Amnesty International

Große Missstände bei internationalen Corona-Tracing-Apps

Amnesty International hat elf Corona-Apps untersucht. Die Anwendungen aus Bahrain, Kuwait und Norwegen könnten Menschenrechte verletzen. Die deutsche App ist vielversprechender.

Symbolbild Corona-Warn-App
Corona-Warn-App (Symbolbild). CC-BY-NC-ND 2.0 Prachatai

Experten für IT-Sicherheit von Amnesty International haben Corona-Tracing-Apps in elf Ländern im Nahen Osten, in Nordafrika und Europa analysiert. Das Ergebnis gibt Grund zur Sorge: Einige Apps gefährden Privatsphäre und Sicherheit der Nutzer:innen. Die Apps „BeAware Bahrain“ aus Bahrain, „Shlonik“ aus Kuwait und „Smittestopp“ aus Norwegen seien potentielle Massenüberwachungsinstrumente, heißt es in der Pressemitteilung von Amnesty. Das dezentrale deutsche Modell, für das seit Dienstag eine App verfügbar ist, könne laut Amnesty die Privatsphäre deutlich besser schützen.

Norwegen hat seine App mittlerweile zurückgezogen sowie angekündigt, alle bislang gesammelten Daten zu löschen. Amnesty fordert auch die Regierungen von Bahrain und Kuwait dazu auf, ihre übergriffigen Apps zu stoppen. „Sie übermitteln die Standorte der Nutzer in Echtzeit an eine zentrale staatliche Datenbank – ein Vorgehen, das im Rahmen von Maßnahmen des öffentlichen Gesundheitswesens kaum notwendig oder gar angemessen sein dürfte“, sagt Claudio Guarnieri, Leiter des Security Labs von Amnesty.

Hand mit Smartphone, das die norwegische App zeigt
Mittlerweile hat Norwegen die App deaktiviert. Alle Rechte vorbehalten helsenorge.no/

Nutzer:innen in Katar, Bahrain und Kuwait müssen sich mit einer nationalen ID-Nummer registrieren, in Norwegen ist die Registrierung an eine gültige Telefonnummer gebunden. Die Behörden dieser Länder können durch einen zentralen Ansatz diese vertraulichen persönlichen Daten leicht einer Person zuordnen.

In der App von Katar hatte das Security Lab eine große Sicherheitslücke gefunden. „EHTERAZ“ erfasst neben den GPS-Koordinaten die Bluetooth-Kontakte zwischen den Geräten der Nutzer und lädt diese hoch. Angreifer hätten auf die vertraulichen persönlichen Informationen von mehr als einer Million Menschen Zugriff erlangen können. Die Sicherheitslücke wurde behoben, nachdem Amnesty die Behörden Ende Mai über die Entdeckung in Kenntnis gesetzt hatte.

Corona-Apps aus Frankreich, Island und den Vereinigten Arabischen Emiraten verwenden ein zentralisiertes Modell, wobei Informationen über Kontakte zwischen den Geräten nur hochgeladen werden, wenn Nutzer freiwillig oder auf Anfrage der Gesundheitsbehörden melden, dass sie unter Symptomen leiden. Das zentralisierte Modell der französischen App zur Kontaktverfolgung werfe allerdings die Frage auf, ob es möglich wäre, die Anonymisierung der Nutzerdaten im Nachhinein aufzuheben. Amnesty kritisiert die mangelnde Transparenz über die Datenspeicherung.

Screenshots App Bahrain
Die App „BeAware Bahrain“ eignet sich laut Amnesty zur Massenüberwachung. Alle Rechte vorbehalten Königreich Bahrein

Daten auf Minimum begrenzen

Amnesty ist nicht gegen die Nutzung von Anti-Corona-Apps. Die Organisation betont aber, dass jegliche Datenerhebung auf den Zweck beschränkt sein muss, Covid-19 einzudämmen. Daten sollten nicht für andere Zwecke wie Strafverfolgung, nationale Sicherheit, Einwanderungskontrolle oder kommerzielle Zwecke verwendet werden. Außerdem müsse die Installation und Nutzung der Apps freiwillig sein.

Forderung nach Begleitgesetz in Deutschland

Markus N. Beeko, Generalsekretär von Amnesty International in Deutschland, lobt die Umsetzung in Deutschland: „Es ist gut, dass nach einer offenen Diskussion die deutsche App eine dezentrale Datenspeicherung, Freiwilligkeit und Transparenz vorsieht.“ Das sei Grundlage für das notwendige Vertrauen in die Nutzung der Technologie, so Beeko weiter.

Laut Amnesty könnte eine entsprechende noch zu verabschiedende Gesetzesgrundlage verhindern, dass die Funktionen der App in Zukunft schleichend ausgeweitet werden oder die Freiwilligkeit – auch durch private Akteure wie etwa Arbeitgeber – eingeschränkt werde. Hier könne Deutschland mit gutem Vorbild vorangehen. Das fordern auch andere, etwa der verbraucherzentrale Bundesverband oder Linke, Grüne und FDP im Bundestag. Bisher lehnen Regierungsvertreter:innen eine spezielle Gesetzgebung jedoch mehrheitlich ab, alles Erforderliche sei etwa durch die Datenschutzgrundverordnung abgedeckt.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

Eine Ergänzung
  1. Also auf Nachbohren bei der PK in D: „Verlangt der Arbeitgeber für das Diensthandy… finde wohl eine Abwägung zwischen ‚Infektionsschutz seitens des Arbeitgebers‘ und ‚Freiwilligkeit‘ statt“.

    Das ist ja süss. vollmundige Freiwilligkeit hilft bei „kannst ja klagen, Deutschland ist ein Rechtsstaat“?

    EU-Urheberrechtsreform lässt grüßen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.