Datenschutz in Zeiten von Corona / Covid-19

Seit mehr als einem Monat hält das Corona-Virus die Welt in Atem. Um die weitere Ausbreitung zu verhindern, setzen viele Staaten auf mehr Überwachung, stoßen dabei mitunter auf Widerstand bei Datenschützern und Bürgerrechtlern. Auch verstärkt genutzte Videokonferenzsysteme offenbaren Schwachstellen. Hier gelingt nicht selten Dritten das Einklinken und Abgreifen von Informationen, etwa durch "Zoombombing". 


Der Kampf gegen die weitere Ausbreitung des Corona-Virus hat auf allen Ebenen Priorität. Die Bürger sind aufgerufen, möglichst daheim zu bleiben und nur für die notwendigsten Aktivitäten das Haus zu verlassen, gearbeitet werden soll nach Möglichkeit im Home-Office, um direkte Kontakte zu vermeiden. Die Einhaltung der Maßnahmen wird dabei zunehmend strenger kontrolliert.

Wie sicher ist Datenweitergabe unter den Bedingungen der Quarantäne?

In Niedersachsen sorgte jetzt die Meldung für Aufsehen, nach der die Gesundheitsämter des Bundeslandes vom dortigen Gesundheitsministerium aufgefordert wurden, die Anschriften von Personen, die nach einem positiv ausgefallenen Corona-Test in häusliche Quarantäne geschickt wurden, an die Polizei weiterzugeben. Begründet wurde diese Maßnahme zum einen damit, dass Polizisten sich bei möglichen Einsätzen vor Ort schützen müssten, zum anderen sei diese Information aber auch für eine Überwachung der Quarantäne-Maßnahmen notwendig.

Niedersächsische Datenschutzbeauftragte verteidigt Gesundheitsdaten und ärztlichen Schweigepflicht

Diese Pläne riefen jedoch die umgehend die niedersächsische Datenschutzbeauftragte Barbara Thiel auf den Plan, die betonte, dass es hier um sensible Gesundheitsdaten und die Aufhebung der ärztlichen Schweigepflicht gehe. Für derartige Maßnahmen fehle es an einer gesetzlichen Grundlage. Zudem halte sie diese Maßnahmen für nicht effektiv und plädierte stattdessen für eine bessere Schutzausrüstung von Polizeibeamten.

Weiterhin Kritik an der Idee der Corona-Tracking-App

In der letzten Woche hatten Wissenschaftler eine europäische Plattform zu einem datenschutzkonformen Tracking von Corona-Infizierten per Smartphone-App vorgestellt, Das Projekt mit dem kryptischen Kürzel Pepp-PT (Pan-European Privacy-Preserving Proximity Tracking) setzt dabei zum einen auf eine freiwillige Teilnahme und will durch verschiedene technische Lösungen weitestgehende Anonymität gewährleisten. So werden etwa Nutzerkennungen immer nur temporär vergeben, um eine eindeutige Identifikation zu vermeiden. Der Datenaustausch zwischen den Smartphones erfolgt per Bluetooth, wobei nur Daten ausgetauscht werden sollen, wenn sich die Geräte (und damit die Personen) tatsächlich recht nahe kommen und die Gefahr einer Übertragung somit gegeben ist. Die Daten werden zudem ausschließlich lokal gespeichert, eine Übertragung auf zentrale Server ist nicht vorgesehen. Erst wenn bei einem Nutzer eine Infektion festgestellt wird, können die Betroffenen die Daten der Kontakte an einen Server melden, der dann wiederum diese Personen darüber informiert, dass sie Kontakt zu einem Virusträger hatten (→ Akzeptanz für Verwendung von Handy-Daten im Kampf gegen Corona steigt.)

Nicht alle Datenschützer sind einverstanden

Doch nicht alle Datenschützer zeigen sich von dem Konzept überzeugt, wie etwa ein Gastbeitrag des baden-württembergischen Landesdatenschutzbeauftragten Stefan Brink für Netzpolitik.org zeigt. Er äußert darin Zweifel an einigen der technischen Konzepte, wie etwa der Nutzung von Bluetooth für die Erfassung der Kontakte oder der Wirksamkeit des verwendeten Verfahrens zu Anonymisierung bzw. Pseudonymisierung. Ebenso hält er es für eher unwahrscheinlich, dass freiwillige Lösungen tatsächlich von einem Großteil der Bürger verwendet würden, zudem nutzten gerade in der besonders gefährdeten Altersgruppe viele Menschen nicht permanent ein Smartphone.

Andere Länder sind deutlich weniger heikel beim Handy-Tracking

Weniger Skrupel bei der Überwachung der Bürger hat dagegen beispielsweise Israel, wo nach einem Regierungsbeschluss jetzt Handys von Infizierten und Verdachtsfällen automatisch getrackt werden können und die Behörden von diesen Optionen schon umfangreich Gebrauch machen. Eingesetzt werden soll die Überwachung auch zur Kontrolle von Personen, die unter Quarantäne stehen. Das Tracking erfolgt dabei auch ohne richterlichen Beschluss. Die gesammelten Daten sollen zudem nicht wie zunächst vorgesehen, nach 30 Tagen automatisch gelöscht werden, sondern erst dann, wenn diese Regelung ausläuft.

Auch in Österreich will man die Smartphone in den Kampf gegen Corona und bei der Umsetzung von Lockerungen der Maßnahmen mit einbeziehen.

Videokonferenzen mit Sicherheits- und Datenschutzproblemen: Einklinken und Abgreifen

Datenschutzprobleme kann auch der Einsatz von Lösungen für Videokonferenzen mit sich bringen. Besonders betroffen waren etwa die Anwender der populären Software "Zoom", bei der gleich mehrere gravierende Schwachstellen nachgewiesen wurden. Bereits mit einfachen Mitteln bzw. durch Erraten einer Ziffernfolge (der Meeting-ID) konnten sich etwa Dritte in Videokonferenzen einklinken und hier auch unerwünschte Inhalte verbreiten, ein Phänomen, dem mit der Bezeichnung "Zoombombing" bereits ein eigener Begriff gewidmet wurde.

Wenn vertrauliche Konferenzen heimlich aufgezeichnet werden 

Andere Angriffe ermöglichten etwa das heimliche Aufzeichnen der Konferenzen oder das Auslesen von Passwörtern. Zudem wurde bekannt, dass Daten der Nutzer ohne deren Wissen an Facebook weitergegeben wurden, selbst wenn diese gar kein Facebook-Konto haben. Noch gravierender dürfte allerdings sein, dass Videokonferenzen keineswegs über den kompletten Übertragungsweg, also End-to-End, verschlüsselt werden, sondern auf den Zoom-Servern auch unverschlüsselt vorliegen, was etwa Abhörangriffe an diesen Punkten möglich macht.

Zoom hat nachgebessert, Zweifel an der Sicherheit der Lösung bleiben

Mittlerweile hat beim Hersteller reagiert und nachgebessert. So wird jetzt etwa ein Passwort benötigt, wenn man an einer Videokonferenz teilnehmen will du es gibt einen virtuellen Warteraum, aus dem heraus der Moderator eines Meetings die Teilnehmer manuell hinzufügen kann. Auch die Datenweitergabe an Facebook wurde gestoppt. Dennoch dürften aufgrund der vielen Mängel erhebliche Zweifel an der Sicherheit dieser Lösung bleiben.


Weitere News zum Thema:

Sind die Corona-Einschränkungen grundgesetzkonform?

Vorsicht, mit diesen Corona-Phishing-Mails und Betrugsversuchen müssen sie jetzt rechnen

Corona-Krise und Datenschutz: Was Arbeitgeber beachten müssen

Hintergrund: Zulässige Fragen in Betrieben

Nicht jeder Betrieb schließt wegen der Corona-Krise seine Pforten und schickt die Mitarbeiter ins Homeoffice. Vielfach ist das gar nicht möglich. Der Arbeitgeber muss also versuchen, den Gesundheitsschutz im laufenden Betrieb durch geeignete Maßnahmen sicherzustellen. Dazu kann gehören, den Zutritt zum Betrieb für Arbeitnehmer und Besucher zu beschränken und bestimmte Risikofaktoren auszuschließen. Doch welche Daten darf der Arbeitgeber erheben?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) hat für Fragestellungen im Zusammenhang mit der Corona-Pandemie  allgemeine Hinweise zum Datenschutz bereitgestellt. Folgende Fragen sind beispielsweise zulässig:

  • Wurde eine Infektion bei Ihnen festgestellt?
  • Haben Sie sich im relevanten Zeitraum in einem vom Robert-Koch-Institut als Risikogebiet eingestuften Gebiet aufgehalten?
  • Hatten Sie Kontakt mit einer nachweislich infizierten Person?
Schlagworte zum Thema:  Datenschutz