IT-Experten des TÜV checken Corona-App auf Datenschutz
Vertrauen und Akzeptanz sind entscheidend dafür, dass die Corona-Warn-App ein Erfolg wird. IT-Experten des TÜV prüfen sie nun auf Datensicherheit. Worauf sie besonders Wert legen:
Datenschutz und Persönlichkeitsrechte stehen ganz oben. "Ob diese Anforderungen im Detail auch so umgesetzt wurden, ist Gegenstand unserer Prüftätigkeit", erklärt Christian Freckmann, Abteilungsleiter Business Security & Privacy bei TÜViT. Um ihn herum analysieren Pentester bereits die ersten gelieferten Quellcodes. Datenschützer prüfen dann zum Beispiel, ob Datenschutzrichtlinien, Einwilligungserklärungen und das Datenschutzkonzept hinlänglich implementiert sind. "Wir haben uns gut vorbereitet und Kapazitäten geblockt. Dennoch sind in den Büros von TÜViT in Essen derzeit Überstunden angesagt", so Freckmann. Schließlich soll die App so schnell wie möglich verfügbar sein. Ohne die gebotene Sorgfalt geht das jedoch nicht.
Corona-Warn-App soll Lockerungen unterstützen
Nach dem Corona-Lockdown der Vormonate stehen die Zeichen in Deutschland zunehmend auf Rücknahme der Einschränkungen. Unterstützen soll dabei eine Corona-Warn-App, die derzeit mit Hochdruck von SAP und T-Systems entwickelt wird. IT-Sicherheit und die Einhaltung des Datenschutzes der App sollen nun von unabhängiger Stelle geprüft werden. Damit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt TÜViT beauftragt. Die Einbindung von TÜViT soll unter anderem für mehr Akzeptanz in der Gesellschaft sorgen.
Durch geeignete Lockerungsmaßnahmen gewinnen gesellschaftliches Leben und die Wirtschaft wieder an Fahrt. Allerdings entstehen auch neue Infektionsketten, sind Transparenz und Geschwindigkeit die entscheidenden Faktoren, um eine erneute Ausbreitung des Virus einzudämmen.
Viele Länder setzten deshalb auf den Einsatz digitaler Hilfsmittel wie Corona-Apps. In Fachkreisen ist man sich einig: Nur, wenn diese auch von rund 60 Prozent der Bevölkerung genutzt werden, lässt sich damit eine deutliche Wirkung erzielen. Die Akzeptanz weiter Bevölkerungsteile ist der Schlüssel für einen flächendeckenden Einsatz der App, weiß auch Dirk Kretzschmar, Geschäftsführer der TÜV Informationstechnik GmbH (TÜViT). Genau da setzen die IT-Security-Experten aus Essen an. "Mit einer TÜViT-Prüfung können wir das Vertrauen in der Öffentlichkeit zur Verwendung der App erheblich steigern und darüber hinaus im Gegenzug noch viel mehr Lockerungen ermöglichen", ist Kretzschmar überzeugt.
So soll der Datenschutz gewahrt bleiben
Auf IT-Security, Datenschutz und Persönlichkeitsrechte wird bereits in der App-Entwicklung höchstes Augenmerk gelegt. So werden beispielsweise keine Bewegungsprofile getrackt. Deutschland setzt stattdessen auf einen dezentralen Ansatz mit Tracing per Bluetooth-Technologie. Dabei wird der Abstand zwischen zwei Smartphones gemessen. Sinkt der für gewisse Zeit unter einen kritischen Wert, tauschen beide Geräte einen verschlüsselten Code aus. Erst im Nachgang erfährt ein Nutzer völlig anonym über einen Abgleich ausschließlich auf dem Smartphone, dass er unmittelbaren Kontakt zu einer infizierten Person hatte.
Zudem gilt das Prinzip der Freiwilligkeit. Das beginnt schon beim Download der App. Ob Betroffene ihr eigene Infektion melden, entscheiden sie selbst. Wird die App gelöscht, gilt das auch für die Daten. Personenbezogene Informationen werden hingegen gar nicht erst erhoben.
Marktforscher ermitteln Ansprüche der Nutzer
Die geplante Ausgestaltung der Corona App kommt den Wünschen der Deutschen schon ziemlich nahe, Knackpunkt bleibt die kritische Nutzermasse. Hat ein unabhängiges Forschungsinstitut die Verantwortung und Kontrolle über die App, ist die Nutzung freiwillig, geschieht die Kontaktverfolgung anonym und werden die Daten nur für die Zeit der Pandemie - dezentral - gespeichert, dann ist die Akzeptanz in der Bevölkerung am höchsten. Damit die Bürger eine solche App in der Realität auch tatsächlich nutzen, sind Transparenz, Aufklärung und Vertrauen wichtig. Dies zeigen die Ergebnisse der Studie "Downloadbereitschaft einer Contact Tracing App in Deutschland" des Nürnberg Institut für Marktentscheidungen und der Cass Business School aus London.
In der vorliegenden Studie wurden den Teilnehmern verschiedene App-Varianten mit elf Merkmalen vorgelegt und ermittelt, welche Optionen sie bevorzugen und welche sie ablehnen. Ziel war es, die Akzeptanzraten bzw. die Downloadbereitschaft für verschiedene App-Konfigurationen zu ermitteln.
Anonymität und Freiwilligkeit gewünscht
Der Blick auf die einzelnen Merkmale einer Contact Tracing App zeigt: Am wichtigsten ist für potentielle Nutzer, wer die App betreibt und überwacht. Hier gilt ein unabhängiges Institut, wie es etwa das Robert Koch-Institut (RKI) darstellt, als "Idealbesetzung". Ganz oben auf der Akzeptanzliste der Anwender stehen zudem die freiwillige Nutzung der App und die Anonymisierung der Kontaktverfolgung sowie der Datenschutz, d. h. es werden keine Standortdaten erhoben und es gibt ein Enddatum für die Speicherung - das Ende der Pandemie.