Datenschutz vs. Corona-Virus – Was [nicht nur] Unternehmen beachten müssen

Dossier

„… Speichert ein Unternehmen beispielsweise die Information, dass ein Mitarbeiter Symptome des Coronavirus zeigt, handelt es sich bereits um ein Gesundheitsdatum. (…) Unternehmen können durch Selbstauskunfts- oder Fragebögen zum Aufenthaltsort und Symptomen die Gesundheitsdaten ihrer Mitarbeiter erheben und speichern. Sie können auch anlassbezogene Befragungen nach Dienstreisen oder Kontakt zu Verdachtspersonen durchführen. Im Falle eines positiven Befunds bei einem Mitarbeiter (durch eine offizielle Stelle) oder sogar bei einem bestätigten Kontakt zu einer positiv getesteten Person muss es zulässig sein, Informationen über den betroffenen Mitarbeiter zu verarbeiten, z.B. Zeitpunkt und enge Kontaktpersonen sowie ergriffe Maßnahmen (…). Es dürfte aber nicht zulässig sein, von allen Mitarbeitern verpflichtend die Informationen zu Reisezielen und Gesundheitszustand abzufragen. Auch ist es unzulässig, pauschal Informationen über Grippesymptome bei Mitarbeitern zu erheben oder von Kollegen mitteilen zu lassen (…). Die Fiebermessung von Mitarbeitern am Eingang des Betriebsgeländes und sonstige medizinische Maßnahmen (z.B. Rachenabstriche für Speichelproben) können unter engen Voraussetzungen mit § 26 Abs. 3 BDSG gerechtfertigt werden. Eine Fiebermessung kann durchaus als zulässig angesehen werden, wenn die Ergebnisse nur für eine Einlasskontrolle mit Entscheidung Zutritt ja/nein genutzt werden oder wenn die Maßnahmen rein freiwillig ohne Nutzungsverpflichtung sind. (…) Äußerst kritisch sind andere derzeit diskutierte Maßnahmen zu betrachten, bspw. die Handyortung von Infizierten, um Kontaktpersonen besser ermitteln zu können oder die Nennung konkreter Adressen von Infizierten, wie sie in Singapur durchgeführt wird. Jedenfalls könnte diese nur durch den Staat die befugten staatlichen Stellen zum Schutz der öffentlichen Gesundheit durchgeführt werden, nicht individuell durch einzelne Unternehmen…“ Infos vom 10. März 2020 von und bei BHO Legal . Siehe auch unser Dossier: Die Gesundheitsdiktatur (?). Notstand wegen dem Corona-Virus verlangt nach Wachsamkeit gegenüber dem Staat und hier speziell zum Datenschutz:

• Jahresbericht zum Datenschutz: Von Corona, Cookies und Beschäftigtendatenschutz / Gesundheitsdaten dürfen nicht zur Eintrittskarte werden / Corona-App keine Dauerlösung
  • Jahresbericht zum Datenschutz: Von Corona, Cookies und Beschäftigtendatenschutz
    „… Das zweite Pandemiejahr hat Spuren bei Ulrich Kelber hinterlassen. Den heute veröffentlichten Tätigkeitsbericht des Bundesdatenschutzbeauftragten (BfDI) dominieren Gesundheitsthemen, von der Corona-Warn-App über die Pandemie-Software Sormas bis hin zur Elektronischen Patientenakte. „Das heißt aber nicht, dass die restliche Welt sich nicht weiter bewegt hätte“, sagt Kelber in einer Pressemitteilung . Im Gegenteil…“ Beitrag von Tomas Rudl vom 05.04.2022 bei Netzpolitik 
  • Warnung des obersten Datenschützers: Gesundheitsdaten dürfen nicht zur Eintrittskarte werden
    „Mit dem QR-Code nachweisen, dass man geimpft ist: Für viele Menschen ist das in der Pandemie Alltag. Der Bundesdatenschutzbeauftragte Ulrich Kelber warnt davor, das als Dauerlösung zu sehen. Der Bundesdatenschutzbeauftragte Ulrich Kelber hat davor gewarnt, Gesundheitsdaten dauerhaft für bestimmte Berechtigungsnachweise heranzuziehen. In der Coronapandemie sei es Alltag geworden, beim Betreten von Restaurants, Kinos, Stadien und anderen öffentlichen Orten per App seinen Impfstatus nachzuweisen, so Kelber. »Das ist praktisch und unter den Umständen auch datenschutzfreundlich gelöst.« Es dürfe aber auf keinen Fall zum Standard werden, dass Gesundheitsdaten überall als eine Art Eintrittskarte verwendet würden, sagte Deutschlands oberster Datenschützer am Dienstag bei der Vorlage des Tätigkeitsberichtes seiner Behörde. Verhindert werden müsse auch, dass Arbeitgeber dauerhaft Einblick in sensible Daten erhalten, meint Kelber: »In der Debatte über die Impfpflicht an Arbeitsplätzen haben wir erlebt, dass einige sich wünschen, mehr dieser Daten dauerhaft auch als Arbeitgeber verarbeiten zu dürfen.« Gesundheitsdaten seien aber eine besonders zu schützende Kategorie. Bei einem Verstoß gegen diesen Grundsatz würden Daten gegenüber einem Dritten offenbart, mit dem man ohnehin in einem ungleichen Machtverhältnis stehe. »Das darf nicht passieren.«...“ Meldung vom 05.04.2022 beim Spiegel online 
  • Corona-App keine Dauerlösung. Bundesdatenschutzbeauftragter legt Jahresbericht vor. Gesetzliche Regelungen für Arbeitswelt angemahnt
    „… Für die Arbeitswelt mahnte der Datenschutzbeauftragte gesetzliche Regelungen an. Die Diskussion um die Kontrolle zur Einhaltung der 3G- oder gar 2G-Regelungen am Arbeitsplatz habe »exemplarisch aufgezeigt, wie notwendig, sinnvoll und überfällig Regelungen zum Beschäftigtendatenschutz sind«, so der Bericht. Ein Entwurf liege bereits vor. Die Digitalisierung der Lebens- und Arbeitswelt werde – auch pandemiebedingt – immer schneller vorangetrieben. Der Einsatz sogenannter künstlicher Intelligenz (KI) und maschinellen Lernens nehme deutlich zu, aber nicht immer sei klar, »ob Programmierung, Auftrag, Training und Ergebnis wirklich den gesteckten Zielen entsprechen«, betonte Kelber. Indirekt kritisierte er damit auch Praktiken der Überwachung von Beschäftigten, wie sie etwa aus den hochmodernen Verteilzentren des Onlinegiganten Amazon berichtet werden. Dort können Vorgesetzte über Scanner praktisch sekundengenau verfolgen, was ihre Mitarbeiter tun und lassen.“ Artikel von Kristian Stemmler in der jungen Welt vom 6.4.2022 
  • Siehe auch: Vertrauen ist gut, Rechte sind besser: DGB legt Gesetzentwurf für ein eigenständiges Beschäftigtendatenschutzgesetz vor
• Fußballfans fordern Abbau der Überwachung nach der Pandemie 
  „… Zur Bekämpfung der Corona-Pandemie wurde in den Stadien die namentliche Bindung von Tickets eingeführt, eine Maßnahme, die von der Innenministerkonferenz immer wieder und unabhängig von Corona gefordert wurde. Die Bundesregierung hat für den 20. März groß angelegte Lockerungen der Corona-Maßnahmen angekündigt. Im Zuge dieser Lockerungen fordert der Dachverband der Fanhilfen, eine Interessenvertretung von Fußballfans, ausdrücklich auch Lockerungen für Fußballfans und den Stadionbesuch. „Das Mittel der personalisierten Tickets lehnen wir entschieden ab“, heißt es in einer Pressemitteilung des Verbandes. (…) „Dauerhaft eingeführte personalisierte Tickets würden lediglich dazu führen, dass die Sicherheitsbehörden noch mehr Daten über einzelne Fans sammeln würden, die nicht selten illegal weitergereicht werden, wie einige Fanhilfen zuletzt aufgedeckt haben.“ (…) In der Tat sind tausende Fußballfans in der Datei „Gewalttäter Sport“ gespeichert, einer Datenbank, die keine rechtmäßige Verurteilung erfordert und in die so auch immer wieder unbescholtene Fans gelangen und dann bei Kontrollen stigmatisiert werden. Diese Daten wurden teilweise unter fragwürdigen Umständen an Ausrichter internationaler Fußballwettbewerbe, unter anderem an Russland weitergegeben. Bei Auskunftsersuchen von Fans kam es außerdem in Bremen vor, dass diesen über sie gespeicherte Daten verheimlicht wurden. (…) Die Forderungen der Fußballfans sind auch spannend vor dem Hintergrund um die Diskussion, ob nach der Corona-Pandemie auch wirklich alle Grundrechtseinschränkungen abgebaut werden. Zu den realen Grundrechtseinschränkungen durch staatliche Maßnahmen kommt auch eine Gewöhnung der Gesellschaft an Überwachungstechniken wie permanente Check-Ins, dem Abgeben von Namen und Adressen an vielen Orten sowie personalisierte Eintrittskarten nicht nur beim Fußball – und damit Datensammlungen bei Unternehmen. Durch die Pandemie könnte der Trend zu elektronischen Vorverkäufen mit namentlicher Registrierung auch in anderen Bereichen wie Konzerten und Festivals endgültig Einzug erhalten. „Wenn wir überall namentlich erfasst werden, dann weckt das Begehrlichkeiten“, sagte Linus Neumann, Sprecher des Chaos Computer Clubs, zuletzt zu diesem Thema gegenüber netzpolitik.org. Gerade habe man das an der Nutzung von Luca-Daten durch die Polizei gesehen. „Solche Szenarien werden wir häufiger haben, je mehr die Teilnahme am Leben personalisiert gespeichert wird.“ Beitrag von Markus Reuter vom 22. Februar 2022 bei Netzpolitik – siehe weiter unten weitere Meldung zur Problematik
• Das Märchen von Luca: Jeder Krieg, jede Krise bietet Chancen für schlaue Opportunisten 
  „Jeder Krieg, jede Krise bietet Chancen für schlaue Opportunisten. Corona-Sieger könnte in diesem Hinblick das Startup culture4life werden, Entwickler der allgegenwärtigen Luca-App. Jeder kennt jenen QR-Code, den man in Läden, Kneipen und Restaurants vorweist, anstatt einen Zettel bekritzeln zu müssen. „Nur edle Zwecke“ hätten den Rapper Smudo und seine Freunde dazu bewegt, sich an der Kontaktverfolgungssoftware zu beteiligen. Doch eingetragen beim Patentamt hatten sie vorsichtshalber kommerzielle Zwecke wie die Reservierung, den Vorverkauf und das Ausstellen von Tickets für Veranstaltungen. Sei’s drum. Von der Pandemie überforderte Gesundheitsämter und unter Tatendrang leidende Länderpolitiker hechteten sich auf die Luca-App wie auf einen Rettungsring. Ohne Ausschreibung, obwohl es viele Mitbewerber gab. Ohne auf die Warnungen von IT-Experten zu hören, die Software habe erhebliche Datenschutz- und Sicherheitslücken. Mit Verträgen, die dem Startup ein Recht auf Kommerzia- lisierung einräumten. Auf das digitale Neugeborene regneten märchenhafte 21 Steuermillionen. Da die Nutzung den Bürgern durch staatliche Verordnungen quasi auferlegt wurde, installierten 40 Millionen Menschen die Luca-App. Somit verschaffte sich das Privatunternehmen, ohne einen Cent für Werbung ausgeben zu müssen, eine ähnlich breite Nutzerbasis wie WhatsApp oder Instagram in Deutschland. Die Kontaktverfolgung selbst hat nie richtig funktioniert, seit der Omikron-Welle haben sie die Gesundheitsämter ohnehin mehr oder weniger aufgegeben. Damit wäre das hygienefördernde Projekt vorbei, bis April laufen die Lizenzen aus. Dennoch ist CEO Patrick Hennig zuversichtlich: Es gibt ein Leben nach Corona. Jetzt erwähnt er offen, mit der Luca-App Facebook und Google zu überlisten, um sich „an die Spitze der digitalen Bewegung“ zu setzen. Gedacht wird zudem an ein eigenes Bezahlsystem, das in der Gastronomie und der Veranstaltungsbranche Visa oder Mastercard ersetzen würde. Ist also Luca die Hexe, die aus Virusbekämpfung und amtlicher Inkompetenz Gold zaubern kann? Noch ist der Schluss der Geschichte offen. Denn ihre unfreiwilligen Geburtshelfer können ihre freiwilligen Totengräber sein. Dafür reicht es, wenn jeder auf seinem Smartphone die App deinstalliert, die es niemals hätte geben dürfen.“ Kommentar von Guillaume Paoli in ver.di publik Ausgabe 01/2022 
• Zweckentfremdung [?]: Brandenburgs Justizministerin will Luca-Daten für Ermittlungen nutzen 
  „Brandenburgs CDU-Justizministerin Hoffmann will die Pandemie-Daten aus der Luca-App für die Strafverfolgung nutzen. Das Land ist eines der letzten, das den Vertrag mit den Betreibern der App noch nicht gekündigt hat. (…) Nur eines von 18 brandenburgischen Gesundheitsämtern hat Luca überhaupt regelmäßig zur Kontaktverfolgung genutzt. Seinen ursprünglichen Zweck, nämlich die Pandemiebekämpfung, erfüllt die App schon lange nicht mehr. Die Gesundheitsministerium des Landes Brandenburg hatte angedeutet, dass der Vertrag mit Luca gekündigt werden soll. Das hindert die brandenburgische Justizministerin Susanne Hoffmann (CDU) laut einem Bericht des RBB allerdings nicht daran, jetzt zu fordern, Kontaktdaten der Luca-App auch für die Verfolgung von Straftaten zu nutzen. Die Justizministerin nannte laut dem Bericht „gewaltsame Auseinandersetzungen in einer Lokalität, die in einem Tötungsdelikt endet“ oder eine „Vergewaltigung in einem Restaurant“ als Beispiele für eine Nutzung der Luca-Daten. Bislang haben Staatsanwaltschaften in Brandenburg noch nicht auf Luca-Daten zugegriffen, sagte der Innenminister des Landes kürzlich im Innenausschuss. Datenschützer:innen kritisieren seit Langem, dass zur Infektionsbekämpfung erhobene Daten für die Strafverfolgung zweckentfremdet werden. Das Infektionsschutzgesetz sieht eine Zweckentfremdung nicht vor. Schon bei der Einführung von Papierlisten in Bars und Restaurants hatten Ermittlungsbehörden auf diese zugegriffen, dies setzt sich nun bei der digitalen Kontaktverfolgung mit Luca fort. Luca hat sensible Daten, wer sich wann an welchem Ort eingecheckt hat. (…) Ob die von der Justizministerin geäußerte Rechtsauffassung sich irgendwie auswirkt, ist allerdings fraglich. Es ist wahrscheinlich, dass auch Brandenburg seinen Vertrag mit Luca demnächst kündigt und wenn die Löschfristen durch die Luca-Betreiber eingehalten werden, gibt es die Daten, welche die Justizministerin nutzen will, bald gar nicht mehr…“ Beitrag von Markus Reuter vom 11. Februar 2022 bei Netzpolitik 
• Corona-Kontaktnachverfolgung – Polizei fragt in mehr als 100 Fällen Daten von mindestens 500 Personen ab 
  „Seit Einführung der Kontakterfassung in Restaurants und Geschäften im Jahr 2020 haben deutsche Strafverfolgungsbehörden in mehr als 100 Fällen Daten aus Corona-Kontaktlisten oder mindestens einem Fall aus der Luca-App erhoben. Das geht aus einer bundesweiten ZDFheute-Umfrage unter allen Staatsanwaltschaften und Landesdatenschutzbeauftragten hervor. In mindestens fünf Fällen wurden die Daten abgefragt, obwohl das Infektionsschutzgesetz dies zu diesem Zeitpunkt eigentlich untersagte. Die Strafverfolgungsbehörden haben bei den Abfragen die Daten von mindestens 500 Personen erhoben. Tatsächlich dürften die Daten in noch mehr Fällen erhoben worden sein. Derartige Datenabfragen werden bei den Staatsanwaltschaften nicht gesondert erfasst, so dass die Zahlen vor allem auf der Erinnerung der Beamten beruhen. Da ist es in vielen Fällen nicht eindeutig, aus welchen Quellen die Daten stammen. Zudem gibt es Fälle, in denen die Polizei die Daten ohne Wissen der Staatsanwaltschaft erhoben hat…“ Recherche von Christian Deker vom 20.01.2022 beim ZDF 
• Trotz Verbot: Bochumer Polizei ruft Daten von Luca-Konkurrent ab 
  „Auch bei der Luca-Konkurrenz fragte die Polizei Daten von Clubbesuchern ab – rechtswidrig, wie der NRW-Justizminister betont. Die Bochumer Polizei hat Personendaten ausgespäht, die über die Check-in-Funktion der Recover App erhoben wurden. Diese waren für den Infektionsschutz erhoben worden und wurden wie in einem ähnlichen Fall in Mainz, bei welchem die Luca-App zum Einsatz kam, von der Polizei rechtswidrig abgerufen. Hintergrund war laut einem Bericht der Lokalzeitung Kölner Stadt-Anzeiger eine Schlägerei in einem Bochumer Club. Im Zusammenhang damit erwirkte die Bochumer Staatsanwaltschaft einen Durchsuchungsbeschluss. Mit diesem klingelten Polizeibeamten am 20. Juli 2021 bei dem Büro der Firma Railslove in der Kölner Südstadt und verlangten die Herausgabe der eigentlich zum Infektionsschutz erfassten persönlichen Daten der Clubbesucher. (…) Die verschlüsselt beim App-Hersteller Railslove gespeicherten Daten konnten allerdings nur vom jeweiligen Veranstalter abgerufen beziehungsweise entschlüsselt worden. Laut dem Bericht fuhren die Beamten anschließend zurück nach Bochum, um die Daten direkt beim Clubbesitzer abzuschöpfen. (…) Auch die Corona-Gästelisten aus Papier wurden während der Pandemie mehrfach von der Polizei zu Strafverfolgungszwecken genutzt. In der baden-württembergischen Stadt Reutlingen bestanden Beamte der örtlichen Polizeibehörde bei einer Kulturveranstaltung gar darauf, die Listen stichprobenartig abzufotografieren. Diese Fotos würden bei jeder Kontrolle erstellt und seien für den Prüfbericht notwendig, so die Begründung der Beamten. Der Landesdatenschutzbeauftragte bemängelte dieses Vorgehen als Reraktion auf eine Anfrage von Golem.de .“ Artikel von Moritz Tremmel vom 14. Januar 2022 bei Golem 
• Mainz: Polizei bekam und nutzte Luca-Daten von Kneipenbesuchern ohne Rechtsgrundlage – dass das rechtswidrig war, fiel der Staatsanwaltschaft erst im Nachhinein auf 
  „Die Mainzer Polizei hat für Ermittlungen Daten aus der Luca-App ohne Rechtsgrundlage beim Gesundheitsamt genutzt. Das haben Recherchen des SWR aufgedeckt. Eine Person war nach einem Kneipenbesuch gestürzt und einige Tage später an den Folgen verstorben. Beamte der Polizei fragten bei der Kneipe nach Luca-Daten, um andere Gäste zum Vorfall zu befragen. Weil die Kneipe die Daten nicht herausgeben konnte, gingen die Ermittler den Weg über das Gesundheitsamt. Die verantwortliche Kneipen-Mitarbeiterin sagt gegenüber dem SWR, dass sie dann vom Gesundheitsamt eine Anfrage bekommen habe, dass sie die Daten für den 29. November freigeben solle, was sie auch tat. Ein Gast bestätigte später dem SWR, dass die Polizei angegeben habe, dass sie über die Luca-Daten auf ihn gekommen sei. Insgesamt hat die Polizei auf diesem Weg 21 Zeugen ausfindig gemacht, berichtet der Sender. (…) Es war nur eine Frage der Zeit, bis die Daten der Luca-App das Interesse der Strafverfolger wecken würden. Denn wenn der Schutz der Privatsphäre nicht technisch gesichert ist, sondern die Daten vorhanden sind, dann gilt immer die alte Datenschützerweisheit: „Wo ein Trog ist, da kommen die Schweine.“ Denn dass die Staatsanwaltschaft die Luca-App-Daten für ihre Ermittlungen praktisch findet, überrascht nicht. Dass man nicht sofort eine Rechtsgrundlage parat hatte, fiel offenbar erst nachher auf. Luca wird derzeit noch in vielen Gastronomiebetrieben zur Kontaktverfolgung genutzt. Eine Nutzung der Luca-Daten ist laut dem Infektionsschutzgesetz aber nur zur Pandemiebekämpfung und nicht zur Strafverfolgung zulässig. Das erkannten die Ermittler aber erst später und drücken heute ihr Bedauern wegen des unzulässigen Datenzugriffs aus. Schon vor der Luca-App hatten Ermittlungsbehörden immer wieder auch Papierlisten in Gastronomiebetrieben für Ermittlungen genutzt…“ Beitrag von Markus Reuter vom 7. Januar 2022 bei Netzpolitik  – siehe auch:
• Neue Geschäftsmodelle: Wie Luca nach der Pandemie weiter Kasse machen kann
  „Derzeit kämpfen die Betreiber zusammen mit einer Lobbyagentur dafür, dass die Bundesländer die Verträge mit Luca nicht kündigen. Aber was machen Smudo & Co bei einem Aus mit ihren 40 Millionen Nutzer:innen? (…) Bis Ende Februar müssen sich die Bundesländer entscheiden, ob sie den Vertrag mit der umstrittenen Luca-App kündigen oder den Dienst ein weiteres Jahr nutzen wollen. Die Einführung der privaten Kontaktverfolgungs-App war von Sicherheitslücken und Pannen begleitet. Zuletzt zeichnete sich ab, dass die Gesundheitsämter gar nicht mehr in der Lage sind, die App sinnvoll zu nutzen. Das große Bundesland Bayern hat Luca in den letzten 14 Tagen gar nicht mehr zur Kontaktverfolgung eingesetzt. Zahl der abgefragten Kontakte in diesem Zeitraum: 0. Vollkommen offen ist derzeit, wie es mit Luca weitergeht – und auch, was die Betreiber im Falle einer Nichtverlängerung mit der App machen werden. (…) Schon in einer früheren Präsentation von Luca, die durch eine Informationsfreiheitsanfrage im April 2021 öffentlich wurde, wird im Teil „Ausblick/Vision“ davon gesprochen, dass Luca auch nach der Pandemie Nutzern, Betreibern und Gesundheitsämtern einen Mehrwert bringen könne. (…) Derzeit ist in den Allgemeinen Geschäftsbedingungen eine Nutzung der App zur Kontaktverfolgung festgeschrieben. Dort steht aber auch, dass Luca die Nutzungsbedingungen jederzeit ändern kann. Diese Punkte und die Klausel in dem öffentlich gewordenen Vertrag weisen darauf hin, dass die Luca-Betreiber ihr Modell öffnen könnten: weg von der staatlich verordneten Corona-App hin zu einer privaten Veranstaltungs- und Gastro-App oder einem ganz anderen Geschäftsmodell. Die Macher hätten den Vorteil, dass die App schon auf Millionen von Smartphones in Deutschland installiert ist. Ein klarer Wettbewerbsvorteil in einem Markt, auf dem andere viel Geld für eine vergleichbare Nutzer:innenzahl ausgeben müssen. Einfach umstellen auf ein anderes Geschäftsmodell können die Luca-Macher allerdings nicht. Bei einer anderen Verwendung der Daten der Nutzer:innen müssen diese laut der Datenschutzregeln der EU ihr Einverständnis zu neuen Einsatzzwecken und Geschäftsmodellen geben. Für den Start-up-Kenner Rottmann ist klar: „Genau deshalb gehören solche Apps entweder streng aus dem privatwirtschaftlichen Raum heraus, oder es müssen transparente, offene und klare Verträge her, die unter anderem regeln, was ’nach der Pandemie‘ mit den angefallenen Daten passiert und auch mit der App selbst.“ Dennoch hätten die Nutzer:innen eine Wahl, sagt Rottmann: Sie könnten Luca einfach deinstallieren. Die Corona-Warn-App reiche vollkommen aus. „Wenn Millionen Menschen die App konsequent von ihren Smartphones verbannen, fehlen Luca einfach starke Argumente im Vertrieb eines neuen Geschäftsmodells.“…“ Beitrag von Markus Reuter vom 6. Januar 2022 bei Netzpolitik 
• Bundesrat billigt IfSG-Änderung: Fragerecht des Arbeitgebers nach dem Impfstatus kommt 
  „… Zwei Neuregelungen hat der Bundesrat für das Infektionsschutzgesetz beschlossen: Einmal sollen die Corona-Maßnahmen sich künftig vor allem an der Zahl der Krankenhausaufnahmen wegen Covid-19 orientieren. Außerdem sollen Lehrkräfte, Erzieherinnen und Erzieher und Beschäftigte in Pflegeheimen vom Arbeitgeber gefragt werden dürfen, ob sie geimpft sind oder nicht. Der Bundestag hatte bereits zugestimmt. Die Änderungen sollen zügig in Kraft treten, sobald sie nach Unterzeichnung durch den Bundespräsidenten im Bundesgesetzblatt veröffentlicht wurden. (…) Normalerweise dürfen Gesundheitsdaten von Beschäftigten nicht abgefragt werden. Im Gesundheitswesen sind allerdings bereits Ausnahmen möglich. Nun soll dies auf Kitas, Schulen und Pflegeheime ausgeweitet werden, allerdings nur solange eine „epidemische Lage von nationaler Tragweite“ gilt, über die im Bundestag alle drei Monate neu abgestimmt wird. Begründung für die Ausweitung: In den Einrichtungen würden besonders verletzliche Personengruppen betreut, zudem wären wegen der räumlichen Nähe zahlreiche Menschen einem Infektionsrisiko ausgesetzt. Die Impfstatusabfrage soll beispielsweise bei der Erstellung von Dienstplänen helfen.“ Meldung bei Legal Tribune Online vom 10. September 2021 
• GEW lehnt Pflicht zur Auskunft über Impfung ab! 
  „Die persönlichen Daten müssen auch weiter besonders geschützt werden. Die Impfbereitschaft unter den Beschäftigten in Schulen und Kitas liegt bereits mit 80 bis 95 Prozent ganz weit oben. Künftig sollen Arbeitgeber von Beschäftigten in Kitas, Schulen und Pflegeheimen Auskunft über eine Corona-Impfung oder eine überstandene Covid-Erkrankung verlangen können. Diese entsprechende Gesetzesänderung hat der Gesundheitsausschuss des Bundestags am Freitag – mit Stimmen von Union und SPD auf den Weg gebracht. Sie soll am Dienstag im Bundestag beschlossen werden. Die GEW kritisiert diesen Plan. „Aus gutem Grund stehen persönliche Daten in Deutschland unter besonderem Schutz.“ (Maike Finnern) „Die GEW lehnt eine Impfauskunftspflicht für das Personal an Kitas und Schulen ab“, sagte GEW Chefin Maike Finnern. „Aus gutem Grund stehen persönliche Daten in Deutschland unter besonderem Schutz. Diesen Schutz müssen wir gewährleisten.“ Finnern verwies in diesem Zusammenhang auch darauf, dass die Impfbereitschaft unter den Beschäftigten in Schulen und Kitas mit 80 bis 95 Prozent ganz weit oben liege. Es gibt wichtigere Themen: „Die Debatte um eine Auskunftspflicht zum Impfstatus führt an den wichtigen Themen in Kitas und Schulen vorbei. Was wir wirklich brauchen sind endlich Luftfilter in allen Räumen, flächendeckende PCR-Tests für Schulkinder und eine einheitliche und klare Leitlinie für Quarantänemaßnahmen“, kritisierte die GEW Vorsitzende…“ GEW-Pressemitteilung vom 06.09.2021  – siehe auch darin:
  • „Das besagt das geplante Auskunftsrecht
    Im Änderungsantrag der Fraktionen der CDU/CSU und SPD, der der Deutschen Presse-Agentur vorliegt, heißt es: „Der Arbeitgeber kann (…) vom Beschäftigten Auskunft oder die Vorlage eines Nachweises über das Bestehen eines Impfschutzes oder das Bestehen einer natürlichen Immunität in Bezug auf die Coronavirus-Krankheit-2019 (COVID19) verlangen.“
    Gerade in Kita, Schule und Heim könne es „im Interesse des Infektionsschutzes“ nötig sein, Beschäftigte hinsichtlich ihres Corona-Impf- und Antikörper-Status „unterschiedlich einzusetzen oder von einer Beschäftigung ungeimpfter Personen (in bestimmten Bereichen) abzusehen“.
    Laut Antrag können die Arbeitgeber durch die Informationen die Arbeitsorganisation so ausgestalten, „dass ein sachgerechter Einsatz des Personals möglich ist und gegebenenfalls entsprechende Hygienemaßnahmen treffen“.
    Das Auskunftsrecht soll während der festgestellten epidemischen Lage von nationaler Tragweite gelten, die der Bundestag vergangene Woche für weitere drei Monate verlängert hatte. Die Daten sollen direkt beim Beschäftigten zu erheben sein. „Die Freiwilligkeit der Entscheidung über die Inanspruchnahme von Impfschutz bleibt unberührt“, heißt es in dem Entwurf.“
• [ver.di] Auskunftspflicht zum Impfstatus: Regierungspläne gehen zu weit 
  „Die Vereinte Dienstleistungsgewerkschaft (ver.di) hält die Pläne der Bundesregierung für eine Auskunftspflicht über eine Corona-Impfung oder eine überstandene Covid-Erkrankung für zu weitgehend: „Mit dem aktuellen Kompromiss sind die schlimmsten Überwachungsphantasien von Bundesgesundheitsminister Jens Spahn, Bundeswirtschaftsminister Peter Altmaier und den Arbeitgeberverbänden für weite Teile der Arbeitswelt zwar abgewendet worden, die vorgesehenen Pläne für Beschäftigten in Kitas, Schulen und anderen sozialen Berufen stellen jedoch einen Eingriff in die Persönlichkeitsrechte dar“, sagte der ver.di-Vorsitzende Frank Werneke am Freitag: „ver.di fordert, den Gesetzentwurf entsprechend zu ändern.“ Es sei fraglich, ob sich der Schutz in den Einrichtungen über die geplante Auskunftspflicht zum Impfstatus überhaupt verbessern lasse. Zudem betreffe die geplante Regelung etwa in Kitas, Schulen und anderen Bereichen der sozialen Arbeit genau jene Gruppe von Beschäftigten, die zum allergrößten Teil bereits geimpft sei. „Es ist nicht einzusehen, weshalb gerade die Beschäftigten mit einer besonders hohen Impfquote in ihren Persönlichkeitsrechten eingeschränkt werden sollen“, kritisierte Werneke: „Die wirklich entscheidenden Faktoren im Kampf gegen die Pandemie in Bildungseinrichtungen sind Luftfilter, gute Hygienekonzepte und ausreichend Personal.“ ver.di-Pressemitteilung vom 3. September 2021 
• Chaos Computer Club kritisiert Quasi-Zwang zur Luca-App 
  „Während die Entwickler mehr als 20 Millionen Nutzer feiern, hält der Chaos Computer Club das Erfolgskonzept der App für »zweifelhaft«. Wer in bayerischen Biergärten, hessischen Gasthöfen und Berliner Kaffeehäusern einchecken will, der hat meist keine Wahl: Wer rein will, der muss einen QR-Code mit der Luca-App scannen – oder einen Zettel mit seiner Adresse ausfüllen. Weil es mit dem Smartphone viel flotter geht, haben sich in den vergangenen Wochen viele Nutzerinnen und Nutzer entschieden, die Luca-App herunterzuladen. (…) Doch dieser Erfolg kommt nicht bei allen gut an. Linus Neumann vom Chaos Computer Club (CCC) kritisiert, dass die Restaurantbesucher eigentlich keine Wahl haben. »Wenn eine privatwirtschaftliche App über 20 Millionen Euro staatlicher Alimentierung erhält, in Corona-Schutzverordnungen vorgeschrieben wird und so zum De-facto-Zwang wird, ist das ein sehr zweifelhaftes Konzept von Erfolg«, sagt der Hacker dem SPIEGEL. »Die Menschen installieren die App, weil es keine Alternative für sie gibt.« Luca-Chef Patrick Hennig sieht das anders. Seiner Meinung nach müssen Lokalbesucher nicht zwingend die App verwenden. »Ich habe schon oft gesehen, dass in Restaurants auch Zettel angeboten werden«, sagt Hennig dem SPIEGEL. »Ich kann verstehen, dass es komfortabler ist, sich mit dem Smartphone einzuchecken, wenn überall Luca-Codes sind.« Aber er kenne keinen Fall, bei dem jemand wieder habe gehen müssen, weil er keine Luca-App hatte. Allerdings gibt es Händler, die die Lage anders darstellen. »An einigen Standorten ist nun auch die Registrierung und Nutzung der Luca App verpflichtend«, schreibt etwa Ikea auf der eigenen Website. Dass auch Formularblätter ausgefüllt werden können, bleibt auf der Website unerwähnt…“ Artikel von Jörg Breithut vom 03.07.2021 im Spiegel online – bei ccc nicht gefunden…
• Luca-App: Wo ist das BSI, wenn man es mal braucht? 
  „Während das BSI die Corona-Warn-App intensiv prüft, müssen das bei der Luca-App freiwillige Sicherheitsexperten übernehmen. Warum ist das so? Am vergangenen Wochenende hat Marcus Mengs die Waffen gestreckt. Der Sicherheitsexperte hat die Prüfung des Luca-Systems auf Sicherheitsprobleme eingestellt. „Der Hersteller gibt mir keine Zeit, die Zusammenhänge zu dokumentieren, welche zu Sicherheitslücken im Code führen, und patcht stattdessen ständig Code mit neuen Fehlern nach. Um hier Schritt zu halten, müsste ich dieses Dokument täglich überarbeiten, das ist nicht leistbar“, schrieb Mengs auf Github. Doch warum kümmert sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht um diese problematische Software? (…) Dabei ist die Corona-App schon vom Konzept her eigentlich viel sicherer als die Luca-App. Es werden keine personenbezogenen Daten erhoben und keine Daten zentral gespeichert. Zudem ist der Druck auf die Nutzer größer, die Luca-App zu installieren, um sich bei Veranstaltungen oder in Restaurants einzuchecken. Darüber hinaus gibt es etliche weitere Anbieter, die sich auf die Fahnen geschrieben haben, die Gästelisten zu digitalisieren. So lobbyieren im Bündnis Wir für Digitalisierung eine ganze Reihe von Anbietern für eine offene Schnittstelle und ihre digitalen Gästelisten. „Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind“, hat Linus Neumann, Sprecher des Chaos Computer Club (CCC), die Situation lakonisch zusammengefasst…“ Analyse von Friedhelm Greis und Moritz Tremmel vom 25. Juni 2021 bei Golem 
• Daten waren unzulänglich geschützt: Weitere Sicherheitslücke bei Testzentren 
  „… Für die ehrenamtlichen Aktivisten von „Zerforschung“ schien es zunächst ein Fall wie viele andere zu sein: In den zurückliegenden Wochen hatten sie immer wieder Sicherheitslücken bei den Anbietern von Testzentren gefunden und an die Behörden gemeldet. Doch als sie mit vergleichsweise geringem Aufwand den Zugang zu Buchungs- und Testbestätigungen der Testkette Coronapoint entschlüsselt hatten, war schnell klar: Hier geht es um die möglicherweise gravierendste der bisher bekannten Sicherheitslücken auf dem boomenden Markt der Testzentren. Rund 175.000 PDFs mit Buchungsbestätigungen oder Testergebnissen konnten die IT-Aktivisten abrufen, betroffen waren mehrere zehntausend Menschen vor allem in Nordrhein-Westfalen, wo der Betreiber von Coronapoint, die Firma PAS Solutions, 35 Standorte betreibt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte auf Anfrage, es handle sich um ein „gravierendes IT-Sicherheits- und Datenschutzproblem“. (…) Was den Fall Coronapoint so heikel macht: Die vielen Tausend Datensätze enthalten nicht nur Namen, Geburtsdaten, Adressen, Telefonnummern, Passwörter und Testergebnisse – sondern in vielen Fällen auch die Personalausweisnummern von Kunden. Experten sind sich einig: Wer auf Daten inklusive Passnummern Zugriff bekommt, findet alles, was er für einen möglichen Identitätsdiebstahl braucht. „Kriminelle können damit erheblichen finanziellen Schaden für die Betroffenen verursachen. Denkbare Szenarien sind die Eröffnung zahlungspflichtiger Accounts“, antwortet das BSI auf Anfrage. Der Datenschutzbeauftrage von Baden-Württemberg, Stefan Brink, verweist darauf, dass man mit den Angaben nicht nur Kredite aufnehmen und Onlinegeschäfte abschließen könne, sondern sich damit auch gegenüber Behörden leicht als jemand anderen ausgeben könne. Auch Coronapoint fragt bei der Testbuchung weiter nach der Personalausweisnummer – wenn auch nur als freiwillige und nicht als Pflichtangabe. Nach der Datenschutz-Grundverordnung dürfen grundsätzlich nur Daten erhoben werden, die auch unverzichtbar sind. Bei den kostenlosen Coronatests gilt das für die Passnummer nur in wenigen speziellen Fällen, etwa wenn diese als Beleg für eine Auslandsreise benötigt werden…“ Beitrag von Arnd Henze, Christian Basl und Karin König vom 22. Juni 2021 bei tagesschau.de 
• Corona und Clubkultur: Die elektronische Tanzfessel 
  „Wie weit darf Pandemiebekämpfung gehen und wo beginnt die Dystopie? (…) Schöne neue Welt: Junge Menschen tanzen in einem Stuttgarter Club und ihre Position wird die ganze Zeit überwacht. Ob beim Tanzen, an der Bar, im Flur und vielleicht sogar beim Gang auf die Toilette. Die gesammelten Daten sollen sowohl der Wissenschaft wie auch den Clubbetreibern zur Verfügung stehen. Helfen soll das angeblich gegen Corona, um Öffnungen „smart“ zu gestalten. Der Gemeinderat der Stadt Stuttgart entscheidet am Donnerstag über das Projekt: Besucher:innen einer Diskothek oder anderen Institutionen der Jugendkultur sollen einen Tracker im Schlüsselanhängerformat bekommen, der ihre Position überwacht und die Menschen darüber hinaus warnt, wenn sie einer anderen Person zu nahe kommen. Laut dem Konzept werden die Schlüsselanhänger von einem RTLS (Real-Time Location System) erfasst, „so dass zu jedem Zeitpunkt die genaue Position des Besuchers“ innerhalb der Location erkannt wird. (…) Frank Rieger, Sprecher des Chaos Computer Clubs (CCC), hält das Stuttgarter Vorhaben für ein extremes Beispiel, welches übertriebenen Technikoptimismus mit Überwachungsrisiken verbinde. Niemand gehe in einen Club, um dort von einem Gerät genervt zu werden, wenn man einen Mindestabstand unterschreite. „Das Tracking davon, wer mit wem zusammen steht oder tanzt, verletzt die Privatsphäre der Besucher:innen.“ Inzwischen sei klar, dass Abstandsregeln keinen signifikanten Beitrag zur Infektionsvermeidung leisten würden. „Solche Regeln auch noch mit einer Überwachungstechnologie durchzusetzen, ist der falsche Ansatz.“ Rieger fordert stattdessen, dass Clubs Zuschüsse bekommen, um ihre Innenräume mit Be- und Entlüftungsanlagen auszurüsten, die dem Stand der Wissenschaft für eine starke Reduktion des Aerosol-Infektionsrisikos entsprechen. Eine weitere Alternative, die in anderen Städten getestet werden sollen, sind beispielsweise PCR-Pool-Tests vor dem Clubbesuch. Diese können eine Infektion im Club dann nahezu ausschließen.“ Beitrag von Markus Reuter vom 15. Juni 2021 bei Netzpolitik 
• IT-Sicherheit im Gesundheitsministerium: Unbedarft durch die Pandemie 
  „Das Bundesgesundheitsministerium lässt achtzig Prozent der Posten für IT-Sicherheit im eigenen Haus unbesetzt. Obwohl das Ministerium schon länger von diesem Missstand weiß, ist keine Strategie erkennbar, um daran etwas zu ändern. Die Digitalisierung des Gesundheitssystems steht im Bundesgesundheitsministerium (BMG) schon seit einigen Jahren ganz oben auf der Agenda. In kurzen Abständen beglückt Jens Spahn die Republik mit riesigen Gesetzespaketen, die das Gesundheitswesen mit Forschungsdaten, Sprechstunden über Videokonferenzen und der elektronischen Patientenakte fit für die Zukunft machen sollen. Viele Digitalisierungspläne haben durch die Pandemie einen zusätzliche Schub bekommen. (…) Eine Kleine Anfrage der Linksfraktion im Bundestag zeigte schon im Februar Mängel bei den Behörden des BMG. Beim Robert Koch-Institut, beim Paul-Ehrlich-Institut und bei der Bundeszentrale für gesundheitliche Aufklärung fehlen IT-Fachkräfte. So beantragte das RKI für das letzte Jahr 68 neue IT-Stellen. Der Haushaltsausschuss des Bundestags bewilligte lediglich vier. Die Handlungsfähigkeit sieht man im Gesundheitsministerium dadurch nicht in Gefahr: „Selbst angesichts des außerordentlich hohen Zusatzaufwands durch die Pandemie gerade auch für den IT-Bereich ist es – auch dank des großen Engagements der Mitarbeiterinnen und Mitarbeiter im BMG und im Geschäftsbereich – zu jedem Zeitpunkt gelungen, die volle Arbeitsfähigkeit und IT-Sicherheit zu gewährleisten.“, so die Sprecherin. Wie genau das „Engagement“ der Mitarbeiter:innen auf den zweieinhalb besetzten Stellen aussieht, ob sie Überstunden machen, um die unbesetzten Stellen zu kompensieren oder fachfremde Beschäftigte die IT-Sicherheit unterstützen, erläutert sie aber nicht. So oder so fällt es schwer, sich bei acht unbesetzten Stellen eine „volle Arbeitsfähigkeit“ vorzustellen…“ Beitrag von Jana Ballweber vom 10.06.2021 bei Netzpolitik 
• Digitaler Impfausweis: Rot werden beim grünen Zertifikat – das Projekt der Europäischen Union ist wegen massiver Sicherheitsprobleme umstritten 
  „Der Deutsche Bundestag hat heute in erster Lesung über den digitalen Impfausweis der EU beraten. Er soll bereits in wenigen Wochen eingeführt werden. Die Zweifel wachsen, ob er wirklich gebraucht wird. Allerdings sind viele Erwartungen damit verbunden. Das soll den digitalen Impfnachweis für den Bürger attraktiv machen. Nicht nur die Urlaubreise im Sommer soll damit wieder möglich werden. Nein, die daran geknüpften Hoffnungen gehen weiter: Endlich wieder Cafés und Restaurants besuchen können oder mal eine Nacht in Clubs abtanzen – das soll für Geimpfte mit dem digitalen Impfnachweise unproblematisch und schnell wieder möglich werden. Dabei soll der digitale Impfnachweis das gelbe Impfdokument aus Papier nicht ersetzen. Den wird es weiterhin geben. Der digitale Impfnachweis ist ein zusätzliches Ausweisdokument. Ob und wie der digitale Impfnachweis mit dem Impfausweis für die elektronische Patientenakte, dem sogenannten Medizinischen Informationsobjekt, zusammenarbeiten wird, ist noch weitgehend unklar…“ Beitrag von Peter Welchering vom 22. Mai 2021 beim RiffReporter – ab da leider kostenpflichtig. Siehe auch:
  • Grüner Pass: EU-Einigung über einheitlichen Nachweis für Impfungen und Tests
    „Standardisierte QR-Codes sollen es ermöglichen, überall in der EU einfach eine Impfung, einen Test oder eine Genesung nachzuweisen. Die Verordnung für das europaweite System ist nun in trockenen Tüchern. (…) Der „grüne Pass“ soll überall in der EU den einfachen Nachweis einer Impfung, eines negativen Corona-Tests oder einer Genesung von Covid-19 ermöglichen und so die Reisefreiheit sicherstellen. Einzelne Staaten wie Österreich sind bereits mit eigenen Systemen vorgeprescht, die allerdings wegen offener Datenschutzfragen Kritik auf sich zogen. Alle EU-Länder sollen nun Nachweise in einem EU-weit einheitlichen Format ausstellen, um etwa grenzüberschreitendes Reisen zu erleichtern. Technisch funktioniert das folgendermaßen: Der „grüne Pass“ enthält einen QR-Code, in dem alle relevanten Informationen gespeichert sind, im Fall einer Impfung etwa der Impfstoff und das Datum. Dieser Code ist zusätzlich mit einer Signatur versehen, um Fälschungen zu verhindern. Solch eine Signatur kann von einem Krankenhaus, Impfzentrum, einer Arztpraxis oder einem Testzentrum ausgestellt werden. Jede ausstellende Stelle hat ihren eigenen Schlüssel, diese Schlüssel werden in jedem Land in einer eigenen Datenbank gespeichert. Damit der „grüne Pass“ aber EU-weit funktioniert, müssen die nationalen Schlüssel untereinander abgeglichen werden können. Dafür hat die Telekom im Auftrag der Kommission ein Portal aufgebaut, über das alle beteiligten Staaten alle Signaturen prüfen können – auch jene aus anderen Mitgliedsstaaten. (…) Wie sie das System jeweils national umsetzen, ist den Mitgliedsstaaten selbst überlassen. So ist in Deutschland etwa geplant, das digitale Zertifikat entweder in eine eigene App namens CovPass zu importieren oder in die nationale Corona-Warn-App. (…) Das System der EU-Staaten dürfe allerdings zu Überwachung und Diskriminierung führen, warnten im Vorfeld Datenschutz-NGOs in einem offenen Brief . Sie befürchten, dass die „Unsicherheit über die Architektur des Zertifikats zu umfangreichen Datensätzen über die Bewegung von Personen führen könnte“. Wenn Testergebnisse zudem die Reisefreiheit sichern sollen, müsse sicher gestellt werden, dass alle Staaten ihren Bürger*innen ausreichend Zugang zu Tests gewähren, sonst drohe Diskriminierung. Auch sei bedenklich, dass einige Mitgliedsstaaten den „grünen Pass“ womöglich zur Voraussetzung machen könnten, um Läden, Stadien oder Religionsstätten zu betreten. Auch im EU-Parlament pochten Abgeordnete auf hohe Datenschutzstandards und betonten, das System dürfe für einzelne EU-Länder nicht für andere Zwecke wie Strafverfolgung missbraucht werden.“ Artikel von Alexander Fanta und Chris Köver vom 20.05.2021 bei Netzpolitik 
• Was bringt die Luca-App den Gesundheitsämtern wirklich? 
  „In Gesundheitsämtern wird am Nutzen der Luca-App gezweifelt. Manche befürchten gar, dass die Anwendung eine Tür für Cyberattacken öffnen könnte. (…) Laut Angaben des Unternehmens Nexenio, das hinter der App steht, sind von 400 Gesundheitsämtern in Deutschland derzeit knapp 300 an das System angeschlossen. (…) Das Gesundheitsamt Aachen gehört nicht mehr dazu. Sechs Wochen nach Beginn beendete Dezernent Ziemons den Versuch vergangene Woche. Er will die Luca-Anwendung nicht weiter nutzen. „Nach all den Sicherheitsproblemen ist mir das schlicht zu gefährlich“, sagt er. Seine Sorge: Wer es schaffe, über Sicherheitslücken in der Luca-Software ins Gesundheitsamt einzudringen, findet dort jede Menge sensible Daten. „Wir haben dort jeden Masernfall, jede Einstellungsuntersuchung von Beamten, jeden Todesfall.“ Und natürlich alle Covid-Fälle. (…) In der Tat soll Luca mit Sormas verbunden werden, dem Datenbanksystem, das viele Gesundheitsämter bereits jetzt zur Kontaktnachverfolgung nutzen. Daten von Luca laufen dann über eine Schnittstelle automatisch im Gesundheitsamt ein…“ Artikel von Eva Wolfangel vom 4. Mai 2021 in der Zeit online 
• Luca-App: CCC fordert Bundesnotbremse 
  „Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App”. In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt. Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen. Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffentlichen Leben machen. Der CCC fordert ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst. Eine mehrmonatige Marketing-Kampagne des Rappers Smudo hat es ermöglicht: Trotz eklatanter Mängel haben verschiedene Bundesländer bisher mehr als 20 Millionen Euro an Steuergeldern für Lizenzen zur Nutzung der Luca-App investiert. Dabei erfüllt die App keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von „Contact Tracing“-Apps…“ CCC-Meldung vom 13.4.2021 
• #lucaApp – Segen oder teures Fiasko? Rettung oder Datenschmutz? Luca App versagt im Moment in vielen Bereichen, dennoch fließt Geld. Sehr viel Geld. 
  „… Was in der Theorie toll klingt, wirft in der Praxis Fragen auf, von denen viele noch immer unbeantwortet sind. Die App hat Probleme, die noch immer ungelöst sind. So viele Fragen und Probleme, dass man sich fragt, warum Politiker sich sofort mit nacktem Hintern auf die App geworfen haben. Doch leider ist es so. Eva Wolfangel berichtet in einem Artikel in Zeit Online (leider hinter der Paywall), 10 Millionen Euro seien bereits aus verschiedenen Bundesländern geflossen. Mit mangelhafter Ausschreibung. (…) Schwerwiegender sind die Fragen, die die App in Sachen Datenschutz aufwirft. Bei positivem Test soll es eine Kontaktnachverfolgung geben, die Daten würden dann an die Gesundheitsämter gemeldet. Oder vielmehr: die Gesundheitsämter hätten Zugriff auf den Masterkey zur Entschlüsselung der Daten, der täglich geändert würde. Mal ganz davon abgesehen, dass nach einem Jahr Pandemie es noch immer nicht gelingen wollte, die Gesundheitsämter personell und vor allem technisch dafür zu rüsten, die Zahlen rechtzeitig ans RKI zu melden: wer soll das dort machen? Den Schlüssel holen, die Daten entschlüsseln, die … ach, ihr wisst schon. Auch bleiben bei einer zentralen Speicherarchitektur noch zahlreiche andere Fragen. Experten aus der Schweiz ließen kein gutes Haar an der Architektur der App. Wenn hier medizinische Informationen in die Hände eines Unternehmens gelangen, diese dann mit persönlichen Daten verknüpft werden können und auf einem einzigen Serversystem gespeichert werden … holla, DSGVO und Co. schreien gerade laut „Shit!“...“ Beitrag vom 10. April 2021 von und bei AnonLeaks – siehe auch die Link-Liste vom ZDF Magazin Royale : Warum Smudos Luca-App keine gute Idee ist
• Die Luca-App: Dilettantisch und sinnlos – das Firmengeflecht und die Profiteure 
  „… Die Corona-Tracing-App Luca, die der Rapper Smudo in deutschen Fernsehshows bewirbt, genießt nach wie vor ein positives Image, obwohl die Firmen dahinter mit Anfängerfehlern und dubiosen Konzepten antreten. Politiker und Länder dehnen geltendes Recht, um schnell in den Genuss der App zu kommen, über zehn Millionen hat man schon eingeworben. Aber geht da alles mit rechten Dingen zu? Eigentlich haben die Entwickler der Luca-App zuletzt so ziemlich alles falsch gemacht, was man falsch machen kann, nicht nur technisch. Der Digital-Rights-Experte Michael Veale bringt es auf Twitter auf den Punkt. Sein Fazit: Urheberrechtsverletzungen, haarsträubend falsch verwendete GPL-Lizenzen, Nutzungsbestimmungen, die die Analyse und Publikation potenzieller Schwachstellen verhindern, fragwürdige Technik, unsichere und nicht nachvollziehbare Sicherheitslösungen, vor allem bei Verschlüsselung, Schlüsselablage und Metadaten und allgemein dem Datenschutz, und nur zaghaft, widerwillig und teilweise veröffentlichter Code. (…) Was bisher an Softwarequelltext publiziert wurde, ist unvollständig, von fragwürdiger Qualität, teilweise gar unerlaubt von Dritten übernommen. Sicherheit, Anonymität und Datenschutz können einer vernichtenden Analyse von wissenschaftlichen Expert:innen der Universitäten Lausanne und Radboud (Niederlande) zufolge nicht sichergestellt werden. (…) Sicherheitsexperten fanden durch einfaches Testen der URLs heraus, dass die Daten der Standorte und die anwesenden Besucher nicht nur ohne Verschlüsselung und Authentifizierung auslesbar, sondern teilweise auch aus der Ferne änderbar sind. Vor Ort sein muss man derzeit wohl nicht, um sich an einem Standort zu registrieren. Und diverse Einrichtungen – vielleicht wie Frauenhäuser, vielleicht Selbsthilfegruppen – dürften es nicht lustig finden, wenn ihre Adressen im Netz erscheinen. (…) Die Frage, ob die Hersteller so dilettantisch unterwegs sind, dass ihnen all diese Fehler unbeabsichtigt unterlaufen oder ob all das einem größeren Plan folgt, ist gar nicht so einfach zu beantworten. Am wahrscheinlichsten ist wohl der Plan, so argwöhnen Analysten, dass die Hersteller auf Zeit spielen, um möglichst viele Kunden, Anwender oder Behörden zu gewinnen, möglichst viel Geld abzugreifen, sodass der wirtschaftliche Erfolg sichergestellt ist, egal wie die Qualität der App aussieht. Dann hätte man genug Kunden der öffentlichen Hand in derselben. Ein wunderbarer Hebel zum Gelddrucken. Über zehn Millionen Euro Steuergelder könnten es den Herstellern erlauben, ein System zu entwickeln, das zwar niemand braucht, aber leichtfertig mit Benutzerdaten umgeht und wenigen Beteiligten ein Vermögen einbringt…“ Teil 1 des Artikels von Markus Feilner vom 7. April 2021 bei Telepolis und nun auch Teil 2 am 8.4.21: Luca-App: Keine Risikoanalyse, aber viele offene Fragen  und Teil 3 vom 09. April 2021 : Wenn Politik sich ins Security-Theater flüchtet: Kaputtgesparte Behörden, kritische Datenschützer und seltsame Entscheidungen von Politikern
• Mangelnde Transparenz: Datenschützer Caspar kritisiert Luca-App 
  „Hamburgs Datenschutzbeauftragter Johannes Caspar bemängelt die Intransparenz der neuen Luca-App zur Pandemiebekämpfung. Zudem fehlt aus seiner Sicht eine Datenschutzfolgenabschätzung. „Es geht darum, Transparenz gegenüber der Öffentlichkeit zu erreichen. Ohne den Quellcode ist nicht einsehbar, wie eine Software funktioniert“, sagte Caspar der Düsseldorfer Tageszeitung Rheinische Post. Das Interview erscheint nach Angaben der Nachrichtenagentur dpa in der Ausgabe am 6. April. Caspar kritisierte zudem, dass die Datenschutzfolgenabschätzung „bis zum heutigen Tage noch nicht bekanntgegeben“ worden sei. Diese sei aber für eine datenschutzrechtliche Bewertung unerlässlich und sollte dringend nachgeholt werden, forderte Caspar. Eigentlich hätte das aber schon passiert sein müssen.“Unzweifelhaft müssen datenschutzrechtliche Dokumentationen vor der Inbetriebnahme erstellt und das Risiko für die Rechte und Freiheiten der betroffenen Personen bekannt sein“, sagte Caspar. Nexenio, der Hersteller der Luca-App, hatte versprochen, den Quellcode dazu als Open Source zu veröffentlichen. Allerdings stellte er den Code zuerst nicht unter einer der üblichen Lizenzen bereit, sondern unter einer selbst geschriebenen Lizenz. Die Lizenz hätte eine Überprüfung durch Dritte erschwert. Es hatte den Anschein, als habe Nexenio nur wenig Interesse an Transparenz und Kontrolle. Nach massiver Kritik wurde der Quellcode dann unter die GNU GPLv3 gestellt…“ Artikel von Werner Pluta vom 5. April 2021 bei Golem 
• Sicherheitslücke: Mehr als 130.000 Corona-Testergebnisse waren frei im Netz abrufbar 
  „Die Hacker:innen von Zerforschung haben Sicherheitslücken bei Covid-19-Test-Software aufgedeckt: Namen, Adressen und Testergebnisse von mehr als 80.000 Personen waren auf einfache Art und Weise offen im Netz abrufbar. Aufgrund einer Sicherheitslücke waren sensible Daten mehrerer Corona-Testzentren in Deutschland und Österreich unzureichend geschützt über das Internet abrufbar. Zu diesen Daten gehörten Name, Adresse, Geburtsdatum, Staatsbürgerschaft, das Corona-Testergebnis und teilweise Ausweisdaten. Sicherheitsforscher:innen der Gruppe „Zerforschung“ aus dem Umfeld des Chaos Computer Clubs (CCC) haben die Schwachstelle nach einem Besuch in einem Berliner Testzentrum des Unternehmens 21dx entdeckt. Möglich war der Zugriff auf die Daten über eine Website des Wiener Startups medicus.ai, das unter dem Namen SafePlay verschiedenen Testzentren eine Art „Rundum-Sorglos-Website“ zur Verfügung stellt, mit der diese die Tests digital abbilden und organisieren können. Auf so einer Website können Patient:innen zum Beispiel Termine buchen und ihre Testergebnisse abrufen. Leider nicht nur ihre eigenen, wie sich herausstellte. (…) Linus Neumann, Sprecher des Chaos Computer Clubs, sagt dazu: „Diese Art von Schwachstellen sind ein Klassiker, vor dem immer wieder gewarnt wird. Wer sich auch nur im Entferntesten mit IT-Sicherheit auseinandersetzt, macht solche Fehler einfach nicht.“ (…) Doch die oben beschriebene Sicherheitslücke war nicht die einzige: Über ein ebenfalls mit jedem Account ungehindert zugängliches Dashboard konnte auch sekundengenau für jedes Testzentrum eingesehen werden, wann dort ein Covid-19-Test gemacht wurde und welches Ergebnis dieser hatte, heißt es in der Pressemitteilung des CCC . Daraus ließ sich sehr einfach die URL eines Beweis-Bildes ableiten, unter der ein Foto des Teststreifens mit dem Ergebnis vorgehalten wurde. Auf mehreren dieser Photos waren auch wiederum die Namen der Patient:innen vermerkt. Außerdem konnten die Sicherheitsforscher:innen einfach den Namen ändern und sich so das PDF-Dokument mit dem Testbefund auf beliebige Namen ausstellen. Ein weiteres Datenschutzproblem war ein eingebundenes Nutzer-Tracking von Google und dem Zahlungsdienstleister Stripe, das nicht in der Datenschutzerklärung genannt wurde...“ Beitrag von Markus Reuter vom 18.03.2021 bei Netzpolitik 
• Check-in-App: Mit Luca aus dem Lockdown / Luca ist leider auch keine Lösung
  • Check-in-App: Mit Luca aus dem Lockdown
    „… Es klingt verlockend, was Smudo da vergangene Woche in der Talkshow von Anne Will erzählte: Statt ein ganzes Land im Lockdown gefangen zu halten, sollen wir bald alle wieder in Konzerte gehen können, ins Restaurants oder ins Stadion. Möglich machen soll das eine App, die der Rapper von den Fantastischen Vier mit entwickelt hat. Sie heißt Luca und soll die Papierlisten ersetzen, mit der Gastronomen und Veranstalter derzeit den Auflagen für die Kontaktverfolgung nachkommen. Das Prinzip von Luca: Nutzer:innen können sich in der App mit Namen und Kontaktdaten registriert. Betreten sie anschließend einen Ort, können sie dort das Handy zücken und einen QR-Code scannen lassen. Ihre Daten werden danach verschlüsselt gespeichert. Wird eine Person später positiv getestet, ruft das Gesundheitsamt an und bittet sie um die Freigabe der Kontakthistorie auf ihrem Telefon. Es bekommt eine Liste aller Orte, die diese Person in den vergangenen 14 Tagen besucht hat und kann dort wiederum die verschlüsselten Gästelisten von den Betreibern anfordern. Wer zur gleichen Zeit dort war, bekommt eine SMS mit der Anweisung, sich sofort zu isolieren. Das Ganze kann binnen Stunden passieren statt wie bisher mit tagelanger Verspätung. (…) Doch es gibt noch ein Problem: Bislang ist der Quellcode der App nicht offen zugänglich. Die Macher haben lediglich ein Sicherheitskonzept im Netz veröffentlicht. Ob sie die hohen Sicherheitsstandards, von denen sie sprechen, auch tatsächlich einhalten, lässt sich so von außen nicht überprüfen. Für eine App, die sensible Bewegungs- und Gesundheitsdaten verwalten will, reiche das nicht aus, sagen Kritiker:innen. (…) Die Kritik an Luca beschränkt sich jedoch nicht auf mangelnde Transparenz. Viele glauben, die App sei vor allem eine Nebelkerze, ein Ablenkungsmanöver von Politiker:innen, die trotz der beginnenden dritten Infektionswelle Läden und Restaurants wieder öffnen wollen. „Man kann die Pandemie nicht mit einer App lösen“, sagt Anke Domscheit-Berg. Der Jurist Malte Engeler schreibt auf Twitter, das Problem lege weder bei der Macher:innen von Luca noch in der App selbst, es sei vor allem die mangelnde Ausstattung der Gesundheitsämter, die eine Kontaktverfolgung unmöglich macht. (…) Einige fragen sich nun, warum es noch eine App braucht, wo Deutschland doch bereits eine offizielle Corona-Warn-App hat. (…) Die Corona-Warn-App bleibt aber weiter anonym, sie kann also nicht die Namen und Kontaktdaten sammeln, die Check-In-Apps wie Luca an das Gesundheitsamt übermitteln. Einige Stimmen hatten davor gewarnt, die Funktionen zu vermischen. Sonst entstünden womöglich offene Fragen über die Pseudonymität der Nutzer:innen der Corona-Warn-App, sagte der Bundesdatenschutzbeauftragte Ulrich Kelber. Stattdessen spreche nichts dagegen, auch zwei oder drei datenschutzkonforme Apps zur Pandemiebekämpfung zu verwenden.“ Beitrag von Chris Köver vom 11. März 2021 bei Netzpolitik.org 
  • Luca ist leider auch keine Lösung
    „Schafft es Deutschland endlich, Corona-Infektionen mit digitaler Hilfe aufzuspüren? Die Hoffnung auf die Luca-App platzt gerade. Denn Experten finden immer mehr Probleme. Es klingt so bestechend, dass man sich fragt, warum es ein solches System nicht längst gibt: Nutzerinnen und Nutzer sollen zum Beispiel beim Betreten eines Ladens einen QR-Code per Smartphone scannen und wenn sich später herausstellt, dass eine positiv auf Covid-19 getestete Person zur gleichen Zeit im Laden war, wird man benachrichtigt. Das ist die Idee der App Luca, die vor allem durch Rapper Smudo große Bekanntheit erlangte. Mecklenburg-Vorpommern setzt als erstes Bundesland voll auf die App. Auch andere Politikerinnen und Politiker können es kaum erwarten, die App an alle Gesundheitsämter in Deutschland anzuschließen. Immer stärker zeigt sich allerdings, dass das möglicherweise keine so gute Idee ist. Kritiker befürchten, dass die sehr persönlichen Daten, die bei der Nutzung der App verarbeitet werden, nicht ausreichend geschützt sind und allzu leicht missbraucht werden könnten, wenn sie in falsche Hände gelangen. Nach massivem öffentlichem Druck haben die Gründer am Mittwoch angekündigt, den Quellcode der App Ende März zu veröffentlichen. Doch schon bevor er öffentlich einsehbar ist, finden Expertinnen und Experten Schwachstellen darin. Sie sei unter anderem auf Probleme im Umgang mit der Verschlüsselung gestoßen, sagt zum Beispiel die Datenschutzaktivistin Lilith Wittmann…“ Analyse von Eva Wolfangel vom 12. März 2021 in der Zeit online 
  • Siehe dazu: Digitalcourage veröffentlicht 7 Anforderungen für vertrauenswürdige Apps 
• Öffentlicher Nahverkehr in Berlin in der Corona-Pandemie: Datenschutzbeauftragte kritisiert Stigmatisierung von Menschen mit geringem Einkommen 
  „Maßnahmen in der Corona-Pandemie führen dazu, dass Arbeitslose und Bezieher:innen von Hartz4 bei Kontrollen im öffentlichen Nahverkehr bloßgestellt werden und Kontrolleuren unnötig viele Daten preisgeben müssen. (…) Wer in Berlin beispielsweise Hartz4 oder Sozialhilfe bezieht, kann normalerweise den so genannten „Berlinpass“ beantragen. Er berechtigt unter anderem zum Kauf einer vergünstigten Monatskarte im öffentlichen Nahverkehr. Dieser Berlinpass hat Scheckkartenformat und kann bei einer Kontrolle unauffällig zum Monatsticket gezeigt werden. Um die Berliner Ämter in der Pandemie zu entlasten, hatte das Land Berlin die Ausstellung von Berlinpässen beim ersten Lockdown im März 2020 pausiert. Die Berliner Datenschutzbeauftragte Maja Smoltczyk kritisiert in einer Pressemitteilung (PDF), dass Menschen mit geringem Einkommen, wenn sie Bus und Bahn vergünstigt nutzen möchten, im Falle einer Kontrolle ihren Bescheid über den Bezug von Sozialleistungen nun im Original vorzeigen müssen. Abgelaufene Berlinpässe gelten zwar weiter als Nachweis, wer aber neu Transferleistungen vom Staat bezog – was durch die sozialen Verwerfungen der Pandemie viele Menschen betrifft – hat nun keinen Berlinpass. Diese Personen mussten dann in Bus und Bahnen gegenüber den Kontrollierenden den Bescheid über Sozialleistungen vorzeigen. (…) Im Gegensatz zum Berlinpass sind die Bescheide im DIN-A4-Format sehr groß und führen dazu, dass die anderen Fahrgäste mitbekommen, wer ein Geringverdiener oder eine Arbeitslose ist. Betroffene sprechen deswegen von einer Stigmatisierung. Darüber hinaus enthält ein solcher Bescheid eine Vielzahl von Informationen, die eine Kontrolleurin in der Bahn nichts angehen, etwa die Höhe der Transferleistungen, Bankverbindungen und Angaben über Kinder und weitere Bedarfsangehörige. Smoltczyk mahnt an: „Die weiterhin bestehende Pflicht zur Offenlegung äußerst sensibler Sozialdaten halte ich für datenschutzrechtlich sehr bedenklich. Diese Bescheide enthalten für diesen Zweck nicht erforderliche Informationen über Adressen, Geburtsdatum sowie Grund und Höhe der bewilligten Leistungen. Im Gegensatz zum diskreten berlinpass offenbart der auffällige Bescheid auch allen Umstehenden, dass der Betroffene staatliche Leistungen enthält.“ (…) Die rot-rot-grüne Berliner Senatsverwaltung hatte sich nach erster Kritik auf die Position zurückgezogen, dass der Berlinpass eine freiwillige Leistung des Landes Berlin sei und gleichzeitig gesagt, dass die Betroffenen sich doch eine reguläre Fahrkarte kaufen könnten. Auch das kritisiert die Berliner Datenschützerin. Sie halte es „für besonders zweifelhaft“, dass die Senatsverwaltung darauf verweise, dass Betroffene die Wahl hätten zwischen dem Erwerb der regulären Angebote oder der Preisgabe ihrer personenbezogenen Daten. „Datenschutz darf nicht vom Einkommen der Betroffenen abhängig sein“, so Smoltczyk…“ Beitrag von Markus Reuter vom 1. März 2021 bei Netzpolitik.org 
• Ab in den Schredder – Behörden speichern Daten von Fußballanhängern während »Geisterspielen«, Fanvertreter fordern Ende der Sammelwut
  „Keine Choreographien in den Kurven, keine Schlachtgesänge der Fanlager – Kicks der Teams der drei Profiligen sind coronabedingt »Geisterspiele«. Überwacht werden Anhänger des Fußballsports trotzdem. Allein von März bis Dezember 2020 – also bei Fußballspielen überwiegend vor leeren Rängen – erfassten Ermittler über 1.000 Fans neu in der »Datei Gewalttäter Sport« (DGS) (jW berichtete). Die sportpolitische Sprecherin der Grünen-Bundestagsfraktion, Monika Lazar, hakte per Anfrage beim zuständigen Bundesinnenministerium (BMI) nach. Am vergangenen Mittwoch erhielt sie schriftliche Antworten, die jW vorliegen. Demnach sind mit Stand 4. Februar 7.841 Personen in der DGS vermerkt, davon exakt 3.248 mit Bildmaterial. Sogenannte Speicherungsgründe gibt es 9.815, Hunderte werden mehrfach nach unterschiedlichen Tatbeständen geführt. (…) Diese Sammelwut wird seit Jahren kritisiert. »Über 1.600 der rund 7.800 in der DGS geführten Fans werden aktuell allein aufgrund einer Personalienfeststellung oder eines Platzverweises in der Datei geführt«, monierte Lazar am Freitag gegenüber jW. (…) Die Auskunftsfreude des BMI ist begrenzt, ein Teil der Fragen blieb unbeantwortet. Die nach der Vereinszugehörigkeit der Delinquenten etwa. Der Grund: Verschlussache des Bundesamtes für Verfassungsschutz; des »Staatswohls« wegen, teilte das BMI mit. Denn eine indirekt aufgestellte »Rangfolge« könne »Problemszenen« animieren, durch Aktivismus gewissermaßen aufsteigen zu wollen. Die Fanhilfe Hertha BSC sprach ob der Geheimniskrämerei hingegen von einer »Blockade parlamentarischer Kontrolle« durch das BMI. Ein weiterer Kritikpunkt ist, dass Behörden (mit Ausnahme z. B. Bremens) nicht »proaktiv« die erfassten Personen über Speichergründe informieren. Das bestätigte ein Vertreter der Eisernen Hilfe, einer Fan-Initiative von Union Berlin, am Sonnabend jW: »Uns ist aus unseren Reihen kein Fall einer Neueintragung bekannt.« Das heiße indes nicht, dass es keine gebe. »Eine Informationspolitik seitens der Behörde ist faktisch inexistent«, sagte er weiter. Und Sig Zelt, Sprecher von »Pro Fans«, stellt die DGS grundsätzlich in Frage: Ermittlern gehe es offenbar »um eine umfangreiche Erfassung von Fußballfans, von denen viele einer Straftat lediglich verdächtigt werden oder wurden– oft nicht einmal das.« Und die Hertha-Fanhilfe forderte gegenüber dieser Zeitung: »Die Datei gehört zeitnah in den Schredder.«“ Artikel von Oliver Rast bei der jungen Welt vom 22. Februar 2021 
• „Schluss mit den Attacken auf den Datenschutz“: Die billige Suche nach Sündenböcken löst keine Probleme 
  „Datenschutz rettet wichtige Grundrechte ins Digitalzeitalter. Ihm die Defizite der Corona-Bekämpfung anzulasten, ist pure Ablenkung. (…) Nach Terroranschlägen, wenn pädophile Straftaten aufgedeckt werden oder jetzt inmitten der Corona-Pandemie hört man immer wieder dasselbe: Der Datenschutz muss gelockert werden, Datenschutz ist Täterschutz, Datenschutz gefährdet Menschenleben! Teile der Wirtschaft stimmen gern mit ein: Der Datenschutz macht das Internet kaputt, Datenschutz bremst die Digitalisierung, Datenschutz verhindert Innovation! Es ist ein altbekanntes Lied, aber nichts davon ist richtig. Der Datenschutz macht das Internet nicht kaputt, sondern versucht, die im Laufe der Geschichte mühsam erkämpften Grundrechte der Menschen in die digitalisierte Zukunft zu retten. Schon jetzt sind das uferlose Sammeln persönlicher Daten, Tracking und Data Mining an der Tagesordnung. (…) Die Pandemie hat einmal mehr gezeigt, wie der Datenschutz als Sündenbock herhalten muss, wenn Dinge außer Kontrolle geraten sind. Es vergeht kaum ein Tag, an dem nicht behauptet wird, dass die Pandemie leicht in den Griff zu bekommen sei, wenn wir nur den Datenschutz zurechtstutzen würden. Es mag verführerisch sein, den Datenschutz als das eigentliche Problem hinzustellen, eine angemessene Problemlösung wird dadurch aber verhindert. (…) Mit seinem datenschutzgerechten Weg ist in Deutschland eine Verbreitung gelungen, die eine wesentliche Voraussetzung zum Erreichen der Ziele der Corona-Warn-App ist. Und wenn Datenschützer*innen fordern, dass die Digitalisierung der Schulen datenschutzgerecht erfolgen muss, dient dies nicht der Verhinderung von Digitalisierung, sondern der Förderung einer nachhaltigen Entwicklung, die viel mehr schafft als eine Digitalisierung um jeden Preis: Hier geht es darum, für Schülerinnen, Schüler und Lehrkräfte einen geschützten Raum zu schaffen, in dem ihre Daten sicher sind, nicht missbraucht und irgendwann gegen sie verwendet werden. (…) Anstatt immer wieder gebetsmühlenartig auf den Datenschutz zu schimpfen, sollten wir seine wichtige Bedeutung anerkennen: Der Datenschutz ist kein Verhinderer, sondern ein wichtiger Regulator und Steuerungsfaktor. Menschen lassen sich auf neue Technologien eher ein, wenn sie Vertrauen haben, dass ihre Rechte und Freiheiten gewahrt bleiben. Ansonsten neigen sie dazu, sich ins Private zurückzuziehen oder Falschangaben zu machen…“ Gastbeitrag von Maja Smoltczyk und Dieter Kugelmann vom 5. Februar 2021 beim Tagesspiegel online (Maja Smoltczyk ist Berliner Beauftragte für Datenschutz und Informationsfreiheit. Professor Dieter Kugelmann ist Landesbeauftragter für Datenschutz und die Informationsfreiheit in Rheinland-Pfalz)
• Jagd nach den Daten der Kranken – Das umstrittene US-Unternehmen Palantir expandiert in der Corona-Krise 
  „… Der US-Softwareentwickler mit Sitz in Palo Alto, Kalifornien, ist auf das sogenannte Data-Mining, das Schürfen nach Daten, sowie die Analyse und das Aufbewahren großer Datenmengen spezialisiert. Stichwort: Big Data. Der Firmenname Palantir stammt aus der Bezeichnung der „Palantiri“, der „sehenden Steine“, in Tolkiens Fantasysaga „Herr der Ringe“. Diese Steine lassen in die Vergangenheit oder die Zukunft blicken und verleihen somit auch Macht. Der US-Investor und Milliardär Peter Thiel, der den Onlinebezahldienst Paypal mitaufgebaut hatte, gründete die Firma im Jahr 2004 mit finanzieller Unterstützung des US-Geheimdiensts CIA. Zu den Kunden von Palantir zählen CIA, FBI, NSA, Pentagon, Marines und Air Force. Palantirs Geschäftsmodell ist, wie Beobachter konstatieren: Big Data for Big Brother. Im Laufe der Covid-19-Pandemie bot Palantir Regierungen rund um den Globus die Nutzung ihres Produkts „Foundry“ für das Krisenmanagement in Gesundheitsbehörden an. Großbritannien und Griechenland nahmen das Angebot an – und zwar kostenlos. Die Kooperation der Athener Regierung mit Palantir nahm bereits im April dieses Jahres ihren Anfang, als die erste Corona-Infektionswelle auch durch Griechenland rollte. Dabei genießt Palantir Technologies einen zweifelhaften Ruf. Das deutsche Bundesinnenministerium nahm das Gratisangebot der Firma nicht an. Der Chaos Computer Club (CCC), der in Sachen Datenschutz auch bei Gesetzgebungsverfahren in Deutschland für Expertisen herangezogen wird, lehnt den Einsatz der Palantir-Software Foundry grundsätzlich ab. Der CCC-warnt: Palantir entwickele Überwachungstechnologien. Die Liste der dubiosen Machenschaften, Vorwürfe und Verdachtsmomente gegen Palantir ist lang: Schon früh beschuldigte das Internetkollektiv Anonymous Palantir Technologies unverhohlen, eine Kampagne gegen die Enthüllungsplattform Wikileaks unterstützt zu haben. Ferner war Palantir in den Skandal um die britische Firma Cambridge Analytica verstrickt. Die Firma soll bei gezielter und umstrittener Wahlkampfwerbung bei den US-amerikanischen Vorwahlen und Präsidentschaftswahlen 2016 mitgewirkt haben. Im September 2016 reichte das US-Amt für die ordnungsgemäße Durchführung von Bundesverträgen obendrein eine Klage gegen Palantir wegen rassistischer Diskriminierung asiatischer Bewerber:innen ein. Laut der Klage ließ Palantir die Kandidatinnen und Kandidaten asiatischer Herkunft ausscheiden, selbst wenn diese über die gleichen Qualifikationen wie weiße Bewerber verfügten. 2018 wurde bekannt, dass Palantir jahrelang einen geheimen Zugriff auf polizeiliche Datenbanken in New Orleans hatte. Palantir nutzte die Behördendaten für sein System zur Vorhersage von Straftaten einzelner Personen. Dabei soll Palantir die umstrittene Technik zur Gesichtserkennung (Facial recognition) verwendet haben. Der Stadtrat von New Orleans wusste davon offenbar nichts. Das tat dem Aufstieg von Palantir keinen Abbruch. Ende September ging Palantir an die New Yorker Börse. Die britische Rundfunkanstalt BBC merkte in einem Bericht dazu verwundert an, die Marktkapitalisierung von Palantir habe beim Börsenstart stattliche 22 Milliarden US-Dollar betragen. Und das, obgleich Palantir bisher nie in seiner Firmengeschichte Gewinn erzielt hat. Palantir sammelte und verwertete eine Fülle sensibler Daten der NHS-Patientinnen und Patienten wie den kompletten Namen, das Alter, Geschlecht, religiöse und politische Überzeugungen, den psychischen Zustand, das polizeiliche Führungszeugnis, den Beruf, bisherige Arbeitgeber, den Wohnort und Telefonnummern. So wie in Griechenland. Die Regierung Mitsotakis hält den Vertrag mit Palantir geheim. Dabei ist sie per Gesetz dazu verpflichtet, alle Staatsverträge ohne Verzug auf den öffentlichen Digitalplattformen „Diageia“ und „Prometheus“ zu veröffentlichen, auch wenn Gratisleistungen erfolgen. Kritische Stimmen in Griechenland warnen deshalb laut: Die Krankendaten der Menschen im Land, ob Einheimische oder Zugereiste, sind wegen des traditionell unzureichenden Datenschutzes im Land nicht sicher.“ Artikel von Ferry Batzoglou vom 1. Januar 2021 in der Frankfurter Rundschau online 
  • Siehe auch unser Dossier: Im Windschatten der Corona-Krise: Patientendaten-Schutz-Gesetz (PDSG) und EPA-Datengesetz
• Automatisierte Einlasssysteme: Vermessung auf dem Weg ins Fußballstadion. Unter dem Vorwand der Pandemie-Bekämpfung schleichen sich derzeit Überwachungssysteme in die Stadien der Bundesliga ein 
  „… Dabei geht es auch um die Frage: Wie könnten Ordner:innen potenziell infizierte Fans schon am Einlass ausmachen und isolieren. Zum Ende der letzten Bundesliga-Saison testete Borussia Dortmund ein System der Firma g2k, das am Eingang die Körpertemperatur der Zuschauer:innen misst und erkennt, ob sie Masken tragen. (…) Dabei gibt es erhebliche Zweifel, ob die Vorgaben der Datenschutzgrundverordnung (DSGVO) hier eingehalten wurden. Auf Anfrage kündigte die nordrhein-westfälische Landesdatenschutzbehörde im September an, den Einsatz der Technologie zu prüfen. Dieser Vorgang dauert bis heute an, in einer allgemeinen Stellungnahme gibt Pressesprecher Daniel Strunk jedoch einen Einblick ist die Probleme, die eine solche Software aufwerfen könnte. Insbesondere der Einsatz von Wärmekameras, die die Temperatur der Stadionbesucher messen und verarbeiten, bedarf einer genauen datenschutzrechtlichen Bewertung. Da die Zielsetzung der elektronischen Temperaturmessung darauf gerichtet ist, Personen zu identifizieren, die mit SARS-CoV-2 infiziert sind, handelt es sich um einer Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DS-GVO. (…) Auf die Frage, ob der Einsatz automatisierter Einlasssysteme auch abseits der Corona-Maßnahmen denkbar ist, beispielsweise bei der Kontrolle personalisierter Tickets oder in Verknüpfung mit der vielfach kritisierten Datei „Gewalttäter Sport“, antwortete die Landesregierung: Der Einsatz von automatisierten Systemen zur Unterstützung der Einlasskontrolle ist auch abseits der Corona-Maßnahmen denkbar, sofern die eingesetzte Technologie, z.B. anhand eines standardisierten Anforderungskatalogs oder eines geprüften Zertifizierungsprogramms nachweislich als fair, transparent, technisch verlässlich und sicher bewertet werden kann. Weiterhin sind die entsprechenden Vorgaben zur Erfassung, Speicherung und Verarbeitung von biometrischen und personenbezogenen Daten laut DSGVO einzuhalten. Hierbei sollte vor allem eine umfangreiche Aufklärung der betroffenen Personen über die Verwendung ihrer Daten vorausgesetzt werden. (…) Darüber hinaus soll das System auch zählen, wie viele Personen das Stadion betreten und die Abstände zwischen den Fans auf den Tribünen messen. Diese Funktionen kamen im BVB-Test dem Kicker zufolge nicht zum Einsatz, sind aber prinzipiell denkbar. In der SportBild (…) wird sogar schon davon geträumt, mit der Technik „vermummte Pyro-Chaoten“ zu identifizieren oder personalisierte Tickets zu kontrollieren. (…) Maßnahmen beizubehalten, die eigentlich zum Infektionsschutz in einer Pandemie gedacht sind, ist nicht nur den Fans gegenüber beleidigend, die mal wieder als Chaoten und Krawallmacher gebrandmarkt werden. Es schmälert auch das Vertrauen in Maßnahmen, die zur Pandemie-Bekämpfung eingeführt wurden, wenn man fürchten muss, dass damit Überwachung durch die Hintertür normalisiert werden könnte.“ Beitrag von Jana Ballweber vom 21. Dezember 2020 bei Netzpolitik.org 
• Drittes Bevölkerungsschutzgesetz: Massenhafte Datenspeicherung beim RKI – Datenschützer schlagen Alarm 
  „Das am Mittwoch von Bundestag und Bundesrat verabschiedete „Dritte Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ (kurz auch: „Drittes Bevölkerungsschutzgesetz“) sieht eine nie zuvor dagewesene Konsolidierung von Patientendaten bei einer Bundesbehörde vor. In den weitreichenden Änderungen des Infektionsschutzgesetzes (IfSG), die von der Großen Koalition umgesetzt wurden, wird unter anderem eine neue zentrale Sammelstelle für digitale Personendaten beim Robert-Koch-Institut (RKI) eingerichtet. Das RKI wird neben Meldedaten zu SARS-CoV-2-Infektionen demnach auch Patientendaten zu allen Impfungen gegen das Coronavirus und über die Reisebewegungen deutscher und ausländischer Bürger erhalten. (…) Als Antwort auf eine Anfrage von heise online mit Bitte um Stellungnahme zu den Gesetzesänderungen verwies Kelber auf eine generische Stellungnahme zu dem Thema von Anfang vergangener Woche. Darin heißt es: „Erneut werden mit dem Gesetz verschiedene Meldepflichten oder Übermittlungen personenbezogener Daten eingeführt oder erweitert, ohne zu berücksichtigen, dass die Verarbeitung von Gesundheitsdaten, also besonders geschützten personenbezogenen Daten, einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt und daher sorgfältig zu begründen und zu rechtfertigen ist und besondere flankierende Maßnahmen zum Schutz der sensiblen Daten vorzusehen sind.“ (…) Der Bundesdatenschutzbeauftragte kritisiert außerdem die Hast, mit der das Gesetz vorgelegt und verabschiedet wurde. Das habe es kaum möglich gemacht, zu prüfen, ob es datenschutzrechtlich unbedenklich ist. Eine ganze Reihe von Vorschlägen Kelbers, die Datensammlung einzuschränken oder etwa die Nutzung der Daten und deren Empfänger zu präzisieren, scheint nicht berücksichtigt worden zu sein. Weiter heißt es in der Stellungnahme zur Erhebung von Pandemiedaten durch das RKI: „Allgemein sehe ich mit Besorgnis, dass die Gewinnung von Erkenntnissen zunehmend gesetzlich vorgesehen und bundesweit zwingend durch staatliche Stellen vorgesehen wird. Dies übergeht die in Deutschland durchaus vorhandenen Möglichkeiten klinischer und wissenschaftlicher Forschung, die einwilligungsbasiert erfahrungsgemäß zuverlässige Ergebnisse liefert.“ Nach der Lektüre der Stellungnahme Kelbers drängt sich durchaus der Schluss auf, dass die Regierung gar nicht an einer Einschätzung ihres Datenschutzbeauftragten interessiert war. Anders lässt sich wohl nur schwer erklären, dass dieser nicht direkt in den Entwurf oder wenigstens zeitnah in die Änderungen des Dritten Bevölkerungsschutzgesetzes eingebunden war…“ Beitrag von Fabian A. Scherschel vom 19. November 2020 bei heise online 
• Corona-Warn-App: Mehr als nur Virus-Tracken – Wirtschaftliche Interessen und fragwürdige Aspekte beim Datenschutz 
  „Mit großem Aha und Applaus wurde die Corona-Warn-App (CWA) am 16.7.2020 in Deutschland eingeführt und entgegen den ursprünglichen und erklärten Hoffnungen und Prophezeiungen, hat die Einführung der Applikation nicht dazu geführt, dass die alte „Normalität“ wiederhergestellt wird. (…) Es ist offensichtlich, dass die deutsche wie auch andere europäische Regierungen beabsichtigen, an der App festzuhalten, egal wie effektiv sie zur Pandemie-Bekämpfung wirklich beiträgt, und es ist auch nicht auszuschließen, dass Regierungen langfristig eine Nutzung der App effektiv erzwingen könnten, so dass sie für Teile der Bevölkerung zur Pflicht wird. (…) Anfang Mai 2020, während der ganzen Diskussion um die CWA, erschien eine medizinisch-statistische Studie der Universität Oxford im renommierten Fachmagazin Science, die zwar im Titel scheinbar die Nutzung einer solchen App begünstigt, sich aber im Inhalt (siehe Abschnitt „Discussion“) etwas differenzierter über die Effektivität der App äußert (…) Bemerkenswert am Befund der Studie ist nicht nur, dass sie der konventionellen Meinung, wonach sich Kontakteinschränkungen durch die App aufheben lassen, widerspricht („…one tool among many…such as physical distancing…“ – „Die App sollte ein Instrument unter vielen wie z.B. körperliche Distanz sein“), sondern dass sie eine der Grundstrategien der Pandemie-Bekämpfung, nämlich generell die Kontaktverfolgung und Quarantäne, nicht als ein Allheilmittel betrachtet. (…) In Europa wurde die CWA als Initiative unter der Schirmherrschaft des sogenannten PEPP-PT („Pan-European Privacy-Preserving Proximity Tracing“), einem Konsortium von beteiligten wissenschaftlichen Institutionen und Unternehmen, dargestellt. (…) Vielen Forschern und „Experten“ ist offenbar auch nicht aufgefallen, dass die App überhaupt nicht sicher gegenüber einer umfassenden staatlichen Überwachung ist. Im Prinzip, wenn staatliche Akteure es möchten, können sie einen kompletten Einblick durch die vom CWA erfassten Kontaktdaten erhalten. (…) [N]irgends in den Medien wurde bisher etwas über eine Form der Entschädigung an Google und Apple berichtet. Es ist wichtig zu wissen, welche Entschädigung Google und Apple hierfür bekommen würden, da potenziell viele Behörden in Europa mit ihnen solche Verträge schließen (werden). (…) Dass zu allerletzt die Unternehmen SAP und Deutsche Telekom mit der eigentlichen Umsetzung der App beauftragt wurden, kommt etwas überraschend, denn weder die Deutsche Telekom und schon gar nicht SAP sind Experten für Smartphones-Apps. (…) Gerade weil die App ein öffentliches Projekt ist und aus einem Notstand entstanden ist, warum wird dann das Unternehmen SAP der Eigentümer der CWA-App (plus Quellcode)? Für Unternehmen die jahrzehntelang Riesenprofite eingenommen haben, müsste es doch eine Ehrensache sein, bescheiden und gratis einen Beitrag für die Gesellschaft zu leisten.“ Beitrag von Kuros Yalpani vom 30. Oktober 2020 bei Telepolis – die Kritik an der Position von CCC teilen wir allerdings nicht
• Corona-App und Datenschutz: Datensammelfantasien – Soll die App alle möglichen privaten Daten sammeln und an Behörden geben? Diese Idee wird gerade populär. Durchdenken wir das mal kurz.
  „Das ging wirklich schnell. Kaum steigen die Infektionszahlen, diffundieren Vertreter:innen der Fraktion Ich-hab-nichts-zu-verbergen in die Talkshows hinein. So forderte etwa Philosophie-Professor Julian Nida-Rümelin am Sonntag bei Anne Will: Die ­Corona-App solle persönliche Daten sammeln und an die Gesundheitsämter weiterleiten, auf dass derart die Pandemiebekämpfung erleichtert werde. Die Corona-App, könnte man sagen, ist das datenschutzvorbildlichste Projekt, das die Bundesregierung in den vergangenen Jahren so auf den Weg gebracht hat. Dass es nun Forderungen gibt, den Datenschutz hier runterzuschrauben, ist also erwartbar und ironisch zugleich. Als ob „informationelle Selbstbestimmung“ ein Schimpfwort wäre. Und das Erinnern daran, dass mehr persönliche Daten nicht unbedingt mehr Sinn oder mehr Handeln oder mehr Pandemiebekämpfung bringen, ein Leugnen der Schwere der Situation. (…) Was würde passieren? (…) Nun, zunächst einmal müsste die Architektur der App entscheidend verändert werden. Denn derzeit ist sie sehr datensparsam angelegt. (…) Aber selbst wenn es schneller ginge: Wie kommen die frisch gesammelten Daten zu den Gesundheitsämtern? (…) Doch die größte Hürde liegt bei den Nutzer:innen. Die Entscheidung für eine datensparsame Architektur fiel nach einer breiten öffentlichen Debatte auch über problematische, datensammelnde Nachverfolgungspraktiken in anderen Ländern. Die Bundesregierung schien schließlich zu verstehen, dass es bei einer freiwilligen App auf das Vertrauen der Nutzer:innen ankommt – und das ist eher mit Datensparsamkeit als mit Tracken und Sammeln zu gewinnen. Heißt also: Mehr Datensammelei gleich weniger Nutzer:innen. Gleich: Der vermeintliche Vorteil bei der Pandemiebekämpfung wäre schneller wieder dahin als ein Talkshowabend.“ Artikel von Svenja Bergt vom 26. Oktober 2020 in der taz online 
• Covid-19: CCC hackt Corona-Kontaktlisten aus beliebter Restaurantsoftware 
  „… Mitglieder des Chaos Computer Clubs (CCC) haben mehrere Schwachstellen bei Gastronovi entdeckt, einem Cloud-System für gastronomische Betriebe. Laut dem CCC seien in Corona-Listen und Reservierungen mehrere Millionen sensible Datensätze einsehbar gewesen. Vor der Veröffentlichung hat der CCC die Softwarefirma kontaktiert, damit diese die Lücken schließen konnte. Herausgekommen war die Sicherheitslücke nach einem gemeinsamen Restaurantbesuch von Mitgliedern des CCC, nachdem diese sich in eine digitale „Corona-Liste“ eintragen sollten. Die vollmundigen Sicherheitsversprechen hätten den Argwohn der Hacker:innen erregt, heißt es in der Pressemitteilung. (…) Verschiedene Schwachstellen ermöglichten den Zugriff auf insgesamt 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten. Im betroffenen System wurden jedoch nicht nur Corona-Kontaktlisten, sondern auch Reservierungen, Bestellungen und Kassenumsätze gespeichert. Gastronovi wirbt damit, monatlich über 96 Millionen Euro Umsatz von 7,7 Millionen Kund:innen sowie 600.000 Reservierungen über das System abzuwickeln. Laut der Referenzen zählen unter anderem die Berliner Filiale des Hofbräu München und das luxuriöse Carlton Hotel in St. Moritz zu den Kund:innen der Firma. Persönliche Daten von Besucher:innen werden vor allem bei Reservierungen und Corona-Registrierungen erfasst. Hier konnte der CCC insgesamt Zugriff auf 4,8 Millionen Personendatensätze aus über 5,4 Millionen Reservierungen erlangen. Dabei reichten die dort vorliegenden Daten fast zehn Jahre zurück. Gastronovi versteht sich als „Auftragsverarbeiter“. Das heißt, dass die Verantwortung zur Löschung bei den Gastronom:innen liegen soll. (…) Gastronovi gibt an, den Vorfall den Datenschutzbehörden gemeldet zu haben. Zwei Stunden, nachdem der CCC das Unternehmen über die Sicherheitslücke informiert habe, sei diese geschlossen worden. Weiter schreibt Gastronovi auf seiner Website: „Die Sicherheitslücken wurden ausschließlich von den Hackern des CCC entdeckt. Die Daten unserer Kunden sowie die Daten deren Gäste wurden daher zu keinem Zeitpunkt unsachgemäß verwendet!“ Zum Ausmaß des Datenlecks verliert die Firma indes kein Wort. (…) Unter den betroffenen Personen sind auch Spitzenpolitiker, berichtet tagesschau.de. So seien unter anderem Reservierungen der Büros von Gesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil in den Daten aufgetaucht…“ Beitrag von Markus Reuter vom 28. August 2020 bei Netzpolitik.org 
• Corona-App und Betriebsrat 
  „… Manche Betriebsräte mussten bereits feststellen, dass zum Teil einfachste betriebliche Corona-Maßnahmen zu massiven Diskussionen in der Belegschaft führten. Das ist eine Begleiterscheinung der Corona Beschränkungen, welche den gewohnten und selbstbestimmten Tagesablauf auf eine nicht absehbare Zeit umkrempeln. Diese Veränderungen führen oft zu emotionalen Debatten, wie sie auch in der Vergangenheit über die Corona-Tracing-App geführt wurden. Um nicht zwischen die Fronten des »Pro und Contra« zu geraten, ist es als Betriebsrat wichtig, seine Position für oder gegen die Nutzung mit Bedacht zu formulieren. In der Belegschaft darf nicht der Eindruck entstehen, der Betriebsrat versuche mit dem Arbeitgeber Politik zu machen und Bedenken wegzuwischen bzw. Panik zu machen. Ziel sollte es sein, die Kolleginnen und Kollegen bei ihrer eigenen Entscheidungsfindung mit Informationen zu unterstützen und nützliche Informationen zu liefern. Die Nutzung der App ist freiwillig, da diese die Persönlichkeitsrechte jedes Einzelnen betrifft. Allerdings hat der Arbeitgeber die betroffenen Arbeitnehmer vorab über die Freiwilligkeit der Nutzung zu informieren, da ansonsten durch die automatische Installation eine Erwartungshaltung des Arbeitgebers zur Verwendung zum Ausdruck gebracht werden könnte. Plant der Arbeitgeber jedoch die Belegschaft über die App und deren Vor- und Nachteile zu informieren, so hat er den Betriebsrat rechtzeitig und umfassend darüber zu unterrichten (§ 80 Abs. 2 BetrVG). So kann dieser sicherstellen, dass kein Druck zur Nutzung auf die Mitarbeiter ausgeübt wird. Zudem hat der Betriebsrat nach § 87 Abs. 1 Nr. 1 BetrVG bei Fragen der Ordnung und des Verhaltens der Beschäftigten im Betrieb ein zwingendes Mitbestimmungsrecht. Das gilt auch für die Frage, ob der Arbeitgeber die Nutzung einer solchen App den Beschäftigten vorschreiben kann…“ Meldung vom 27. Juli 202 des Bund-Verlags zum Artikel von Florian Bienert in »Betriebsrat und Mitbestimmung« 8/2020 (nicht online)
• EU-Staaten diskutieren Nachverfolgung von Corona-Infektionen mit Passagierdaten 
  „… Im Juli hat Deutschland turnusgemäß die EU-Ratspräsidentschaft übernommen. Als eine der ersten Initiativen zur inneren Sicherheit regt das deutsche Innenministerium an, von Fluggesellschaften gesammelte Passagierdaten (Passenger Name Records, PNR) zur Nachverfolgung von Covid-19-Infektionen zu verwenden. Hierzu hat die Bundesregierung einen Fragebogen an alle übrigen EU-Mitgliedstaaten versandt. Zu den PNR-Daten gehören alle Angaben, die Reisende beim Buchen und Einchecken bei einer Fluggesellschaft hinterlassen, darunter Namen und Kontaktangaben, Kreditkartennummern, IP- und Mailadressen, gebuchte Hotels, Mitreisende und Essensvorlieben. Sie werden von den Airlines zwei Mal an die zuständigen Behörden des Ziellandes übermittelt: bei der Buchung sowie beim Boarding der Maschine. (…) Die deutsche Umfrage zur Verwendung von PNR-Daten für Zwecke der öffentlichen Gesundheit dürfte auch die geplante Änderung der PNR-Richtlinie beeinflussen. Die österreichische Ratspräsidentschaft hatte noch vor der Coronakrise letztes Jahr vorgeschlagen, den Anwendungsbereich auf Reisewege an Land zu erweitern. Dagegen steht womöglich eine Klage der Gesellschaft für Freiheitsrechte mit der österreichischen Organisation epicenter.works gegen die massenhafte Speicherung und intransparente Verarbeitung von Fluggastdaten durch Kriminalämter. Inzwischen befasst sich der Europäische Gerichtshof mit der Frage, ob dieser Eingriff das Privatleben und die Grundrechte verletzt. (…) Die Ideen zur Verwendung von Passagierdaten im Gesundheitsbereich werden am 16. Juli in der neu gegründeten Ratsarbeitsgruppe „Informationsaustausch“ (IXIM) weiter behandelt. Unter anderem soll Belgien dort einen Vortrag halten. Belgische Behörden verlangen PNR-Daten mittlerweile auch von Bus- und Bahnreisenden aus Großbritannien.“ Beitrag von Matthias Monroy vom 7. Juli 2020 bei Netzpolitik.org 
• Kritik an Datenschutzfolgenabschätzung für die Corona-Warn-App 
  „…  Auch wenn die technischen Eigenschaften der Tracing-Apps, darunter sogar ihre genaue Zweckbestimmung, noch nicht abschließend ausgehandelt sind, müssen die datenschutz- und somit grundrechtsrelevanten Folgen dieses Vorhabens nach wie vor detailliert diskutiert werden. (…) Im Folgenden sollen vier wichtige Ergebnisse unserer DSFA vorgestellt werden. 1. Die häufig beteuerte Freiwilligkeit der App-Nutzung ist ein voraussetzungsreiches Konstrukt, das sich in der Praxis als Illusion herausstellen kann. (…) Nur durch eine flankierende Gesetzgebung, die diese und andere Zweckentfremdungen effektiv unterbindet, ist dieses Risiko abzumildern. (…) 2. Ohne Intervenierbarkeit (Einschreitbarkeit) und enge Zweckbindung ist der Grundrechtsschutz gefährdet: Es besteht ein hohes Risiko fälschlich registrierter Expositionsereignisse (falsch Positive durch Wände, Masken oder Laborfehler), die zu Unrecht auferlegte Selbst-Quarantäne zur Folge hätten. Um dem zu begegnen, bedarf es rechtlicher und faktischer Möglichkeiten zur effektiven Einflussnahme, etwa das Zurückrufen falscher Infektionsmeldungen, die Löschung falsch registrierter Kontaktereignisse oder das Anfechten möglicher anderer Konsequenzen. 3. Alle bislang besprochenen Varianten einer Corona-App unterliegen der DSGVO, denn sie verarbeiten personenbezogene Daten. (…) Und weil nur diejenigen Personen Daten an den Server übertragen, die als infiziert diagnostiziert wurden, handelt es sich bei diesen hochgeladenen Daten sogar um Gesundheitsdaten. (…) 4. Die Rolle der Plattformanbieter Apple (iOS) und Google (Android) ist kritisch zu diskutieren und über den gesamten Verarbeitungsprozess hinweg zu begleiten. Eine Bluetooth-basierte Corona-Tracing-App ist aus technischen Gründen auf die Kooperation der Plattformanbieter angewiesen, da der Zugriff auf das Bluetooth-Modul der Geräte auf Betriebssystemebene ermöglicht werden muss. Diese Machtposition haben die Plattformanbieter in den vergangenen Wochen genutzt, um gegen zahlreiche Regierungen eine dezentrale und somit datenschutzfreundlichere Architektur zu erzwingen. Damit ist das Datenschutzrisiko, das von den Plattformbetreibern selbst ausgeht, in der öffentlichen Diskussion weitestgehend aus dem Blick geraten. (…) Nur Datenschutzfolgenabschätzungen können Derartiges offenlegen und sollten in diesem, aber auch in anderen ähnlich folgenreichen Datenverarbeitungsprojekten veröffentlicht werden, damit sie nicht nur von den Datenschutz-Aufsichtsbehörden, sondern auch in gesellschaftlicher Breite und sozialwissenschaftlicher Tiefe diskutiert werden können.“ Gastbeitrag von Kirsten Bock, Christian Ricardo Kühne, Rainer Mühlhoff, Měto Ost, Jörg Pohle und Rainer Rehak vom 29. Juni 2020 bei Netzpolitik.org 
• Corona-Warn-App: Zu Risiken und Nebenwirkungen fragen Sie Ihre Gewerkschaft 
  „… Die Bundesregierung betont zwar die Freiwilligkeit der App-Nutzung, aber schon eine mittelbare Einflussnahme könnte aus der Freiwilligkeit quasi eine Pflicht machen. Wenn etwa Arbeitgeber die Nutzung oder auch Nicht-Nutzung der App von Beschäftigten verlangt oder eben verbietet. Oder wenn die Teilhabe am öffentlichen Leben, etwa beim Besuch eines Restaurants oder einer Kultureinrichtung, von der App-Nutzung abhängig gemacht würde. Eine gesetzliche Regelung sollte solche Fälle klar ausschließen. In jedem Fall sollten aber Gewerkschaften und gesetzliche Interessenvertretungen auf die Geltung bestehender Gesetze und Schutzrechte auch für den Betrieb und die Nutzung der Corona-Warn-App hinweisen sowie auf deren Einhaltung achten. Und bei Verstößen natürlich intervenieren…“ FAQ vom 18.6.2020 von und bei ver.di 
• Corona-Warn-App als Pflicht für Mitarbeiter und Kunden? 
  „Die Corona-Warn-App soll ihren Nutzern anzeigen, wenn sie sich in der Nähe einer infizierten Person befanden. Dadurch sollen mögliche Infektionsketten schnell und effizient unterbrochen und so die Pandemie eingedämmt werden. Allerdings hängt der Erfolg der App von der Anzahl ihrer Nutzer ab. Daher möchten viele Unternehmen die App ihren Mitarbeitern oder Kunden empfehlen. Manche gehen sogar weiter und überlegen Mitarbeiter oder Kunden zur Nutzung der App zu verpflichten. Ob derartige Corona-App-Zugangsschranken und -Empfehlungen rechtlich zulässig sind, erfahren Sie in der folgenden FAQ. Die Antworten erhalten zudem praktischen Vorschläge, wie Sie die Zulässigkeit prüfen können und welche Risiken verbleiben…“ FAQ und Praxistipps von Dr. Thomas Schwenke vom 17. Juni 2020 in datenschutz-generator.den der Rechtsanwaltskanzlei von Thomas Schwenke
• Bundesdatenschutzbeauftragter warnt vor Missbrauch der Corona-App: Versucht es lieber nicht
  „»Datenschutz und Informationsfreiheit bleiben auch in einer Welt mit Corona wichtig«, sagte der Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber, am Mittwoch bei der Präsentation der Tätigkeitsberichte seiner Behörde am Mittwoch in Berlin. Sein Amt ist gefragt angesichts der aktuell stattfindenden Grundrechtseinschränkungen. »Der Datenschutz stand in den letzten Wochen zu Recht im Fokus der Öffentlichkeit«, erläutert Kelber. Die Reaktionen, die er auf seine Arbeit erhielt, fielen mitunter harsch aus. So werde er nicht erst seit der Corona-Pandemie danach gefragt, ob nicht der Datenschutz dem Gesundheitsschutz im Wege stehe. »Das ist noch die freundliche Fassung dieser Frage. Das geht bis hin zu: Sind Ihnen denn die Leben der Menschen egal?« Kelber zieht Bilanz und macht klar, dass keine geeignete und erforderliche Maßnahme zur Pandemiebekämpfung aus Datenschutzgründen blockiert wurde. (…)Das Grundrecht auf den Schutz der Gesundheit dürfe nicht gegen das Grundrecht auf informationelle Selbstbestimmung ausgespielt werden, betonte Kelber. Nicht immer lief es in Bezug auf Corona-Apps rund in Sachen Datenschutz. Nachdem bei der Datenspende-App des Robert-Koch-Instituts, die wesentliche Sicherheitslücken aufwies, und eine Beteiligung des Datenschutzbeauftragten erst 36 Stunden vor der Veröffentlichung der App erfolgte, schaltete sich der BfDI bei der Corona-Warn-App frühzeitig selbst ein. Für ihn ist der Entwicklungsprozess beispielgebend und sollte zum Standard werden. Als Aufsichtsbehörde wird der BfDI den Betrieb der Corona-Warn-App im Blick behalten…“ Artikel von Daniel Lücking vom 17.06.2020 beim ND online und die Meldung des BfDI 
• FAQ zu Corona-Apps: Die wichtigsten Fragen und Antworten zur digitalen Kontaktverfolgung
  „Smartphone-Anwendungen sollen helfen, die Kontakte von Covid19-Infizierten zu informieren. Doch in der Auseinandersetzung geht einiges drunter und drüber. Funktioniert Corona-Tracing wirklich anonym? Wer steckt hinter den unterschiedlichen Ansätzen? Welche Rolle spielen Apple und Google? Unser laufend aktualisiertes FAQ gibt Antworten auf die wichtigsten Fragen…“ FAQ von Ingo Dachwitz, Chris Köver, Anna Biselli, Marie Bröckling, Dominic Lammar, Julia Barthel bei Netzpolitik – ständig aktualisiert
• Corona Tracing App – Bundesregierung muss Vertrauen und Akzeptanz schaffen
  „… Oberste Maßgabe in einer Pandemie ist es, die Ausbreitung der Infektion zu stoppen und so restriktive Einschränkungen zu vermeiden. Alles, was hilft, einen zweiten Shutdown zu verhindern, ist gut. Eine Tracing App kann dazu beitragen. Grundvoraussetzung für die Akzeptanz für die geplante Corona Tracing App sind klare rechtliche Regelungen für die Nutzerinnen und Nutzer. Wenn es der Bundesregierung nicht gelingt, für die nötige Akzeptanz zu sorgen, werden nur wenige das Instrument freiwillig nutzen – eine echte Hilfe bei der Eindämmung der Pandemie kann die App aber nur bei einer Vielzahl von Nutzern werden. Die Bundesregierung muss deshalb die offenen arbeitsrechtlichen, gesundheitspolitischen und grundrechtsrelevanten Fragen jetzt umgehend gesetzlich regeln. Erstens muss der Gebrauch der App ohne Wenn und Aber freiwillig sein. Das heißt: Weder die Nutzung, noch die Nichtnutzung darf negative Konsequenzen wie Benachteiligungen oder Maßregelungen nach sich ziehen. Es muss sichergestellt sein, dass Arbeitgeber die Anwendung der App weder im Arbeitsverhältnis auf dienstlichen und privaten Geräten anordnen können noch Kenntnis über mögliche Ansteckungswarnungen erlangen. Es darf keinen Druck auf Beschäftigte geben, die die Nutzung der App verweigern. Weder dürfen sie am Zugang zum Betrieb gehindert werden noch darf es sein, dass sie arbeitsrechtliche Konsequenzen fürchten müssen. Ebenso geht es nicht, dass Arbeitgeber die Nutzung der App grundsätzlich untersagen. Hier brauchen alle Beteiligten rechtliche Klarheit. Zweitens braucht es eindeutige Regeln für die Befreiung von der Arbeitspflicht und den Lohnersatz im Falle einer Warnung. Arbeitnehmer müssen grundsätzlich ihre Arbeit niederlegen können und während der Zeit bis zur Entscheidung durch die Gesundheitsbehörde einen hundertprozentigen Ersatz des Verdienstausfalls erhalten. Nur ohne drohende Einkommenseinbußen können sich Beschäftigte frei für die Nutzung der App entscheiden. Wer durch die App gewarnt wird, muss sich umgehend testen lassen können – dafür sind ausreichende Kapazitäten notwendig. Diese Tests gehören zum staatlichen Seuchenschutz und müssen auch entsprechend aus dem Staatshaushalt finanziert werden. Es darf nicht dabei bleiben, dass die gesetzlich Versicherten auf diesen Kosten sitzen bleiben. Keinesfalls ersetzt die App einen funktionierenden Arbeitsschutz. Hygiene- und Abstandsregeln bleiben wichtig. Weiter darf es für Versicherte, die die App nicht nutzen, keine Ungleichbehandlung oder gar schlechtere Gesundheitschancen geben.“ Stellungnahme von DGB-Vorstandsmitglied Anja Piel in der DGB-Pressemitteilung vom 15. Juni 2020 
• Bluetooth-Daten manipulierbar: Forscher entdecken Sicherheitslücke bei Corona-Apps
  „Wissenschaftler aus Rhein-Main haben eine Schwachstelle im Sicherheitssystem der Corona-Tracing-Apps gefunden. Durch die Lücke lassen sich sensible persönliche Daten einsehen und verändern. (…) Wissenschaftler der Technischen Universität Darmstadt (TU), der Universität Marburg und der Universität Würzburg haben anhand praktischer Versuche herausgefunden, dass bislang nur theoretisch bekannte Risiken tatsächlich mit gängigen technischen Mitteln ausgenutzt werden können. Demnach könne ein Angreifer detaillierte Bewegungsprofile von Infizierten erstellen und unter Umständen die Betroffenen identifizieren. Zum anderen könnten die Kontaktinformationen manipuliert werden, was die Genauigkeit und Zuverlässigkeit des Kontaktnachverfolgungssystems beeinträchtigen könne. Das Problem liege im sogenannten Google-Apple-Protokoll (GAP), einer Schnittstelle zum Betriebssystem. (…) Das Experiment der Forscher zeige, dass Nachbesserungsbedarf bestehe, was Sicherheit und Datenschutz der Protokolle betreffe. Zudem sehen es die Forscher aus Darmstadt, Marburg und Würzburg kritisch, dass die deutsche App nur mit Hilfe der von den beiden amerikanischen Konzernen gelieferten Betriebssysteme funktioniere. Die Gefahr, dass die Unternehmen dadurch Zugriff auf medizinische relevante Daten der hiesigen Nutzer erhalten könnten, sei nicht auszuschließen.“ Artikel von Sonja Jordans vom 13.06.2020 bei der FAZ online , siehe dazu:
  • Corona-Warn-Apps: Defizite bei Sicherheit. Forschungskonsortium belegt Risiken in Google- und Apple-Spezifikation für Corona-Apps
    „Ein Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg hat jüngst in Publikationen als theoretisch möglich beschriebene Datenschutz- und Sicherheitsrisiken der Spezifikation des von Google und Apple vorgeschlagenen Ansatzes für Corona-Apps unter realistischen Bedingungen praktisch demonstriert und bestätigt. Auf diesem Ansatz basiert unter anderem die von der Deutschen Telekom und SAP im Auftrag der Bundesregierung entwickelte deutsche Corona-Warn-App; aber auch die schweizerischen und italienischen Kontaktnachverfolgungs-Apps nutzen diese Plattform. Durch Experimente in realen Szenarien zeigte das Forschungsteam, dass bereits theoretisch bekannte Risiken mit gängigen technischen Mitteln ausgenutzt werden können. So kann zum einen ein externer Angreifer detaillierte Bewegungsprofile von mit COVID-19 infizierten Personen erstellen und unter bestimmten Umständen die betroffenen Personen identifizieren. Zum anderen ist ein Angreifer in der Lage, die gesammelten Kontaktinformationen durch sogenannte Relay-Angriffe zu manipulieren, was die Genauigkeit und Zuverlässigkeit des gesamten Kontaktnachverfolgungssystems beeinträchtigen kann…“ Meldung vom 12.06.2020 der TU Darmstadt zum Studienbericht 
• Corona-App-Befragung: Nutzer wollen Kontrolle und Freiwilligkeit
  „Findet die Corona-App zur Kontaktverfolgung so viel Akzeptanz, dass Millionen Smartphone-Nutzer sie herunterladen werden? Eine Auswertung einer repräsentativen Befragung zeigt, unter welchen Bedingungen Smartphone-Besitzer dazu bereit wären. (…) Untersucht wurde die „Downloadbereitschaft einer Contact Tracing App in Deutschland“ im Auftrag des Nürnberg Institut für Marktentscheidungen und in Zusammenarbeit mit der Cass Business School in London. Aus elf Eigenschaften der App mit jeweils vorgegebenen Antwortvarianten wählten die Befragten aus, welche ihnen besonders wichtig erschienen und damit die Akzeptanz erhöhen würden. Vor allem die Frage, wer für die App verantwortlich ist, steht bei den potentiellen App-Nutzern als wichtigstes Kriterium ganz oben. Zur Auswahl standen dabei das Robert-Koch-Institut (RKI), die Bundesregierung, deutsche Konzerne wie SAP und Telekom oder aber internationale Konzerne wie Google und Apple. Aus dieser Liste wird das RKI von den Befragten vorgezogen. Im Umkehrschluss erklären die Autoren des Berichts, dass eine Verantwortlichkeit bei nationalen oder internationalen Konzernen die Akzeptanzraten senken würden. Als zweitwichtigstes Kriterium stellte sich die Frage heraus, inwiefern die App eine Voraussetzung für Bewegungsfreiheit sein sollte. (…) Die Nummer drei unter den Eigenschaften der App, die von den Befragten als besonders wichtig erachtet wurde, ist die Speicherdauer. (…) Erwähnenswert, aber nicht eben überraschend ist die Auswertung bei der viertwichtigsten Eigenschaft der App, nämlich der Anonymität: Eine anonyme Kontaktverfolgung würde die Neigung zur Nutzung erhöhen, eine Identifizierbarkeit der Smartphone-Nutzer und die Speicherung von Standortdaten hingegen senken, heißt es in dem Bericht. (…) Wer übrigens unter den Befragten die recht ausführliche Berichterstattung verfolgt hat, ist laut des Berichts eher geneigt, sich die App auch herunterzuladen. Die Diskussion über mehrere Wochen scheint also dazu beigetragen zu haben, das Vertrauen zu stärken. Doch eine ganz generelle Skepsis gaben immerhin 22 Prozent aller Umfrageteilnehmer an: Sie wollen keine App downloaden, egal wie sie konfiguriert ist.“ Beitrag von Constanze Kurz vom 8. Juni 2020 bei Netzpolitik.org 
• Während der Pandemie verstärken viele Unternehmen die Überwachung ihrer Angestellten: Die Avantgarde der digitalen Kontrolle
  „… Geht es um Bürgerrechte, wird fast immer über staatliche Maßnahmen debattiert, etwa über den Datenschutz bei Tracing-Apps. Weit weniger Beachtung findet die digitale Kontrolle der Lohnabhängigen im Betrieb. Die verwendeten Technologien sind nicht neu, werden aber ständig weiterentwickelt und finden während der Pandemie weitere Verbreitung. Dies begünstigt einen Trend, den der britische Journalist John Harris bereits 2016 als »Stasi-Kapitalismus« bezeichnete: eine Überwachung der Lohnabhängigen, die nicht allein der Kontrolle am Arbeitsplatz dient und den Leistungsdruck erhöht, sondern auch auf das Verhalten in der Freizeit Einfluss nimmt. Die scheinbare Freiwilligkeit des Lohnarbeitsverhältnisses erleichtert die Einführung von Überwachungsmethoden, die wohl selbst die chinesische KP nicht ohne Weiteres durchsetzen könnte, die aber, einmal etabliert, zur gesellschaftlichen Normalität zu werden drohen. Die Unternehmer sind die Avantgarde des Überwachungsstaats. So gibt es einen Unternehmer, der seinen Angestellten Mikrochips implantieren ließ. Er heißt aber nicht Bill Gates, sondern Todd Westby. Es war auch keineswegs Teil einer Verschwörung, sondern vielmehr ein PR-Stunt, dass sich 2017 etwa 50 »Freiwillige« der Firma Three Square Market Mikrochips in die linke Hand implantieren ließen – die kontroverse Debatte machte das Produkt weltweit und vor allem ­geschäftsweltweit bekannt. Mit dem Mikrochip können die Angestellten ­Türen zu öffnen, sich in Computer einloggen und Snacks kaufen. (…) Andere Firmen wie das Werbeunternehmen Interpublic Group wollen ihre Beschäftigten nach dem Gesundheitszustand und Vorerkrankungen in Gruppen aufteilen, was eine freiwillige Preisgabe medizinischer Daten, möglicherweise auch von nahestehenden Personen, erfordert. Mit solchen Methoden wird die Verantwortung für den Gesundheitsschutz den einzelnen Beschäftigten zugeschoben. Bereits vor der Pandemie galt Krankheit immer mehr als Folge von Charakterschwäche – zu wenig Sport, zu viele Hamburger. Nun soll es als individuelles Versagen gelten, wenn Lohnabhängige einander bei der Arbeit zu nahe kommen. Der Chef hat es ja verboten – wer will da noch danach fragen, ob man unter dem extremen Zeitdruck in einer Amazon-Lagerhalle den vorgeschrieben Abstand überhaupt einhalten kann? Die Covid-19-Pandemie könnte zudem als Vorwand dienen, um als nicht leistungsfähig eingestufte Beschäftigte mit Vorerkrankungen auszugrenzen und das Freizeitverhalten zu kontrollieren. (…) Ebenso wenig wie ein Innenminister wird sich ein Manager einmal gewonnene Überwachungsbefugnisse freiwillig wieder nehmen lassen. Für die Deinstallation der Überwachungssoftware müssten die Beschäftigten daher wohl hart kämpfen. Überdies betreffen die Überwachungsmaßnahmen keineswegs nur Büroangestellte, sondern bereits unter anderem Lager- und Lieferdienstarbeiter sowie Einzelhandelsangestellte. Obwohl Datenschutzgesetze und gewerkschaftliche Gegenmacht, und sei es auf dem Niveau des DGB, in vielen Ländern derzeit noch einen gewissen Schutz bieten (…), besteht daher wenig Hoffnung, dass der Rest der Lohnabhängigen verschont bleiben wird.“ Beitrag von Jörn Schulz aus Jungle World 2020/23 vom 4. Juni 2020 
• Vertrauen ohne Kontrolle: Datenschutz ausgehebelt – Der Bundestag ignoriert mit dem zweiten Pandemieschutzgesetz den Datenschutz 
  „… Am 14. Mai wurde in Bezug auf das informationelle Selbstbestimmungsrecht der Bürger gegen den ausdrücklichen Protest des Bundesdatenschutzbeauftragten Ulrich Kelber die staatliche Begründungspflicht für Grundrechtseingriffe faktisch ausgesetzt. Ohne eine rechtsstaatlichen Prinzipien genügende Begründung beschloss der Bundestag mit dem zweiten Pandemieschutzgesetz, dass künftig u.a. bundesweit personenbezogene Daten von nicht infizierten Bürgern nach erfolgter negativer Testung (SARS-CoV und SARS-CoV-2) staatlich erfasst und an das Gesundheitsminister Spahn unterstellte Robert-Koch-Institut weitergeleitet werden müssen (…). Hatte Spahns Implantateregistergesetz den Datenschutz zumindest noch formal legal unter Bezugnahme auf die Datenschutzgrundverordnung ausgehöhlt (…), taucht in der Begründung zu seinem nun beschlossenen zweiten Pandemiegesetz der Begriff „informationelles Selbstbestimmungsrecht“ erst gar nicht auf. Der Protest des Bundesdatenschutzbeauftragten gegen die „dürftigen Angaben in der Begründung“ wurde einfach ignoriert. „Nicht ansatzweise“, so hatte Kelber gewarnt, lasse die Begründung erkennen, „auf welcher Grundlage hier in die Grundrechte einer eklatanten Anzahl von Betroffenen eingegriffen werden soll“. Seine Mahnung, dass Grundrechtseingriffe nach Maßgabe von Erforderlichkeit und Verhältnismäßigkeit begründet werden müssen, hat kaum jemanden interessiert. (…) Für den Bürger bleibt, sollte der Bundespräsident dieses Gesetz unterzeichnen, nur noch das Vertrauen in einen letzten Kontrollmechanismus des Rechtsstaates: der Gang zum Bundesverfassungsgericht, das die personenbezogene Meldepflicht für Nicht-Infizierte noch kippen kann. Dann wird man lächelnd vor die Kamera treten und so etwas sagen wie „Wir begrüßen, dass wir jetzt Rechtssicherheit haben. Das schafft gesellschaftlichen Frieden.“ Und dann wird das, was ohnehin kaum ins Bewusstsein der Öffentlichkeit gelangt ist, auch schon wieder vergessen sein. Keiner wird die Verantwortung für das tragen müssen, was am vergangenen Donnerstag im deutschen Parlament, dem „Herzen der Demokratie“, geschehen ist. Und weil keiner die Verantwortung dafür wird tragen müssen, konnte es auch nur geschehen.“ Kommentar von Brigitta Engel und Florian Rötzer vom 19. Mai 2020 bei Telepolis 
• Warum wir ein Corona-Tracing-Gesetz brauchen 
  „Die beste Corona-Tracing-App ist keine Corona-Tracing-App (…) Doch wenn es sie schon geben muss, dann sollte sie zumindest rechtlich klar geregelt sein (…) Die Antwort darauf ist zunächst eine juristische. Jede denkbare Umsetzung einer Corona-App verarbeitet personenbeziehbare (pseudonyme) Daten. Komplett anonym geht es nicht. Das haben Forschende des Forums der InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.V. in einer Analyse ermittelt. Rein rechtlich erfordert jede derartige Verarbeitung personenbezogener Daten eine Rechtsgrundlage, also eine Form der Erlaubnis zur Datenverarbeitung. Diese Erlaubnis kann in der Einwilligung der Betroffenen oder in einer gesetzlichen Erlaubnis bestehen. Im Fall der Corona-Tracing-App wird eine Einwilligung allerdings ganz überwiegend nicht für sinnvoll gehalten. Die europäischen Datenschutzaufsichtsbehörden zum Beispiel haben recht früh in einer gemeinsamen Stellungnahme klargestellt, dass es wohl an der erforderlichen Freiwilligkeit fehlen würde. Das ist einleuchtend, denn letztlich steht die Corona-Tracing-App immer vor der Drohkulisse: Installieren oder staatlich verordneter Lockdown. Deshalb halten auch die VerfasserInnen des nun vorgelegten Gesetzesentwurfs – anders als einzelne Stimmen aus Verbänden und Politik – es für abwegig, den Betrieb und die Nutzung einer Corona-Tracing-App auf eine Einwilligung der Nutzenden zu stützen. Es braucht vielmehr eine klare gesetzliche Regelung, die Umfang und Grenzen der zulässigen Datenverarbeitung und der zulässigen Zwecke regelt. Das heißt im Umkehrschluss jedoch nicht, dass die App-Nutzung verpflichtend ist. Im Gegenteil: Erst durch eine gesetzliche Regelung kann ansatzweise gewährleistet werden, dass bei der App-Nutzung so etwas wie Freiwilligkeit verbleibt. Insofern ist der vorgelegte Entwurf auch politisch motiviert. Er regelt nicht nur das „Ob“ einer Corona-Tracing-App, sondern auch das wichtige „Wie“. Angesichts immer neuer Forderungen und Ideen zu möglichen Weiterverwendungen der über die App verarbeiteten Daten könnte eine gesetzliche Regelung den nötigen äußeren Rahmen für die (Weiter-) Verarbeitung der Corona-App-Daten setzen. Auch Zweckbindung, Open Source und ein automatisches Ende der Tracing-Maßnahmen könnten so gesetzlich festgeschrieben werden…“ Gastbeitrag von Malte Engeler vom 9. Mai 2020 bei Netzpolitik.org (Malte Engeler ist Rechtswissenschaftler und Richter am Schleswig-Holsteinischen Verwaltungsgericht)
• Kommentar: Der digitale Seuchenpass darf keine Lösung sein
  „Fabian A. Scherschel sieht im Solutionismus der Technokraten keine Lösung unserer COVID-19-Probleme, sondern die Gefahr eines alptraumhaften Dauerzustands. Nachdem viele Beobachter die Idee des Contact Tracing per App zur Eindämmung der COVID-19-Epidemie mittlerweile sehr skeptisch sehen, wird nun das nächste Konzept in Stellung gebracht: Der digitale Seuchenpass. Mehrere Gruppen von Wissenschaftlern und Software-Entwicklern versuchen gerade, ein solches “digitales Gesundheitszertifikat” möglichst datenschutzkonform umzusetzen. Sie lassen dabei aber die wichtigste Frage, die sich eigentlich zuerst stellen müsste, komplett außer acht. Denn was uns bei diesem Konzept eigentlich interessieren sollte, ist nicht, ob wir solche Daten am besten in einer Blockchain lagern und ob die Krypto des Systems funktioniert, sondern ob diese Idee nicht grundsätzlich dem Schutz der Menschenwürde und dem Schutz vor Diskriminierung widerspricht, die das Fundament unserer Grundrechte bilden. (…) Die Frage ist, ob wir in einer Welt leben wollen, in der Menschen wegen der Art der Antikörper in ihrem Blut diskriminiert werden. Du hattest den Virus schon? Dann kannst du arbeiten gehen. Du wurdest positiv getestet? Dann darfst du sechs Monate nicht fliegen. Es ist offensichtlich, wohin solch eine Technik führt. Auch ist völlig egal, ob Tests und Seuchenpass-Apps freiwillig sind oder nicht...“ Kommentar von Fabian A. Scherschel vom 10.05.2020 bei heise news 
• Jetzt kommen die Corona-Apps für Unternehmen
  „… Beantworten Sie ein paar Fragen auf Ihrem Smartphone, und die App Ihres Unternehmens wird Ihnen sagen, ob es nicht besser wäre, im Homeoffice zu arbeiten – was vor ein paar Monaten noch seltsam klang, könnte bald normal sein. Mobile Anwendungen könnten bald von Unternehmen mit dem Ziel eingesetzt werden, den Mitarbeitern die Gewissheit zu geben, dass ihre Kollegen gesund sind, und zu verhindern, dass sich das Coronavirus in Büros ausbreitet. (…) Zusammen mit anderen Massnahmen sollen all diese Anwendungen eine reibungslose Rückkehr an den Arbeitsplatz ermöglichen. Sie zielen zum einen darauf ab, die Arbeitnehmer bezüglich ihrer Gesundheit und der ihrer Kollegen zu beruhigen. Zum anderen soll der Arbeitgeber in die Lage versetzt werden, die Rückkehr an den Arbeitsplatz besser zu organisieren. (…) Unabhängig von der Zustimmung der Mitarbeiter bewegen sich diese Anwendungen angesichts der extremen Sensibilität von Gesundheitsdaten auf einem risikoreichen Terrain. Sylvain Métille, ein auf Datenschutz spezialisierter Jurist, stellt mehrere Einschränkungen und Probleme bei diesen Instrumenten fest. Dazu gehören zum Beispiel die Legitimität und Verhältnismässigkeit der vom Arbeitgeber angeforderten Informationen im Hinblick auf ihr Ziel. Skeptisch ist der Experte auch hinsichtlich der Anonymität der bereitgestellten Daten. Beispielsweise fragt die Lösung von Medikal Link nach der Telefonnummer des Mitarbeiters, und die PwC-App fordert den Mitarbeiter auf, Informationen über seine Geschäftsabteilung und die nächstgelegene Stadt anzugeben. Das macht es in einigen Fällen leicht, den betreffenden Mitarbeiter zu identifizieren. Sylvain Métille äussert auch hinsichtlich der freien Zustimmung des Arbeitnehmers, die App nicht zu verwenden, einen Vorbehalt. Dies scheint unvereinbar mit der Tatsache zu sein, dass der Arbeitnehmer sein digitales Gesundheitszeugnis vorlegen muss, um das Recht auf Arbeit zu erhalten. „Angesichts dessen, was auf dem Spiel steht, ist die Freiheit der Zustimmung nicht gewährleistet. Es müsste dazu ein überwiegendes privates oder öffentliches Interesse bestehen“, erklärt der Anwalt. „Ein öffentliches Interesse scheint schwer vorstellbar, da die Massnahmen in den Schutzkonzepten ausreichend sein sollten (abgesehen von einigen wenigen sehr speziellen Fällen)“…“ Beitrag von Rodolphe Koller in der Übersetzung von er Schneider bei der Schweizer Netzwoche vom 8. Mai 2020 
• Corona-Krise: Spahn will auch Daten von Nicht-Infizierten 
  „Während die Aufmerksamkeit auf den Immunitätsnachweis gerichtet ist, plant Spahn mit seinem zweiten Pandemieschutzgesetz unverhältnismäßige Grundrechtseingriffe. (…)Worum geht es konkret? Der Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite sieht eine erhebliche Ausweitung der im Infektionsschutzgesetz (IfSG) vorgesehenen Meldepflichten vor. (…) Die namentliche Meldung von an COVID-19 erkrankten Bürgern soll zusätzlich zu den bisher schon zahlreichen personenbezogenen Angaben in Zukunft auch das Behandlungsergebnis und den Serostatus umfassen. Der Bundesdatenschutzbeauftragte kritisiert die Verletzung des datenschutzrechtlichen Prinzips der Datenminimierung und bemängelt das Fehlen von Angaben zur Erforderlichkeit oder zumindest zeitlichen Befristung der neuen Regelung: „Da entsprechende Ausführungen in der Begründung fehlen, ist diese Regelung und eine darauf beruhende Datenübermittlung unzulässig.“ Ulrich Kelber (…) Bisher bestand die Meldepflicht bei einer neuen, noch nicht im Infektionsschutzgesetz (IfSG) aufgeführten Erkrankung nur bei „Auftreten“ der neuen Erkrankung. Nun sollen auch Bürger namentlich gemeldet werden müssen, bei denen sich lediglich der „Verdacht“ ergibt, sie könnten an einer neuen bedrohlichen übertragbaren Erkrankung leiden. In Bezug auf die neue Erkrankung Covid-19 war dies bereits am 31. Januar per Eilverordnung durch den Bundesgesundheitsminister durchgesetzt worden, und das RKI hatte für den Verdachtsfall Kriterien festgelegt. (…) Die unverhältnismäßigste Regelung aber ist diese: Künftig sollen auch nicht-infizierte Bürger nach erfolgter negativer Testung (PCR-Test oder Antikörpertest) auf SARS-CoV und SARS-CoV-2 gemeldet werden, und zwar unter Angabe einer Vielzahl personenbezogener Daten wie Geschlecht, Geburtsmonat, Geburtsjahr, Wohnort, Untersuchungsbefunde und Grund der Untersuchung. Pseudonymisiert werden Name und Geburtstag. (…) Was könnten die Neuerungen bedeuten? Bedenkt man, dass viele dieser an die Gesundheitsämter gemeldeten Daten an das dem Gesundheitsministerium unterstellte Robert-Koch-Institut übermittelt werden, so drängt sich eine Vermutung auf, die der Bundesdatenschutzbeauftragte in seiner Stellungnahme so formuliert: Es entsteht der Eindruck, als solle im Zuge der aktuellen Pandemie ein (weiteres) bundesweites verpflichtendes staatliches klinisches Register eingerichtet werden. Hierfür gibt es allerdings keine datenschutzrechtlich tragfähige Grundlage…“ Artikel von Brigitta Engel vom 6. Mai 2020 bei Telepolis – zu beachten ist dabei auch die grundsätzliche Kritik an solchen Grundrechtseingriffen durch Rechtsverordnung: „Nach Ansicht der Rechtsanwältin und Notarin müssen in einem demokratischen Rechtsstaat Regelungen, die tief in die Grundrechte eingreifen, vom Parlament getroffen werden. „Sie können nicht durch weitreichende Verordnungsermächtigungen der Exekutive eingeräumt werden“, kritisiert beispielsweise der Deutsche Anwaltverein (DAV) laut des Beitrags „Streit im Rechtsausschuss um Spahns Corona-Befugnisse – „Die Justizministerin nickt einfach alles ab“ von Hasso Suliak vom 6. Mai 2020 bei Legal Tribune Online 
• Neue Verordnung des Landes Polizei in BW darf nun [legal] auf Daten von Corona-Infizierten zugreifen
  „Die Polizei darf von Dienstag an bei konkreten Anlässen auf Daten der Gesundheitsämter zugreifen, die mit dem Coronavirus infizierte Personen betreffen. Hintergrund ist eine neue Verordnung des baden-württembergischen Innen- und Sozialministeriums zur Verarbeitung personenbezogener Daten zwischen Gesundheitsbehörden und Polizei. Das hatte das Innenministerium bereits am Montag mitgeteilt. Laut Sozialminister Manfred Lucha (Grüne) stünden Gesundheitsschutz und Datenschutz an oberster Stelle: „Durch die sichere und zentrale Datenabfrage über das Landesgesundheitsamt in berechtigten Einzelfällen ist es uns gelungen, sie miteinander in Einklang zu bringen“, wird er in einer Pressemitteilung des Innenministeriums zitiert. Außerdem sollen Daten von Personen, die nicht mehr ansteckend sind, aus dem Abfragesystem gelöscht werden, so Lucha. Die Verordnung sei ein großer Schritt hin zu mehr Schutz vor dem Coronavirus für die Mitarbeiter der Ortspolizeibehörden und die Polizisten, sagte der baden-württembergische Innenminister Thomas Strobl (CDU). Die Verordnung ist mit dem Landesdatenschutzbeauftragten Stefan Brink abgestimmt (…) Die Opposition hatte die Weitergabe sensibler Daten zuvor scharf kritisiert. Einige Gesundheitsämter in Baden-Württemberg hatten nach Angaben des Landesdatenschützers Brink Daten mit Klarnamen von coronainfizierten Personen an die Polizei weitergegeben. Auch Brink hatte dies kritisiert.“ Meldung vom 5.5.2020 beim SWR , siehe auch:
  • Stuttgart: Polizei darf in Einzelfällen auf Corona-Daten zugreifen
    „Die Polizei darf von Dienstag an bei konkreten Anlässen auf Daten von Gesundheitsämtern über mit dem Coronavirus infizierte Personen zugreifen. An diesem Tag tritt die Verordnung des Innen- und Sozialministeriums zur Verarbeitung personenbezogener Daten zwischen Gesundheitsbehörden und Polizei in Kraft, wie das Innenministerium am Montag mitteilte. Die Verordnung sei ein großer Schritt hin zu mehr Schutz vor dem Coronavirus für die Mitarbeiter der Ortspolizeibehörden und die Polizisten, sagte Innenminister Thomas Strobl (CDU). „Das Wissen, dass jemand an Corona erkrankt ist, ist mit der beste Schutz vor einer Ansteckung.“ So könnten von den Beamten rechtzeitig Schutzvorkehrungen getroffen werden. (…) Die Opposition hatte die Weitergabe sensibler Daten vergangene Woche scharf kritisiert. Einige Gesundheitsämter in Baden-Württemberg hatten nach Angaben des Landesdatenschützers Stefan Brink Daten mit Klarnamen von coronainfizierten Personen an die Polizei weitergegeben.“ Meldung vom 4. Mai 2020 bei der Süddeutschen Zeitung online 
• Datenspende-App: Datenschutz als rhetorischer Spielball
  „… Datenschützer und IT- Experten weisen auf zahlreiche schwerwiegende Datenschutzmängel der sog. Datenspende-App hin. Trotzdem lassen hunderttausende Menschen weiterhin ihre Gesundheitsdaten an das Robert-Koch-Institut übermitteln. Von den vielen Gründen, die es dafür geben mag, ist einer sicherlich die professionelle Regierungskommunikation, die frühzeitig die Wahrnehmung vom Datenschutzniveau dieser App mitgeprägt hat. Am 8. April kommt es auf der Regierungspressekonferenz zu einem interessanten Wortgefecht über das Datenschutzniveau der am Vortag eingeführten „Datenspende-App“. Konkret geht es um die Frage von Pseudonymisierung oder Anonymisierung – zwei Begriffe des Datenschutzrechts: ‚Pseudonym‘ bedeutet, dass die Person unter Hinzuziehung von gesondert aufbewahrten Informationen wieder identifiziert werden kann. Pseudonymisierte Daten gehören deshalb zu den personenbezogenen Daten, deren Verarbeitung in den Anwendungsbereich der Datenschutzgrundverordnung fällt. ‚Anonym‘ bedeutet dagegen, die betroffene Person kann nicht oder nur mit sehr hohem Aufwand wieder identifiziert werden. Bei der sog. Datenspende-App hat sich das Gesundheitsministerium mit der bloßen Pseudonymisierung der Gesundheitsdaten für bis zu 10 Jahre also für das niedrigere Datenschutzniveau entschieden. (…) Der rhetorische Kunstgriff ist in diesem Fall folgender: Die Definition von ‚Pseudonymisierung‘ wird so weit ausgedehnt, bis sie die Alternative der Anonymisierung begrifflich gleich mit umfasst und damit als Alternative bedeutungslos macht (fallacy of suppressed correlative). Durch die Verwendung von Fehlschlüssen als rhetorisches Mittel gelingt es in beiden Fällen, die bloße Pseudonymisierung der Daten als faktische Anonymisierung darzustellen. Man kann davon ausgehen, dass dieses Spiel mit Begriffsbedeutungen die Wahrnehmung vieler Bürger vom Datenschutzniveau der „Datenspende-App“ mitgeprägt hat – übrigens auch die Wahrnehmung von Journalisten: Sowohl die ARD-Tagesschau (Min. 1:37) als auch das ZDF-heute (Min. 7:26) informierten die Zuschauer am 07. April irrtümlich darüber, dass man die Daten per App „anonym“ übertragen könne.“ Beitrag von Brigitta Engel vom 4. Mai 2020 bei Telepolis 
• Gesetzentwurf: Spahn schlägt Immunitätsausweis vor 
  „Eine Steilvorlage für eine weitere Corona-App – der neue Gesetzentwurf der Bundesregierung zum Schutz vor Epidemien hat es in sich. Teil des Vorschlags ist ein Immunitätsausweis, doch beim Coronavirus fehlen noch wissenschaftliche Belege, dass nach einer Infektion überhaupt Immunität besteht. (…) Die Weltgesundheitsorganisation WHO warnt vor solchen Ausweisen und macht deutlich, dass eine Immunität bisher nicht medizinisch nachgewiesen werden könne. Gesundheitsminister Jens Spahn ist das Problem bewusst, es handele es sich um eine „vorsorgliche Regelung“, sagte er in einer Pressekonferenz. (…) Ein Immunitätsausweis könnte zur Eindämmung der Pandemie allerdings genau der falsche Anreiz sein, warnt die Weltgesundheitsorganisation…“ Beitrag von Julia Barthel vom 1. Mai 2020 bei Netzpolitik.org – es ist dazu anzumerken, dass auch Drosten sich gegen einen Immunitätsausweis auch deshalb wendet, weil er hierin die Gefahr von Diskriminierung sieht (z.B. bei Arbeitssuche die Anforderung solch einen Ausweises zu besitzen, um nicht als AG mit unerwarteter Erkrankung rechnen zu müssen) – weitere Einschätzungen:
  • Hamburger Datenschützer warnt vor Corona-Immunitätsausweis
    „Nach dem Willen von Gesundheitsminister Spahn sollen Bürger künftig nachweisen müssen, ob sie gegen das Coronavirus immun sind. Die Pläne sorgen für Unmut. Der Hamburger Datenschützer Johannes Caspar hat deutliche Vorbehalte gegen die Einführung von Corona-Immunitätsausweisen in Deutschland geäußert. „Selbst wenn die tatsächlichen Voraussetzungen vorhanden wären, wäre der Einsatz eines solchen Ausweises der gefährliche Weg in eine Diskriminierungs- und Entsolidarisierungsfalle“, sagte Caspar dem Handelsblatt…“ Artikel von Dietmar Neuerer und Jürgen Klöckner vom 4.5.2020  beim Handelsblatt online (Bezahlschranke)
  • Gesetzentwurf: Spahn schlägt Immunitätsausweis vor
    „Eine Steilvorlage für eine weitere Corona-App – der neue Gesetzentwurf der Bundesregierung zum Schutz vor Epidemien hat es in sich. Teil des Vorschlags ist ein Immunitätsausweis, doch beim Coronavirus fehlen noch wissenschaftliche Belege, dass nach einer Infektion überhaupt Immunität besteht. Wer immun gegen das Coronavirus ist, könnte es künftig leichter haben. Dokumentiert werden soll das in einem Immunitätsausweis. Das steht in einem Gesetzentwurf, den das Bundeskabinett am Mittwoch beschlossen hat. Die Weltgesundheitsorganisation WHO warnt vor solchen Ausweisen und macht deutlich, dass eine Immunität bisher nicht medizinisch nachgewiesen werden könne. Gesundheitsminister Jens Spahn ist das Problem bewusst, es handele es sich um eine „vorsorgliche Regelung“, sagte er in einer Pressekonferenz. (…) Die Bundesregierung schlägt in ihrem „Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ vor, dass Menschen mit einem Nachweis, dass sie eine bestimmte Krankheit nicht mehr übertragen können, von einschränkenden Maßnahmen ganz oder teilweise ausgenommen werden sollen. Dokumentiert werden sollen die Testergebnisse laut Gesetzentwurf ähnlich dem Impfpass, was zunächst auf Bescheinigungen aus Papier schließen lässt. Parallel wird im Hintergrund jedoch bereits an einem digitalen Gesundheitszertifikat gearbeitet, wie wir bereits berichtet haben. Dahinter stehen mit dem Verein „Digital Health Germany“ verschiedene Unternehmen, die technische Lösungen mittels Blockchain zur Lösung der Corona-Pandemie entwickeln. Dabei arbeiten sie auch mit dem Gesundheitsamt der Stadt Köln und der Bundesdruckerei zusammen. Ihre gemeinsame Motivation ist laut einem White Paper der schnelle Neustart der Wirtschaft…“ Artikel von Julia Barthel vom 01.05.2020 bei Netzpolitik 
• An Überwachung gewöhnen. Kontrolle und Überwachung gefährden die Bürgerrechte
  „Im Rahmen der Pandemiebekämpfung werden Überwachungmöglichkeiten und Kontrollbefugnisse weiter ausgebaut. Das Virus ermöglicht es, Maßnahmen durchzusetzen, die zuvor noch sehr umstritten waren. (…) Wieso soll es für den Infektionsschutz unbedenklich sein, von Heinsberg nach Köln zu reisen, während die Fahrt von Kaiserslautern nach Metz oder von Görlitz nach Zgorzelec verboten bleibt? Die einst als größte Errungenschaft der Europäischen Union gepriesene Freizügigkeit ist vorerst Geschichte. Das Virus wird zum Vorwand einer neuen Nationalstaaterei. Vor knapp sechs Wochen begann der deutsche lockdown. Seit zwei Wochen gibt es zögerliche Lockerungen. Es ist aber unklar, ob und wann die Grundrechtseinschränkungen zur Gänze zurückgenommen werden. Die Polizei und die Ordnungsämter werden vermutlich mit gestärkter Autorität aus der Coronakrise hervorgehen, ihre Maßnahmen zur Durchsetzung der lokalen Verordnungen führen dazu, dass sich die Bürger an Überwachung und Kontrolle bei alltäglichen Verrichtungen gewöhnen. In einigen Städten und Gemeinden bot die Bekämpfung des Coronavirus den Anlass, neue Formen von Repression zu installieren. Dort kontrolliert die Polizei die Einhaltung der Allgemeinverfügungen beispielsweise mit Videoüberwachung und Drohnen. Manche Gemeinden heuern private Sicherheitsdienste an, die Menschenansammlungen feststellen und verwarnen sollen. Auch die Bundeswehr hält 5.500 Soldaten für »Absicherung/Schutz« und 600 Feldjäger bereit...“ Kommentar von Matthias Monroy in der Jungle World vom 30.04.2020 
• Digitalcourage fordert acht dauerhafte Maßnahmen zur Stärkung von Grundrechten im Internet
  „Digitalcourage fordert, dass Regierungen und Unternehmen im Zuge der Corona-Krise dauerhaft Freiheiten im Internet stärken und schlägt acht Maßnahmen vor. Die Grundrechteorganisation argumentiert, dass in Folge der Corona-Krise Millionen Menschen weltweit ihre intimsten Aktivitäten in das Internet verlagern müssen. Dadurch sind mehr Menschen mit ihrem Arbeits-, Liebes- und Privatleben kommerzieller und staatlicher Überwachung ausgeliefert. Gleichzeitig verlieren sie durch Ausgangs- und Versammlungsbeschränkungen physische Freiheiten. Politik und Wirtschaft müssen das mit Freiheiten im Internet ausgleichen. „Politik und Wirtschaft müssen dringend das Freiheits-Ungleichgewicht der Corona-Krise ausgleichen“, sagt Friedemann Ebelt von Digitalcourage. „Menschen sollten im Internet frei sprechen, arbeiten und sich informieren können.“…“ Pressemitteilung vom 28.4.2020 und darin: Acht dauerhafte Maßnahmen zur Stärkung von Grundrechten im Internet:
  1. Online-Tracking zurückfahren
  2. Überwachung zurückfahren
  3. Vorratsdatenspeicherungen stoppen
  4. Netzneutralität durchsetzen
  5. Zugangsbeschränkungen aufheben
  6. Geoblocking aufheben
  7. Open Data und Open Science fördern
  8. Freie Software fördern
• Quarantäne-Durchsetzung: Hat Sachsen-Anhalt die Übermittlung von Coronalisten an die Polizei vertuscht?
  „Das Landesinnenministerium ließ Daten von Menschen, die unter Quarantäne standen, in einer Fahndungsdatenbank des Landeskriminalamts speichern, darunter auch Kontaktpersonen von Erkrankten. Zuvor hatte die Behörde netzpolitik.org mitgeteilt, die Polizei habe keine Listen mit Coronavirus-Infizierten erhalten. Erst eine parlamentarische Anfrage der Opposition brachte die Übermittlung ans Licht. (…) Von dieser Darstellung sagt der Landesdatenschutzbeauftragte Harald von Bose heute, sie habe „schief“ und „geschönt“ gewirkt. Henriette Quade, innenpolitische Sprecherin der Linken-Fraktion im Landtag, machte den Fall öffentlich. Sie unterstellt dem Innenministerium einen Vertuschungsversuch. In Niedersachsen, Bremen, Mecklenburg-Vorpommern und Baden-Württemberg hatten Behörden frühzeitig eingeräumt, dass sensible Gesundheitsdaten an die Polizei gegangen waren, Datenschützer:innen kritisierten die Praxis zum Teil scharf. Warum vergingen rund vier Wochen, bis bekannt wurde, dass auch in Sachsen-Anhalt sensible Daten geflossen sind? Wir haben versucht, die Vorgänge zu rekonstruieren…“ Artikel von Daniel Laufer vom 25.04.2020 bei Netzpolitik 
• CCC warnt Bundesregierung vor zentralistischer Corona-App – Spahn reagiert mit Nebelgranate
  „… Der CCC und die netzpolitischen Vereine setzen sich entschieden für einen dezentralen Ansatz ein, bei der die Kontakte ausschließlich lokal auf dem Gerät des App-Nutzenden gespeichert und abgeglichen werden. Dieser Ansatz wird auch von Google und Apple verfolgt, die dafür in ihren Betriebssystemen Android und iOS die technologische Grundlage bieten wollen. „Dies ist eine Bedingung, die für den Erfolg einer App immanent ist, denn ohne die Zusammenarbeit mit den beiden Unternehmen, die fast 100 Prozent des Smartphone-Marktes abdecken, ist ein Scheitern der Tracing-App vorhersehbar“, heißt es in dem offenen Brief. In einem Interview mit dem ZDF-Morgenmagazin reagierte Bundesgesundheitsminister Jens Spahn (CDU) auf die Kritik mit einer Nebelgranate. „Dieser Grundglaube daran, dass Daten bei Apple und Google besser aufgehoben sind, bei amerikanischen Großkonzernen besser geschützt sind, als Daten, die auf staatlichen Servern in Deutschland besser geschützt sind, diesen Glauben verstehe ich manchmal nicht“, sagte Spahn. Die Äußerungen Spahns ignorieren, dass die Daten im dezentralen Modell nicht bei den Konzernen laden, sondern ausschließlich auf den Geräten der Nutzenden bleiben. Die Bundesregierung vermeidet damit, scheint es, eine Debatte auf faktenbasierter Ebene.“ Beitrag von Alexander Fanta vom 24. April 2020 bei Netzpolitik 
• Corona-Tracing-App: Offener Brief an Bundeskanzleramt und Gesundheitsminister
  „Ein gemeinsamer offener Brief netzpolitischer Organisationen fordert die Bundesregierung auf, das von ihr präferierte Konzept für eine Tracing-App gegen die Corona-Pandemie aufzugeben. Verfolgt sie es weiter, kann kein Vertrauen bei den Nutzern aufkommen, und ein Scheitern wäre unausweichlich. Die Bundesregierung zieht ein Konzept für die geplante „Contact Tracing“-App vor, das eine zentrale Instanz beinhaltet. Damit ist sie auf dem Holzweg. Denn es herrscht internationale Einigkeit unter Experten und Wissenschaftlern, dass der dezentrale Ansatz der bessere ist. Selbst Apple und Google haben das eingesehen und ihn implementiert, obwohl sie sonst nicht gerade scheu sind, Daten ihrer Nutzer zu sammeln. Daher wenden sich heute netzpolitische Organisationen, darunter der Chaos Computer Club (CCC), mit einem offenen Brief an Bundesgesundheitsminister Jens Spahn und Kanzleramtsminister Helge Braun. Blickt man realistisch auf das Ziel, dass nämlich die App massenhaft genutzt werden soll, dann ist der zentrale Ansatz schon deswegen hinfällig, weil sich die beiden großen Anbieter mobiler Betriebssysteme bereits dagegen entschieden haben. Da kann sich die Bundesregierung noch so verrenken, damit ist der zentrale Ansatz weit entfernt von jeder Möglichkeit zur Realisierung. Gesundheitsminister Jens Spahn kann einen nationalen Alleingang gar nicht durchsetzen, wenn er nun auf den zentralen Ansatz pocht. Die Corona-Tracing-App bringt ein hohes Risiko mit sich, da die anfallenden Daten hochsensibel und besonders zu schützen sind. Je mehr Daten verarbeitet werden, desto größer ist das Risiko einer De-Anonymisierung – auch durch Dritte, vor denen die Daten geschützt werden müssen. Gesundheitsdaten gehören per Definition zu den intimsten Daten von Menschen. Das lückenlose zentrale Verfolgen der Aufenthalte aller Bürger ist das Horror-Szenario schlechthin. Andere Beispiele von sorglos hingeschluderten Corona-Apps haben gezeigt, dass die anfallenden sensiblen Datenhalden nicht angemessen geschützt werden und von Innen- und Außentätern missbraucht werden könnten. Dies wissen auch technische Laien inzwischen und werden daher die Finger von einer solchen App lassen, selbst wenn sie grundsätzlich zur Hilfeleistung bereit wären. Dass auch Minister Spahn das weiß, darauf deutet die Peitsche hin, die er mit der App-Pflicht hinter dem Rücken versteckt hält. Dass eine solche Pflicht in Hinsicht auf die Millionen von Bürgern ohne Smartphone technisch hanebüchen ist, setzt der Posse nur die Krone auf.“ Meldung vom 24. April 2020 vom und beim Chaos Computer Club zum Offenen Brief an Bundeskanzleramt und Gesundheitsminister vom 24. April 2020
• Gesundheitsministerium will Quarantäne digital überwachen
  „… Es sind nur wenige Sätze, die Gesundheitsminister Jens Spahn in der Pressekonferenz am Dienstag zu einer neuen Corona-Anwendung verliert – doch sie lassen aufhorchen. Neben personeller und finanzieller Unterstützung der Gesundheitsämter kündigt er auch ein „digitales Update“ an, das die Arbeit der kommunalen Einrichtungen erleichtern soll. Zentral für dieses Vorhaben ist wohl auch eine Quarantäne-App. Diese soll es möglich machen, digital zu prüfen, ob Personen ihre Quarantäne-Auflagen einhalten. Es ist die dritte von staatlicher Stelle angekündigte Anwendung, die die Eindämmung der Corona-Krise unterstützen soll. Viele Fragen – insbesondere wie sich die App zum großen Projekt der technischen Kontaktverfolgung verhält – bleiben bislang offen. (…) Die angekündigte Quarantäne-App soll insbesondere das Arbeitsvolumen der Gesundheitsämter senken. Diese erhalten von Ärzt:innen und Laboren Informationen über COVID-19-Infektionen in ihrem Zuständigkeitsbereich und leiten diese nicht nur an die zuständigen Landesbehörden weiter, sondern sind auch dafür zuständig, Auflagen an Infizierte zu erteilen – beispielsweise die häusliche Quarantäne, um die es in Spahns Vorstoß geht. (…) Unbeantwortet lassen Beschlusspapier und Ministerium jedoch, wie genau die neue Plattform dazu beitragen kann, das physische Einhalten der Quarantäne zu prüfen. Anwendungen zur Prüfung der häuslichen Quarantäne sind in einigen anderen Ländern schon etabliert – teils mit wenig Rücksicht auf datenschutzrechtliche Bedenken…“ Beitrag von Dominic Lammar und Julia Barthel vom 22. April 2020 bei Netzpolitik 
• Coronavirus: Hessens Krisenstab erntet Kritik für Einsatz von Palantir-Software
  „Hessens Covid-19-Krisenstab nutzt bald Software des US-Unternehmens Palantir, um den Überblick über die Corona-Krise zu behalten. Das bestätigte das hessische Innenministerium der SZ. Das Programm, das der Krisenstab einsetzen will, heißt „Foundry“. Es handelt sich um eine so genannte Datamining-Software. Wie andere Programme von Palantir führt auch dieses Daten aus verschiedenen Quellen zusammen, um Verbindungen zwischen Informationen zu ziehen, die Menschen in kurzer Zeit nicht sehen könnten. In seiner Ursprungsversion wurde Foundry für Unternehmen entwickelt, um etwa ihre Lieferketten zu analysieren. Nun soll es die Covid-19-Pandemie praktisch in Echtzeit darstellen, erklärte ein Sprecher des hessischen Innenministeriums: „Der Landeskrisenstab plant die Nutzung einer Software der Firma Palantir, um allgemein zugängliche Informationen, wie die Verteilung von Infektionen mit dem Coronavirus, Bettenkapazitäten oder die Versorgung mit Schutzausstattung in einem umfassenden Lagebild darzustellen.“ (…) Palantir ist selbst für die Standards des Silicon Valley eine ungewöhnliche Firma. Sie wurde anfangs mit Geld aus dem Investment-Arm der CIA finanziert. Zu den besten Kunden des Unternehmens aus Kalifornien gehört der amerikanische Militär- und Geheimdienstkomplex. Dessen Analysten durchforsten mit Software der Firma die großen Datenmengen, die sie jeden Tag zusammensammeln. Deshalb sehen Datenschützer und Oppositionspolitiker den Einsatz von Software des Unternehmens kritisch, auch wegen der Historie US-amerikanischer Spionage in Deutschland. Mitgegründet wurde Palantir vom Facebook-Investor und ehemaligen Trump-Berater Peter Thiel. Der Bundestagsabgeordnete Andrej Hunko (Linke) warnte vor dem Einsatz der Software in Hessen: Im Kampf gegen das Coronavirus möglichst viele Daten auszuwerten, sei zwar wichtig. „Es ist aber fatal, wenn deutsche Behörden mit Konzernen kooperieren, die mit Geheimdiensten unter einer Decke stecken“, und weiter: „Unter dem Deckmantel des Infektionsschutzes wird hier ein System installiert, das Polizei und Gesundheitsämter schrittweise zu einem Bevölkerungsscanner ausbauen können.“.(…) Eine Behörde in Hessen setzt bereits eine andere Software von Palantir ein: Das Frankfurter Polizeipräsidium nutzte als erstes in Deutschland „Gotham“ – Palantirs digitales Werkzeug für Ermittler.“…“ Beitrag von Jannis Brühl vom 21. April 2020 bei der Süddeutschen Zeitung online 
• Coronavirus-App: Infizierte nachverfolgen, Datenschutz wahren
  „Streitigkeiten zwischen Wissenschaftlern und Regierungen verzögern die Entwicklung einer Corona-App. Nach SWR-Recherchen haben ausgerechnet zwei große Technologiekonzerne den Richtungsstreit möglicherweise schon entschieden. Wie könnte eine Corona-App ihren Zweck erfüllen und gleichzeitig Datenschutz gewährleisten? Darüber herrscht ein Richtungsstreit. So bezeichnet Nadim Kobeissi die App-Technologie, die hinter der „Pan-European Privacy-Preserving Proximity Tracing“-Initiative (PEPP-PT) steht, als „richtig schlecht“. Er ist ehemaliger Professor der New York University und leitet eine Beratungsfirma für IT-Sicherheit. Doch erst vergangene Woche hatten Bund und Länder verkündet, genau diese Initiative bei der Entwicklung einer nationalen Corona-App zu unterstützen. Was aber nach einer offiziellen EU-Initiative klingt, hat weder offiziell etwas mit der EU zu tun, noch handelt es sich um einen einheitlichen europäischen Ansatz. Der irreführende Name sei aber lange nicht alles, was ihn störe, erklärt Kobeissi, der es sich zur Aufgabe gemacht hat, die Hintergründe der App-Entwicklung genauer zu untersuchen. Denn bei der zugrundeliegenden Technologie werden Daten an einen zentralen Server gesendet, der beispielswiese vom Staat betrieben wird: „Damit wird angenommen, dass es eine absolut ehrliche zentrale Instanz gibt – die sich die Daten, die sie speichert, niemals anschaut. Das ist eine verrückte Annahme.“ Eine solche Instanz könnte in Deutschland das Robert Koch-Institut sein (RKI). Auf Nachfrage des SWR bestätigte das RKI: „Es ist geplant, dass das RKI Herausgeber der App sein wird.“ Doch gerade das Institut ist von Datenschützern wegen des Umgangs mit der sogenannten „Corona Datenspende“ in den letzten Tagen in die Kritik geraten. (…) „Privacy by Design“ nennen IT-Entwickler das Konzept, das in den vergangenen Jahrzehnten so weit entwickelt wurde, dass Netzwerke heutzutage so gebaut werden können, dass Daten nicht zentral gesammelt werden müssen. Die Art der Programmierung verhindert so, dass überhaupt irgendwo Daten anfallen, die aus einer Corona-App eine Überwachungs-App machen könnten, die Regierungen oder Konzernen missbrauchen könnten…“ Beitrag von Helena Offenborn und Marcel Kolvenbach, SWR, vom 22.04.2020 bei tagesschau.de 
• Kontrolle der Quarantäne: Corona-App Nr. 3 geplant?
  „Nach der Tracing-App und der sog. Datenspende-App plant Gesundheitsminister Spahn nun offenbar eine App zur Überwachung der Einhaltung von Quarantänemaßnahmen. Die Regierungskommunikation über Anzahl und Funktion geplanter Corona-Apps erfolgt weiterhin scheibchenweise. Erst vor gut zwei Wochen hatte die überraschende Einführung einer sog. Datenspende-App (Corona-App: Datenspende mit langer Vorgeschichte) für Verwechslungen gesorgt mit der zuvor öffentlich angekündigten Tracing-App zur Rückverfolgung von Kontakten. Nun hat Bundesgesundheitsminister Spahn auf der Pressekonferenz vom 20. April en passant „zum Beispiel eine Quarantäne-App“ erwähnt, die bereits „in einigen Modellen“ zur Anwendung komme. Von einer solchen App zur „Kontrolle der Quarantäne“ hatte der Gesundheitsminister schon einen Tag zuvor im ZDF-Interview gesprochen. Dass Moderatorin Slomka keine Notiz von dieser Neuigkeit nahm, jedenfalls nicht nachhakte, könnte an der kunstvollen syntaktischen Verschachtelung gelegen haben, in die Spahn die Neuigkeit wie beiläufig eingebettet hatte. (…) Wie genau die digitale Kontrolle von Quarantänemaßnahmen aussehen soll, bleibt unklar. Dieser Mangel an Transparenz wird mittlerweile auch bei der Entwicklung der Tracing App kritisiert. Eine Reihe von Wissenschaftlern hat sich deshalb nun aus dem von der Bundesregierung unterstützten internationalen Projekt PEPP-PT zurückgezogen…“ Artikel von Brigitta Engel vom 22. April 2020 bei telepolis 
• Corona-Apps: EU-Abgeordnete hinterfragen Contact Tracing
  „EU-Abgeordnete von SPD, Grünen, FDP, Piraten und Linken pochen beim Einsatz von Apps zur Kontaktverfolgung gegen die Corona-Pandemie auf die Wahrung von Grundrechten. Abgeordnete und Stimmen aus der Zivilgesellschaft äußerten gegenüber netzpolitik.org Befürchtungen, dass die Krise eine Schwächung des europaweiten Datenschutzes bedeuten könnte. In Deutschland befürwortet die Bundesregierung sogenanntes Contact Tracing in Form einer weitgehend anonymisierten Verfolgung möglicher Kontakte zu Infizierten, via Bluetooth-App auf freiwilliger Basis. In zumindest zwölf EU-Ländern sind Apps zur Corona-Bekämpfung in Vorbereitung. Die EU-Kommission schlägt einen Werkzeugkasten für Contact-Tracing-Apps vor. Sie drängt etwa darauf, dass Apps in den Mitgliedsstaaten untereinander verwendbar sein sollen. Dazu könnte eine von Google und Apple angekündigte Programmierschnittstelle beitragen. Während sich zahlreiche Staaten auf eine Lockerung ihrer Pandemie-Maßnahmen vorbereiten, hoffen die EU-Kommission und Regierungen, dass die Kontaktverfolgung per App dabei helfen kann, die Ausgangsbeschränkungen schrittweise abzubauen. Der Werkzeugkasten der Kommission hält unter Berufung auf Erfahrungen in Singapur und eine Schätzung der Universität Oxford fest, dass rund 60 bis 70 Prozent der Bevölkerung solche Apps installierten müssten, damit sie effektiv sind. Offen sind auch einige mögliche technische Probleme und Sicherheitsfragen. Menschenrechtsaktivist*innen befürchten, allzu großes Vertrauen in Contact Tracing könnte angeblich „freiwillige“ Apps bald praktisch verpflichtend machen. „Es ist nicht einfach, eine freiwillige von einer obligatorischen Nutzung von Apps zu unterscheiden, da das Konzept der Zustimmung der Nutzer im Kontext einer Gesundheitskrise recht verschwommen erscheint“, warnt etwa Estelle Massé von der NGO Access Now gegenüber netzpolitik.org…“ Beitrag von Alexander Fanta vom 17. April 2020 bei Netzpolitik.org 
  • Zu Details zu den von der EU-Kommission geplanten Tracking-Apps siehe „Tracking-Apps: Leitlinien zur Gewährleistung von Datenschutzstandards vorgelegt“ bei juris am 20. April 2020 
• Covid-19: Forscher:innen warnen, Kontaktverfolgung könne zur Überwachung missbraucht werden
  „… Zwischen Wissenschaftler:innen, die an der Entwicklung einer Technologie für die Covid-19-Kontaktrückverfolgung beteiligt sind, ist ein offener Streit entbrannt. Jetzt haben mehr als 280 Forscher:innen aus der ganzen Welt einen offenen Brief unterzeichnet, in dem sie sich gegen die technische Lösung aussprechen, die derzeit auch von der deutschen Bundesregierung favorisiert wird. Kontaktverfolgung mit Hilfe von Apps könne grundsätzlich sinnvoll sein, heißt es in dem Brief. Mit ihrer Hilfe könnten gefährdete Personen schneller benachrichtigt werden könnten. Auch sei es grundsätzlich zu begrüßen, dafür Bluetooth-Technologie zu nutzen statt Standortdaten zu sammeln und zu speichern. Bluetooth Low Energy (BLE) misst lediglich die Nähe zweiter Geräte zueinander – und damit ihrer Besitzer:innen – und ist damit wesentlich schonender für die Privatsphäre als eine Sammlung der Standortdaten, aus der sich Bewegungsmuster erstellen lassen. Im Kern geht es um die Frage, ob die verschlüsselten IDs der einzelnen App-Nutzer:innen zentral auf einem Server gespeichert werden sollen oder auf der jeweiligen Gerät verbleiben. Darüber wird derzeit unter Fachleuten heiß diskutiert. Das zentrale Verfahren, so die Kritik der Forscher:innen, berge das Risiko einer schleichenden Ausweitung der Zweckbestimmung. In einem solchen Modell würde die verschlüsselte Liste der Kontaktpersonen einer infizierten Nutzerin auf einen zentralen Server hochgeladen werden. Der Betreiber eines solchen Server könnte daraus rekonstruieren, welche anderen Personen man in den vergangenen Wochen getroffen hat. Social Graph nennt sich diese Information, das soziale Geflecht also, in dem sich eine Person bewegt. Die Rekonstruktion dieses Geflechtes ermögliche eine Form der Überwachung, die das „Vertrauen in und die Akzeptanz solcher Applikation in der Gesellschaft katastrophal behindern“ könne, heißt es in dem Brief. „Es ist entscheidend, dass wir aus der aktuellen Krise heraus kein Werkzeug entwickeln, das eine Datensammlung der Bevölkerung in großem Ausmaß erlaubt.“ Autoritäre Staaten, Unternehmen oder Hacker:innen mit Zugriff auf diese Informationen könnten sonst Bürger:innen in ihrem Alltag ausspionieren. Wie genau dies möglich wäre, haben einige der Wissenschaftler:innen in einer ausführlichen Analyse beschrieben. (…) Unter den Unterzeichner:innen sind auch mehr als 50 Forscher:innen aus Deutschland, etwa vom Helmholtz-Zentrum für Informationssicherheit CISPA oder der Technischen Universität München. Beide Einrichtungen waren ursprünglich selbst im losen Konsortium von PEPP-PT dabei. CISPA verließ vergangenen Freitag das Projekt nachdem klar wurde, dass PEPP-PT vor allem eine zentrale Architektur befürworten würde, ebenso die Schweizer Forscher:innen der EPFL Lausanne und der ETH Zürich und der belgischen KU Leuven, die nun ebenfalls den Brief unterzeichnen.“ Beitrag von Chris Köver vom 20. April 2020 bei Telepolis 
• Corona-Vorsorge: Saarbrücker Supermarkt misst Körpertemperatur der Kunden
  „Ein Edeka-Geschäft hat am Eingang eine „Fieber-Screening-Kamera“ installiert, um an Covid-19 Erkrankte auszusortieren. Datenschützer zeigen sich alarmiert. Ein Edeka-Markt in Saarbrücken überprüft in Zeiten der Corona-Pandemie bei allen Einkaufswilligen im Eingangsbereich, ob sie Fieber haben. „Einlass wird nur einzeln und nach Aufforderung eines Mitarbeiters gewährt, der den Kunden Hände und Einkaufswagen desinfiziert“, schreibt das Luxemburger Online-Portal L’essentiel. Auf einem Monitor werde dem Türsteher neben dem Gesicht jedes Passierenden dessen Temperatur angezeigt. Sei sie erhöht, werde ein Alarm ausgelöst. (…) Marco Schömer, Mitarbeiter der saarländischen Datenschutzbeauftragten, sieht die Sache anders als der Kamerahersteller. Ziel der Technik sei es gerade, eine Person zu identifizieren, erläuterte er auf Nachfrage von L’essentiel. Er könne sich nach einer ersten Bewertung kein Szenario vorstellen, das einen datenschutzkonformen Betrieb dieser Anlage durch einen Einzelhändler erlauben würde. Während sich Lonsdorfer dem Bericht zufolge zunächst nicht zu dem Vorgang öffentlich äußerte, hat die Datenschutzbehörde inzwischen ein Prüfverfahren eingeleitet.“ Artikel von Stefan Krempl vom 16.04.2020 bei heise news 
• Videokonferenz mit Zoom und Co. Denn sie wollen wissen, was sie tun (dürfen)
  „In Zeiten der Corona-Pandemie beliebte Videokonferenz-Dienste provozieren datenschutzrechtliche Kritik. Leider trägt das derzeitige Verhalten vieler Datenschutzbehörden kaum dazu bei, hier Sicherheit zu schaffen. Die Covid-19-Pandemie zwingt Unternehmen, Behörden und Bildungseinrichtungen, ihren Betrieb kurzfristig ins Digitale zu verlagern. Dabei sind regelmäßige Treffen vor dem Bildschirm nicht nur für viele Unternehmen ein unverzichtbarer Ersatz für persönliche Besprechungen, Vorstellungsgespräche und Schulungen, sondern ersetzen teilweise sogar das Afterwork in der Kneipe. Spätestens nach der Ankündigung, das Sommersemester bundesweit digital starten zu lassen, stellt sich auch für Hochschulen die Frage, wie sie ihre Lehrveranstaltungen in Echtzeit ins Digitale verlagern können. Die Betroffenen stehen dabei vor einem Problem: Zwar gibt es eine Vielzahl von Diensten, um Videokonferenzen abzuhalten. Allerdings ist hiervon nur ein kleiner Teil niedrigschwellig nutzbar, auch mit größeren Gruppen zuverlässig einsetzbar und bietet gleichzeitig den erforderlichen Nutzungsumfang. Zu der Begeisterung über deren technischen Möglichkeiten gesellt sich jedoch oft Verunsicherung, ob eine Nutzung nicht möglicherweise datenschutzrechtlich problematisch ist. Paradigmatisch hierfür ist der Dienst des US-amerikanischen Anbieters „Zoom“, welcher sich in den letzten Wochen verstärkter Aufmerksamkeit erfreut, aber auch im Zentrum der datenschutzrechtlichen Kritik steht. (…) Tatsächlich haben viele Datenschutzbehörden derzeit „FAQs“, , „eine „FAQ-Sammlung“, „Sonderinformationen“ und ähnliche Hinweise zur Verwendung von Videosoftware veröffentlicht. Diese Hinweise sind jedoch häufig eine bloße Umformulierung datenschutzrechtlicher Anforderungen, ohne dass dies die Handhabung für die Nutzer entscheidend vereinfachen würde. (…) Die Kommunikationsstrategie der Datenschutzbehörden bewirkt zweierlei. Einerseits gehen viele – auch professionelle – Akteure das Risiko eines Verstoßes zurzeit bewusst (oder unbewusst) ein, wenn sie die Verwendung gängiger Software für unersetzlich halten. Neben zahlreichen Unternehmen betrifft dies auch den Bildungssektor. Viele Hochschulen nutzen Zoom bereits oder haben dies angekündigt oder erwogen und auch im Schulbetrieb wird Zoom eingesetzt. Zugleich bewirkt sie aber auch einen chilling effect, da sie die nunmehr aufgekommene Rechtsunsicherheit noch verstärkt…“ Artikel von Nico Schröter und Lukas Zöllner vom 15.04.2020 bei LTO – siehe dazu Corona: Technik-Tipps fürs Homeoffice bei digitalcourage
• Die neue „Corona-App“ – Eine Einordnung von Digitalcourage
  „Eine Handy-App des Robert Koch-Institut soll helfen, Kontakte zu infizierten Menschen nachvollziehbar zu machen. Wir haben uns die Planungen angesehen – und haben Zweifel und Fragen. (…) Was wir zunächst positiv finden: Keine Funkzellenabfrage (…) Wir freuen uns, dass Datenschutz und der Gedanke des Privacy By Design bei der Entwicklung von diesem App-Modell von vornherein mitgedacht wurde. (…) Wir freuen uns, dass das Projekt Open Source sein soll, so dass der Programmcode unabhängig überprüft werden kann. (…) Wir freuen uns, dass es ein europäisches Projekt ist, für das Fachleute aus verschiedenen Ländern zusammengearbeitet haben. Und es ist eine gute Idee, dass es länderübergreifend funktionieren soll. Was wir kritisch sehen – Risiken und Nebenwirkungen: (…) Damit die App funktionieren kann, muss Bluetooth bei allen beteiligten Smartphones dauerhaft aktiviert sein. Das hingegen ist keine gute Idee – denn Bluetooth ist chronisch unsicher. Alarm-Müdigkeit (…) Standortdaten bei Android (…) Offenbar soll es möglich sein, das PEPP-PT-Modul auch in andere Apps einzubauen. Was, wenn nun dieses Modul z.B. in die Facebook-App oder die Google Maps App integriert würde? Dann bestünde die Gefahr, dass diese Digital-Konzerne sich doch irgendwie Zugriff auf die Kontakt-IDs verschaffen und mit ihren weitgehenden Informationen über jede Einzelperson, die sie sowieso schon haben, verknüpfen könnten. Das muss unterbunden werden. (…) Dass PEPP-PT nur für Smartphone-Apps im Gespräch ist, schließt alle Menschen aus, die kein Smartphone haben. (…) Es sind viele technische Fragen offen, solange es keine fertige App gibt. Die sozialen Folgen sind unabsehbar…“ Ausführliche Einordnung von digitalcourage vom 8. April 2020 – gerade weil sehr detailliert, auch sehr interessant und hilfreich im sonst eher abstrakten Für-und-Wider. Siehe auch:
  • Corona-App zum Letzten: Unerschütterlicher Glaube an den Heilsbringer Technik
    „Jetzt haben wir schon 2-mal zur Corona App Stellung genommen , aber die Diskussion über technische Spielzeuge ist scheinbar immer schwer zu bremsen. Viel sinnvoller, aber in den Medien kaum präsent, fanden wir den Vorschlag von DGB Chef Hoffmann die Tarife im Kranken- und Altenpflegebereich auf ein ausreichendes Niveau zu bringen und diese endlich als allgemein verbindlich zu erklären, um Lohndrücker auszuschalten. Fast so schön war der Vorschlag auf Twitter, den Beschäftigten im Gesundheitswesen für ein Jahr die Gehälter der Abgeordneten zu zahlen und statt dessen die Abgeordneten jeden Abend vom Balkon zu beklatschen. Aber zurück zur Corona App, deren (geplante) Alternativen von FIfF-Aktivisten verglichen wurden. Sie haben 4 verschiedene Architekturen untersucht (…) Es soll also zentralisierte, teilweise dezentralisierte sowie eine komplett dezentralisierte Architektur geben. Jede zentralisierte Variante birgt zwangsläufig größte Datenschutzgefahren. Heise schreibt. Das FIfF kommt in seiner Analyse zu dem Schluss, dass die Anonymität der Nutzer von keinem Vorschlag bisher wirklich umgesetzt werde: „Nur, wenn der Personenbezug wirksam und irreversibel von den verarbeiteten Daten abgetrennt wird, kann danach von anonymen Daten gesprochen werden.“ Doch ein solcher expliziter Trennungsvorgang fehle in allen Vorschlägen. Für uns ist wieder eines der größten Probleme das der False Positives, denn keines der untersuchten Verfahren habe das Problem von fälschlich registrierten Treffern adressiert, Das können in diese Anwendungen falsch positiv Getestete oder in der Mehrzahl falsch gemeldete Kontaktpersonen sein. (…) Die App verpflichtend zu machen wäre ein schwerer Eingriff in die Privatsphäre der Menschen. Der FIfF weist darauf hin, dass selbst im obrigkeits-orientierten Singapur nur 13 Prozent der Menschen die individualisierte TraceTogether-App installiert hatten. Hinzu käme die Gefahr, dass die App von einigen Infizierten als ein Freifahrtschein angesehen würde. Sie würden sich nicht mehr in Quarantäne aufhalten, denn die andere werden ja gewarnt, wenn sie zu nahe konmen. Wem nützt dann die App wirklich? Eigentlich nur den Software- und IT-Firmen…“ Beitrag vom 15.04.2020 bei Freiheit statt Angst 
  • Datenschutz-Folgenabschätzung (DSFA) für die Corona-App
    FIfF legt als konstruktiven Diskussionsbeitrag eine datenschutzrechtliche Bewertung der geplanten Corona-Tracing-Systeme vor – dokumentiert am 14. April 2020 bei telepolis 
  • Corona: Informatiker kritisieren „Datenspende-App“ als „schlecht gemacht“
    „Das Robert-Koch-Institut sammelt im Kampf gegen Covid-19 Daten etwa von Fitnessbändern. Die Gesellschaft für Informatik und Datenschützer haben Bedenken. Die Gesellschaft für Informatik (GI) hält die App „Corona-Datenspende“, die das Robert-Koch-Institut (RKI) am Mittwoch im Kampf gegen die Pandemie herausgegeben hat, für unausgegoren, wenn nicht kontraproduktiv. Die Anwendung erfülle „im Hinblick auf Datenschutz und IT-Sicherheit nicht die grundlegenden Anforderungen“, moniert der Verein in einer am Donnerstag veröffentlichten Stellungnahme. Das RKI habe damit eine Chance vertan, das Vertrauen in digitale Anwendungen zur Eindämmung des Coronavirus zu stärken…“ Beitrag von Stefan Krempl vom 10.04.2020 bei heise news 
  • Contact Tracing gegen Corona. Apple und Google schaffen globalen Standard. Artikel von Alexander Fanta und Chris Köver vom 11.4.2020 bei Netzpolitik 
  • 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps
    Beitrag vom 6.4.2020 bei ccc 
• Die Bertelsmann-Stiftung und „Faster than Corona“ – oder: Werbung für die „Datenspende“
  “Der digitale Patient”, ein vom Bertelsmann-Konzern geschaffenes Internet-Magazin, das Werbung für die Digitalisierung des Gesundheitswesens macht und dabei auch Produkte der Bertelsmann-Tochter Arvato-Systems bewirbt, hat sich jetzt auch zum Thema Corona einschlägig positioniert. In einem Interview unter dem Titel „Wie Bürger durch Datenspenden zur Coronavirus-Forschung beitragen können“ wird eine Bertelsmann-Protagonistin (Mitglied des Bertelsmann-Expertennetzwerks „30 unter 40“) und das von ihr mitbetriebene Datensammelprojekt „Faster than Corona“ vorgestellt. (…) „Wir wollen schneller sein als das Coronavirus. Wie? Mit Daten. Vielen Daten. Nur so können wir mehr über das Virus lernen. Gibt es Medikamente, die schützen? Wer hat wirklich ein hohes Risiko? Helfen Sie mit und retten Sie Leben – mit Ihrer 1. Datenspende.“ (…) Dass der Bertelsmann-Konzern hier im Hintergrund mitwirkt ist weder aus dem Impressum noch aus der Datenschutzerklärung noch aus anderen Informationen auf der Homepage von „Faster Than Corona“ erkennbar. (…) Die Datenschutzerklärung enthält darüber hinaus einige Regelungen, die ein Gruseln hervorrufen (…) Eine „Datenschutz“-Erklärung, die es notwendig erscheinen lässt, dass die zuständige Datenschutz-Aufsichtsbehörde (Landesdatenschutzbeauftragte NRW) mal genauer hinsieht. Diese wiederum ist entgegen der Bestimmungen in Art. 13 Abs 2 d) DSGVO in der „Datenschutz“-Erklärung nicht benannt.“ Beitrag von Klaus-Peter Powidatschl vom 8. April 2020 bei patientenrechte-datenschutz.de 
• Niedersachsen schickt weiter Coronalisten an die Polizei
  „Die Landesdatenschutzbeauftragte hält die Übermittlung der Daten für illegal und hat angeordnet, sie umgehend einzustellen. Nun werfen Oppositionspolitiker:innen der Landesregierung vor, das Parlament zu umgehen. Ein Jurist rät Menschen in Quarantäne zur Strafanzeige gegen das Sozialministerium. (…) Am Dienstag vergangener Woche hatte das Sozialministerium die Weitergabe der Daten in einem Schreiben an die Landkreise und kreisfreien Städte veranlasst. Thiel forderte die Behörden am Freitag auf, ihre Anordnung umgehend zurückzunehmen. „Natürlich nehmen wir die Kritik der Landesdatenschutzbeauftragten sehr ernst und werden die aufgeworfenen Fragestellungen nochmals prüfen“, teilte ein Sprecher des Innenministeriums netzpolitik.org mit. Am selben Tag bekräftigte die Behörde die Maßnahme mit einem weiteren Erlass. Einen kurzen Ausschnitt aus dem neuen Erlass veröffentlichte der Hannoversche Blog Freiheitsfoo . Demnach bezieht sich das Innenministerium nun nicht mehr nur auf das Niedersächsische Polizei- und Ordnungsbehördengesetz , sondern argumentiert auch mit dem sogenannten Rechtfertigenden Notstand und dem Strafgesetzbuch . Die Landesdatenschutzbeauftragte hat dem widersprochen. So seien die Voraussetzungen des rechtfertigenden Notstands nicht für sämtliche Personen gegeben, deren Daten pauschal an die Polizei übermittelt werden, wie es in einer Erklärung hieß. Was genau darüber hinaus noch in dem Erlass steht, ist unbekannt...“ Artikel von Daniel Laufer vom 08.04.2020 bei Netzpolitik  und dazu:
  • Niedersachsen: Erlass unbekannt
    „Jetzt ist klar: Niedersachsen schickt weiter Coronalisten an die Polizei. Die Landesdatenschutzbeauftragte hält die Übermittlung der Daten für illegal und hat angeordnet, sie umgehend einzustellen. Nun werfen Oppositionspolitiker*innen der Landesregierung vor, das Parlament zu umgehen. Ein Jurist rät derweil Menschen in Quarantäne zur Strafanzeige gegen das Sozialministerium…“ Meldung vom 13. April 2020 bei robertkoop.wordpress.com 
• Anti-Corona-Tracking-Apps: Die Vertrauensfrage
  „Welche Daten erheben „Anti-Corona-Apps“, um Infektionsketten zu erkennen? Wer hat Zugriff darauf? Wie anonym ist alles? Der CCC und Reporter ohne Grenzen fordern, was bisher nicht der Normalfall ist. (…)Wer eine Anti-Corona-App zur schnellen Nachverfolgung und letztlich zur Unterbrechung von Kontaktketten (Contact Tracing) entwickelt und Nutzern dabei den Schutz ihrer Privatsphäre verspricht, muss diesen Schutz belegen können. Auf diesen Standpunkt stellen sich auch der Chaos Computer Club (CCC) und Reporter ohne Grenzen. Beide Organisationen haben diese Woche ihre Mindestanforderungen an Apps zur Kontaktverfolgung veröffentlicht. „10 Prüfsteine für die Beurteilung von Contact-Tracing-Apps“ sind es beim CCC, 7 bei den Reportern ohne Grenzen . Auf technischer Ebene geht es beiden zum Beispiel um Transparenz und Überprüfbarkeit: „Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen“, heißt es beim CCC unter anderem. Der Hacker-Verein verlangt außerdem „ein vollständig anonymes Contact Tracing ohne allwissende zentrale Server“ – schon allein, weil dies technisch möglich sei. Auch dürften „nur minimale und für den Anwendungszweck notwendige Daten und Metadaten gespeichert werden“, und diese dürften nicht zur De-Anonymisierung der Nutzer geeignet sein…“ Artikel von Patrick Beuth vom 07.04.2020 beim Spiegel online , siehe dazu auch:
  • Risiken und Möglichkeiten einer Corona-App
    „Mit Linus Neumann vom Chaos Computer Club blicken wir einerseits auf Potenziale, die Datensammlungen zur Eindämmung von Covid-19 haben, andererseits geht es um die massiven Datenschutzrisiken von Corona-Apps.“ Interview von Radio corax vom 8.4.2020 beim Audioportal Freier Radios 
• Niedersachsen: Landesdatenschutzbeauftragte fordert erneut sofortigen Übermittlungsstopp von Corona-Gesundheitsdaten an die Polizei
  „Trotz wiederholter deutlicher Kritik der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, hält das Niedersächsische Ministerium für Soziales, Gesundheit und Gleichstellung weiterhin an einem Erlass fest, mit dem die Gesundheitsämter angewiesen werden, Daten von Corona-Patienten und von deren Kontaktpersonen, die sich in Quarantäne befinden, an die Polizei zu übermitteln. Mit Erlass vom 31.03.2020 wurden die Gesundheitsämter durch das Gesundheitsministerium angewiesen, die Anschriften der unter häuslicher Quarantäne stehenden Personen nach einem positiven Test auf Corona an die Polizei zu übermitteln. Die LfD Niedersachsen hatte das Gesundheitsministerium nach Bekanntwerden am 03.04.2020 aufgefordert, den Erlass zurückzunehmen, da es insbesondere keine Rechtsgrundlage für die pauschale Übermittlung dieser sensitiven Gesundheitsdaten gibt. Statt dieser Aufforderung zu folgen, gab das Ministerium kurz darauf einen weiteren bestätigenden Erlass an die Gesundheitsämter heraus. Dabei beruft es sich auf das Infektionsschutzgesetz und das Niedersächsische Polizei- und Ordnungsbehördengesetz, da keine Befunde, sondern nur die Anschriften der unter Quarantäne stehenden Personen übermittelt würden. Zudem hält es den Tatbestand des rechtfertigenden Notstands für erfüllt…“ Beitrag von Klaus-Peter Powidatschl vom 8. April 2020 bei patientenrechte-datenschutz.de 
• Datenspende-App: Dein Herz schlägt für Maschmeyer
  „Das Robert-Koch-Institut stellte die freiwillige Datenspende-App vor // Ein eHealth-Startup in das Carsten Maschmeyer investierte produziert die App. Eine freiwillige Datenspende soll im Kampf gegen das Coronavirus helfen: Werte, wie Blutdruck, Herzschlag und Körpertemperatur, sollen Menschen nun in Verbindung mit ihrer Postleitzahl und weitestgehend anonymisiert über eine App übermitteln. Schon kurz nach der Vorstellung durch den Präsidenten des Robert-Koch-Instituts (RKI) Professor Lothar H. Wieler gerät die App an ihre Leistungsgrenzen. Wer hinter der App steckt, ist nicht sofort ersichtlich. (…)Wenn es in der Öffentlichkeit um Datenschutz geht, dann wird gewöhnlich auf die Beteiligung von Facebook oder Google an Datenauswertungen mit Ablehnung reagiert. Weniger etabliert ist der kritische Blick bei anderen Unternehmen, die in großem Stil an Datensammlungen beteiligt sind. Die allgemeinen Geschäftsbedingungen der App offenbaren, dass das deutsche Unternehmen, das die App umsetzt, ein hochbewertetes Berliner StartUp ist. Ein Firmenportrait der mHealth Pioneers GmbH, das im Mai 2019 in der Wirtschaftswoche erschien, legt die Hintergründe des 2017 gegründeten Unternehmens offen. Zu den bekanntesten deutschen Investoren zählt Carsten Maschmeyer, der zuletzt in der TV-Produktion Höhle des Löwen quasi am Fließband nach neuen Unternehmensideen und Geschäftskonzepten suchte. Maschmeyer ist umstritten. Insbesondere die Berichterstattung rund um den von ihm mitgegründeten Finanzdienstleister AWD, dessen Verkaufsmethoden über Jahre in der Kritik standen, zog rechtliche Auseinandersetzungen nach sich. Zu den weiteren Investoren zählt Min-Sung Sean Kim, der für Samsung in die Bereiche künstliche Intelligenz und immer wieder auch Gesundheitsdaten investiert…“ Artikel von Daniel Lücking vom 07.04.2020 im ND online 
• Mit Apps gegen die Pandemie –  Freiwilligkeit, App-Pflicht oder digitale Fußfessel? In Europa gibt es unterschiedliche Konzepte – Deutschland hat noch nicht entschieden
  „In vielen europäischen Ländern kommen immer mehr App-Konzepte in die Diskussion oder sie kommen bereits zum Einsatz. Das Ziel der Apps: Die Infektionskette nachzuverfolgen und Kontaktpersonen isolieren, um eine Weitergabe des Virus zu verhindern. Kritiker von App-Lösungen zur Eindämmung der Pandemie warnen jedoch, denn oft werden Daten herangezogen, die mit der Erkrankung eigentlich nichts zu tun haben. Als Vorbild wird immer wieder auch Südkorea genannt. Doch gerade dort werden Datenquellen oft auch ohne Einwilligung der Betroffenen ausgewertet. Neben Kreditkartendaten kommen auch Bilder aus Überwachungskameras zum Einsatz. In Deutschland orientiert sich vor allem der CDU-Wirtschaftsrat am südkoreanischen Modell und spricht sich gegen eine freiwillige App aus. Wolfgang Steiger, Generalsekretär des Wirtschaftsrates, sagte der »FAZ«: »Für diese Ausnahmesituation müssen wir das Datenschutzrecht verändern.« Der Rat plädiert für einen verpflichtenden Einsatz der App »Nina«, der Notfall-Informations-App des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe. Ein Nachteil dieser App: Sie ist nicht quelloffen und arbeitet mit Positionsdaten der Nutzer*innen. Datenschützer und Bürgerrechtler diskutieren derzeit den Einsatz einer freiwilligen App. Aus Kreisen des Chaos-Computer-Club heißt es, man wolle die in den letzten Jahren im Bereich des Datenschutzes entwickelten Lösungen zum Einsatz bringen, um einer möglichen Zwangs-App zuvorzukommen. Auch weil die Bereitschaft zum Einsatz einer solchen App wachse, sei dies dringend erforderlich, äußerte Linus Neumann, Sprecher des CCC im Podcast Logbuch Netzpolitik. (…) Nutzer*innen in Österreich, die eine Corona-App nicht verwenden können oder nutzen wollen, sollen einen Schlüsselanhänger erhalten. Diesen Vorschlag äußerte der österreichische Bundeskanzler Sebastian Kurz in einem Interview mit der Zeitung »Der Standard«. Die Corona-App sei nur eine von insgesamt drei Maßnahmen, mit denen Kurz der Krise beikommen will. Tests und die Isolierung sollen die Ausbreitung der Pandemie unter Kontrolle bringen. Am Montag will Kurz einen »Fahrplan« präsentieren, nach dem Wirtschaft und Handel wieder hochgefahren werden können. Kurz sagte im Interview, die österreichische Bundesregierung habe noch nicht über eine verpflichtende Nutzung der Corona-App entschieden, doch »Die Mehrheit der Österreicher befürwortet diese Initiative«. Die Opposition setzt auch in Österreich auf die freiwillige Nutzung einer Corona-App. In Polen geht der Einsatz von Handy-Apps noch einen Schritt weiter. Hier müssen erkrankte oder in Quarantäne befindliche Personen eine App verwenden, die mehrmals am Tag dazu auffordert, ein Selfie zu erstellen, mit dem belegt wird, dass sich die Person noch am Quarantäne-Ort befindet. Erfolgt der Upload des Selfies zu spät oder gar nicht, drohen Strafzahlungen…“ Beitrag von Daniel Lücking bei neues Deutschland vom 5. April 2020 und dazu:
  • Europaweite App-Lösung in der Coronakrise
    „In vielen europäischen Ländern kommen immer mehr App-Konzepte in die Diskussion oder bereits zum Einsatz. Das Ziel der Programme: Die Infektionskette nachverfolgen und Kontaktpersonen isolieren, um eine Weitergabe des Virus zu verhindern. (…) Kritiker von App-Lösungen zur Eindämmung der Pandemie schlagen Alarm: Oft werden Daten herangezogen, die mit der Erkrankung nichts zu tun haben. Als Vorbild wird immer wieder Südkorea genannt. Gerade dort werden Datenquellen oft ohne Einwilligung der Betroffenen ausgewertet. Neben Kreditkartendaten kommen auch Bilder aus Überwachungskameras zum Einsatz. (…)Datenschützer und Bürgerrechtler entwickeln momentan eine freiwillige App. Aus Kreisen des Chaos Computer Clubs (CCC) heißt es, man wolle die in den letzten Jahren im Bereich des Datenschutzes erarbeiteten Lösungen zum Einsatz bringen, um einer Zwangs-App zuvorzukommen. Auch weil die Bereitschaft zum Einsatz von Apps wachse, sei dies dringend erforderlich, äußerte Linus Neumann, Sprecher des CCC. Zur Nutzung von Apps äußerte sich der sächsische Ministerpräsident, Michael Kretschmer (CDU), gegenüber dem »Redaktionsnetzwerk Deutschland«. Alle würden eine solche App in absehbarer Zeit nutzen, und zwar freiwillig, prognostizierte er. Kretschmer verwies dabei auf die Einführung der Gesundheitskarte: »Als der Staat Gesundheitsdaten speichern wollte, war der Aufschrei der Datenschützer groß. Kurze Zeit später gab es einen großen Run auf entsprechende Anwendungen bei Google und Facebook.«“ Beitrag von Daniel Lücking bei neues Deutschland vom 6. April 2020 
• Daten von Infizierten: Polizei sammelt in mehreren Bundesländern Coronavirus-Listen
  „In Baden-Württemberg und Mecklenburg-Vorpommern erhielt die Polizei Listen mit Menschen, die an Covid-19 erkrankt sind. Auch in Niedersachsen und Bremen kam es nach Recherchen von netzpolitik.org zu einer Übermittlung sensibler Gesundheitsdaten. Datenschützer:innen halten dies zum Teil für illegal. (…) Auf solchen Listen stehen mindestens zum Teil auch Kontaktpersonen der Betroffenen. In Niedersachsen und Mecklenburg-Vorpommern wurden Gesundheitsämter aufgefordert, diese sensiblen Daten zur Verfügung zu stellen. In Bremen und Baden-Württemberg wurde eine Übermittlung vorerst wieder gestoppt, nachdem Datenschützer:innen interveniert hatten. Die Unterscheidung zwischen mit dem Coronavirus Infizierten und nicht Infizierten werde die Gesellschaft in den kommenden Monaten prägen, vermutet Stefan Brink. „Wir sind in einer Situation, in der auch die staatlichen Maßnahmen in vielen Fällen eher Versuchen gleichen, als dass sie nach einem klaren Handlungskonzept ablaufen würden. Dadurch wird es auch schwer, Prognosen zu stellen, wer mit solchen Daten in Zukunft in Kontakt kommt.“ (…) Brink ist Landesbeauftragter für Datenschutz in Baden-Württemberg, wo Gesundheitsdaten bei der Polizei gelandet sind. (…) Wie nun deutlich wird, sind noch weitaus mehr Daten geflossen. Das zeigen Recherchen von netzpolitik.org. Mitunter wurden die Informationen wohl auch direkt durch Kommunen übermittelt, wie aus einer E-Mail des Polizeipräsidiums Freiburg hervorgeht. Mehr als die Hälfte der 13 regionalen Polizeipräsidien des Landes bestätigten, entsprechende Daten zumindest in Teilen erhalten zu haben. Drei Präsidien antworteten nicht auf entsprechende Anfragen. (…) Stefan Brink sagt, noch habe ihn niemand aus dem Innenministerium hierzu kontaktiert. „Wir brauchen auch keinen Kompromiss, sondern eine Einhaltung unserer Rechtsordnung“, so der Datenschützer. „Solche Infizierten-Listen haben bei der Vollzugspolizei nichts verloren. Sie müssen, wenn sie dort in rechtswidriger Weise hingereicht wurden, sofort gelöscht werden.“…“ Beitrag von Daniel Laufer vom 2. April 2020 bei Netzpolitik 
• Bundesregierung schweigt zu Palantir – Die umstrittene US-Datenanalysefirma soll sich in der Coronakrise angeboten haben
  „Das umstrittene US-Unternehmen Palantir setzt auf die Coronakrise und will offenbar auch in Deutschland Software anbieten, mit der die Ausbreitung der Pandemie verfolgt werden soll. Das Unternehmen steht jedoch auch in der Kritik, personenbezogene Informationen in großem Stil an Dritte weiterzugeben. Softwareprodukte, wie »Metropolis« werden bei Hedgefonds, Banken und Finanzdienstleistern verwendet. Darüber hinaus ist Palantir für Geheimdienste und Polizeibehörden tätig. Nach Berichten des US-Magazins Bloomberg sind Kooperationen in weiteren europäischen Ländern im Gang. Ein bestätigtes Angebot ging an die österreichische Bundesregierung und in Großbritannien soll Palantir in einer Kooperation mit Microsoft und Amazon agieren. Kritiker bezweifeln, dass Daten aus der Corona-Pandemie nicht auch an anderer Stelle verwendet werden. (…) »Solchen Unternehmen weitere Daten zu geben, sehe ich kritisch«, sagt Manuel Atug vom Berliner Beratungsunternehmen HiSolutions, das mehrere Bundesministerien auch in Fragen der IT-Sicherheit berät. Atug hat vor allem ethische Bedenken. »Für das Branchenschwergewicht Palantir wäre es ein Leichtes, gesammelte App-Daten zu deanonymisieren.« (…) »Im Gesundheitswesen half die Firma ihren Kunden Kosten zu senken. Die furchtbaren Folgen zeigen sich heute vieler Orts«, hält Martina Renner fest, die als Mitglied der Linken im Innenausschuss und ehemalige Obfrau im NSA-Untersuchungsausschuss des Bundestages Erfahrung mit US-Kooperationen machen durfte. (…) Aus dem Gesundheitsministerium hieß es bereits am Mittwoch, man begleite derzeit die Entwicklung verschiedener Techniken, wolle Infektionsketten »möglichst schnell und möglichst lückenlos« nachverfolgen und suche dafür nach einem »technisch machbaren und politisch umsetzbaren Weg.« Fragen zum Unternehmen Palantir beantwortete man nicht und teilte auf Nachfrage am Donnerstag mit: »Bitte haben Sie Verständnis, dass wir es vorerst bei dem gestern abgegebenen Statement belassen.«“ Artikel von Daniel Lücking vom 2.4.2020 in neues Deutschland online – siehe zum Hintergrund unser Dossier: Big Data bei der Polizei: (Nicht nur) Hessen sucht mit Palantir-Software nach Gefährdern
• Peter Schaar: Mit heißer Nadel gegen das Virus? Wann sind Tracking-Apps im Kampf gegen die Coronavirus-Epidemie rechtlich verträglich?
  „… Zunächst muss die grundlegende Frage beantwortet werden, für welche Zwecke die App eingesetzt werden soll. Ungeeignet ist die Auswertung der von den Telekommunikationsunternehmen erfassten Standortdaten, denn die Funkzellen haben – je nach örtlichen Gegebenheiten – einen Durchmesser zwischen einigen Hundert Metern bis zu einigen Kilometern. Sie ermöglichen nur eine grobe Ortung der Nutzer und sind damit zur Feststellung von Kontakten nicht brauchbar. Dagegen könnten Apps, welche die per GPS ermittelten Bewegungsdaten und die im Nahbereich (per Bluetooth?) festgestellten Kontakte aufzeichnen, für diesen Zweck erfolgversprechend sein. Zuvor muss allerdings die Frage beantwortet werden, ob angesichts der weiten Verbreitung des Virus ein individuelles Tracking der Infizierten und deren Kontaktpersonen überhaupt zielführend ist. Unter dieser Voraussetzung muss jede den Vorgaben des Grundgesetzes entsprechende Lösung die folgenden Anforderungen erfüllen: – Die Installation und Verwendung der App erfolgen auf freiwilliger Basis und unter Kontrolle durch die Nutzer. Zudem muss ein Höchstmaß an Transparenz gewährleistet sein: Jeder, der die App installiert, muss wissen, auf was er sich einlässt. – Die Daten sollten lokal erhoben und verarbeitet werden. Lediglich für den Fall, dass ein Nutzer positiv auf COVID-19 getestet wird, sollten die Daten an eine zentrale Stelle (RKI?) hochgeladen und dort ausgewertet werden, um mögliche Kontaktpersonen festzustellen und diese zu informieren. – Die Daten sollten möglichst anonym verarbeitet werden. Die Nutzeridentifikation könnte über eine nicht namentlich zugeordnete ID stattfinden. Es wäre nicht hinnehmbar, wenn eine staatliche Stelle die Bewegungsdaten sämtlicher Bürgerinnen und Bürger erhielte. – Die Daten sollten nur für einen begrenzten Zeitraum gespeichert (14 Tage?) und anschließend rückstandslos gelöscht werden. – Die technischen Lösungen bzw. Apps müssen so gestaltet werden, dass sie einen Missbrauch durch Dritte ausschließen und die Sicherheit der IT-Systeme nicht gefährden. Schließlich muss die Datenverarbeitung rechtlich abgesichert werden. Gesetze, die unsere Freiheitsrechte beschränken, müssen zeitlich begrenzt (Sunset Legislation) und unabhängig evaluiert werden.“ Kommentar von Peter Schaar vom 30. März 2020 bei heise online 
  • Siehe dazu aber auch: [Podcast] Corona Constitutional #1: Lieber getrackt als eingesperrt?
    Maximilian Steinbeis im Gespräch mit Nikolaus Marsch am 1. April 2020 beim Verfassungsblog über den rechtlichen Aspekt der Freiwilligkeit bei Corona-Tracking-Apps (Podcastlänge: ca. 20 Min.) – Ist bezüglich Freiwilligkeit interessant, weil Nikolaus Marsch von der rechtlichen Wertung Peter Schaars abweicht.
  • „Heute kommen wieder die Forderungen nach verpflichtenden digitalen Datenerhebungen zur Pandemiebekämpfung: Nutzung der Kreditkartenabrechnungen, verpflichtende Installation von Apps, Zugriff auf die Betriebssysteme der Handys. Dazu ein paar Gedanken…“ Thread von Ulrich Kelber vom 1. Apr. 2020 bei Twitter 
• Snowden warnt: Überwachungsstaat, den wir jetzt schaffen, wird Corona überstehen
  „… Weltweit sehen immer mehr Staaten Überwachungsmethoden als Möglichkeit an, um gegen das Coronavirus vorzugehen. (…) Für den US-Whistleblower Edward Snowden sind solche Maßnahmen keineswegs gerechtfertigt. Während eines Interviews beim Copenhagen International Film Festival stellte er die Frage, was Behörden eigentlich davon abhalte, Überwachungsmethoden aufrechtzuerhalten, wenn das Coronavirus besiegt ist. (…) Staaten würden dazu tendieren, Gefahrensituationen in die Länge zu ziehen. Sie würden sich mit ihrer neuen Macht wohl fühlen und sie mögen, warnt Snowden. Plötzlich könnten Notfallmaßnahmen permanent werden – und genutzt werden, um beispielsweise oppositionelle Gruppierungen zu bekämpfen. Regierungen mit Überwachungsinstrumenten würden dazu tendieren, neue Gefahren als Begründung für eine weitere Verwendung zu nennen – etwa terroristische Gruppierungen. „Sie wissen schon, was du im Netz machst. Sie wissen, ob sich dein Handy bewegt. Sie wissen bald vielleicht, wie unser Herzschlag und Puls ist. Was passiert, wenn sie diese Informationen mischen und auch noch künstliche Intelligenz nutzen?“, fragt Snowden offen. Gerade die Verwendung von künstlicher Intelligenz in Kombination mit Überwachung macht dem ehemaligen NSA-Mitarbeiter Sorgen. (…) Es sei schon in normalen Zeiten schwierig, eine Balance zwischen Privatsphäre und Sicherheit zu finden – noch herausfordernder ist es während einer globalen Krisensituation. Die Gefahr des Coronavirus will er nicht bestreiten, jedoch glaubt er, dass Impfungen und Herdenimmunität die Lösung sind, denn Überwachungsmaßnahmen könnten schnell kommen, um zu bleiben. Man müsse an die Welt denken, in der wir leben, wenn das Coronavirus besiegt ist.“ Meldung vom 26. März 2020 bei DerStandard online mit Link zum Interview mit Snowden 
• Corona und der Datenschutz: Helfen Bewegungsprofile gegen das Virus? 
  „Könnten Handydaten dabei behilflich sein, die Corona-Pandemie einzudämmen? Politiker und App-Entwicklerinnen werben enthusiastisch für diese Idee. Datenschützer schlagen Alarm, denn: Was geschieht mit den Datensätzen nach der Krise? (…) Eva Blum-Dumontet von der britischen Menschenrechtsorganisation Privacy International hingegen sagt, dass es sowas wie anonymisierte Daten kaum noch gebe. Es seien sehr wenige Daten notwendig, um Individuen damit identifizieren zu können – auch ohne deren Namen. Außerdem kritisiert sie die hohe Geschwindigkeit und den Enthusiasmus, mit dem auf solche „Überwachungsmaßnahmen“, wie sie sagt, zurückgegriffen werde: „Wir entwickeln ein Klima der Angst. Wir behandeln manche Leute als wären sie eine militärische Bedrohung. Technologien, wie das elektronische Armband werden traditionell für Kriminelle angewendet, die unter Hausarrest stehen.“ (…) Blum-Dumontet weist darauf hin, dass diese Unternehmen schon heute über hoch sensible Daten ihrer NutzerInnen verfügen. Die Frage, die sich stellt, ist also: Wird es technisch gesehen eine Zeit nach Corona geben – oder entstehen hier Datensätze und Überwachungsformen die auch bleiben, wenn die Krisenzeit überstanden ist? (…) Der Schweizer Kultur- und Medienwissenschaftler Felix Stalder von der Zürcher Hochschule der Künste plädierte auf Twitter für den Weg einer transparenten Interessensbalance, die zwischen datenschutzrechtlichen Bedenken und der Eindämmung der Corona-Pandemie sensibel und demokratisch legitimiert abwägt. (…)Der naiven Vorstellung, in großen Mengen von Netzbetreibern wie der Telekom zur Verfügung gestellte Bewegungsprofile könnten tatsächlich im Kampf gegen Corona hilfreich sein, erteilt Stadler allerdings eine klare Absage. Dass man daraus ablesen könne, „wer wen ansteckt, das ist eine vollkommene Illusion. Weil diese Daten der Funkzellen viel zu grob sind. Da sieht man keine nahen Verhältnisse, sondern nur, wer gemeinsam in einer Funkzelle steht. Und auch, weil natürlich reine physische Proximität, wenn man die dann feststellen könnte, noch überhaupt nicht heißt, dass es auch zu einer Situation gekommen ist, in der tatsächlich eine Ansteckung hätte stattfinden können.“ Solche Vorstellungen hätten auch viel mit Technik- und Datengläubigkeit zu tun. Google und Facebook suggerierten der Öffentlichkeit seit Jahren, anhand ihrer Datensammlungen „alles“ über ihre Nutzer zu wissen. Dabei beschränke sich dieses Wissen vor allem darauf, wie sich Reklame effizient schalten lasse. (…) Deutlich mehr verspricht sich Stalder demgegenüber von Apps, die nicht Topdown und AI-getriggert funktionieren, sondern von den Nutzern mit gezielten Informationen wie dem eigenem Gesundheitszustand und Aufenthaltsort gefüttert werden…“ Felix Stalder im Gespräch mit Dennis Kogel und Marcus Richter beim Deutschlandfunk am 28. März 2020 (Audiolänge: 15:48 Min., hörbar bis zum 19. Januar 2038)
• Corona: Auswertung von Kommunikationsdaten?
  Dossier von Digitalcourage 
• EU-Kommission: Nutzung persönlicher Daten in Corona-Krise mit EU-Recht vereinbar
  „Die EU-Kommission hält es aus datenschutzrechtlicher Sicht für möglich, sensible persönliche Daten im Kampf gegen die Ausbreitung des neuartigen Coronavirus zu verwenden. Prinzipiell sei die Verarbeitung persönlicher Daten mit Bezug zur Gesundheit laut EU-Datenschutzvorgaben zwar verboten, sagte ein Sprecher der Brüsseler Behörde am Dienstag. Der Schutz der öffentlichen Gesundheit könne aber ein rechtliches Motiv für eine Ausnahme von dieser Regel sein. Die statistische Auswertung anonymisierter Massendaten ist demnach ohne Weiteres mit der europäischen Datenschutzgrundverordnung (DSGVO) vereinbar. Und auch der Austausch und die Auswertung personenbezogener Daten sei „aus Gründen des Gemeinwohls“ möglich, sagte der Kommissionssprecher. Die jeweilige nationale Gesetzgebung der EU-Mitgliedstaaten müsse den rechtlichen Rahmen für derartige Abweichung von der DSGVO definieren…“ Meldung vom 24. März 2020 beim `Täglichen Anzeiger‘ online 
• Corona-App? Nein, Danke. Die Idee einer App, die die Bewegungen von Corona-Infizierten überwacht, kommt immer wieder auf
  „Die Datensammelwut der Behörden ist immer dann besonders groß, wenn die Angst obsiegt. Das Coronavirus kann schaffen, was zuletzt bei 9/11 in großem Umfang gelang, als die Sammlung von Fluggastdaten ausuferte. Wer würde schon widersprechen, wenn »zu unserer aller Sicherheit« ein paar Daten preisgegeben werden? (…) Solidarität in Zeiten der Coronakrise muss auch Solidarität in Sachen Datenschutz heißen. Die Standortdaten einer infizierten Person bringen künftig womöglich auch das Umfeld in Quarantäne. Was nützt ein Sicherheitsabstand von zwei Metern im Alltag, die Vermeidung von persönlichem Kontakt oder eine Schutzmaske, wenn künftig ein gemeinsam genutztes WLAN oder eine Wohnung im selben Haus ausreichen könnte, um in Quarantäne gesetzt zu werden? Die Standortdaten sagen nichts darüber aus, ob der Patient sich der Erkrankung angemessen verhält oder ob sich das örtliche Umfeld schützt. Dazu bräuchte es dann schon eine permanente Videoüberwachung. Na ja – vielleicht dann bei der nächsten Pandemie.“ Kommentar von Daniel Lücking vom 19.03.2020 beim ND online 
• Big Data und Überwachung in Ostasien
  „Digitale Werkzeuge erweisen sich als effektive Mittel zur Bekämpfung des Coronavirus. (…) Dass Big Data und öffentliche Überwachung einen großen Anteil an diesem epidemiologischen Erfolg haben, ist unbestreitbar. Kein Land auf der Welt ist in diesem Bereich fortgeschrittener als China. Ob beim Einkauf von SIM-Karten fürs Handy, Registrieren für eine App oder dem Buchen eines Flugtickets: Für jede Transaktion ist ein von der Regierung ausgegebener Personalausweis nötig. Zudem verfügt das Land über 200 Millionen Sicherheitskameras, von denen viele mit Gesichtserfassungssoftware ausgestattet sind. Ohne nennenswerte Datenschutzgesetze können sämtliche Informationen zentral verknüpft werden. Ein Fallbeispiel: Jeder Passagier, der am Pekinger Hauptbahnhof ankommt, muss beim Verlassen der Eingangshalle eine Kamera passieren, die die Körpertemperatur erfasst. Sobald jemand Fiebersymptome zeigt, wird der Verdächtige von den Sicherheitskräften aus der Menge herausgefischt. Im nächsten Schritt würden die Behörden jeden einzelnen Passagier im selben Zugwaggon alarmieren, Identität und Telefonnummer lassen sich durch den Ticketkauf leicht herausfinden. Die drei großen Telekommunikationsanbieter teilen ihre Daten sowohl mit dem Ministerium für Informationstechnologie als auch mit der Nationalen Gesundheitskommission. Damit jeder, der ein Smartphone bei sich führt, geortet werden kann. Allein in Wuhan gab es rund 1800 Teams, die vor allem damit beschäftigt waren, mögliche infizierte Personen auf Grundlage der technischen Daten aufzuspüren. Einige Stadtgemeinden haben ebenfalls die Bewegungsabläufe von potenziellen Infizierten publiziert – um Anwohner davor zu warnen, die betroffenen Orte aufzusuchen. (…) Auch auf sozialen Medien berichten Chinesen von ihren Erfahrungen mit der Überwachung: Eine Hotelbesitzerin aus Wuhan ist trotz Quarantäne aus ihrer Wohnung herausgegangen, um beim Pförtner eine Essenslieferung abzuholen. Nur wenige Schritte im Freien umkreiste die Chinesin eine Drohne, die sie aufforderte, umgehend wieder umzukehren. Was für europäische Wertevorstellungen dystopisch klingt, wird in China kaum kritisiert – schlicht, weil es in dem totalitären Staat keine funktionierende Zivilgesellschaft oder freie Medien gibt. Doch auch in den demokratischen Nachbarn Ostasiens wird die radikale Transparenz als Aufklärung für das Gemeinwohl begrüßt. Taiwans Erfolg im Kampf gegen das Virus beruht zu Teilen aufgrund des Einsatzes modernster Technik: Mit Hilfe von Big Data informieren Smartphone-Apps, an welchen Apotheken noch Gesichtsmasken zu kaufen sind…“ Artikel von Fabian Kretschmer, Peking, vom 19.03.2020 beim ND online 
• Datensammelwut in der Coronakrise: Privat ist privat
  „… Corona macht Angst. Denn keiner kann mit hoher Wahrscheinlichkeit sagen, ob wir diese Pandemie glimpflich überstehen. Es wäre ein Leichtes, jetzt zu fordern, alle verfügbaren, auch digitalen Maßnahmen zu ergreifen, um die Verbreitung des Virus einzudämmen. Und damit die Bevölkerung gläsern zu machen. Technisch ist die Überwachung über Handydaten, Kreditkartensysteme oder andere digitale Technologien möglich. Und weil es so einfach ist, kommt die flächendeckende Speicherung und Auswertung privater Daten ins Spiel. China, Südkorea oder Israel machen es derzeit vor, indem sie positiv Getestete per Handy orten und ihre Bewegung im öffentlichen Raum sichtbar machen. Zweifelhaft ist allerdings, wie sinnhaft eine solche Auswertung ist. (…) Besser, als sich diesen Fragen zu widmen, ist es, die Verbreitung seriöser Informationen zu sichern und diese allen Bevölkerungsgruppen zugänglich zu machen. Dies ist die Aufgabe von Behörden. Wer Fake News bewusst verbreitet und entlarvt wird, wer die Coronakrise öffentlichkeitswirksam verharmlost, sollte dafür bestraft werden. Denn Fehlinformationen schüren mit Sicherheit Panik. Der beste Schutz vor Covid-19 sind nach wie vor die Einhaltung von Hygienemaßnahmen und das Einschränken von Sozialkontakten. Auch Maßnahmen wie eine zeitweise Ausgangssperre helfen im Kampf gegen die Pandemie. Bis die Datenschutzgrundverordnung EU-weit verabschiedet werden konnte, hat es Jahre gedauert. Es ist Konsens in den europäischen Staaten, die Überwachung von Bürger:innen wohl abzuwägen und die informationelle Selbstbestimmung als hohes Gut zu erachten. Jetzt den mühsam errungenen Schutz unserer Privatsphäre aufzugeben, wäre der falsche Weg.“ Kommentar von Tanja Tricarico vom 18. März 2020 in der taz online 
• Corona: Zeig mir deinen Standort und ich sage dir, ob du vielleicht krank bist
  „Die Auswertung von Handy-Standortdaten soll dabei helfen, die Ausbreitung des Corona-Virus einzudämmen. In Kürze will das Robert-Koch-Institut einen Plan vorlegen, der mit geltenden Gesetzen vereinbar ist. Andere Länder wie Österreich oder Israel setzen hingegen auf die Holzhammermethode. Für das Motto „Move fast and break things“ ist eher das Silicon Valley bekannt und weniger das als behäbig verschriene Österreich. So lässt die Meldung doppelt aufhorchen, der größte österreichische Mobilfunkanbieter, A1, habe auf eigene Faust die Bewegungsprofile seiner Handynutzer der Regierung übergeben . Die Maßnahme soll im Kampf gegen die Ausbreitung des Corona-Virus helfen, wenn auch nur mittelbar. Herangezogen wurden laut einem Unternehmenssprecher die anonymisierten Daten offenbar nur dazu, um zu überprüfen, inwieweit sich Österreicher an die jüngst ausgerufene Ausgangssperre halten. (…) „A1 stellt diese Analysen in Krisenzeiten relevanten staatlichen Stellen zum Wohle der Allgemeinheit zur Verfügung“, erklärte der Netzbetreiber in einer Stellungnahme . Die Lösung sei „DSGVO-konform und TÜV geprüft“ – eine Einschätzung, die Datenschützer wie Wolfie Christl in Zweifel ziehen . Zudem lasse sich weder aus dem Telekomgesetz noch aus dem Epidemiegesetz eine entsprechende Rechtsgrundlage ableiten, sagte der Datenschutzrechtler Christof Tschohl dem Standard . Mit ähnlichen Ansätzen versuchen derzeit staatliche Einrichtungen weltweit, die Ausbreitung der Krankheit in den Griff zu bekommen. Hierzulande preschten Anfang des Monats das Robert-Koch-Institut und das Heinrich-Hertz-Institut der Fraunhofer-Gesellschaft vor. Demnach sollte gemeinsam mit dem Bundesgesundheitsministerium ein Plan entwickelt werden, mit den Standortdaten infizierter Handynutzer deren Kontaktpersonen zu ermitteln. Letztere sollten dann informiert und gegebenenfalls in Quarantäne gesteckt werden. Mobilfunkbetreiber und Datenschützer winkten umgehend ab (…)Im internationalen Vergleich scheint die hiesige Debatte freilich erstaunlich sachlich und nüchtern abzulaufen. In Israel gilt beispielsweise seit Sonntag eine Notstandsregelung . Diese gibt dem Inlandsgeheimdienst Schabak die Mittel in die Hand, ohne unabhängige richterliche Kontrolle die Standortdaten von sämtlichen israelischen Handynutzern auszuwerten. Sollte sich aus diesen ergeben, dass sich ein Nutzer für länger als zehn Minuten in der Nähe einer infizierten Person aufgehalten hat, schickt das Gesundheitsministerium eine SMS mit der Aufforderung, sich in Quarantäne zu begeben. Die Einhaltung der Auflage soll ebenfalls vom Geheimdienst kontrolliert werden. Ob solche drakonischen und technikgestützten Ansätze letztlich gegen die Ausbreitung des Corona-Virus helfen, bleibt vorläufig offen…“ Artikel von Tomas Rudl vom 17.03.2020 bei Netzpolitik – siehe dazu aber bereits:
  • Telekom teilt Daten über „Bewegungsströme“ von Handynutzern mit RKI
    „Die Deutsche Telekom will das Robert-Koch-Institut bei der Eindämmung der Coronavirus-Pandemie mit Handydaten unterstützen. Das berichtet der „Tagesspiegel“ [im Abo]. Dazu soll das Unternehmen der Behörde bereits einen Teil seiner Kundendaten in anonymisierter Form zugänglich gemacht haben. Das Vorhaben bestätigte eine Telekom-Sprecherin dem Fachdienst „Tagesspiegel Background Digitalisierung & KI“. Noch am Dienstagabend solle demnach eine erste Datenlieferung mit einem Umfang von fünf Gigabyte übergeben worden sein. Die Daten sollen den RKI-Forschern neue Erkenntnisse zu der Ausbreitung und für eine bessere Eindämmung des Coronavirus liefern. „Damit lassen sich Bewegungsströme modellieren – bundesweit, auf Bundesland-Ebene sowie bis auf die Kreis-Gemeinde-Ebene heruntergebrochen“, erklärte die Sprecherin dem Bericht zufolge. Ein Tracking einzelner Bürger oder infizierter Personen, wie es derzeit in asiatischen Ländern und auch in Israel gemacht wird, soll dadurch aber nicht möglich sein…“ Meldung vom 18.3.2020 bei der Welt online 
• Corona, die Bürger*innen-Rechte und der (Gesundheits-)Datenschutz: „CoView19“ – Macht mit!
  „epicenter.works , hervorgegangen aus dem Arbeitskreis Vorratsdatenspeicherung Österreich, hat am 16.03.2020 eine rechtliche Analyse der COVID-19-Gesetze und Verordnungen veröffentlicht, die in Österreich am 14./15.03.2020 beschlossen bzw. erlassen wurden. In einer summarischen Bewertung, die der näheren Analyse vorangestellt ist, erklärt epicenter.works: „Als unabhängige Grundrechtsorganisation haben wir uns diese Maßnahmen angesehen und im Detail analysiert… Die Maßnahmen bringen eine enorme Einschränkung für das Leben der Bevölkerung mit sich. Insbesondere dort wo in die Bewegungsfreiheit der Menschen eingegriffen wird, sehen wir eine besonders große Gefahr… Vor dem Hintergrund dieser Maßgabe ist es absolut essentiell, dass die erlassenen Gesetze und Verordnungen mit einem fixen Ablaufdatum versehen und einem genau spezifizierten Zweck gewidmet sind. Die beschlossenen Maßnahmen erscheinen uns notwendig anlässlich der enormen Gefahr für das Leben großer Teile der Bevölkerung. Die beschlossenen Maßnahmen sind nützlich, um die Ausbreitung des Virus einzudämmen und das Gesundheitssystem vor einem Kollaps zu bewahren. Auch wenn hierbei in einzelne Grundrechte, wie die Versammlungs- und Berufsfreiheit, eingegriffen wird, erachten wir die getroffenen Maßnahmen in dieser Situation und mit den eingebauten Safeguards als verhältnismäßig…“ (…) Mit CoView19 hat sich vor wenigen Tagen eine Initiative gebildet, die das Ziel hat, „auf die politischen und gesellschaftlichen Auswirkungen von COVID-19 und die begleitenden Maßnahmen zu reagieren – digital und vor Ort.“ In einer ersten Stellungnahme der Initiative wird erklärt: „Die aktuellen Entwicklungen rund um COVID-19 zeigen die Notwendigkeit eines solidarischen Umgangs miteinander. Wir befinden uns in einer Situation, in der die Gesundheit von vielen gefährdet ist. Wir begrüßen notwendige Maßnahmen. Gemeinsam müssen solidarische Lösungen gefunden werden! Gleichzeitig sind die temporären, enormen Einschränkungen von Grundrechten etwas, das es zu beobachten und kritisch zu begleiten gilt. Denn diese Entwicklung passiert in einer Situation, in der in mehreren Regionen der Welt ohnenhin massive Konflikte vorherrschen, die sich teilweise in einer Verschärfung von Kontrollpolitik niederschlagen. All jene, die Interesse an Kontroll- und Überwachungspolitik haben, haben jetzt weitgehend freie Hand. Maßnahmen, wie Grenzschließungen und Einschränkung von Versammlungsrechten bedeuten nicht nur eine Einschränkung der Bewegungsfreiheit, vielmehr es stellen sich Fragen wie: Wann werden Grenzen, die nun geschlossen werden, wieder geöffnet? Wann können Demonstrationen wieder uneingeschränkt stattfinden? Diese staatlichen Maßnahmen führen dazu, dass wir als Individuen in bestimmtem Maß bevormundet werden. Dabei ist es wichtig, selbstverantwortliche und den Mitmenschen gegenüber achtsame Entscheidungen und Vorsichtmaßnahmen selbst zu erkennen und umzusetzen. Wie sich in den letzten Tagen gezeigt hat, findet eine massive Diskursverschiebung statt: Die Berichterstattung und Aufmerksamkeit hinsichtlich der Situation an den EU-Außengrenzen, insbesondere die menschenverachtende Situation in Griechenland, nimmt stark ab. (…) Wir selbst kommen aus dem Kunst-, Kultur-, Sozial- und Wissenschaftsbereich… Wir wollen ein breites breites Bündnis schaffen – für Akteur_innen aus Wissenschaft, Kunst, Kultur, Sozialarbeit, Gesundheitswesen, Bildung oder anderen Bereichen, für Menschen, die sich einfach so beteiligen wollen, für Aktivist_innen, Jurist_innen, Junge, Alte, für alle, die mitmachen und zu diesen Themenbereichen aktiv sein wollen, um gemeinsam die aktuelle(n) Stiuation(en) zu beobachten und zu dokumentieren; die Verschiebungen und Verschlechterung von Situationen/ Gesetzeslagen / Diskursen und (gesellschaftlichem) Umgang zu kommentieren…“ Beitrag vom 16. März 2020 von datenschutzrheinmain bei Patientenrechte und Datenschutz e.V. – wer sich bei CoView19 einbringen möchte, kann sich per Mail melen: coview [at] riseup.net.
  • Siehe dazu: Vereinbarung zwischen der Bundesregierung und den Regierungschefinnen und Regierungschefs der Bundesländer angesichts der Corona-Epidemie in Deutschland. Pressemitteilung der Bundesregierung vom 16. März 2020 
• Corona, die Gesundheitsdaten und der Datenschutz – eine Handreichung des Landesdatenschutzbeauftragten aus Baden-Württemberg 
  „Auf insgesamt sieben Seiten geht der Landesdatenschutzbeauftragte aus Baden-Württemberg auf „Häufig gestellte Fragen (‚FAQs‘) zum Thema Corona“ ein. In der Einleitung wird darauf hingewiesen: „Durch die aktuelle Pandemie stehen viele öffentliche und private Arbeitgeber, aber auch viele Beschäftigte vor der Frage, welche Gesundheitsinformationen sie austauschen müssen, können und dürfen. Fragen des Datenschutzes stehen dabei aktuell sicherlich nicht im Zentrum, sind aber auch in Notsituationen in die Überlegungen einzubeziehen und erleichtern letztendlich die Bewältigung der Krise, vor der wir stehen. Umsichtiges und besonnenes Handeln erfordert daher immer auch die Beachtung der gesetzlichen Vorgaben, zu denen auch die Rechte der Beschäftigten zählen. Dabei gelten die bekannten Grundsätze fort: Der einzelne Betroffene ist ‚Herr seiner Daten‘, gerade auch seiner besonders sensiblen Gesundheitsdaten…“ Eine gute Handreichung für alle, die sich um ihre Gesundheit, aber auch um Ihre Gesundheits- und Behandlungsdaten sorgen.“ Hinweis vom 13. März 2020 auf die Antworten des Landesdatenschutzbeauftragten Baden-Württembergs zu den „Häufig gestellte Fragen (‚FAQs‘) zum Thema Corona“ März 2020 

Siehe für aktuelle Infos:

• Tagebuch der inneren Sicherheit: https://www.cilip.de/institut/corona-tagebuch/ 
• Coronavirus –Dossier zur Rechtslage:  https://www.juris.de/jportal/nav/juris_2015/aktuelles/magazin/coronavirus-dossier.jsp