Covid19: Contact Tracing muss offen und dezentral sein
Als Nachbrenner zu diesem Beitrag noch einige Gedanken zu der Notwendigkeit das eine solche “Contact Tracing App” quell offen und dezentral sein muss.
1. Eine Closed Source Anwendung erzeugt Misstrauen.
Gibt es keine Möglichkeit das jemand den Quellcode der Anwendung prüfen kann bleiben die berechtigten Zweifel, das es in der Anwendung etwas zu verstecken gibt. Gerade das jüngste Beispiel der Anwendung vom Robert Koch Institut belegt dies wieder. Hier gibt es glaubhafte und unwidersprochene Aussagen vom CCC das das RKI mehr Daten übernimmt als notwendig und angegeben.
2. Eine Closed Source Anwendung wird am Ende eh offen gestellt.
Auch in Norwegen gab es den Versuch eine Anwendung in Betrieb zu nehmen. Es gab die Befürchtung das es aufgrund der Eile Programmierfehler gäbe die dann entdeckt würden. Und sie hatten recht. Die Anwendung wurde decompiliert und Fehler wurden öffentlich gestellt. Das hätte man auch besser machen können wir Anwendungen in Israel und Tschechien zeigen. Die wurden gleich auf Github veröffentlicht und Interessierte können Verbesserungsvorschläge einbringen und die Sicherheit erhöhen.
3. Sie muss dezentral sein.
Nur ein Ansatz in dem die Daten auf verschiedenen Servern oder dem Smartphone selbst gespeichert werden verringert den Angriffsvektor und die Möglichkeit das die Daten später für fremde Zwecke missbraucht werden können. Es kann natürlich einen staatlichen Server geben auf dem jeder der möchte oder muss seine Daten abspeichern kann. Aber wenn ich es kann möchte ich für mich oder mein Umfeld einen eigenen Server mit den sensiblen Daten betreiben.
Dann kann es auch nicht passieren das auf einmal diese sensiblen Gesundheitsdaten in den Fandungsdatenbanken der Polizei landen, wie das in verschiedenen Bundesländern geschehen ist.
Und überhaupt, das ganze macht sowiso erst Sinn wenn der Nachweis über den Nutzen erbracht worden ist und ein sauberes IT Sicherheitskonzept vorhanden ist. Das scheint aktuell nach Aussage des Datenschutzbeauftragen Kelber noch nicht der Fall zu sein
Für eine datenschutzrechtliche Bewertung fehlen mir derzeit insbesondere Informationen zu der Frage, ob die App und das damit angestrebte Verfahren für den Zweck angemessen ist und die angestrebten Ziele tatsächlich erreicht werden können. […] Für eine Bewertung und letztlich eine Zustimmung zu der App fehle unter anderem auch ein IT-Sicherheitskonzept.
Und bis dahin sollten sich alle erst mal schön wieder hinlegen und an der Testinfrastruktur arbeiten.
Vielleicht sollte man die Anwendung auch in “Covid19 Warning App” umbenennen. Denn darum geht es eigentlich.