corona app - flag europe

Vor allem ande­ren möch­ten wir Sie lie­be Leu­te, lie­be Leser, lie­be Kun­den herz­lich grü­ßen. Wir hof­fen, dass es Ihnen und den Ihri­gen gut geht und dass Ihr Ein­stieg in das Home-Office bzw. in die  Coro­na beding­ten Son­der­si­tua­tio­nen ok bis gut war. Abge­se­hen von den inter­na­tio­nal schwie­ri­gen Zustän­den in Pfle­ge und Logis­tik — wie etwa das kol­lek­ti­ve Mas­ken­bas­teln in Indus­trie­län­dern — kön­nen ins­be­son­de­re Unge­wiss­hei­ten, sub­jek­ti­ve Inter­pre­ta­tio­nen und Unge­nau­ig­kei­ten in Bericht­erstat­tun­gen die­ser Tage schon ziem­lich ner­ven. Wenn Sie also zu Coro­na, Coro­na App, Daten­schutz oder Home-Office im All­ge­mei­nen etwas schrei­ben möch­ten, nut­zen Sie ger­ne das Kom­men­tar­feld zu die­sem Post. 

Ihr Team von a.s.k. Datenschutz. 

P.S. Wir sind gesund und mun­ter und hal­ten unse­re Por­sche Design Pyja­mas mode­ge­mäß 😉 Wir freu­en uns, Sie bald wie­der zu sehen. Und wenn Sie sich zu Daten­schutz etc. kurz­fris­tig bespre­chen möch­ten, las­sen Sie uns ein­fach ger­ne per Video Call in Ver­bin­dung treten. 

App Lösun­gen gegen Coro­na 

Um der Coro­na Pan­de­mie bes­ser Herr zu wer­den, sind ver­schie­de­ne Ansät­ze für soft­ware­ba­sier­te Lösun­gen ent­wi­ckelt wor­den, wie zum Bei­spiel die Kon­zep­te DP-3T und PEPP-PT, die auf per­so­nen­be­zo­ge­ne Daten zurück­grei­fen. Eine der­zeit beson­ders pro­mi­nen­te Vari­an­te ist das Con­ta­ct Tra­cing, bei der man als Nut­zer der zuge­hö­ri­gen App gewarnt wird, wel­che ande­ren App Nut­zer im Umkreis x infi­ziert sein kön­nen. Die EU-Kom­mis­si­on befasst sich mit dem Thema. 

EU-Kom­mis­si­on zu der Ver­ar­bei­tung von sen­si­blen Daten und der Coro­na App 

Der Daten­schutz­aus­schuss der EU-Kom­mis­si­on (EDPB) ist bestrebt, den Ent­wick­lungs­pro­zess von Apps und Soft­ware zur Coro­na Bekämp­fung nach daten­schutz­ge­rech­ten Maß­ga­ben zu för­dern. In die­sem Kon­text hat der Aus­schuss am Diens­tag, den 21.04.2020 eine Richt­li­nie zum Ein­satz von Ortungs­da­ten und Soft­ware­lö­sun­gen /​ Apps, wie etwa zur per­so­nen­be­zo­ge­nen Kon­takt­nach­ver­fol­gung, her­aus­ge­ge­ben, wel­che die natio­na­len Behör­den und die Deve­lo­per Ein­rich­tun­gen adressiert. 

Inhaltli­che Anfor­de­run­gen 

Bei der Aus­wer­tung sen­si­bler Daten und dem Ein­satz von Coro­na Apps sei­en Zweck­bin­dung, Trans­pa­renz und Daten­spar­sam­keit uner­läss­lich — alles zen­tra­le Pos­tu­la­te der DSGVO. In der auf Mas­se ange­leg­ten Ana­ly­se von Bewe­gungs­da­ten sei ein erheb­li­cher Ein­griff in die Frei­heits­rech­te zu sehen, daher sei hier das Prin­zip der Frei­wil­lig­keit (Abschnitt zu 2020-02) zu wahren. 

Stand­ort­da­ten sei­en grund­sätz­lich nicht zu erfas­sen, da sie für Mit­tei­lun­gen über mög­li­che Infek­ti­ons­ket­ten nicht benö­tigt wür­den und fer­ner die Auf­he­bung der Anony­mi­sie­rung erleich­ter­ten. Fer­ner sei eine Daten­schutz­fol­ge­ab­schät­zung für den Ein­satz sol­cher Apps durch­zu­füh­ren und zu veröffentlichen. 

Emp­feh­lun­gen auch zu Gestal­tung einer Coro­na App  

Die App könn­te über ein zen­tra­les Ser­ver­sys­tem betrie­ben wer­den mit restrik­ti­ven Zugriffs­be­rech­ti­gun­gen und gerä­te­ori­en­tier­ten, nati­ven Sicher­heits­maß­ga­ben. Es bestand gro­ße Unei­nig­keit betref­fend die Fra­ge des zen­tra­len oder dezen­tra­len App-Betriebs. Der Schwer­punkt sol­le dar­auf gelegt wer­den, dass Daten eher lokal gespei­chert werden. 

Kri­sen­be­ding­ter Umgang mit sensi­blen per­so­nen­be­zo­ge­nen Daten  

Die Richt­li­nie defi­niert auch Aus­nah­men für den Ermes­sens­spiel­raum der natio­na­len Behör­den, im Rah­men der Gesetz­ge­bung Aus­nah­men von DSGVO-Grund­sät­zen zu machen. So kann etwa das Erfor­der­nis der Ein­wil­li­gung für die Ver­ar­bei­tung von Gesund­heits­da­ten ent­fal­len, bzw. die Rechts­grund­la­ge durch Wahr­neh­mung einer Auf­ga­be des öffent­li­chen Inter­es­ses oder die Aus­übung öffent­li­cher Gewalt gege­ben sein. 

Eine Coro­na App in der Pra­xis 

Bril­lan­te Ent­wick­lun­gen wie das Con­ta­ct Tra­cing und die KI-basier­te Aus­wer­tung von Daten zur intel­li­gen­ten Gesund­heits­vor­sor­ge sind als wah­rer Fort­schritt in der not­wen­di­gen Digi­ta­li­sie­rung zu sehen. Dass der kon­struk­ti­ve Erfolg indes mit der effek­ti­ven Aus­füh­rung in allen orga­ni­sa­to­ri­schen Ebe­nen steht und fällt, beschäf­tigt die Daten­schutz­ex­per­ten weltweit. 

Fach­leu­te wie die des EU-Aus­schus­ses und der Daten­schutz­be­hör­de Schles­wig-Hol­stein sehen den Erfolg die­ses kon­kre­ten Pro­jekts auch ins­be­son­de­re vom Ver­trau­en des Anwen­ders in die pro­fes­sio­nel­le Ver­ar­bei­tung sei­ner Daten abhängig 

Oft wird in die­sem Kon­text aus­drück­lich dar­auf hin­ge­wie­sen, dass der Daten­schutz weder der Pan­de­mie­be­kämp­fung noch der For­schung im Wege steht. 

Update vom 19.01.2014

Mitt­ler­wei­le ist das Tool PIWIK in der Ver­si­on 2.x ver­füg­bar. Neben einem deut­lich über­ar­bei­te­ten Inter­face wur­den die Aus­wer­tungs­mög­lich­kei­ten noch­mals ver­fei­nert. Rein­schau­en lohnt sich für jeden Web­mas­ter alle­mal. https://​piwik​.org/

Update vom 08.05.2012

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teil­te ges­tern mit, den Ein­satz des Web­tracking-Tools Goog­le Ana­ly­tics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben. 10.955 der geprüf­ten Web­sei­ten setz­ten Goog­le Ana­ly­tics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das belieb­te Web­tracking-Tool ledig­lich in 3% aller Fäl­le daten­schutz­kon­form umge­setzt. Die 2.371 Web­sei­ten­be­trei­ber mit nicht daten­schutz­kon­for­men Ein­satz des Tools erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hör­de mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Einsatzes.

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Goog­le Ana­ly­tics über­haupt daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Vie­le der not­wen­di­gen Sach­ver­hal­te las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Die­se Dis­kus­si­on soll­te jedoch nicht dazu ver­lei­ten, nach dem Mot­to “Augen zu und durch” zu ver­fah­ren. Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hi­ge und bean­stan­dungs­freie Alter­na­ti­ve wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Bei­trag vom 16.03.2011:

Ori­gi­nal-Bei­trag vom 16.03.2011

Goog­le steht mit sei­nem Web­tracking-Dienst Ana­ly­tics nach wie vor im Kreuz­feu­er der Kri­tik sei­tens der Daten­schutz­be­hör­den — sie­he “Ham­bur­ger Daten­schutz­be­auf­trag­ter sagt Nein zu Goog­le Ana­ly­tics”. Die Lan­des­da­ten­schutz­be­hör­de Baden-Würt­tem­berg sieht Lösungs­mög­lich­kei­ten für den Kon­flikt zwi­schen der Funk­ti­ons­wei­se von Ana­ly­tics und dem Bun­des­da­ten­schutz­ge­setz. Spruch­reif sind die­se jedoch noch nicht.

Kon­flikt­frei­er und siche­rer geht Web­tracking mit­tels des kos­ten­frei­en open Source Web­tracking Tools PIWIK. Über die­se Alter­na­ti­ve konn­ten Sie sich bereits 2010 auf die­sem Blog infor­mie­ren — “PIWIK — die unbe­denk­li­che­re Alter­na­ti­ve zu Goog­le Ana­ly­tics”. Nun hat das Unab­hän­gi­ge Lan­des­zen­trum für Daten­schutz Schles­wig-Hol­stein (ULD) in einer Pres­se­mit­tei­lung vom 15.03.2011 Rat­schlä­ge zum daten­schutz­kon­for­men Ein­satz von Web­ana­ly­se-Werk­zeu­gen her­aus­ge­ge­ben. Und ergän­zend hier­zu eine PDF-Anlei­tung zum daten­schutz­kon­for­men Ein­satz von PIWIK zum Down­load bereit­ge­stellt.

Neben einer gelun­ge­nen Vor­stel­lung von PIWK und einer Instal­la­ti­ons­an­wei­sung sind ab Kapi­tel 3 die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men auf­ge­lis­tet, mit­tels derer ein daten­schutz­kon­for­mer Ein­satz nach Ermes­sen des ULD gewähr­leis­tet wer­den kann:

  1. Nut­zung des Plugins “Anony­mi­zeIP” inkl. einer Erwei­te­rung der Anonymisierungsmaske
  2. Bereit­stel­len der inte­grier­ten Wider­spruchs­mög­lich­keit Opt-Out mit­tels iframe beim ers­ten Auf­ruf der Sei­te und in der Datenschutzerklärung
  3. Spar­sa­mer Ein­satz der Refer­rer-Daten, bis hin zu einer mög­li­chen Abschal­tung des Plugins
  4. Kei­ne Daten zusammenführen
  5. Daten­lö­schung nach Aus­wer­tung und Analyse
  6. Ver­rin­ge­rung der Lebens­dau­er des Analyse-Cookies

Die genann­ten Punk­te sind mit weni­gen Hand­grif­fen, selbst von nicht Web-Pro­fis umzusetzen.

Mann mit Lupe - Unter Beobachtung

Mann mit Lupe - Unter BeobachtungBay­erns Web­sei­ten­be­trei­ber im Visier

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht teil­te ges­tern mit, den Ein­satz des Web­tracking-Tools Goog­le Ana­ly­tics auf 13.404 Web­sei­ten mit Betrei­bern aus Bay­ern mit­tels einer eigens ent­wi­ckel­ten Soft­ware über­prüft zu haben.

10.955 der geprüf­ten Web­sei­ten setz­ten Goog­le Ana­ly­tics nicht ein. Auf den ver­blie­be­nen 2.449 Web­sei­ten wäre das belieb­te Web­tracking-Tool ledig­lich in 3% aller Fäl­le daten­schutz­kon­form umge­setzt. Die ver­blei­ben­den 2.371 Web­sei­ten­be­trei­ber erhal­ten in den kom­men­den Tagen Post von der Lan­des­da­ten­schutz­be­hör­de mit der Auf­for­de­rung zur Abstel­lung des nicht kon­for­men Einsatzes.

Noch zeit­ge­mäß?

Seit lan­gem wird heiß dis­ku­tiert, ob und inwie­weit Goog­le Ana­ly­tics daten­schutz­kon­form nach deut­schem Recht ein­setz­bar ist. Vie­le der not­wen­di­gen Sach­ver­hal­te las­sen sich mit unse­rem aktu­el­len Bun­des­da­ten­schutz­ge­setz nicht kor­rekt umset­zen oder dar­stel­len. Die­se Dis­kus­si­on soll­te jedoch nicht dazu ver­lei­ten, nach dem Mot­to “Augen zu und durch” zu verfahren.

Noch dazu, wo es doch eine kos­ten­freie, leis­tungs­fä­hi­ge und bean­stan­dungs­freie Alter­na­ti­ve wie das Open Source Tool PIWIK gibt. Wie das ein­zu­set­zen ist, lesen Sie in unse­rem Blog-Bei­trag (ursprüng­lich vom 16.03.2011).