Fünf Gedanken zur aktuellen Diskussion über die Corona-Warn-App:
1. Die Medien berichten in den letzten Tagen vermehrt über Probleme bei der Corona-Warn-App. Diese wurden laut der Telekom mittlerweile behoben. Aus Sicht des Datenschutzes gab es jedoch zu keinem Zeitpunkt grundlegende Bedenken. Es gibt keinen Grund, die App zu deinstallieren.
3. Die Kritik der Studie an der Datensammlung durch Google wird bereits seit vielen Jahren diskutiert. Deswegen war mir wichtig, dass dieser Aspekt in der Datenschutzfolgenabschätzung zur Corona-Warn-App transparent erläutert wird. Meine Irische Kollegin hat es in der Hand gegen Datensammlungen bei Google vorzugehen. Dies ist überfällig.
4. Nutzende, die sich Googles Playstore und verbundene Services nur für die Corona-Warn-App zugelegt haben und den Datenschutz Ihrer Endgeräte maximiert haben, sind eine datenschutzbewusste Minderheit und übertragen nun wirklich mehr Daten an Google als ohne die Corona-Warn-App. Wer Android samt Playstore im Alltag nutzt, gibt Google diese Daten leider ohnehin preis.
5. Ich fordere die Telekom und SAP auf, zukünftig eine schnellere und transparentere Kommunikation, insbesondere bei eventuellen Datenschutzproblemen, sicherzustellen um das hohe Vertrauen in die Corona-Warn-App nicht zu gefährden.
@ulrichkelber Danke für die datenschutzrechtliche Bewertung. Ich würde mir trotzdem wünschen, dass die #Corona Warn App auch meinem Google-freien Android läuft.
@aj @ulrichkelber nur dass Telekom und SAP die Bt Thematik wiederum nicht sauber hinbekommen würden.
@ulrichkelber Der Begriff "datenschutzbewusste Minderheit" schmerzt in diesem Kontext. Für mich steckt da implizit mit drin, dass die vernachlässigt werden kann...
@leftbit Nur eine Beschreibung der Realität, dass sich für die Mehrheit nichts ändert. Ich habe ja deutlich gemacht, dass ich von der irischen Kollegin erwarte, dass sie handelt
@leftbit
99,5% der Androidnutzer leben mit den Playservices. Wie würdest denn Du die übrigen 0,5% bezeichnen? Eine "datenschutzbewusste verschwindende Minderheit"?
@ulrichkelber
Sich vom gehegten, gepflegten und breitgetretenen Pfad zu verabschieden finde ich ja sehr lobenswert - aber dann jammern, dass man in der Wildnis, in die man sich begibt, auf Hindernisse stößt, erscheint mir etwas paradox. In solch einer Situation heißt es Machete auspacken und neue Wege erschließen.
@patrick
Ich mir wünschen würde, dass mehr Menschen den weniger breiten Pfad anerkennen, auch wenn er ihnen zu eng ist. Wir sollten nicht die behindern, die ihn erweitern. Das wäre auch sicher möglich, aber die großen Plattformbesitzer haben daran kein Interesse. Deshalb nutzen sie ihre Stellung aus, um allen anderen Steine in den Weg zu werfen.
Ich wünsche mir, dass die Allgemeinheit das erkennt und gegensteuert anstatt Abweichungen vom Status quo zu belächeln.
@leftbit @ulrichkelber
@patrick
"Wer sich sein Gerät aufmacht, wird nicht mehr von Plattformbetreibern behindert."
Ebendas stimmt ja leider nicht, denn Nutzeraccounts bei Platzformbetreiber XY sind zunehmend Bedingung für Teilnahme an allen möglichen Dingen, unabhängig von technischen Notwendigkeiten. Entweder weil die Betreiber bewusst Menschen ausschliesen wollen, die ihnen keine Daten liefern, oder weil andere Menschen sich nicht trauen, datensparsame Dienste zu nutzen.
@patrick @leftbit @ulrichkelber
Beispiel: Signal zu installieren und benutzen ist kein bißchen schwieriger als Whatsapp. Aber wenn ich Leuten sage, dass ich Signal bevorzuge, kommen ganz schnell Gegenargumente, die entweder aus Unwissenheit oder sehr bedenklichen Überzeugungen rühren... oft dann auch mit Anspielungen welche Verbrechen ich denn verheimliche, oder was für Verschwörungstheorien ich anhängen würde. Blos weil ich unnötige (und häufig rechtswidrige) Datensammelei vermeiden will.
@patrick
Dass Leute so argumentieren ist unter anderem Ergebnis der PR-Politik von Google. Die haben erfolgreich etabliert, dass artige Nutzer ihre Daten abzuliefern haben, sonst funktioniert das Internet nicht. Und laut Innenminister hilft sichere Verschlüsselung nur Kinderschändern und Terroristen.
Signal/XMPP ist ne andere Debatte ... ich habe sehr viel Vertrauen verspielt, indem ich Leute zu XMPP überredet habe und das dann bei kaum jemandem sauber funktionierte.
Diese Hilflosigkeit ist im Interesse der Politik, da es einfacher ist, in solch einem Modell "nationale Champions" zu etablieren, wenn man dann auf XXX Millionen Nutzer verweisen kann (allerdings: wie viele Versuche eines deutschen Silicon Valleys haben wir jetzt hinter uns und was brachten sie?), "vertrauenswürdige" Produkte zu "zertifizieren" (ich würde ja lachen, wäre es nicht so traurig) und richterlich abgesegnete Schnüffelschnittstellen zu installieren (das stelle ich mir etwas schwierig vor, wenn das System, das Daten ausleiten soll dem gehört, dessen Daten gefragt sind).
Von daher, was bleibt? Die persönliche Initiative.
@patrick
PR: Da gibt's ein paar schöne Zitate von Eric Schmitt, zum Beispiel das erste auf dieser Seite:
https://www.azquotes.com/author/13112-Eric_Schmidt/tag/privacy
...gefolgt von einem Gerichtsverfahren, weil jemand etwas über ihn veröffentlichte.
Dann gibt es die Etablierung des allgemeinen Geschäftsmodells "Dienst gegen Daten", das natürlich nicht nur Google betreibt, von dem sie aber abhängen. "dark patterns" bei Datenschutzeeklärungen ... Alles versucht Nutzer zur Überlassung ihrer Daten zu bewegen.
Und was die Eric Schmidt Zitate angeht: PR soll ja eigentlich Sympathie für eine Sache erzeugen, aber ich finde eigentlich nur Zitate, die, wenn überhaupt, das Gegenteil erreichen ("We know where you are. We know where you've been. We can more or less know what you're thinking about.")
Von daher bin ich noch nicht überzeugt.
Apple hat keine Lust, ihr Facetime-Protokoll auf andere Plattformen zu portieren (oder auch nur zu öffnen). Warum eigentlich nicht?
Signal will meine Handynummer und speichert irgendwelchem Krempel auf ihren Servern zwischen. "Per Intel SGX abgesichert, versprochen!!!11" (von den ganzen Lücken in SGX mal abgesehen). Ich kann nicht mit meinem eigenen Server ankommen und mit Signalnutzern kommunizieren. Warum eigentlich nicht?
Das Spielchen lässt sich ne ganze Weile weiterführen, aber am Ende läuft es doch auf eins heraus: Die Konstruktion einer Bringschuld, indem man mit der Erwartung auf Plattformanbieter zugeht, dass die einem gefälligst für das maximal-esoterischste Konstrukt, das man ihnen vor die Füße wirft, Support anzubieten hätten.
Währenddessen gibt es offene Protokolle, die keins dieser Probleme haben, dafür andere: Man _kann_ jedes beliebig abenteuerliche Konstrukt an XMPP anbinden (per IP-over-avian carrier bekäme man vielleicht sogar die Amish irgendwie angeschlossen, wenn sie denn wollten. Meine Vermutung ist, dass sie das aus sozialen Erwägungen ablehnen würden), aber man kann nicht komfortabel vor sich hinnölen, dass der böse Plattformanbieter (den es da nämlich nicht gibt) einem, aus _sicherlich_ völlig bösartigen Gründen (Verschwörungstheorien gibt es in alle Richtungen), nicht egal wohin entgegen kommt, damit man sich doch bequeme deren Dienste gnädigst anzunehmen.
Ich habe Leute mit iPhones aber ohne besondere technische Kenntnisse auf XMPP migriert. Ich habe selbst kein Apple-Gedöns und auch kein Interesse daran, aber ich habe mich mit dem Entwickler einer der besseren XMPP-Apps fürs iPhone (die ich empfohlen hatte) kurzgeschlossen, um die Probleme, die es in meinem Umfeld damit gab, aus dem Weg zu räumen. Ist halt Arbeit, aber das ist es mir wert. Jammern? Bringt überhaupt nichts.
@leftbit
Traurig aber wahr.
Ich leite daraus aber nicht ab, dass wir deshalb weniger Rechte hätten, oder irgendwie nichts zu melden.
Das Gute ist aber, dass die App auch ohne diese Minderheit funktionieren kann.
Mich ärgert aber enorm, dass für mehr und mehr Dinge (Apps, Kommunikationsmittel) die Nicht-Teilnahme an Googles oder Apples Datensammelei ein Ausschlusskriterium ist. Im Gegenzug gibt es bestenfalls Zusicherungen, aber nichts technisch wirksames.
@ulrichkelber Die Frage ist auch: In wie weit Betrifft das Aus des Privacy Shields sowie das in Frsge stehens der SCC die Nutzung der Corona-App und der Google Dienste.
@ulrichkelber
Genau deswegen wäre eine komplett ohne PS laufende App sinnvoll. So wie jeder Käufer ein komplett Hard- und Softwareoffenes Gerät (Laptop, Smartphone, usw) erwerben können sollte. Politischer Wille dazu ist nicht vorhanden.
@2342 Das finde ich auch. Die App war so teuer, da käme es auf die zusätzliche Entwicklung einer Schnittstelle für AOSP Benutzer, die man sich dazuflashen kann, wahrscheinlich nicht mehr an. @ulrichkelber
Ich befürchte das widerspricht sich: weil allein die APP schon so teuer ist, wird auch eine zusätzliche Non-GooplePlay Lösung ebenfalls sehr teuer... ;(
@mase
Wie teuer die Entwicklung einer alternativen Schnittstelle wäre kann ich nicht beurteilen, aber sie sicher, zuverlässig und datensparsam zu implementieren ist vermutlich nicht trivial. Schwierig sowas aus öffentlichen Mitteln zu finanzieren, wenn es für >90% schon etwas anderes gibt.
...aber wenn die OSS-Community so ein Projekt startete, wär ich gerne bereit das zu unterstützen, mit meinen Steuern _und_ mit eigenem Geld.
Genau da hakt es bei mir: Die Warn-App ist damit ein weiterer Anker, der Google's (vielfach nicht datenschutzkonforme) Datenförderplattform an die Smartphones kettet, und erzeugt eine Situation, in der ich "zum Allgemeinwohl" meine Haltung aufgeben soll.
@ulrichkelber die irische Kollegin glänzt leider durch nichts tun bis sie vor Gericht dazu verdonnert wird.
@Bobo_PK @ulrichkelber Das ist, finde ich, noch sehr nett ausgedrückt... :D
@raketenlurch @ulrichkelber wir sind hier ja auch nicht auf Twitter 
@ulrichkelber vielen Dank für diese gute Zusammenfassung zum Sachstand aus Datenschutzperspektive zur Corona-App.
@ulrichkelber Ich schätze Ihr Engagment. Ich finde nur, Sie machen es sich zu leicht. Wann werden endlich Massnahmen ergriffen, damit Google und Co. sich endlich an die DS-GVO halten?
@ulrichkelber
Doch. Die App ist nutzlos.
Und wenn alle Datenschutzbeauftragten der Bundesrepublik sagen, dass sich den Hintern mit 80er Schleifpapier zu putzen aus ihrer Sicht unbedenklich wäre, heißt das noch lange nicht, dass es eine gute Idee ist.
Und das Problem der API bei Google und Apple bleibt auch
@ulrichkelber
Aktuelle Studie aus Irland zu CWAs:
""Extending public governance to the full contact tracing ecosystem, not just of the health app component, therefore seems to be urgently needed if public confidence is to be maintained."
"[...] this data collection and the inability of users to change Google settings [...] is in conflict with GDPR rules [...] and we therefore recommend it be brought to the attention of the national data protection authorities."
https://www.scss.tcd.ie/Doug.Leith/pubs/contact_tracing_app_traffic.pdf
@ulrichkelber Ich finde es, so wie sie erwähnt haben, wichtig das zu differenzieren: Die App tut was sie soll, und sammelt nicht stasi style alles über die nutzer wie google das macht. Das Problem ist wie ebenfalls angesprochen Google's Geschäftsmodell und das ist schon seit vielen Jahren so.
Ich als "datenschutzbewusste Minderheit" hoffe, dass es durch den (teils) veröffentlichten Quellcode zur Schnittstelle diese unabhängig nachbauen lässt, vorher werde ich zumindest die App nicht nutzen
2. Laut der von Google veröffentlichten Dokumentation zur Schnittstelle, die für Tracing-Apps geschaffen wurde, und einer neu veröffentlichten einer Studie des Trinity College in Dublin sammelt Google, wie für andere Apps auch, viele Daten über diese Schnittstelle.
Ansonsten erhält die deutsche App von den Autoren Lob für den Datenschutz. Ich freue mich, dass die Projektpartner viele unserer Anmerkungen und Ratschläge hierzu berücksichtigt haben.