Hazamelistan

Dies und Das seit 2001

Die Datenspende

Als das Robert-Koch-Institut diese Woche seine „Datenspende-App“ vorgestellt hat, fand ich das erstmal eine gute Sache. Ein paar Gesundheitsdaten anonym freigeben, damit man verfolgen kann wie sich eventuell Corona in Deutschland verbreitet. In den USA hatte man sowas ähnliches Ende März ja schon an Hand von digitalen Fieberthermometern schön als Beispiel. Warum also nicht auch in Deutschland. Smartwatch, die das kann, habe ich ja. Und es ist eine staatliche Einrichtung mit der berüchtigten Datenschutzgrundverordnung. Ich hab das Ding also installiert und dann nahm das Drama seinen Lauf…

Vor ein paar Wochen meinte eine Kollegin zu mir in einem anderen Zusammenhang, dass wir vielleicht schlimmer wären, als der offizielle Datenschutz. Aus dem einfachen Grund, weil wir solides Wissen über Datenschutz und Datensicherheit aus beiden Welten hätten: fachlich und technisch. Aber zurück zur App…

Runterladen war kein Problem und drei bis fünf Klicks, der Auswahl meiner Smartwatch und Freigabe des Datenzugriffs hatte ich auch schon mein Pseudonym. Nicht schön, aber ein Pseudonym hat im Normalfall auch andere Aufgaben, als ästhetisch ansprechend zu sein. Dieses war ziemlich lang, wobei lang ja immer super ist, weil viel sicherer. Gleichzeitig war das aber der Moment in dem mein professioneller Teil des Kopfes sich das erste Mal mit einem leichten Räuspern bemerkbar gemacht hat. Mir kam das nämlich sehr bekannt vor: Die Art und Weise wie dieses Pseudonym aussah und dann diese kleine aber verräterische = am Ende. Wäre ja lustig, wenn die so doof wären, da einen Base64-String hinzupacken.

Kurzer Exkurs zu Base64 für Nicht-Techniker:
Base64 macht aus normalen Buchstaben einen unkritischen Buchstabensalat.
So wird aus dem schönen Wort Häckerwirtschaft sowas hier SMOkY2tlcndpcnRzY2hhZnQ=
Warum macht man das?
Im Normalfall um Sonderzeichen oder Umlaute auf dem Transportweg zu verstecken oder davor zu bewahren umformatiert zu werden. Auch bei verschlüsselten Daten mit vielen nicht darstellbaren Zeichen kann man so Daten auf binärem Weg übermitteln ohne dass etwas kaputt geht.
Also ein bisschen wie die Code-Scheiben aus dem Yps-Heft.

Wenn man das Rühren anfängt…

Als ich das ganze dann Online in einen Decoder gepackt habe, traute ich meinen Augen nicht. Doch man war so doof. Was dabei rauskam, ist wahrscheinlich das eigentliche Pseudonym oder Token für meinen Nutzer. Und es sieht wahrscheinlich aus wie bei allen anderen auch. Es fing mit de an, gefolgt von der Postleitzahl, die ich eingeben hatte, gefolgt von einer Zeichenfolge aus klein und Großbuchstaben. Und so leicht hat man mein Hirn getriggter. Warum „versteckt“ man das eigentliche Pseudonym vor dem Benutzer? Warum zeigt man ihm die Buchstabensuppe nicht direkt an. Aussagekräftiger als das Base64 ist das auch nicht. Will man den Nutzer vielleicht aus psychologischen Gründen nicht mit der Nase darauf stoßen, dass seine Postleitzahl im Klartext drin steht? Warum brauche ich noch das ‚de‘ vorne dran, wenn sich das RKI doch nur an Nutzer aus Deutschland wendet? Woher weiß die App überhaupt dass ich aus Deutschland bin?

Datenschutz ist ja so ne Sache von Vertrauen. Wenn jemand unbekanntes sagt, er geht verantwortungsvoll mit meinen sensiblen Daten um, dann muss ich ihm erstmal vertrauen. In den meisten Fällen kann ich eh nicht nachvollziehen, ob er oder sie sich wirklich an das hält was da steht. Außer der Kind ist schon in den Brunnen gefallen und ich bekomme mit, dass meine Daten geleakt wurden oder irgendwas anderes damit veranstaltet wurde. Bei der App war der Keim des Zweifels jetzt bei mir auf jeden Fall gesäht. Hier geht es ja immerhin um meine Gesundheitsdaten.

Nach kurzer Suche hat sich dann auch rausgestellt, dass die App zwar „in Rücksprache“ mit Datenschützern erstellt wurde, aber keine Datenschutzrechtliche Würdigung oder Prüfung durch das BSI stattgefunden hat. Das hört sich erstmal kleinlich an ist aber der Unterschied zwischen einem lockern Plausch und jemand der hier ernsthaft drübergeschaut hat und sozusagen eine Unbedenklichkeitserklärung ausgestellt hat. Dazu kommen dann vermehrt die Stimmen, dass die App obwohl von einer staatlichen Stelle wie dem RKI kommend, Closed-Source ist. Es kann also keiner von außen reinschauen, was das Ding wirklich macht. Damals als es um die ganzen Messenger und Ende-zu-Ende-Verschlüsselung ging, war das ein riesen Ding. So könne man ja kein Audit machen und rate von der Verwendung dringend ab. Ist es bei einem Messenger noch unkritisch, sieht das für mich hier eben dann doch ein bisschen anders aus.

…dann sollte man sich auch den Rest anschauen

Nachdem auf dem Weg nichts zu finden war, bin ich in den Text-Teil der App eingetaucht und, Spoiler-Alarm, mein Vertrauen wurde nicht sonderlich gestärkt.
Entwickelt hat die App nicht das RKI sondern ein Start-Up, dass im Mai 2019 mit einer App Gelder eingesammelt hat, mit der Token-basiert Gesundheitsdaten erfasst werden können. Die weitere Beschreibung las sich dann wie das Ding was das RKI gerade so schön vorgestellt hat. Die Daten gehen auch nicht ans RKI sondern werden eben von jenem Start-Up als Datenverarbeitung im Auftrag gesammelt. Sprich: Ich schicke meine Daten nicht ans RKI sondern eben an eine Privat-Firma, die dann die Daten verarbeitet.
Bei einem Lösch-Antrag könne es auch schonmal 30 Tage dauern auf Grund des Datenumfangs bis alle Daten gelöscht wären. Warum? Ich habe einen eindeutigen Key und mache einen Delete auf die Datenbank und schon sollten die Weg sein. Bei einem Datensatz pro Tag sollte das ja nicht so viel sein. Index und dann geht das sehr schnell, was soll da…
Ach, schau an: Die Daten werden „bis zu 10 Jahre“ aufgehoben. Ja, warum das jetzt? Weiß die Regierung da schon mehr als wir? 10 Jahre Ausgangsbeschränkung? Zur Einordunung: Steuerunterlagen haben einen Löschzeitraum von 6 Jahren. Und es ist auch immer ein bisschen ein Basar mit Datenschützern wie lange man Daten behalten darf. Im Grunde kann ich erstmal mit einer exorbitanten Forderung antreten und dann schaut man, warum man das so lange braucht. Und vor allem in welcher Form. Auch hier schlägt dann bei mir gleich wieder der Trigger zu:
Wenn das RKI eigentlich nur auf PLZ begrenzt Trends erfassen will, warum brauche ich dann überhaupt ein personenbezogenes Pseudonym? Ich übermittle einmal am Tag die Daten gepaart mit der PLZ und aggregiere alle Daten aus einem PLZ-Bereich. Dann ist nichtmal mit den schönsten Mitteln klar von wem die Daten kommen. Es besteht nicht mal die kleinste Chance irgendwie rauszubekommen wer da was geschickt hat. Es sind einfach Zahlen. Sollte dem RKI und eventuellen zukünftigen Forschergenerationen vollkommen ausreichen.
Schön war auch der Satz mit der Weitergabe an Dritte:
1. Absatz: Nee, machen sie nicht.
2. Absatz: Auch nicht an Facebook und Instagram
Egal welchen Sinn dieser Absatz 2 hatte, er fördert wieder nicht das Vertrauen.

Und tschüss!

Nachdem ich damit durch war, hatte ich keine Lust mehr auf die App und ich habe meinen Account gelöscht und die App vom Gerät geschmissen. Summiert waren es folgende Punkte

  • „Information-Hiding“ an der Oberfläche
  • Warum brauche ich überhaupt ein Pseudonym
  • Diskussionswürdige Datenschutzerklärung
  • Diskussionswürdiges Anwendungs-Design abgeleitet aus der Datenschutzerklärung
  • Fragwürdiger Umgang mit Zweckgebundenheit und Datensparsamkeit

Und während ich jetzt zwei Tage über dieses Thema gegrübelt habe, sind andere zum gleichen Schluss gekommen. Es scheint also weniger meine Paranoia zu sein, als viel mehr eben nicht State-of-the-Art im Datenschutzwunderland Deutschland.

Ich sage jetzt nicht, Finger weg, das ist böse! Dafür ist meine Faktenlage zu dünn. Aber die Fragen und Ungereimtheiten, die sich im Laufe der kurzen Analyse ergeben haben, waren mir für eine Pseudo-staatliche App dann doch zu viele. Wir reden hier ja nicht von Facebook, Google und Co, bei denen ich schon erwarte, dass sie Mist mit meinen Daten machen.
Am Ende muss jeder selber wissen, ob ihm das der Corona-Hype wert ist, dass er sich für bis zu 10 Jahre von seinen Daten trennt. Mir war’s das dann halt nicht.

Weiter Beitrag

Zurück Beitrag

© 2020 Hazamelistan

Thema von Anders Norén