1st world corona measures

In unse­rem Bei­trag vom 23.03.2020 zum Ein­satz von mobil­ge­rä­te­ba­sier­ter Gesund­heits­prä­ven­ti­on haben wir berich­tet, dass eine Coro­na App auch hier­zu­lan­de geplant ist, sowie über Aspek­te, die aus Daten­schutz­sicht sorg­fäl­tig zu prü­fen und zu pla­nen sind. 

Mitt­ler­wei­le wur­de kurz vor der geplan­ten Ver­öf­fent­li­chung eine lauf­fä­hi­ge Ver­si­on der Coro­na App von TÜVit geprüft und es gibt Nach­hol­be­darf.  Gegen­über hei​se​.de äußern die Prü­fer u.a. Kri­tik an dem kurz­fris­ti­gen Start­ter­min. Ins­ge­samt habe man laut TÜVit wie­der­holt die (sogar kos­ten­freie) Prü­fung ange­bo­ten und letzt­lich unter Zeit­druck durch­füh­ren müssen. 

Ange­sichts des­sen, dass inzwi­schen eine Locke­rung und Anti-„Maulkorb“-Demo die ande­re jagt und seit mehr als 7 Jah­ren die dro­hen­de SARS-Pan­de­mie und deren Bekämp­fungs­me­tho­dik bekannt ist (Bun­des­tags­druck­sa­che 17/​12051 aus 2012 /​ 2013, Sei­ten 5, 55 ff. ), kann man hier nicht unbe­dingt von einem agi­len Kri­sen­ma­nage­ment sprechen.

Sicher­heitsaspek­te der neu­en Coro­na App 

Die Prü­fung der Coro­na App erfolg­te im Auf­trag des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in Bezug auf Sicher­heits­maß­ga­ben und Ein­hal­tung der ange­kün­dig­ten Pri­vat­sphä­re­stan­dards wie z.B. der Standortermittlung. 

Eine Schwach­stel­le bestün­de laut TÜVit dar­in, dass Pati­en­ten zwar ver­schlüs­selt abspei­chern kön­nen, posi­tiv auf Coro­na getes­tet wor­den zu sein, um etwai­ge Kon­tak­te mit Infi­zier­ten zu prü­fen, die genutz­te Ver­schlüs­se­lungs­lo­gik jedoch feh­ler­haft ist. So bestehe die Mög­lich­keit, einen Teil der Logik ohne grö­ße­re Schwie­rig­kei­ten aus­zu­le­sen, um belie­big Falsch­mel­dun­gen infi­zier­ter Per­so­nen zu generieren. 

Damit könn­te die gesam­te Daten­hal­tung und somit auch der ange­dach­te Nut­zen der App ad absur­dum geführt wer­den und bewusst pro­vo­zier­te Fehl­alar­me noch grö­ße­re Ver­un­si­che­rung bei den Bür­gern ver­ur­sa­chen. Die­ser Angriffs­punkt ist in Fach­krei­sen seit gerau­mer Zeit bekannt. 

Dass man bei der­lei Umset­zun­gen gegen destruk­tiv moti­vier­te IT-Exper­ti­se nicht hin­rei­chend auf­rüs­tet, son­dern IT-Exper­ten wie etwa Daten­schutz­auf­sichts­be­hör­den als Brem­ser hin­stellt, wenn die­se begrün­de­te Sicher­heits­be­den­ken anmel­den, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prü­fung wur­de der Quell­code ver­öf­fent­licht. Hier besteht insb. bei einem Mul­ti­mil­lio­nen-Pro­jekt kei­ne Not­wen­dig­keit. Dafür kann sich die Hacker­sze­ne schon ein­mal im Vor­feld ein­le­sen. Ande­rer­seits woll­te man gera­de in Bezug auf die herr­schen­den Daten­schutz­be­den­ken mit größt­mög­li­cher Trans­pa­renz reagieren. 

Daten­schutz und Pri­vat­sphä­re 

In Bezug auf die Pri­vat­sphä­re lässt TÜVit Posi­ti­ves ver­lau­ten. Bei dem geprüf­ten Ent­wick­lungs­stand der Coro­na App sei von Leaks nicht aus­zu­ge­hen und uner­war­te­te Tracking­lo­gik habe man in der Ver­si­on nicht fest­stel­len können.

Die Ent­wick­lung und Sicher­heits­do­ku­men­ta­ti­on der Coro­na App wur­de vom BSI u.a. durch Pene­tra­ti­ons­tests (Pen­tests) und Über­prü­fun­gen von Pro­gramm­code beglei­tet. Dabei konn­ten Schwach­stel­len gesich­tet und sei­tens der Ent­wick­lung beho­ben wer­den. Die Sicher­heits­do­ku­men­ta­ti­on kommt zu dem Schluss, dass die Coro­na App “alle für die­se App zutref­fen­den Anfor­de­run­gen aus der tech­ni­schen Richt­li­nie TR 03161 – Sicher­heits­an­for­de­run­gen an Digi­ta­le Gesund­heits­an­wen­dun­gen” des BSI erfüllt. Und auch zukünf­tig wird die Wei­ter­ent­wick­lung der App vom BSI beglei­tet. Die zuge­hö­ri­ge Pres­se­mit­tei­lung fin­den Sie hier.

Wei­te­re Infor­ma­tio­nen zu Daten­schutz- /​ tech­ni­schen Aspek­ten lie­fert eine Stu­die aus die­ser Woche (09.06.2020) der Unis Darm­stadt, Mar­burg und Würzburg. 

Prüf­auf­trag der Coro­na App war limi­tiert 

Laut TÜVit wur­de der Auf­trag zur Durch­leuch­tung der Ent­wick­lung auf bestimm­te Berei­che begrenzt. Aus­ge­nom­men von der Prü­fung waren Sys­tem­fea­tures von Apple /​ Goog­le und das Backend des eigent­li­chen Daten­ser­vers. Fer­ner sei die Ver­schlüs­se­lungs­lo­gik für die auf dem Mobil­ge­rät gespei­cher­ten Daten nicht Gegen­stand der Prü­fung gewesen. 

Fazit zum aktu­el­len Stand der Coro­na App 

Das Vor­ge­hen bei der Sicher­heit der Coro­na App steht in Wider­spruch zu dem Bestre­ben, Ver­trau­en in die­sen Lösungs­an­satz zu stär­ken. Es stellt sich die Fra­ge, ob nicht die­je­ni­gen, wel­che die Coro­na App ger­ne instal­lie­ren, um sich und Mit­bür­ger zu schüt­zen, ohne­hin mit gesun­dem Men­schen­ver­stand an Prä­ven­ti­ons­maß­nah­men her­an­ge­hen, wäh­rend ande­ren Anwen­dern ein wei­te­rer Schritt in die Unmün­dig­keit vor­ge­legt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit und mäßi­gem Mar­ke­ting las­sen an einem posi­ti­ven Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit en Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen werden.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/​16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Monaten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestätigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzusetzen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te Vor­la­ge samt Anlei­tung fin­den Sie unter www​.goog​le​.com/​a​n​a​l​y​t​i​c​s​/​t​e​r​m​s​/​d​e​.​pdf oder Sie suchen bei goog​le​.de nach „ana­ly­tics +tos.pdf“.
  2. Detail­lier­te For­mu­lie­rung der Nut­zung in der Daten­schutz­er­klä­rung Ihrer Web­sei­te zusam­men mit dem Hin­weis auf die Wider­spruchs­mög­lich­keit durch das Goog­le Tool „gaop­taut“ inkl. Down­load­link.
  3. Akti­vie­rung der anony­mi­zeIP-Funk­ti­on (Ach­tung: hier­für ist ein geson­der­ter Tracking-Code notwendig!)
  4. Löschen ALLER bis­her zu Unrecht erho­be­nen Daten

Viel Erfolg beim daten­schutz­kon­for­men Ein­satz von Goog­le Ana­ly­tics. Wer es unkom­pli­zier­ter mag, setzt auf das Open Source Tool PIWIK, wie in unse­rem Blog­bei­trag beschrieben.

Ende März 2014 hat Goog­le sei­ne eige­nen Daten­schutz­er­klä­run­gen aktua­li­siert. Bei die­ser Gele­gen­heit wur­den die Links zu den rele­van­ten daten­schutz­recht­li­chen Anga­ben für die Tools Goog­le Ana­ly­tics und den Goog­le+ But­ton geändert.

Als logi­sche Kon­se­quenz lan­den nun alle Links in Daten­schutz­er­klä­run­gen im Nir­wa­na. Goog­le hat es lei­der nicht für nötig erach­tet, eine Umlei­tung (Redi­rect) zu set­zen und somit sind die­se vor­ge­schrie­be­nen Infor­ma­tio­nen nicht mehr direkt zugäng­lich. Folg­lich ist die Daten­schutz­er­klä­rung auf den eige­nen Web­sei­ten fehlerhaft.

Daher soll­ten Sie — sofern Sie Goog­le Ana­ly­tics und /​ oder den Goog­le+ But­ton auf den Web­sei­ten ein­set­zen — nun schnell reagie­ren und die­se Links aktua­li­sie­ren. Die­se lau­ten wie folgt:

Daten­schutz­recht­li­che Infor­ma­tio­nen zu Goog­le Ana­ly­tics (exter­ner Link)
https://​www​.goog​le​.com/​i​n​t​l​/​d​e​/​a​n​a​l​y​t​i​c​s​/​l​e​a​r​n​/​p​r​i​v​a​c​y​.​h​tml

Daten­schutz­recht­li­che Infor­ma­tio­nen bezüg­lich des Goog­le+ But­tons (exter­ner Link)
https://​www​.goog​le​.com/​p​o​l​i​c​i​e​s​/​p​r​i​v​a​c​y​/​p​a​r​t​n​e​r​s​/​?​h​l​=de

Nicht ver­ges­sen: die fol­gen­den bei­den Links soll­ten eben­falls Bestand­teil Ihrer Daten­schutz­er­klä­rung sein. Bei­de sind von der aktu­el­len Adress­än­de­rung jedoch nicht betroffen:

Neu­es­ter Stand “All­ge­mei­ne Daten­schutz­hin­wei­se von Google” 
https://​www​.goog​le​.de/​i​n​t​l​/​d​e​/​p​o​l​i​c​i​e​s​/​p​r​i​v​a​cy/

Brow­ser-Add-on gaop­tout zur Deak­ti­vie­rung von Goog­le Ana­ly­tics zum Download
https://​tools​.goog​le​.com/​d​l​p​a​g​e​/​g​a​o​p​t​o​u​t​?​h​l​=de

Ergän­zen­der Tipp: Daten­schutz bei Nut­zung von social Plugins (exter­ner Bei­trag unse­res Partner-Blogs)

Update vom 19.01.2014

Mitt­ler­wei­le ist das Tool PIWIK in der Ver­si­on 2.x ver­füg­bar. Neben einem deut­lich über­ar­bei­te­ten Inter­face wur­den die Aus­wer­tungs­mög­lich­kei­ten noch­mals ver­fei­nert. Rein­schau­en lohnt sich für jeden Web­mas­ter alle­mal. https://​piwik​.org/

Update vom 08.05.2012

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teil­te ges­tern mit, den Ein­satz des Web­tracking-Tools Goog­le Ana­ly­tics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben. 10.955 der geprüf­ten Web­sei­ten setz­ten Goog­le Ana­ly­tics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das belieb­te Web­tracking-Tool ledig­lich in 3% aller Fäl­le daten­schutz­kon­form umge­setzt. Die 2.371 Web­sei­ten­be­trei­ber mit nicht daten­schutz­kon­for­men Ein­satz des Tools erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hör­de mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Einsatzes.

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Goog­le Ana­ly­tics über­haupt daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Vie­le der not­wen­di­gen Sach­ver­hal­te las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Die­se Dis­kus­si­on soll­te jedoch nicht dazu ver­lei­ten, nach dem Mot­to “Augen zu und durch” zu ver­fah­ren. Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hi­ge und bean­stan­dungs­freie Alter­na­ti­ve wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Bei­trag vom 16.03.2011:

Ori­gi­nal-Bei­trag vom 16.03.2011

Goog­le steht mit sei­nem Web­tracking-Dienst Ana­ly­tics nach wie vor im Kreuz­feu­er der Kri­tik sei­tens der Daten­schutz­be­hör­den — sie­he “Ham­bur­ger Daten­schutz­be­auf­trag­ter sagt Nein zu Goog­le Ana­ly­tics”. Die Lan­des­da­ten­schutz­be­hör­de Baden-Würt­tem­berg sieht Lösungs­mög­lich­kei­ten für den Kon­flikt zwi­schen der Funk­ti­ons­wei­se von Ana­ly­tics und dem Bun­des­da­ten­schutz­ge­setz. Spruch­reif sind die­se jedoch noch nicht.

Kon­flikt­frei­er und siche­rer geht Web­tracking mit­tels des kos­ten­frei­en open Source Web­tracking Tools PIWIK. Über die­se Alter­na­ti­ve konn­ten Sie sich bereits 2010 auf die­sem Blog infor­mie­ren — “PIWIK — die unbe­denk­li­che­re Alter­na­ti­ve zu Goog­le Ana­ly­tics”. Nun hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein (ULD) in einer Pres­se­mit­tei­lung vom 15.03.2011 Rat­schlä­ge zum daten­schutz­kon­for­men Ein­satz von Web­ana­ly­se-Werk­zeu­gen her­aus­ge­ge­ben. Und ergän­zend hier­zu eine PDF-Anlei­tung zum daten­schutz­kon­for­men Ein­satz von PIWIK zum Down­load bereit­ge­stellt.

Neben einer gelun­ge­nen Vor­stel­lung von PIWK und einer Instal­la­ti­ons­an­wei­sung sind ab Kapi­tel 3 die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men auf­ge­lis­tet, mit­tels derer ein daten­schutz­kon­for­mer Ein­satz nach Ermes­sen des ULD gewähr­leis­tet wer­den kann:

  1. Nut­zung des Plugins “Anony­mi­zeIP” inkl. einer Erwei­te­rung der Anonymisierungsmaske
  2. Bereit­stel­len der inte­grier­ten Wider­spruchs­mög­lich­keit Opt-Out mit­tels iframe beim ers­ten Auf­ruf der Sei­te und in der Datenschutzerklärung
  3. Spar­sa­mer Ein­satz der Refer­rer-Daten, bis hin zu einer mög­li­chen Abschal­tung des Plugins
  4. Kei­ne Daten zusammenführen
  5. Daten­lö­schung nach Aus­wer­tung und Analyse
  6. Ver­rin­ge­rung der Lebens­dau­er des Analyse-Cookies

Die genann­ten Punk­te sind mit weni­gen Hand­grif­fen, selbst von nicht Web-Pro­fis umzusetzen.

4‑stündige Ver­an­stal­tung für Unter­neh­mer, Bereichs­lei­ter, Ver­ant­wort­li­che für Mar­ke­ting und Ver­trieb, Mit­ar­bei­ter im Bereich Mar­ke­ting /​ Wer­bung

Social Media nimmt einen ste­tig stei­gen­den Stel­len­wert als Mar­ke­ting– und Kom­mu­ni­ka­ti­ons­platt­form ein. Kun­den­an­spra­che, Kun­den­bin­dung und Unter­neh­mens­prä­sen­ta­tion sind nur eini­ge Bei­spiele, erfolg­reich im Web 2.0 zu agieren.

Inhal­te

  • Social Media Kanä­le und deren Ein­satz­zweck (Ziel­grup­pen)
  • Ziel­set­zung und Strategiefindung
  • Mög­lich­kei­ten und Grenzen
  • Chan­cen und Risi­ken (BDSG, UWG, TMG, TKG, wei­tere Gesetze)
  • Not­wen­di­ger Zeitaufwand
  • Mess­bar­keit /​ Kenn­zah­len
  • Mit­ar­bei­ter aktiv ein­bin­den /​ unter­stüt­zen
  • Häu­fige Feh­ler im Praxiseinsatz
  • Tipps & Tricks aus der Praxis

Zie­le:

Das Semi­nar erleich­tert den Ein­stieg und den Start in Social Media. Sie erfah­ren, wie­so Social Media nicht „neben­bei“ funk­tio­nie­ren kann und wie Sie sich vor Abmah­nun­gen und Buß­gel­dern schützen.

Mit­tels die­ses Semi­nars erhal­ten Sie das not­wen­dige Rüst­zeug zum orga­ni­sier­ten und stra­te­gi­schen Ein­stieg in Social Media. Gleich­zei­tig min­dern Sie das Buß­geld– und Abmahn­ri­siko für Ihr Unter­neh­men erheblich.

Mit­glie­der des VDA (Ver­band deut­scher Auto­ver­mie­ter) e.V. buchen zum Vorteilspreis.

Dau­er             4h inkl. Pausen

Preis regu­lär   149,00 Euro pro Per­son inkl. 19% MwSt. (23,79 Euro)
Preis VDA e.V. 119,00 Euro pro Per­son inkl. 19% MwSt. (19,00 Euro)

Inklu­sive       Geträn­ke im Tagungsraum

Min­dest­teil­neh­mer­zahl: 10

Für Schu­lun­gen und Semi­nar­ver­an­stal­tun­gen gel­ten unse­re aktu­el­len AGB.

Buchen Sie kom­for­ta­bel online