Stopp Corona-App: 25 Beanstandungen von Datenschutz-NGOs

Stopp Corona-App des Roten Kreuzes & Accenture - epicenter.works, noyb und sba research prüften Datenschutz
Thomas Lohninger (epicenter.works), Max Schrems (noyb.eu), Christian Kudera (SBA Research)
Share, if you care
Share on whatsapp
Share on telegram
Share on pocket
Share on facebook
Share on twitter
Share on linkedin
Artikel versenden
Share on whatsapp
Share on telegram
Share on pocket
Artikel teilen
Share on facebook
Share on twitter
Share on linkedin
Sponsored Content
Featured Event
Sponsored Job
Die von Accenture Österreich umgesetzte Stopp Corona-App des Roten Kreuzes wurde in einem "Trusted Source"-Ansatz von epicenter.works, noyb und SBA Research geprüft. Das Urteil fällt prinzipiell positiv aus. 25 "Empfehlungen" gab es trotzdem.

Die Coronavirus-Tracking-App des Roten Kreuzes, die „Stopp Corona-App“, die von Accenture umgesetzt wird, sorgte bereits für einiges an öffentlicher Diskussion. Das auch noch, nachdem ein Vorschlag von Nationalratspräsident Wolfgang Sobotka, die App verpflichtend zu machen, schnell wieder zurückgezogen wurde. Im Zentrum standen von Beginn an Datenschutz-Bedenken – das Thema wurde bereits knapp nach dem Launch im brutkasten-Roundtable (siehe unten), hochkarätig besetzt, behandelt. Seitdem folgten zahlreiche Adaptionen.

+++ Spezialseite: Coronavirus, Wirtschaft & Innovation +++

Von „Closed Source“ über „Trusted Source“ zu „Open Source“

Accenture Country Managing Director Michael Zettel erklärt die Vorgehensweise: „Wir verfolgen eine 3-Schritte-Strategie. Im Closed Source haben wir rasch und effizient die Entwicklung programmiert, mit Trusted Source, der aktuellen Phase, haben wir konstruktives Feedback und einen externen Sicherheitscheck erhalten, und im finalen Schritt zur absoluten Transparenz werden wir in den kommenden Tagen Open Source initiieren“.

Roundtable zu Coronavirus-Tracking & Datenschutz in der Stopp Corona-App

epicenter.works, noyb und SBA Research prüften Stopp Corona-App

In der besagten „Trusted Source“-Phase wurde die App und im Speziellen ihr Code von den Datenschutz-NGOs epicenter.works, noyb und von SBA Research geprüft. Konkret kamen dabei, bei einem relativ positiven Gesamturteil, 25 Beanstandungen bzw. im Wortlaut „Empfehlungen“ heraus (im offiziellen Bericht im Detail nachzulesen). Accenture habe bereits zugesagt, 16 der Empfehlungen mit einem „Hotfix“ heute, drei der Empfehlungen mit der nächsten Version der App und vier Empfehlung in etwa vier Wochen umzusetzen, heißt es in einer Aussendung von SBA Research.

Pressekonferenz von epicenter.works, noyb und SBA Research

Datenschutz: Empfehlung zu dezentralerer Kommunikation

Konkret gefordert wird etwa ein dezentrales Konzept. Die App basiere zwar auf einer dezentralen Speicherung der Daten auf dem eigenen Handy, die Kommunikation zwischen den Telefonen passiert aber noch weitestgehend über zentrale Server, da das relevante Bluetooth-Protokoll zu wenig Daten zwischen den Mobiltelefonen übertragen könne, heißt es von den NGOs. Den Großteil der Kommunikation von Handy zu Handy laufen zu lassen sei mit bestimmten technischen Lösungen allerdings bereits möglich. Eine angekündigte technische Umstellung von Apple und Google sei allerdings noch notwendig, damit die App auch auf iPhones reibungslos funktioniere.

Statistikfunktion beanstandet und von Accenture bereits entfernt

Grundsätzlich bescheinigen die Experten, die die technische Prüfung durchgeführt haben, der App im Hinblick auf sicherheitstechnische Aspekte und Fragen des Datenschutzes ein gutes Ausgangsniveau, empfehlen jedoch eine Reihe von Nachbesserungen. „In der App war eine Statistikfunktion eingebaut, die den Kontaktaustausch über Bluetooth und den Empfang von Infektionsnachrichten an das Rote Kreuz übermittelt hat. Die Statistikfunktion wurde aufgrund unserer dringenden Empfehlung umgehend entfernt“, erzählt Christian Kudera, IT-Sicherheitsexperte SBA Research.

Offline-Tracking in Stopp Corona-App als weiters Problem

Ein weiteres Problem sei das Offline-Tracking von Geräten, so der Experte: „Es ist für Angreifer möglich, Smartphones über längere Zeiträume an bestimmten Orten wiederzuerkennen und im Extremfall Bewegungsprofile zu erstellen. Uns wurde zugesagt, dass dieses Problem mit einer neuen Version Ende nächster Woche behoben wird“. User könnten als Zwischenlösung den automatischen Handshake deaktivieren.

DSGVO-Konform, aber mögliche Nachbesserungen bei Datenschutz

Das Konzept der App sei auch nach dem europäischen Datenschutzrecht zulässig (DSGVO-konform), erklärt Max Schrems, Datenschutzjurist und Gründer von noyb: „Das Konzept des Roten Kreuz ist jedenfalls datenschutzkonform. In der doch extrem schnellen Umsetzung kann man aber noch in Details nachbessern. Wir haben noch genauere Informationen empfohlen und mehr Gedanken, wie man sicherstellen kann, dass die Corona-Warnungen auch korrekt sind. Vieles davon wurde sofort umgesetzt“.

⇒ Page des Roten Kreuzes zur App

Redaktionstipps

#zusammenstärker durch COVID-19

Unser Ziel ist es Leser, Gründer und Unternehmer mit aktuellen News, Hintergrundinformationen sowie Analysen rund um die österreichische Digital- und Innovationswirtschaft zu versorgen.

Unterstütze unabhängigen und qualitativen Journalismus in Krisenzeiten. Die Unterstützung beginnt schon bei €1 und dauert nur wenige Minuten.

Unterstütze unabhängigen und qualitativen Journalismus in Krisenzeiten. Die Unterstützung beginnt schon bei €1 und dauert nur wenige Minuten.

Entdecke Storypages

Jetzt live

Möchtest du in Zukunft mehr von diesen Artikeln lesen?

Dann melde dich für unseren Newsletter an!

Summary Modus

Stopp Corona-App: 25 Beanstandungen von Datenschutz-NGOs

Stopp Corona-App des Roten Kreuzes & Accenture - epicenter.works, noyb und sba research prüften Datenschutz

Stopp Corona-App: 25 Beanstandungen von Datenschutz-NGOs

  • Die Stopp Corona-App des Roten Kreuzes, die von Accenture umgesetzt wird, sorgte bereits für einiges an öffentlicher Diskussion.
  • Das auch noch, nachdem ein Vorschlag von Nationalratspräsident Wolfgang Sobotka, die App verpflichtend zu machen, schnell wieder zurückgezogen wurde.
  • Im Zentrum standen von Beginn an Datenschutz-Bedenken.
  • In einer „Trusted Source“-Phase wurde die App und im Speziellen ihr Code nun von den Datenschutz-NGOs epicenter.works, noyb und von SBA Research geprüft.
  • Konkret kamen dabei, bei einem relativ positiven Gesamturteil, 25 Beanstandungen bzw. im Wortlaut „Empfehlungen“ heraus.
  • Accenture habe bereits zugesagt, 16 der Empfehlungen mit einem „Hotfix“ heute, drei der Empfehlungen mit der nächsten Version der App und vier Empfehlung in etwa vier Wochen umzusetzen, heißt es in einer Aussendung von SBA Research.