FIfF veröffentlicht Analyse und konstruktive Kritik der offiziellen Datenschutzfolgenabschätzung der Corona-Warn-App
Pressemitteilung vom 29.6.2020: Von methodischen Fehlern und ausgeblendeten Risiken, „Ein guter erster Aufschlag“
Am 15. Juni 2020 wurde die offizielle Datenschutzfolgenabschätzung (DSFA) für die Corona-Warn-App (CWA) öffentlich zur Verfügung gestellt. Kurz darauf wurde die App dann in den App-Stores zum Download angeboten. Das FIfF hatte bereits im April eine Muster-DSFA für eine Corona-App (FIfF-DSFA) vorgestellt. So konnten die Grundrechtsrisiken schon während der Entwicklungsphase der App breit gesellschaftlich diskutiert und bei der Entwicklung berücksichtigt werden. Dies ist genau Zweck einer DSFA. Die offizielle CWA-DSFA hingegen wurde sehr knappe 10 Stunden vor der App veröffentlicht. Aus diesem Grunde und weil die FIfF-DSFA mehrfach prominent in der CWA-DSFA herangezogen und zitiert worden ist, legen die Autorïnnen der FIfF-DSFA nun eine Analyse der offiziellen DSFA vor.
„Der vom RKI vorgelegte DSFA-Bericht ist ein guter erster Aufschlag, aber bei weitem nicht ausreichend für ein digitales Kontaktnachverfolungssystem, was landesweit und darüber hinaus ausgerollt wird“, kommentiert Kirsten Bock aus dem Autorïnnenkreis der FIfF-DSFA. Die vorliegende Analyse des FIfF kommt zu dem Ergebnis, dass die CWA-DSFA ganz wesentliche grundsätzliche Schwächen aufweist und führt diese beispielhaft aus. Die Autorïnnen des FIfF würdigen dennoch die in jedem Falle anzuerkennende Leistung der Projektgruppe zur Erstellung der App und der dazugehörigen DSFA, aber wundern sich, dass der Bundesbeauftragte für den Datenschutz Ulrich Kelber diese defizitäre DSFA hat gelten lassen.
„Im Vergleich mit anderen deutschen IT-Projekten wurde innerhalb kurzer Zeit ein technisch herausragendes System geschaffen. Es bedient sich aktueller Softwareframeworks, ist quelloffen und wurde teilweise mit transparenten partizipativen Arbeitsprozessen erstellt. Dabei wurden öffentlich formulierte Kritik sowie Beiträge der interessierten (Fach-)Öffentlichkeit vielfach berücksichtigt. Nun bleibt zu hoffen, dass damit ein neuer Standard auch für zukünftige IT-Projekte des Staates etabliert worden ist“, kommentiert Christian R. Kühne, ebenfalls aus dem Kreis der Autorïnnen, „doch aus Datenschutzsicht genügt das bei weitem nicht, denn Datenschutz kann weder ausschließlich durch Technik umgesetzt noch durch reine Quellcodeanalyse der IT-Komponenten evaluiert werden. Genau dafür ist eine DSFA da und deshalb ist sie so wichtig. DSFAen leisten insofern einen Beitrag zur systematischen und öffentlichen Diskussion der Überwachungs- und Kontrollaspekte der digitalisierten Gesellschaft.“, so Kühne weiter. Der Zweck einer DSFA besteht nach Art. 35 DSGVO vornehmlich im Ausweis der Risiken für die Grundrechte und -freiheiten natürlicher Personen durch das Datenverarbeitungsverfahren. Eine DSFA muss hinsichtlich der erkannten Risiken zudem hilfreiche Empfehlungen für Schutzmaßnahmen einfordern oder aber darstellen, dass die Risiken unbehandelt bestehen bleiben.
„Wenn wesentliche Risiken aber nicht verringert werden oder gar nicht verringert werden können, so kann eine Verarbeitungstätigkeit gemessen an den Anforderungen der DSGVO gegebenenfalls sogar unzulässig sein.“ erläutert Rainer Rehak vom FIfF. „Die Risiken sind daher unabhängig zu ermitteln und dürfen nicht im Sinne der Verantwortlichen zur Rechtfertigung der Verarbeitungstätigkeit nur vage angedeutet, kleingeredet oder anderweitig aus den Blick gestellt werden; genau das tut jedoch die CWA-DSFA, weswegen sie als schwer defizitär anzusehen ist“, ergänzt Jörg Pohle vom FIfF, beide sind Mit-Autorïnnen der Analyse.
Im nun veröffentlichten Analysedokument des FIfF werden konkrete markante methodische, technische und rechtliche Mängel der vorliegenden CWA-DSFA aufgezeigt. Als Hauptmängel der DSFA werden identifiziert: 1) die Konzentration nur auf die App selbst, nicht auf das ganze Verfahren, 2) das Fehlen der Einbeziehung der Verantwortlichen als datenschutzspezifischer Angreiferïn, 3) die geringe datenschutzrechtliche Durchdringung der Verarbeitung sowie 4) die unzureichende Diskussion effektiver Schutzmaßnahmen zu allen Risiken. So weist die CWA-DSFA etwa aus, dass das proprietäre Exposure-Notification-Framework (ENF) von Google und Apple sicherlich ein zentraler Bestandteil der Corona-Warn-App ist, aber dieser schlicht nicht überprüft werden kann und auch direkt von Google und Apple kontrolliert wird, also nur zu deren Bedingungen genutzt werden kann. „Statt dies als hochproblematisch zu thematisieren, wird quasi mit den Schultern gezuckt und aus der Unmöglichkeit der Kontrolle eine Risikolosigkeit gemacht. ,Da kann man halt nichts machen' ist jedoch keine sinnvolle Herangehensweise, wenn es um Grundrechtsschutz geht. Auch bezüglich der Freiwilligkeit der App und einer Einwilligung als Rechtsgrundlage wird nur kurz angedeutet, dass diese Auffassung wohl unzureichend ist. Dann wird jedoch abwiegelnd bemerkt, dass aktuell eben keine gesetzliche Grundlage – eine Forderung nicht nur des FIfF – geplant ist", fasst Kirsten Bock vom FIfF zusammen. Auch hier also wieder nur Schulterzucken beim Umgang mit elementaren Grundwerten unserer Gesellschaft.
Ein weiterer hochkritischer Teil des CWA-Verfahrens ist das Anfallen von identifizierenden IP-Adresse an mehreren Stellen des Ablaufs. Da durch das CWA-System Gesundheitsdaten verarbeitet werden, müsste ganz besonderes Augenmerk auf dieses Risiko gelegt werden. Doch während bereits seit Wochen unzählige Vorschläge im Raum stehen, wie damit technisch, organisatorisch und nicht zuletzt rechtlich umgegangen werden könnte und angesichts der Schwere der Problematik auch müsste, zieht sich die CWA-DSFA darauf zurück, dass die Betreiber der Systeme hoch und heilig versprechen, die IP-Adressen zu anonymisieren. Es sei an dieser Stelle darauf hingewiesen, dass genau die Verantwortliche, die hier das Versprechen abgibt, im Datenschutz stets die Hauptangreiferin ist. „Von technischen Lösungen wie die Nutzung von Mixnets, organisatorischen Ansätzen wie externe Betreiberfirmen, die die Netzwerkeingangsknoten betreiben und IP-Adressen anonymisieren, bis hin zu rechtlichen Vorschlägen, die Betreiberinnen per Gesetz vor Zugriffen durch Sicherheitsbehörden zu schützen, gab es alles Mögliche in der vorhergegangenen Diskussion – nötig wäre wie immer eine Kombination davon – doch laut CWA-DSFA verspricht die Hauptangreiferin einfach, sich an die Regeln zu halten, und das wird dann so hingenommen. Ich bin schlicht sprachlos ob dieser gänzlich datenschutzignoranten Sichtweise in einer DSFA“, kommentiert Měto R. Ost vom FIfF sichtlich fassungslos. Zuletzt konzentriert sich die CWA-DSFA ganz vordringlich nur auf die Smartphone-App selbst und erwähnt die notwendige Serverinfrastruktur nur am Rande, doch diese benutzerïnnenzentrierte Sicht greift aus Datenschutzsicht zu kurz. Zum zu analysierenden Verfahren gehören alle Komponenten, denn die Grundrechtsrisiken gehen vom Gesamtsystem aus, nicht nur von der App auf dem Smartphone. Diese und weitere Punkte werden in der nun veröffentlichten FIfF-Analyse ausgeführt.
Schon diese (unvollständige) Liste der Defizite deutet leider auf ein geringes Niveau der Befassung der DSFA-Projektgruppe mit den Anforderungen an einen umsetzbaren, effektiven und überprüfbaren Datenschutz hin, obwohl es jedoch schon seit Jahren Handreichungen, Leitfäden, Methodendokumente, Best-Practices und Muster für das Instrument „DSFA“ gibt. Die nun vom FIfF veröffentlichte Analyse übt jedoch nicht nur Kritik, sondern unterbreitet auch konstruktive Vorschläge, die einen Weg zur Behebung dieser Mängel
Download der CWA-DSFA-Materialien: