Technik

Strenge Regeln gegen Missbrauch EU setzt Richtlinien für Corona-Tracing-Apps

Coronavirus Tracing EU Richtlinien.jpg

Der Europäische Datenschutz-Ausschuss (EDSA) gibt strenge Regeln für Tracing-Apps vor.

(Foto: imago images/Westend61)

Eine Corona-Tracing-App kann nur erfolgreich sein, wenn Nutzer darauf vertrauen können, dass ihr Recht auf Datenschutz gewahrt ist. Deshalb hat die EU klare Richtlinien formuliert, die einen von Kritikern befürchteten Missbrauch ausschließen sollen.

Eine Corona-Tracing-App kann ein Ausweg aus dem Dilemma sein, dass es derzeit nur über rigorose Abstandsregeln möglich ist, die Ausbreitung des tödlichen Virus einzudämmen. Doch eine Anwendung zur Rückverfolgung von Infektionsketten birgt auch das Risiko in sich, zur Überwachung missbraucht zu werden. Vor allem dann, wenn wie bei der von der Bundesregierung bevorzugten Lösung Daten auf einem zentralen Server gespeichert werden.

Viele Menschen werden eine Corona-Warn-App also nur freiwillig installieren und nutzen, wenn sie darauf vertrauen können, dass ihre Daten nicht missbraucht werden. Um das zu gewährleisten, hat der Europäische Datenschutz-Ausschuss (EDSA) jetzt strenge Richtlinien veröffentlicht. Sie sind nicht verpflichtend, aber die Mitgliedsländer sollten sich daran halten. Die Bundesregierung erfüllt bisher noch nicht alle Anforderungen, muss also noch nachliefern. Hier die wichtigsten Regeln:

Grundsätzliche Anforderungen

  • Eine Tracing-App darf herkömmliche Methoden bei der Verfolgung von Infektionsketten nicht ersetzen, sondern soll sie ergänzen.
  • Eine Corona-Warn-App darf keine Pflicht sein, sondern muss freiwillig installiert und genutzt werden.
  • Die App sollte kompatibel mit den entsprechenden Anwendungen anderer EU-Staaten sein.
  • Es dürfen nur die Daten gesammelt werden, die unbedingt nötig sind. Für alles, was darüber hinausgeht, muss die Einwilligung der Nutzer eingeholt werden.
  • Nutzer müssen jederzeit die Kontrolle über ihre Daten behalten.
  • Wer die App nicht installiert, darf deswegen nicht benachteiligt werden.
  • Weil das Risiko hoch ist, dass Rechte und Freiheiten der Nutzer verletzt werden, muss vor dem Einsatz einer solchen Anwendung eine Datenschutz-Folgeabschätzung durchgeführt und veröffentlicht werden.
  • Eine Tracing-App darf keine Standortdaten verwenden.
  • Im Falle einer Infizierung eines Nutzers dürfen nur die Personen informiert werden, die sich für eine bestimmte Zeit in riskanter Nähe zu ihm befunden haben.
  • Die App darf dem Nutzer keine Informationen liefern, über die er herausfinden könnte, welche seiner Kontakte möglicherweise infiziert sind.
  • Die verantwortliche Behörde muss deutlich kommunizieren, wo Nutzer die App herunterladen sollen. Dies dient dazu sicherzustellen, dass sie keine Fälschungen installieren.

*Datenschutz
Spezielle Regeln beim Einsatz zentraler Server

Falls - wie bei der von der Bundesregierung gewählten PEPP-PT-Lösung - ein zentraler Server zum Einsatz kommt, dürfen auf ihm nur die unbedingt benötigten Daten gespeichert und verarbeitet werden. Die pseudonymisierten IDs von betroffenen Kontaktpersonen können nur mit dem Einverständnis des Nutzers gesammelt werden.

  • Es muss eine Methode geben, sicherzustellen, dass eine Person tatsächlich infiziert ist und keine Fehlalarme ausgelöst werden. Der EDSA schlägt vor, dass Kontaktpersonen erst nach der Überprüfung durch einen Angestellten im Gesundheitswesen durch einmalige Codes informiert werden.
  • Die auf dem Server gespeicherten Informationen dürfen den Betreiber nicht in die Lage versetzen, einen Infizierten oder dessen Kontakte zu identifizieren. Außerdem muss es unmöglich sein, Kontaktmuster zu erstellen, die nicht für die Erkennung gefährdeter Personen nötig sind.
  • Geräte, auf denen die App installiert ist, dürfen nur pseudonymisierte IDs austauschen. Diese IDs müssen nach dem neuesten Stand der Technik verschlüsselt generiert werden. Außerdem verlangt die EDSA, dass die IDs regelmäßig erneuert werden, um das Risiko einer Verfolgung und Identifizierung des Nutzers über Verlinkungen zu minimieren.

Vertrauen durch Kontrolle

  • Der EDSA fordert, dass die verwendeten Algorithmen überprüfbar sind und regelmäßig von unabhängigen Experten kontrolliert werden.
  • Der Quellcode der App muss veröffentlicht werden, damit er von jedem überprüft werden kann.
  • Wenn die Krise beendet ist, muss gewährleistet sein, dass die App keine IDs mehr weitergibt oder sammelt.
  • Alle gespeicherten Informationen müssen nach dem Ende des Ausnahmezustands von allen Geräten und Servern gelöscht werden.

Quelle: ntv.de, kwe