1st world corona measures

In unse­rem Bei­trag vom 23.03.2020 zum Ein­satz von mobil­ge­rä­te­ba­sier­ter Gesund­heits­prä­ven­ti­on haben wir berich­tet, dass eine Coro­na App auch hier­zu­lan­de geplant ist, sowie über Aspek­te, die aus Daten­schutz­sicht sorg­fäl­tig zu prü­fen und zu pla­nen sind. 

Mitt­ler­wei­le wur­de kurz vor der geplan­ten Ver­öf­fent­li­chung eine lauf­fä­hi­ge Ver­si­on der Coro­na App von TÜVit geprüft und es gibt Nach­hol­be­darf.  Gegen­über hei​se​.de äußern die Prü­fer u.a. Kri­tik an dem kurz­fris­ti­gen Start­ter­min. Ins­ge­samt habe man laut TÜVit wie­der­holt die (sogar kos­ten­freie) Prü­fung ange­bo­ten und letzt­lich unter Zeit­druck durch­füh­ren müssen. 

Ange­sichts des­sen, dass inzwi­schen eine Locke­rung und Anti-„Maulkorb“-Demo die ande­re jagt und seit mehr als 7 Jah­ren die dro­hen­de SARS-Pan­de­mie und deren Bekämp­fungs­me­tho­dik bekannt ist (Bun­des­tags­druck­sa­che 17/​12051 aus 2012 /​ 2013, Sei­ten 5, 55 ff. ), kann man hier nicht unbe­dingt von einem agi­len Kri­sen­ma­nage­ment sprechen.

Sicher­heitsaspek­te der neu­en Coro­na App 

Die Prü­fung der Coro­na App erfolg­te im Auf­trag des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in Bezug auf Sicher­heits­maß­ga­ben und Ein­hal­tung der ange­kün­dig­ten Pri­vat­sphä­re­stan­dards wie z.B. der Standortermittlung. 

Eine Schwach­stel­le bestün­de laut TÜVit dar­in, dass Pati­en­ten zwar ver­schlüs­selt abspei­chern kön­nen, posi­tiv auf Coro­na getes­tet wor­den zu sein, um etwai­ge Kon­tak­te mit Infi­zier­ten zu prü­fen, die genutz­te Ver­schlüs­se­lungs­lo­gik jedoch feh­ler­haft ist. So bestehe die Mög­lich­keit, einen Teil der Logik ohne grö­ße­re Schwie­rig­kei­ten aus­zu­le­sen, um belie­big Falsch­mel­dun­gen infi­zier­ter Per­so­nen zu generieren. 

Damit könn­te die gesam­te Daten­hal­tung und somit auch der ange­dach­te Nut­zen der App ad absur­dum geführt wer­den und bewusst pro­vo­zier­te Fehl­alar­me noch grö­ße­re Ver­un­si­che­rung bei den Bür­gern ver­ur­sa­chen. Die­ser Angriffs­punkt ist in Fach­krei­sen seit gerau­mer Zeit bekannt. 

Dass man bei der­lei Umset­zun­gen gegen destruk­tiv moti­vier­te IT-Exper­ti­se nicht hin­rei­chend auf­rüs­tet, son­dern IT-Exper­ten wie etwa Daten­schutz­auf­sichts­be­hör­den als Brem­ser hin­stellt, wenn die­se begrün­de­te Sicher­heits­be­den­ken anmel­den, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prü­fung wur­de der Quell­code ver­öf­fent­licht. Hier besteht insb. bei einem Mul­ti­mil­lio­nen-Pro­jekt kei­ne Not­wen­dig­keit. Dafür kann sich die Hacker­sze­ne schon ein­mal im Vor­feld ein­le­sen. Ande­rer­seits woll­te man gera­de in Bezug auf die herr­schen­den Daten­schutz­be­den­ken mit größt­mög­li­cher Trans­pa­renz reagieren. 

Daten­schutz und Pri­vat­sphä­re 

In Bezug auf die Pri­vat­sphä­re lässt TÜVit Posi­ti­ves ver­lau­ten. Bei dem geprüf­ten Ent­wick­lungs­stand der Coro­na App sei von Leaks nicht aus­zu­ge­hen und uner­war­te­te Tracking­lo­gik habe man in der Ver­si­on nicht fest­stel­len können.

Die Ent­wick­lung und Sicher­heits­do­ku­men­ta­ti­on der Coro­na App wur­de vom BSI u.a. durch Pene­tra­ti­ons­tests (Pen­tests) und Über­prü­fun­gen von Pro­gramm­code beglei­tet. Dabei konn­ten Schwach­stel­len gesich­tet und sei­tens der Ent­wick­lung beho­ben wer­den. Die Sicher­heits­do­ku­men­ta­ti­on kommt zu dem Schluss, dass die Coro­na App “alle für die­se App zutref­fen­den Anfor­de­run­gen aus der tech­ni­schen Richt­li­nie TR 03161 – Sicher­heits­an­for­de­run­gen an Digi­ta­le Gesund­heits­an­wen­dun­gen” des BSI erfüllt. Und auch zukünf­tig wird die Wei­ter­ent­wick­lung der App vom BSI beglei­tet. Die zuge­hö­ri­ge Pres­se­mit­tei­lung fin­den Sie hier.

Wei­te­re Infor­ma­tio­nen zu Daten­schutz- /​ tech­ni­schen Aspek­ten lie­fert eine Stu­die aus die­ser Woche (09.06.2020) der Unis Darm­stadt, Mar­burg und Würzburg. 

Prüf­auf­trag der Coro­na App war limi­tiert 

Laut TÜVit wur­de der Auf­trag zur Durch­leuch­tung der Ent­wick­lung auf bestimm­te Berei­che begrenzt. Aus­ge­nom­men von der Prü­fung waren Sys­tem­fea­tures von Apple /​ Goog­le und das Backend des eigent­li­chen Daten­ser­vers. Fer­ner sei die Ver­schlüs­se­lungs­lo­gik für die auf dem Mobil­ge­rät gespei­cher­ten Daten nicht Gegen­stand der Prü­fung gewesen. 

Fazit zum aktu­el­len Stand der Coro­na App 

Das Vor­ge­hen bei der Sicher­heit der Coro­na App steht in Wider­spruch zu dem Bestre­ben, Ver­trau­en in die­sen Lösungs­an­satz zu stär­ken. Es stellt sich die Fra­ge, ob nicht die­je­ni­gen, wel­che die Coro­na App ger­ne instal­lie­ren, um sich und Mit­bür­ger zu schüt­zen, ohne­hin mit gesun­dem Men­schen­ver­stand an Prä­ven­ti­ons­maß­nah­men her­an­ge­hen, wäh­rend ande­ren Anwen­dern ein wei­te­rer Schritt in die Unmün­dig­keit vor­ge­legt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit und mäßi­gem Mar­ke­ting las­sen an einem posi­ti­ven Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit en Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Muster Informationspflichten

Seit Mon­tag, den 11. Mai 2020 (in Bay­ern ab 18.05.) dür­fen Gas­tro­no­mie­be­trie­be und zahl­rei­che ande­re Ein­rich­tun­gen des all­täg­li­chen Lebens wie­der öff­nen. Die Auf­la­gen zu Abstand und maxi­ma­le Gäs­te- /​ Käu­fer-Zahl auf der Ver­kaufs­flä­che sind durch­aus eine Her­aus­for­de­rung für die Betrei­ber der Ein­rich­tun­gen. Bei all den Anfor­de­run­gen wird der Daten­schutz schnell ver­ges­sen. Wir hel­fen mit unse­rem kos­ten­lo­sen Mus­ter Infor­ma­ti­ons­pflich­ten für Besu­cher von Gas­tro­no­mie und ande­ren Ein­rich­tun­gen im Zuge der Coro­na-Pan­de­mie, ent­wi­ckelt gemein­sam mit RA Ste­phan Hansen-Oest.

Wel­che per­so­nen­be­zo­ge­nen Daten von Besu­chern sind zu notieren?

Einig sind sich die Län­der­ver­ord­nun­gen in dem Punkt, dass Name und Ruf­num­mer der Besu­cher zu notie­ren und auf Ver­lan­gen der Gesund­heits­be­hör­de im Ver­dachts­fall einer Infek­ti­on her­aus­zu­ge­ben sind. Teil­wei­se sind die dazu­ge­hö­ri­gen Ver­ord­nun­gen bzw. Anfor­de­run­gen noch etwas schwam­mig bzw. zu unkon­kret. Das wird in den nächs­ten Tagen sicher nach­jus­tiert. So steht z.B. noch die Fra­ge im Raum, ob die jewei­li­ge Ein­rich­tung die notier­ten Anga­ben z.B. anhand eines Aus­weis­do­ku­ments veri­fi­zie­ren muss. Auch bei den Lösch­fris­ten fin­den sich nicht über­all kon­kre­te Anga­ben. Das Bun­des­land NRW sieht bei­spiels­wei­se die Ver­nich­tung der per­so­nen­be­zo­ge­nen Daten nach 1 Monat vor.

Übri­gens: Da nir­gend­wo von einer Unter­schrift durch die Besu­cher die Rede ist, wäre es auch eine Mög­lich­keit, die Daten auf elek­tro­ni­schem Wege zu erhe­ben. So könn­ten Sie auch Reser­vie­rungs­sys­te­me nut­zen, sofern die Anga­ben dar­in zusätz­lich /​ ergän­zend erfasst wer­den können.

Um der Papier­flut bzw. Zet­tel­wirt­schaft Herr zu wer­den, wäre auch die abend­li­che Digi­ta­li­sie­rung sprich das Ein­scan­nen der erfass­ten Daten in einen dazu­ge­hö­ri­gen Datums-Ord­ner viel­leicht ganz hilf­reich. Wür­de neben­bei die Über­ga­be an die zustän­di­ge Gesund­heits­be­hör­de im Rah­men einer Anfor­de­run­gen der Daten erleich­tern und es rei­hen sich bei Ihnen nicht Ord­ner an Ord­ner mit den erho­be­nen Daten. Die Kür wäre natür­lich ein Scan mit OCR, was aber eine mög­lichst “unver­schlüs­sel­te” Hand­schrift der Ein­tra­gen voraussetzt 🙂

Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO an die Besu­cher nicht vergessen

Egal, in wel­chem Umfang oder auf wel­che Art (ana­log per For­mu­lar /​ Besu­cher­lis­te oder digi­tal z.B. in Form von Excel-Tabel­len) Sie die Daten Ihrer Besu­cher erhe­ben, es sind die Anga­ben zu den Infor­ma­ti­ons­pflich­ten nach Art. 13 DSGVO zu erfül­len. Dies kann bei­spies­lwei­se mit­tels Aus­hang vor Ort und einem münd­li­chen Hin­weis an Ihre Besu­cher gesche­hen. Hier zählt Prag­ma­tis­mus in Anbe­tracht der ange­spann­ten Situa­ti­on. Ein pas­sen­des kos­ten­lo­ses Mus­ter hier­zu haben wir gemein­sam mit dem in der Bran­che wohl­be­kann­ten Rechts­an­walt Ste­phan Han­sen-Oest (https://​www​.daten​schutz​-guru​.de) ent­wi­ckelt. Nach dem Down­load soll­ten sie die­ses bit­te auf Ihre Ein­rich­tung anpas­sen und bei Bedarf ergän­zen oder über­flüs­si­ge Anga­ben streichen.

Den­ken Sie bit­te an das Ver­zeich­nis für Verarbeitungstätigkeiten

Die­se Erhe­bung von per­so­nen­be­zo­ge­nen Daten im Rah­men der Coro­na-Pan­de­mie soll­te sich eben­falls in Ihrem Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten wie­der­fin­den. Sie haben noch keins? Tipps und Tricks dazu ent­we­der bei RA Han­sen-Oest oder bei uns hier im Blog.

Kos­ten­lo­ses Mus­ter Infor­ma­ti­ons­pflich­ten bei Erhe­bung per­so­nen­be­zo­ge­ner Daten im Zuge der Corona-Pandemie

Wir, also Ste­phan Han­sen-Oest und a.s.k. Daten­schutz, stel­len Ihnen die­ses unver­bind­li­che Mus­ter kos­ten­frei zur Ver­fü­gung. Bit­te beach­ten Sie dabei:

  • Pas­sen Sie bit­te die Bezü­ge zu den aktu­ell gel­ten­den Lan­des­ver­ord­nun­gen bzw. Rechts­an­wen­dun­gen an
  • Fair Use: Die­se Vor­la­ge kann ger­ne in der Pra­xis von Orga­ni­sa­tio­nen genutzt und ver­än­dert wer­den. Wir (RA Han­sen-Oest und a.s.k. Daten­schutz Sascha Kuhrau) möch­ten jedoch nicht, dass sie ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Ver­trags­mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem Ver­trags­mus­ter­buch wiederfindet.
  • Haf­tung: Die­se Vor­la­ge stellt ledig­lich einen Vor­schlag dar. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung übernommen

Anre­gun­gen und Ergän­zun­gen für die Vor­la­gen? Dann immer her damit.

All­ge­mei­nes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besucher
19608 Downloads

Auf Frei­staat Bay­ern ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher in Bayern
12426 Downloads

Auf Hes­sen ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher Hessen
9610 Downloads

Auf Schles­wig-Hol­stein ange­pass­tes Mus­ter zu den Infor­ma­ti­ons­pflich­ten für Besu­cher im Rah­men der Corona-Pandemie

Kos­ten­lo­ses Mus­ter Mit­tei­lungs­pflich­ti­ge Infor­ma­tio­nen Coro­na Besu­cher Schles­wig Holstein
1340 Downloads

Fra­gen Sie Ihren (exter­nen) Datenschutzbeauftragten

Bevor im Umgang mit oder der Anpas­sung von die­sen Vor­la­gen für Ihre Orga­ni­sa­ti­on etwas schief geht und Ihnen mög­li­cher­wei­se Unge­mach durch die Daten­schutz­auf­sicht droht, bin­den Sie bit­te Ihren Daten­schutz­be­auf­trag­ten früh­zei­tig in das The­ma Infor­ma­ti­ons­pflich­ten mit ein. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Mög­li­cher­wei­se unter­lie­gen Sie der gesetz­li­chen Pflicht zur Benen­nung, aber auch ohne deren Vor­lie­gen ist ein Daten­schutz­be­auf­trag­ter der Pro­fi für Ihre Fra­gen rund um das The­ma Daten­schutz. Ger­ne unter­brei­ten wir Ihnen ein Ange­bot für einen exter­nen Datenschutzbeauftragten.

Ver­si­ons­his­to­rie

Update 12.05.2020: Nut­zer­hin­weis auf Benen­nung statt Bestel­lung eines DSB auf­ge­grif­fen und Wort­wahl ent­spre­chend angepasst

Update 13.05.2020: Mus­ter­vor­la­ge zur Daten­er­fas­sung Gas­tro­no­mie als Anhang ergänzt

Update 14.05.2020: Ver­si­on mit ers­ten Anpas­sun­gen auf Frei­staat Bay­ern veröffentlicht

Update 16.05.2020: Ver­si­on mit Anpas­sun­gen auf kon­kre­te Ver­ord­nung in Hes­sen veröffentlicht

Update 18.05.2020: Ver­si­on Schles­wig-Hol­stein veröffentlicht

 

 

gesundheitsdaten gehen an die polizei

Nun auch Sach­sen-Anhalt — das Innen­mi­nis­te­ri­um wies die Gesund­heits­äm­ter an, per­so­nen­be­zo­ge­ne /​ Gesund­heits­da­ten aller Per­so­nen in Qua­ran­tä­ne den Poli­zei­be­hör­den zur Ver­fü­gung zu stel­len. Die Poli­zei erhielt somit per­so­nen­be­zo­ge­ne Daten über Coro­na-Infi­zier­te und Kontaktpersonen. 

Offen­le­gung durch par­la­men­ta­ri­sche Nach­fra­ge 

Aus den Rei­hen des Land­tags wur­de am 22.04.2020 die Ent­hül­lung bekannt, dass der Lan­des­in­nen­mi­nis­ter vom 27. bis 31.03.2020 eine Ver­pflich­tung zur Bereit­stel­lung der Daten für alle Per­so­nen in Qua­ran­tä­ne des Bun­des­lan­des ver­fügt habe. Seit­dem wür­den Gesund­heits­äm­ter „nach eige­nem Ermes­sen und im Ein­zel­fall“ Daten von Per­so­nen in Qua­ran­tä­ne an die Poli­zei über­mit­teln. Bis 09.04.2020 über 800 Fäl­le in Sach­sen-Anhalt — heißt es wei­ter in den zuge­hö­ri­gen Posts auf Twit­ter. Eine öffent­li­che Infor­ma­ti­on über die Maß­nah­me durch das Innen­mi­nis­te­ri­um zur Erfül­lung der DSGVO-gesetz­li­chen Trans­pa­renz­pflicht war lan­ge Zeit nicht erfolgt. Die kom­mu­ni­zier­ten Daten hät­ten Namen, Anschrif­ten, Geburts­da­ten, Wohn­or­te, Natio­na­li­tä­ten, Geschlech­ter sowie Beginn und Ende der behörd­lich defi­nier­ten Qua­ran­tä­ne umfasst. Die Über­mitt­lung, Ver­ar­bei­tung und Spei­che­rung auf Poli­zei­da­ten­ban­ken von Gesund­heits­da­ten sei „recht­lich pro­ble­ma­tisch“ und der Lan­des­be­auf­trag­te für den Daten­schutz sei the­ma­tisch zu invol­vie­ren. Wei­te­re ~130 sol­cher Über­mitt­lun­gen in Hal­le wur­den zunächst laut Anga­be der Stadt­ver­wal­tung wohl gar nicht erst gezählt. 

Recht­mä­ßig­keits­fra­ge bei der Ver­ar­bei­tung von Gesund­heits­da­ten 

Auf Anfra­ge hat­te das Lan­des­in­nen­mi­nis­te­ri­um gegen­über netz​po​li​tik​.org geleug­net, dass es der­lei Gesund­heits­da­ten­über­mitt­lun­gen an die Poli­zei gege­ben hat­te. Spä­ter wur­de bekannt, dass Gesund­heits- /​ per­so­nen­be­zo­ge­ne Daten auf der Fahn­dungs­da­ten­bank des Lan­des­kri­mi­nal­amts gespei­chert wur­den. Zu direk­ten Anfra­gen von netz​po​li​tik​.org sei sei­tens der Poli­zei nicht Stel­lung genom­men wor­den. Der Erlass sei dem Lan­des­da­ten­schutz­be­auf­trag­tes Sach­sen-Anhalts erst auf Nach­fra­ge zur Ver­fü­gung gestellt wor­den, den die­ser am 31.03.2020 für rechts­wid­rig erklärt habe. In sei­ner Haut möch­te man jetzt eher nicht ste­cken. Aus DSB-Sicht stellt sich aller­dings die Fra­ge, aus wel­chem Grund kei­ne Vor­ab­infor­ma­ti­on erfolg­te und kei­ne Daten­schutz­fol­ge­ab­schät­zung in fach­li­cher Abstim­mung mit dem Lan­des-DSB durch­ge­führt wor­den ist. l 

Pau­scha­le Über­mitt­lung von Gesund­heits­da­ten in diver­sen Bun­des­län­dern 

Auch in ande­ren Bun­des­län­dern wur­den Daten­über­mitt­lun­gen von Infi­zier­ten und Kon­takt­per­so­nen ein­ge­führt. Offi­zi­ell sei Ziel der Maß­nah­me die Über­wa­chung der Ein­hal­tung der Qua­ran­tä­ne und Schutz der Polizeibeamten. 

Nach uns vor­lie­gen­den Infor­ma­tio­nen erklär­te auch die nie­der­säch­si­sche Daten­schutz­be­auf­trag­te Bar­ba­ra Thiel die Maß­nah­me für ihr Bun­des­land als rechts­wid­rig. Aller­dings hielt die Lan­des­re­gie­rung an den Daten­über­mitt­lun­gen fest. 

Die umstrit­te­ne Pra­xis wur­de auch in wei­te­ren Bun­des­län­dern ein­ge­führt. In Fol­ge vehe­men­ter Pro­tes­te wur­de die­se in Bre­men auf­ge­ho­ben. In Baden-Würt­tem­berg wird eine DSGVO kon­for­me Ver­ord­nung zur Daten­über­mitt­lung posi­tiv erwar­tet. In Meck­len­burg-Vor­pom­mern wur­de das Pro­ce­de­re modi­fi­ziert. Hier wird bei der Über­mitt­lung der Gesund­heits­da­ten nun auf den Bedarfs­fall abge­stellt. Fer­ner soll nun die Vor­ga­be sein, die Daten anony­mi­siert und ver­schlüs­selt an einen defi­nier­ten Per­so­nen­kreis im Poli­zei­dienst zu über­mit­teln. Es ist begrü­ßens­wert, dass die tra­gen­den Stan­dards in der Infor­ma­ti­ons­si­cher­heit neben den Daten­schutz­an­for­de­run­gen auch bei die­sem The­ma suk­zes­si­ve Berück­sich­ti­gung finden. 

Coro­na Präven­ti­on und die Ver­ar­bei­tung von Gesund­heits­da­ten 

Es besteht ein gro­ßes Span­nungs­feld zwi­schen Daten­schutz /​ Grund­rech­ten und einer effek­ti­ven Pan­de­mie­be­kämp­fung. Dass Men­schen und Pfle­ge­per­so­nal, der öffent­li­che Dienst und ande­re Arbeits­kräf­te mit not­wen­di­gem Publi­kums­kon­takt des Schut­zes bedür­fen, steht völ­lig außer Fra­ge. Aller­dings kann als auf­fäl­lig bezeich­net wer­den, dass gera­de in sol­chen grenz­wer­ti­gen Maß­nah­men der Dia­log mit den Daten­schutz­be­hör­den und auch den behörd­li­chen Daten­schutz­be­auf­trag­ten aktiv ver­mie­den wird. Gera­de in sol­chen Zei­ten darf erwar­tet wer­den, dass man sich zwecks ganz­heit­li­cher Kri­sen­be­wäl­ti­gung bereichs­über­grei­fend abstimmt. So kann dafür Sor­ge getra­gen wer­den, dass die Ver­ar­bei­tun­gen und Über­mitt­lun­gen der Behör­den den zwin­gend erfor­der­li­chen, zeit­ge­mä­ßen Vor­ga­ben des Daten­schut­zes sowie der Infor­ma­ti­ons­si­cher­heit /​ IT-Sicher­heit genügen.