Desinfektionsmittel, Gesichtsmasken - und digitale Überwachung auf Schritt und Tritt. So kämpft Kuwait gegen Covid-19. Foto: afp
+
Desinfektionsmittel, Gesichtsmasken - und digitale Überwachung auf Schritt und Tritt. So kämpft Kuwait gegen Covid-19. 

Corona-Warn-App

Amnesty International: Einige Corona-Apps verstoßen gegen Menschenrechte

  • vonClara Gehrunger
    schließen

Claudio Guarnieri von Amnesty International spricht über die weltweite Untersuchung von Corona-Tracing-Apps. Einige Apps haben enorme Sicherheitslücken.

  • Corona-Warn-Apps: Digitales Mittel gegen die Corona-Krise
  • Amnesty International warnt vor einigen Corona-Apps

Ein Forschungsteam von Amnesty International hat in den vergangenen Wochen elf Corona-Tracing-Apps aus Nordafrika, dem Nahen Osten und Europa untersucht. Jetzt warnt die Organisation vor Verstößen gegen Menschenrechte. Einige der Apps hätten das Potenzial, als Massenüberwachungsinstrumente missbraucht zu werden. Claudio Guarnieri leitet das Security Lab von Amnesty International und hat die Untersuchung koordiniert.

Amnesty International: Nicht alle Corona-Apps nutzen Kontaktverfolgung

Herr Guarnieri, Sie haben Corona-Apps in elf Ländern aus Nordafrika, dem Nahen Osten und Europa auf Privatsphäre und Datenschutz hin geprüft. Warum genau diese Staaten?

Es hing zunächst davon ab, welche Länder zu Beginn der Recherche bereits solche Apps eingesetzt haben. Das war vor etwas mehr als einem Monat, als vor allem in Europa viele Länder noch mit der Entwicklung ihrer Apps beschäftigt waren. Dann haben wir unter den verfügbaren Apps die ausgesucht, die Kontaktverfolgung einsetzen. Das trifft nicht auf alle von Regierungen eingesetzten Apps zu.

In den Apps von drei Ländern haben sie „gravierende Menschenrechtsverstöße“ festgestellt. Welche sind das?

Norwegen, Bahrain und Kuwait. Dazu kommt Katar, wo wir eine sehr alarmierende Sicherheitslücke gefunden haben. Den Bericht dazu haben wir deshalb sogar schon im Vorfeld veröffentlicht. Diese Länder hoben sich ab, weil sie besonders in die Menschenrechte eingreifen. Norwegen war ein Sonderfall, denn es war zumindest in Europa das einzige Land, das auf dem Niveau den Datenschutz verletzte. In den Golfstaaten dagegen scheint das etwas häufiger vorzukommen, aber das Maß, in dem Bahrain und Kuwait in Echtzeit per GPS Daten über die Aufenthaltsorte der Nutzer erfassten und in eine zentrale staatliche Datenbank schickten, war vielleicht das überraschendste und besorgniserregendste Ergebnis.

Forschungsteam Amnesty International: Corona-App fragt Daten ab

Die Standortverfolgung ist das eine. Welche Elemente der Apps sind noch problematisch? Unterscheiden sie sich wesentlich?

Claudio Guarnieri , 33, untersucht für Amnesty, wie Technologien zur Repression eingesetzt werden. 

Die Apps in Bahrain und Kuwait fragen zusätzlich persönliche Daten der Nutzer ab, darunter die Ausweisnummer und die Telefonnummer. Die norwegische App verlangte nur Letztere. In den beiden Golfstaaten können die Daten dadurch genauer den Einzelpersonen zugeordnet werden. Wenn es aber um die Kontaktverfolgung geht, gibt es wenige Unterschiede. Die liegen zum Beispiel darin, in welchen Abständen die Daten abgefragt und auf den zentralen Speicherort geladen werden, in Norwegen geschah das in größeren Abständen.

Das norwegische Gesundheitsamt hat am Montag seine App zurückgezogen. Ist das Ihr Erfolg?

Man muss Norwegen zugestehen, dass die Behörden immerhin von Anfang an transparent über die App informiert haben. Ich denke, dass vielen Menschen dort bereits bewusst war, wie die App funktionierte. Einige haben ihre Bedenken geäußert, trotzdem gab es hohe Nutzerzahlen. Wir haben der Regierung, dem Gesundheitsamt und der für Datenschutz zuständigen Behörde unsere Kritik und Vorschläge mitgeteilt und sind mit der Organisation in Kontakt getreten, die die App konfiguriert hat. Anfangs war sie nicht einverstanden mit unserer Einschätzung. Sie war der Meinung, ihre Herangehensweise sei notwendig.

Corona-App in Katar greift laut Amnesty International in Privatsphäre ein

Wie kam es dann doch noch zur Änderung?

Erst in den letzten Tagen hat sich das geändert. Am Freitag hat die Behörde für Datenschutz die Regierung um ein gemeinsames Gespräch zu Datenschutzfragen gebeten. Montagmorgen hat die Regierung dann anscheinend spontan entschieden, die App zu deaktivieren und die gespeicherten Daten zu löschen.

Die Ergebnisse zur Corona-App in Katar fanden Sie so alarmierend, dass Sie den entsprechenden Bericht vorzogen. Warum?

Die Analyse der App von Katar haben wir gegenüber anderen Apps priorisiert, weil die Nutzung der App ab dem 22. Mai Pflicht für alle Einwohner war. Das ist sehr selten, und wir setzen uns grundsätzlich dagegen ein, weil das unter anderem Diskriminierung zur Folge haben kann. Die Sicherheitslücke, die wir gefunden haben, hätte es Hackern ermöglicht, in großem Stil essenzielle Daten wie Adressen, Namen, Ausweisnummern und Gesundheitsinformationen abzugreifen. Deswegen haben wir die zuständigen Behörden frühzeitig verständigt. Innerhalb von gerade einmal 24 Stunden haben sie daraufhin Maßnahmen ergriffen, um die Sicherheitslücke zu schließen. Es bleibt aber dabei, dass die App durch Kontaktverfolgung deutlich in die Privatsphäre eingreift.

Amnesty International zur Corona-App: Solche Apps sind oft problematisch

Die genannten Apps speichern Daten zentral ab. Wie schätzen Sie Apps ein, die wie in Spanien persönliche Informationen wie die Ausweisnummer und Adresse abfragen, aber dezentral speichern?

Grundsätzlich raten Datenschützer dazu, den Nutzern eine gewisse Anonymität zu garantieren und die Daten dezentralisiert auf den Handys zu speichern. Dass Menschen identifiziert werden könnten, ist eine Sache, ein größeres Problem wird es aber, wenn die Regierung zusätzlich zu der Identität die gesammelten Daten abrufen kann. Also beispielsweise nicht nur weiß, wer die App benutzt*, sondern auch, wo die Person sich befindet und mit wem sie sich trifft. Insbesondere Bewegungsprofile verraten viel über Menschen, und selbst über Bluetooth können soziale Beziehungen aufgedeckt werden. Das kann etwa für Aktivisten oder Journalisten eine Gefahr sein. Wenn solche Daten zentral gespeichert werden, können im Fall einer Sicherheitslücke massenhaft Informationen gestohlen werden. Ob eine App datenschutzrechtlich ein Problem darstellt, ist deswegen von Fall zu Fall unterschiedlich. Zu einem gewissen Grad sind solche Apps* immer problematisch.

Sie leiten das sogenannte Security Lab von Amnesty International. Was ist dessen Aufgabe?

Wir sind grundsätzlich für alle Überprüfungen von aufkommenden technologischen Entwicklungen und ihre Auswirkungen auf Menschenrechte zuständig. Unterstützt werden wir von Kollegen, die sich auf Menschenrechte und Rechtsfragen spezialisiert haben.

Interview: Clara Gehrunger

Mehr zum Thema

Kommentare