unterbrechung von Infektionsketten unterstützen, nicht ersetzen soll.

 Die neue freiwillige Coronavirus-Tracing-App „CovidSafe“ der australischen Regierung ist auf einem Mobiltelefon geöffnet. Der Bundesdatenschutzbeauftragte Ulrich Kelber will vom Ausland lernen.

Die neue freiwillige Coronavirus-Tracing-App „CovidSafe“ der australischen Regierung ist auf einem Mobiltelefon geöffnet. Der Bundesdatenschutzbeauftragte Ulrich Kelber will vom Ausland lernen.

Foto: dpa/Liu Changchang

Einige Länder wie Österreich, Australien, Israel nutzen bereits Corona-Warn-Apps. Kann sich Deutschland an diesen Anwendungen orientieren?

Ulrich Kelber: Orientieren nicht, voneinander lernen schon. Österreich stellt sein App-Modell auf dasselbe System um, das jetzt Deutschland einsetzen will. In Australien werden sehr viel mehr Daten übertragen, unter anderem der Name einer Person als Klartext an die Gesundheitsbehörden. Das wollen wir ganz bewusst nicht. Und Israel führt eine Art von Überwachung der Bürgerinnen und Bürger durch, die mit europäischem Recht nicht vereinbar wäre.

Vom Robert-Koch-Institut gibt es bereits eine sogenannte Corona-Datenspende-App. Nutzer von Fitness-Apps können die dort gesammelten Daten an das RKI weiterleiten, das sich dadurch weitere Aufschlüsse über das Corona-Infektionsgeschehen erhofft. Der Chaos Computer Club hat etliche Schwachstellen entdeckt. Teilt Ihre Behörde dessen Bedenken?

Kelber: Wir sind vom RKI erst kurz vor dem Start der App hinzugezogen worden, so dass wir nur einige wenige Hinweise geben konnten. Als zuständige Datenschutzaufsichtsbehörde haben wir bereits die ersten Gespräche geführt und in bestimmten Bereichen des Handlings und der Technologie schon Nachbesserungen eingefordert, die jetzt umgesetzt werden müssen. Entsprechende Zusagen hat das RKI auch schon gemacht.

Hätte das RKI nicht warten müssen?

Kelber: Alle arbeiten augenblicklich unter hohem Zeitdruck. Wir machen den unserer Aufsicht unterstellten Behörden immer wieder klar, dass sie uns rechtzeitig einbeziehen müssen, nicht erst, wenn etwas fertiggestellt ist. Als Aufsichtsbehörde haben wir das Recht, nachträglich Änderungen durchzusetzen oder sogar den Betrieb zu untersagen, wenn es in die völlig falsche Richtung läuft.

Der Chaos Computer Club bemängelt in seiner Stellungnahme von vergangener Woche etwa, dass das RKI Zugriff auf Klarnamen auf den Servern der Fitness-App-Bereitsteller hat und diese erst auf seinem Server pseudonymisiert würden. Wie sehen Sie das?

Kelber: Ja, genau das bemängeln wir auch. Man braucht sicherlich eine Pseudonymisierung, eine Anonymisierung ist hier nicht realisierbar. Sonst könnte das RKI die regelmäßig fließenden Datensätze nicht zuordnen, um festzustellen, was sich bei einer Person verändert, ohne diese Person namentlich zu kennen. Eine Klartextübertragung des Namens ist dafür nicht nötig, die App muss die Zuordnung einfach immer mit demselben Pseudonym versehen. Zumindest bei den Geräten, die mit Android arbeiten, ist der direkte Zugriff auf die Datensätze durch das RKI bei den Fitness-App-Anbietern eine Schwierigkeit.

Die Corona-Warn-App, die sich Bundesgesundheitsminister Jens Spahn vorstellt, ist aber noch etwas ganz Anderes. Wie schnell können wir überhaupt mit einer wirklich ausgereiften Anwendung rechnen, die all die technischen Hindernisse überwinden kann, die es noch gibt? Bisher erkennen die Smartphones nicht, ob man einem anderen Nutzer nur mittels einer Glasscheibe oder einer Wand näher gekommen ist.

Kelber: Es kann durchaus sein, dass die App das auch in Zukunft nicht unterscheiden können wird. Es wird versucht, mit der Messung der Dämpfung der Signale eine verbesserte Erkennung zu erreichen. Die App soll aber auch keineswegs alleine stehen. Sie soll den Prozess der Befragung durch die Gesundheitsämter und der manuellen Verfolgung von Kontakten und Infektionsketten ergänzen. Das heißt, eventuell wird die App noch Leute identifizieren, die bei der manuellen Erkennung einfach nicht aufgefallen sind, weil man sie nicht kannte, beispielsweise die Person, die neben einem im Bus gesessen hat. Umgekehrt kann es sein, dass die App zu Erkenntnissen kommt, die dann manuell ausgeschlossen werden. Wann die App kommt, müssen Sie die Entwickler fragen. Wir stehen hier beratend zur Seite.

 Ulrich Kelber, Bundesbeauftragter für Datenschutz.

Ulrich Kelber, Bundesbeauftragter für Datenschutz.

Foto: picture alliance/dpa/Wolfgang Kumm

Für wie sicher halten Sie die Bluetooth-Technologie, auf der diese App basieren soll?

Kelber: Es gab immer wieder Sicherheitslücken in der Bluetooth-Implementation, die durch Update des Betriebssystems geschlossen werden müssen. Es spricht dann einiges dafür, dass keine zusätzlichen Angriffsrisiken durch die Öffnung der Bluetooth-Schnittstelle entstehen. Viele haben Bluetooth ohnehin dauerhaft angeschaltet, um zum Beispiel kabellose Kopfhörer zu verwenden.

Wie hoch schätzen Sie das Risiko ein, dass Angreifer Fake-Identitäten aufbauen und Infektionen simulieren, um etwa ein Unternehmen lahm zu legen?

Kelber: Nur wenn eine teilnehmende Person wirklich positiv auf Corona getestet wird, erhält sie vom Gesundheitsamt eine einmalige Kennung, damit dann seine Information an potenzielle Kontakte weitergeleitet wird. Das sollte Missbrauch verhindern.

Sollen die Daten zentral auf einem Server oder dezentral nur auf den Mobilgeräten der Nutzer gespeichert werden?

Kelber: Gegenüber der Bundesregierung und in einer Stellungnahme der europäischen Datenschutzbehörden haben wir gesagt, beide Architekturen – die zentrale und die dezentrale Speicherung – können datenschutzkonform implementiert werden. Aber wir haben auch klar gemacht, dass die dezentrale Variante die datenschutzfreundlichere ist, weil sie weniger potenziellen Angriffen ausgesetzt ist und dem Prinzip der Datenminimierung entspricht, weil die Daten auf dem eigenen Gerät verbleiben und dort auch gelöscht werden, wenn man sich nicht infiziert. Daher sind wir mit der Entscheidung der Regierung für die dezentrale Variante sehr zufrieden.

Müssen die Entwickler den Quellcode, also den Programmtext der App, offenlegen?

Kelber: Die Offenlegung des Quellcodes ermöglicht der Zivilgesellschaft die Nachprüfung. Das schafft Transparenz und sichert Vertrauen. Wir als Aufsichtsbehörde haben sowieso das Recht, den Quellcode bei den von uns beaufsichtigten Stellen einzusehen. Aber es gibt auch zahlreiche Beispiele, wo Spezialistinnen und Spezialisten aus der Zivilgesellschaft Fehler aufgefallen sind, die die Entwickler nicht gesehen hatten. Das heißt, Open Source trägt zur Qualitätsverbesserung der Software bei.

Also ein Muss?

Kelber: Wir halten das für den besten Weg. Wenn ich die Ankündigungen richtig verstanden habe, dann wird die gesamte App Open Source sein.

Ohne dass Apple und Google mitmachen, wird diese App nicht funktionieren. Geben wir den Konzernen damit eine weitere Chance, ihre Fähigkeiten, Nutzerverhalten weltweit zu erfassen, auszubauen?

Kelber: Apple und Google haben zugesagt, diese Daten nicht mit anderen Daten zu mischen, und da, wo es möglich wäre, den Zugriff technisch auszuschließen. Zudem gilt die Datenschutzgrundverordnung: Sollte sich herausstellen, dass Apple und Google diese Daten doch mit anderen Daten zusammenführen, dann droht die maximale Geldbuße der Datenschutzgrundverordnung. Das sind vier Prozent des weltweiten Jahresumsatzes - pro Fall. Bei Wiederholung also immer wieder dieselbe Summe. Bei 260 Milliarden US-Dollar Jahresumsatz, den eines der Unternehmen erzielt, unterhalten wir uns über eine Strafe im zweistelligen Milliardenbereich.

Soll die App freiwillig sein?

Kelber: Ich halte das für die Akzeptanz der App in der Bevölkerung und die Qualität der Daten für unverzichtbar. Ohne Freiwilligkeit würden sich auch die rechtlichen Anforderungen an die App anders darstellen, sowohl im Datenschutz als auch im Sicherheitsbereich. Ich kann mir auch nicht vorstellen, wie man das in einem Rechtsstaat überprüfen will: Habe ich das neueste Update aufgespielt, ist Bluetooth angestellt, kann mein Handy das eigentlich? Muss ich das Gerät auch auf die Toilette mitnehmen? Ab wann verhält man sich ordnungswidrig? Diese Debatte sollte keiner in Deutschland starten. Die Bürgerinnen und Bürger sollten selbst entscheiden, sie werden verantwortungsvoll handeln.

Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort