Unternehmer, IT-Sicherheitsexperte & Entwickler
  • Head of CYBERWAR.ARMY™ - We ❤ Cybersecurity

Die „Stopp Corona“ App des ÖRK: Analyse enthüllt illegale Datenerfassung und Irreführung

stopp-corona-analyse-reverse-engineering-i
Technik & IT-Sec

Die „Stopp Corona“ App des ÖRK: Analyse enthüllt illegale Datenerfassung und Irreführung

Die von den Medien hochgelobte App „Stopp Corona“ vom Österreichischen Roten Kreuz (ÖRK), soll – laut Experten und Medien – datenschutzrechtlich und in Bezug auf die Datensicherheit der Nutzer, unbedenklich sein. In diesem Artikel werde ich Teile meiner persönlichen Analyse der App veröffentlichen und das Gegenteil beweisen. Meine Erkenntnisse während der Analyse zeigen auf, dass die App erhebliche Mängel in Bezug auf die datenschutzrechtlichen Eigenschaften mit sich bringt. Die Analyse der App bezieht sich auf die Android Version (1.0.0.6-QA_205). Die Analyse des Datenverkehrs bezieht sich auf den Stand vom 06.04.2020. Alle nachfolgenden Erkenntnisse und Äußerungen, stellen meine persönliche Einschätzung und Meinung dar.

Ich bin ja mittlerweile ziemlich bekannt dafür, dass ich Fakten ans Licht bringe, die man in der Regel sehr gerne verborgen gehalten hätte. Als „IT-Freak“, anerkannter Sicherheitsexperte und „Hacker“ mit tausenden aufgedeckten Sicherheitslücken unter anderem in Systemen von Konzernen, Regierungen, Banken und sogar Militärs, mehr als 250 Millionen – vor Übergriffen durch aufgedeckte Schwachstellen – geschützten Usern, mehreren Enthüllungen größerer Skandale, die teilweise sogar zu großangelegten Razzien und Verhaftungen führten und einem persönlichen „Kodex der Unkäuflichkeit“, haben meine Aufdeckungen, Berichte und Analysen in den vergangenen 14 Jahren eine gewisse Aussagekraft entwickelt. Und auch in diesem Fall folge ich treu meiner ganz eigenen Linie, fernab von zugedrückten Augen, gesponserten Meinungen und politischer Korrektheit.

Die Experten von „SBA Research“ attestierten der „Stopp Corona“ App des Österreichischen Roten Kreuz Datensicherheit und teilten die Meinung, dass die App datenschutzrechtlich in Ordnung sei. Laut dem Bericht der Experten, soll die App quasi ganz töfte und im Grunde – bis auf Kleinigkeiten – unbedenklich sein.

[…] Mittels Reverse Engineering haben Christian Kudera, Manuel Leitner und Georg Merzdovnik von SBA Research die Corona-App analysiert und technisch belegt, dass das Rote Kreuz bei der Entwicklung der App mit ihren Funktionalitäten “Digitaler Handshake”, “Gespeicherte Begegnungen”, “Corona-Infektion melden” und “Benachrichtigung im Krankheitsfall” einen Fokus auf den Schutz der Privatsphäre gelegt hat, auch die Nutzung von Mikrofon und Bluetooth erfolgt ausschließlich zur Erkennung von anderen Geräten mit der Apps in der Nähe durch „Nearby“. Die Datenübertragungen erfolgen sparsam und zweckgerichtet. In dieser Hinsicht ist die App ein Vorbild für die meisten kommerzorientierten Apps in den Appstores, die mit Werbetrackern alle möglichen Daten der Benutzer und Benutzerinnen quer über den Globus verteilen. […]

[…] Einzig das Übermitteln der Handshakes –also der gegenseitigen Kontaktaufnahmen –ans Rote Kreuz erscheint aus momentaner Sicht eine nicht unbedingt notwendige Datensammlung, da die Daten theoretisch korreliert und so Handshake-Partner miteinander verknüpft werden könnten wenn beide Seiten eine Infektion melden. […]

[…] Des Weiteren ist die Funktion “Corona-Infektion melden” nicht ganz unbedenklich, da die Mobilnummer an Server des Roten Kreuzes übermittelt wird; theoretisch können die Benutzerkennung (UUID) und die Mobilnummer verknüpft werden. […]

Quelle: https://www.sba-research.org/wp-content/uploads/2020/03/Technische-Analyse-Stopp-Corona-App_27.03.2020.pdf

Der Titel meines Artikels dürfte Ihnen bereits vermittelt haben, dass ich die Auffassung der Experten von SBA Research nicht teile. In meinen Augen ist das Verhalten der App nicht nur datenschutzrechtlich bedenklich, sondern sogar irreführend und meiner Einschätzung nach im Grunde illegal. Fangen wir aber erst einmal mit einem kleinen Einblick in die technischen Gegebenheiten an.

Was mir allgemein an der “Stopp Corona” App nicht gefällt

Wie man den Datenschutzinformationen entnehmen kann, werden – insbesondere auch personenbezogene – Daten nicht nur vom Österreichischen Roten Kreuz gespeichert und verarbeitet, sondern auch bei Dritten. Dass das ÖRK einen externen Dienstleister für die Entwicklung und den Betrieb der App heranzieht (in dem Fall die Accenture GmbH in Wien), ist im Grunde kein Problem. Dass jedoch sämtliche Daten auch noch an weitere Dritte – sogar im Ausland – gehen und dort verarbeitet werden, ist in meinen Augen dann schon eher bedenklich. Da wäre zum Beispiel Microsoft, die sämtliche erfasste Daten der App in einer Azure Cloud hosten, was man aber problemlos umgehen könnte, wenn man eigene Server bereitstellen würde. Und dann wäre da Google, eine bekannte Datenkrake, deren Dienste man für diese App nutzt und dort ebenso Daten speichert. In meinen Augen ein No-Go für eine App dieser Art.

Was man in den Datenschutzinformationen allerdings nicht lesen kann, ist die Erfassung von Daten durch die Proofpoint, Inc. – einem international tätigen Unternehmen mit Hauptsitz in Kalifornien, mitten in den USA. Denn wenn man sich die App genauer unter die Lupe nimmt, findet man im Impressum zwei Links – zu den Informatioen über die Geschäftsleitung und “Rechtlichen Grundlagen” des ÖRK – deren Implementierung im Code alles andere als datenschutzfreundlich geschieht. Der Nutzer sieht nämlich nicht, dass beim Öffnen dieser Links nicht direkt die Website des ÖRK angesteuert wird, sondern dazwischen noch Daten durch einen Dienst der Firma Proofpoint, unter “https://urldefense.proofpoint.com/” abgefangen und verarbeitet werden, wie man im folgenden Screenshot des Codes sehen kann. Aber das ist nur das kleinste Übel…

Ab in die Tiefen – Die “Stopp Corona” App des ÖRK auf dem Seziertisch

Da ich allgemein nicht begeistert von solchen Apps bin und auch den Nutzen daran nicht wirklich erkennen kann, mir ohnehin die Daten-Sammelwut der heutigen Zeit nicht besonders gefällt und mir Namen wie “Microsoft” oder auch “Google” im Zusammenhang mit sensiblen Informationen und personenbezogenen Daten, direkt Schweißperlen auf die Stirn treiben, habe ich mir die App dann auch noch in den Tiefen “gegönnt”. Neben ausführlichem “Reverse Engineering” kam dann auch noch das Sniffen der Daten inklusive Entschlüsselung des SSL-Datentransfers – zwischen App und Server/Diensten – zum Einsatz. Und nein, man kann bei der Stopp-Corona-App beim besten Willen nicht von Unbedenklichkeit in Sachen Datenschutz sprechen, wie es in den Mainstream-Medien ja geradezu hochgelobt und gefeiert wird.

Des Hackers liebste Details, direkt auf dem Präsentierteller

Durch Reverse Engineering – also quasi das Zerlegen der App und Rekonstruieren des Programmcodes – hat man einen etwas tieferen Blick in die App und kann sich gewisse Informationen daraus beschaffen. Bei der Stopp-Corona-App war dies ohne großen Aufwand möglich. Der Code ließ sich relativ einfach und gut wiederherstellen. An und für sich ist das ja auch lobenswert. Denn wenn man eine derartige App bzw. dessen Funktionen mittels Obfuskation richtig krampfhaft verschleiern würde, wäre sicherlich jeder Sicherheitsexperte unverzüglich skeptisch. Die deutsche “Corona-Datenspende-App” des Robert Koch-Instituts zum Beispiel, ist da sehr gut dabei. Denn dort hat man sich tatsächlich richtig Mühe gegeben, möglichst verschleiert zu sein. Dazu komme ich dann aber noch in einem anderen Artikel, speziell zu der besagten App des RKI.

Zurück zur Stopp-Corona-App des ÖRK, die zwar weniger auf starke Obfuskation (Verschleierung) setzt, dies aber in meinen Augen etwas zu wenig tut. Denn innerhalb der entpackten Dateien findet man so allerhand Informationen, die eigentlich schon eher etwas mehr versteckt sein sollten. So Dinge wie Api-Schlüssel mit passender URL und anderen Daten zur Authentifizierung der App am jeweiligen Server, im Klartext hinterlegt. Hier ein kleiner Auszug:

Welche Möglichkeiten man mit derartigen Informationen ggf. haben kann, möchte ich an der Stelle nicht weiter ausführen. Ich kann aber so viel sagen: Die Informationen reichen aus, um sich am Server zu authentifizieren und eine “Stopp Corona” App zu imitieren, die dann in der Lage ist Daten einzuspeisen und zum Beispiel so Analysedaten zu manipulieren. Wenn es also jemand wirklich darauf anlegt, könnte er sich ein “Späßchen” erlauben und für ordentlich Verwirrung sorgen.

„Stopp Corona“ App – Irreführung bei der Datenschutzerklärung

Was die Experten bei ihrer Analyse offenbar übersehen haben, ist in meinen Augen ein erhebliches Problem und gerade für unerfahrene Nutzer eine schwerwiegende Irreführung. Nach dem Download der App und dessen Installation auf dem Smartphone, können wir diese – wie jede andere App – öffnen. Beim ersten Start öffnet sich eine Art Tour, in der man als User kurz über den Nutzen der App aufgeklärt wird. „Mit der Installation der Stopp Corona App helfen Sie uns dabei, die Ausbreitung des neuartigen Coronavirus zu verlangsamen“ heißt es direkt auf der ersten Seite. Auf der zweiten Seite wird man dann darüber informiert „Nutzen Sie den digitalen Handshake um anonym Ihre Begegnungen zu speichern. Sie werden anonym in der App benachrichtigt, wenn eine Ihrer Kontaktpersonen erkrankt ist.“. Danach folgt eine Information über die Benachrichtigung von Kontakten (mit denen man einen Handshake getauscht hat), welche dann eine anonyme Benachrichtigung darüber bekommen, falls man selbst erkrankt ist und dies auch über die App meldet.

Auf der vierten Seite wird es dann interessant. Zunächst bedankt man sich dafür, dass „Sie die App nutzen“ und informiert weiter „Sie tragen aktiv dazu bei, Ihre Gesundheit und die Gesundheit anderer zu schützen“. Auf der gleichen Seite heißt es „Mit der Installation der App stimmen Sie den Nutzungsbedingungen zu“. Öffnet man diese, findet man wie erwartet, die Allgemeinen Nutzungsbedingungen (ANB) zur Nutzung der Stopp-Corona-App. Innerhalb der ANB findet man aber auch datenschutzrechtlich relevante Vereinbarungen, was in meinen Augen bereits ein Problem ist, aber es kommt noch besser.

Unter dem Punkt 10 „Datenschutz durch den Provider“ innerhalb der ANB (hier als TXT hinterlegt), wird dann lediglich erklärt, dass der Provider (also das ÖRK) das österreichische/europäische Datenschutzrecht einzuhalten und Nutzern ausreichend Gewähr für eine rechtmäßige und sichere Datenverarbeitung zu bieten hat. Bezüglich näherer Informationen zum Datenschutz, wird lediglich auf die Website unter https://www.roteskreuz.at/datenschutz/ verwiesen. Und hier sehe ich das erste gravierende Problem: Auf der verlinkten Website befindet sich zwar eine Datenschutzerklärung, jedoch hat diese nichts mit der App zu tun, sondern lediglich mit der Website des ÖRK. Man findet dort keinerlei Informationen darüber, dass die App auch Daten an Microsoft und Google liefert, wie es nachgewiesen der Fall ist. Bei meiner Recherche befand sich lediglich in der Seitenspalte der Website ein kleiner Hinweis auf eine aktualisierte „Datenschutzinformation“ zur Stopp-Corona-App, die mit dem nächsten Update der App integriert werden soll. Diese Datenschutzinformation lag lediglich als PDF-Datei vor und war nicht unmittelbar im Content-Bereich der Seite ersichtlich. In meinen Augen rechtswidrig, da der Nutzer praktisch gezielt nach den Informationen suchen muss und die Datenschutzinformationen zudem nicht barrierefrei zugänglich waren. Warum gerade das in meinen Augen ein enormes Problem wird, kommt noch. Seien Sie geduldig, denn es wird noch abenteuerlich.

Auf der fünften Seite der „Tour“ beim Start der App, wird man dann darum gebeten den Nutzungsbedingungen (!) zuzustimmen. Darunter ein Absatz mit einer Einwilligung über die Verarbeitung personenbezogener Daten, danach eine Checkbox „Ja, ich stimme der Datenverarbeitung zu“ und darunter eine kleine Information zum möglichen Widerruf der Einwilligung. Lediglich ganz unten – quasi weit nach der Zustimmung – bekommt man dann die Zeile „Weitere Informationen finden Sie unter Datenschutzinformation“ präsentiert, wo dann die tatsächlichen Datenschutzinformationen (hier als TXT hinterlegt) mit den Erklärungen verlinkt bzw. innerhalb der App hinterlegt sind. Und das meine lieben Freunde vom Österreichischen Roten Kreuz, ist blanke Irreführung!

Als Nutzer geht man davon aus, dass die als Nutzungsbedingungen (ANB) gekennzeichnete Belehrung und der kurze Absatz auf der fünften Seite der Tour, in Bezug zur Einwilligung bzw. Zustimmung stehen. Gerade weil auf der fünften Seite – auf der die Zustimmung verlangt wird – im Titel dazu aufgefordert wird, den Nutzungsbedingungen (!) zuzustimmen. Neben der Checkbox heißt es dann, man stimmt der Datenverarbeitung (!) zu. Als Nutzer denkt man in diesem Moment, dass man lediglich den Nutzungsbedingungen (ANB) und eben dem Absatz über der Checkbox zustimmt. Bis dahin wird man jedoch zu keinem Zeitpunkt darüber informiert, wie genau die Daten verarbeitet werden, wer Zugang zu den Daten hat, wo diese Daten gespeichert werden und so weiter. Liebes ÖRK, das geht so nicht und ist meiner Beurteilung nach schlichtweg illegal. Da hilft es auch nicht, wenn man auf der fünften Seite unterhalb aller anderen Inhalte dann noch schnell einen Link „Datenschutzinformation“ integriert, wo man „weitere Informationen“ finden kann. Die Informationen müssen grundsätzlich bereits vor der Zustimmung unmittelbar vorliegen. Aber hey, es wird – wie versprochen – noch viel besser.

„Stopp Corona“ App – Datenerfassung bereits vor jeglicher Belehrung oder Zustimmung

Jetzt kommt der Moment, in dem ich Ihnen erkläre, warum es mir persönlich die Nackenhaare aufgestellt hat, als ich das Verhalten der App analysierte. Denn neben der Tatsache, dass man bezüglich der Informationen über die Datenverarbeitung schon einen ziemlich heftigen Patzer hingelegt hat, kommt noch hinzu, dass die App bereits vor jeglicher Information und Belehrung der Nutzer, eine Verbindung zu “fremden” Servern aufbaut, die dann noch nicht einmal dem Österreichischen Roten Kreuz – sondern zum Beispiel Microsoft – gehören.

Direkt nachdem man die App installiert hat und zum ersten mal startet, stellt diese bereits eine Verbindung mit den Servern von Microsoft und Google her. Hierbei werden die folgenden Subdomains der Anbieter verwendet:

rca-coronaapp-rcp-fd.azurefd.net
firebaseinstallations.googleapis.com
android.clients.google.com

Dabei ist die erste Subdomain in der Liste die Adresse des Azure Servers, der auch die API für die App, über die URL “https://rca-coronaapp-rcp-fd.azurefd.net/Rest/v2/” liefert und mit dem dann im Betrieb der App, Daten ausgetauscht werden. Zwar werden beim Verbindungsaufbau während des Starts der App, nicht direkt personenbezogene Daten (also beispielsweise der Standort, Name oder ähnliche Informationen) mitgeschickt, allerdings – und das vergisst man anscheinend allgemein gerne bei den Analysen und Bewertungen solcher Apps – werden bereits bei einem Verbindungsaufbau, Informationen wie die IP-Adresse und Geräteinformationen des Nutzers mitgeschickt. In diesem Fall sehen die Requests dann in etwa so aus:

POST https://firebaseinstallations.googleapis.com/v1/projects/stop-corona-149c7/installations?key=AIzaSyDXMDCYeBCPqIjnws5lAZAhi8SNMH4-2Nw HTTP/1.1
Content-Type: application/json
Accept: application/json
X-Android-Package: at.roteskreuz.stopcorona
x-firebase-client: kotlin/1.3.61 fire-installations/16.0.0 fire-core/19.3.0 fire-android/ fire-iid/20.1.1
x-firebase-client-log-type: 3
X-Android-Cert: D122D9ADC3E5D5FF346B32C0413F5CF3A3CC4658
User-Agent: Dalvik/2.1.0 (Linux; U; Android 7.1.2; G011A Build/N2G48H)
Host: firebaseinstallations.googleapis.com
Connection: Keep-Alive
Accept-Encoding: gzip
Content-Length: 135
{"fid":"fCX5KuXXXXX1z8oXXXXX1U","appId":"1:539842520255:android:2ceb638a689479e588d20a","authVersion":"FIS_v2","sdkVersion":"a:16.0.0"}
GET https://rca-coronaapp-rcp-fd.azurefd.net/Rest/v2/configuration HTTP/1.1
AuthorizationKey: 64165cfc5a984bb09e185b6258392ecb
X-Version: 6
Host: rca-coronaapp-rcp-fd.azurefd.net
Connection: Keep-Alive
Accept-Encoding: gzip
User-Agent: okhttp/4.0.1
GET https://rca-coronaapp-rcp-fd.azurefd.net/Rest/v2/infection-messages HTTP/1.1
AuthorizationKey: 64165cfc5a984bb09e185b6258392ecb
X-Version: 6
Host: rca-coronaapp-rcp-fd.azurefd.net
Connection: Keep-Alive
Accept-Encoding: gzip
User-Agent: okhttp/4.0.1

Da dies im Fall der “Stopp Corona App” des Österreichischen Roten Kreuz, bereits direkt beim Öffnen der App passiert, ohne vorherigen Hinweis dazu, komme ich nicht gerade zu einer Note “Unbedenklich” für diese Anwendung. Hier wird in meinen Augen schlichtweg gegen das Gesetz verstoßen. Denn der Nutzer weiß in dem Fall nichts davon, dass bereits vor jeglicher Zustimmung eine Verbindung mit den Servern von Microsoft und Google aufgebaut wird. Und selbst wenn er nicht zustimmt, werden die oben gezeigten Informationen, inklusive IP-Adresse des Nutzers, an die Server übertragen. Da dies sogar dann passiert, wenn die App (zum Beispiel unter Android 5) noch vor dem richtigen Start abstürzt (die App also nicht sichtbar wird, sondern nur eine Fehlermeldung kommt), hat der Nutzer absolut keine Möglichkeit zu erfahren, dass bereits Daten von ihm an die Server geschickt wurden.

Und genau da hört für mich jeglicher „Spaß“ definitiv auf. Wer das dann als „Experte“ auch noch für datenschutzrechtlich und bezüglich der Datensicherheit der Nutzer, als unbedenklich attestiert, hat in meinen Augen entweder nicht wirklich hingeguckt oder sich definitiv den falschen Job ausgesucht.

Zwischenzeitlich ein Update mit neuer Version der App

Gerade wurde eine aktualisierte Version der App in den PlayStore von Google geladen und Nutzer werden zum Update aufgefordert. Ja, auch ich werde das Update selbstverständlich gerne installieren. Eine gute Gelegenheit, sich die “neue” App dann auch mal genauer anzusehen. Ich werde den Artikel dann entsprechend aktualisieren.

Nachtrag zu den aktuelleren Versionen

Ich habe die beiden Updates der Stopp-Corona-App bereits in einem kurzen Test auf das bisherige Verhalten überprüft und kann bei der Version v1.1.0.7 (Download vom 10.04.2020), sowie bei der aktuellen Version v1.1.2.9 (Update vom 12.04.2020) den Verbindungsaufbau direkt beim Start erneut bestätigen. Es wird also auch bei der aktuellen Version, bereits beim ersten Start und ohne jegliche vorherige Information der Nutzer, eine Verbindung zu Google, sowie zu Microsoft hergestellt. Auch bezüglich der Irreführung mit den Nutzungsbedingungen und der Datenschutzinformationen (die “Tour” beim Start) hat sich scheinbar nichts geändert.

Weitere Details folgen dann, sobald ich mit der Analyse durch bin.

Kommentare (16)

  1. Avatar
    Sylvana

    was für eine Analyse! Teile ich mal…

    12. April 2020 um 15:48
    |Antworten
    1. Heiko Frenzel

      Vielen Dank!

      15. April 2020 um 06:02
      |Antworten
  2. Avatar
    Barbara

    Vielen Dank für diese Aufklärung.
    Sicherlich ist es ein Zufall, daß gerade (in Deutschland) Bill Gates seit ein paar Tagen als Pandemie Experte präsentiert wird.

    Ich bin gespannt auf den Artikel zur deutschen App.

    13. April 2020 um 07:51
    |Antworten
    1. Avatar
      Titus von Unhold

      Gates wird nirgendwo als Pandemieexperte präsentiert. Wenn das jedoch deine Wahrnehmung ist, solltest du dir dringend einen Grad an Medienkompetenz aneigenen, der über die eines durchschnittlichen Grundschülers hinaus geht.

      14. April 2020 um 14:39
      |Antworten
      1. Avatar
        ChicoRico

        “Medienkompetenz” erhält man nicht bei ARD, ZDF, WDR, NDR, MDR, BR …. Deutschlandfunk !!!!!

        15. April 2020 um 18:00
        |Antworten
  3. Avatar
    Folber

    Wie verhält sich die App „Stopp Corona“ unter IOS? Sicher alles gleich wie bei Android bis auf die Weiterleitung an Microsoft, oder ?
    Wenn als der App Unbedenklichkeit und großen Nutzen für die Gesundheit bescheinigt wird, warum dann diese Umleitung zu Microsoft und Google? Wie kann dann ein Nutzer Anonym bleiben, wenn man so die Daten abgreift und noch dazu den Standort ortet.
    Was geschieht mit den Daten, wenn das App nicht mehr gebraucht und gelöscht wird?
    Was steckt wirklich hinter der App, nur der Nutzen für das Rote Kreuz und das Gesundheitsministerium, oder steckt da mehr dahinter?

    14. April 2020 um 07:30
    |Antworten
    1. Heiko Frenzel

      Ich habe mir die App für iOS nicht angesehen, jedoch gehe ich davon aus, dass sie sich ähnlich verhält. Auch was die Verbindung zu Microsoft angeht, denn dort liegt die API, mit der die App kommuniziert. Inwiefern die Daten bei Microsoft, Google und dem ÖRK verarbeitet werden und was nach der Deinstallation geschieht, können nur die jeweiligen Stellen beantworten.

      15. April 2020 um 06:01
      |Antworten
  4. Avatar
    Cs

    Die Funktionen sind schon implementiert, wir ligitimieren nur noch… Sniffen sie die Daten von Microsoft, IOS, und Android, überall gleiche Kontrollserver, alles eins…

    14. April 2020 um 11:47
    |Antworten
  5. Avatar
    roswitha

    Danke für die Aufklärung! werde das an Bekannte weiterleiten.

    15. April 2020 um 00:48
    |Antworten
  6. Avatar
    Wishmaster

    Die Selbstbeweihräucherung habe ich übersprungen. Die Absätze über Reverse Engineering und Obfuskation fand ich jetzt zu stark ausgeschmückt.

    Der App vorzuwerfen, den Verbreitungsweg über einen der grössten Appstore zu gehen verstehe ich nicht. Mir würde kein anderer praktikabler einfallen. Die App sollte ja nicht nur von “IT – Freaks” installierbar sein.

    Die Verwendung von Microsoft Servern statt eine eigene Struktur aufzubauen halte ich für nachvollziehbar.

    Die ANB und Datenschutzerklärung liest wohl kaum jemand. Darf man, muss man und kann man kritisieren, sehe aber für sie Praxis wenig relevanz.

    Dass die App bereits auf MS – Server zugreift, bevor man dem zustimmt ist unschön, aber auch in der Praxis wohl irrelevant. Ich hoffe, dass es da direkte Kritik an das RK gab.

    Der eventuelle Missbrauch der API könnte bedenklich sein, hoffe auch hier, dass es Informationen an das RK gab.

    Danke für die Analyse. Freue mich schon auf die Analyse der neuen Version(en) der App. Schön wäre auch eine Analyse der übertragenen Daten bei der Nutzung.

    Bei dieser Kommentarfunktion sollte das Wort “Datenschutzvereinbarung” ein Link auf diese sein. Der Nutzer soll ja nicht lange suchen müssen, meinten sie 🙂

    16. April 2020 um 05:06
    |Antworten
    1. Heiko Frenzel

      Danke für den konstruktiven Kommentar!
      Es soll keine Selbstbeweihräucherung darstellen. Ich wollte damit lediglich in die Thematik einleiten und dem Leser vermitteln, dass die Meinung nicht von einem Laien kommt und es auch gute Gründe dafür gibt, ein hartes Urteil zu fällen. Ich habe da leider schon zu viele Dinge erlebt, was derartige Themen angeht.

      Ich werfe ja nicht den Verbreitungsweg vor. Der ist völlig legitim. Ich werfe jedoch das Verhalten der App beim Start und die mangelhafte Information der Nutzer über die Datenverarbeitung vor. Dass die ANB und Datenschutzerklärungen nicht gelesen werden, ist leider nicht selten, aber keine Rechtfertigung dafür, dass man die Belehrung direkt versäumt. Vorallem dann, wenn der Nutzer nicht vorab darüber informiert wird, dass bereits beim Start “gefunkt” wird und man als Nutzer hier keinerlei Möglichkeit hat einzugreifen. Gerade bei einer derartigen App ist das schon sehr bedenklich.

      Die neue Version der App liegt bereits auf dem Tisch. Es braucht nur leider etwas Zeit für eine genaue Analyse. Da ich dies in der Freizeit mache, geht es leider nicht so “fix” wie ich das gerne hätte. Achso und.. Der Link zu den Datenschutzinformationen ist neben der Checkbox. Da hing offenbar nach dem Update noch der unmodifizierte Teil im Cache.

      Viele liebe Grüße

      16. April 2020 um 14:05
      |Antworten
  7. Avatar
    Adin

    Ich halte diese Analyse für lächerlich. Alle Datenschutzbestimmungen werden hier ausführlich beschrieben: https://www.roteskreuz.at/site/faq-app-stopp-corona/datenschutzinformation-zur-stopp-corona-app/

    Sie sollten Ihre wertvolle Energie in andere Dinge stecken, die die Welt tatsächlich besser machen.

    16. April 2020 um 12:30
    |Antworten
    1. Heiko Frenzel

      Hallo Adin, danke für deine Kritik. Beachten Sie bitte, dass sich der Beitrag auf den damaligen Stand bezieht. Zudem geht es hauptsächlich auch darum, dass diese Informationen nicht unmittelbar bereitgestellt wurden und beim Start der App bereits (ohne jegliche Information der Nutzer) eine Verbindung zu den Diensten bei Microsoft und Google aufgebaut wird, was nach der DSGVO schlichtweg verboten ist. Von daher denke ich, dass die Analyse und auch die Veröffentlichung durchaus angebracht und berechtigt ist. Viele Grüße

      17. April 2020 um 00:39
      |Antworten
  8. Avatar
    Christian

    Das es im Einklang mit den Datenschutzgesetzen steht, Dienste in den Azure-Rechenzentren zu hosten und Microsoft keinen Zugriff auf diese Daten hat, ist Ihnen wahrscheinlich nicht bekannt. Ob die Dienste beim Roten Kreuz, bei einem öst. Hoster oder in einem EU Datacenter von Azure laufen, macht aus Datenschutz-Sicht keinen Unterschied.

    16. April 2020 um 21:38
    |Antworten
    1. Heiko Frenzel

      Das ist leider falsch. Selbstverständlich steht es jedem Anbieter frei, wie und wo seine Dienste gehostet werden. Es ist jedoch verpflichtend, den Nutzer darüber zu informieren und auch dafür Sorge zu tragen, dass nur dann Daten erfasst werden, wenn dies zweckgebunden ist. Gerade in einem Fall wie dieser App, in der ein Nutzer nicht bereits aus reiner Logik davon ausgehen kann, dass beim Öffnen schon Daten übertragen werden (wie es zum Beispiel beim gezielten Aufruf einer Website der Fall wäre), ist bereits der – für den Nutzer ja versteckte – Datentransfer verboten. Selbst bei Computersoftware ist es so, dass die Zustimmung des Nutzers in der Installationsroutine eingeholt wird, noch bevor beispielsweise Daten vom Server nachgeladen werden. Da die App bereits eine Verbindung aufbaut, noch bevor der Nutzer überhaupt irgendeine Information darüber bekommt (selbst wenn die App wie unter Android 5 abstürzt), ist das Verhalten schlichtweg illegal. Wie gesagt, wo gehostet wird ist zunächst nicht ausschlaggebend. Allerdings ist es auch grundsätzlich nicht richtig davon auszugehen, dass Microsoft keinen Zugriff auf diese Daten hat. Selbstverständlich hat Microsoft Zugriff. Ob die das dort nutzen, weiß man nicht. Dass Zugriff möglich ist, steht allerdings außer Frage. Und dass es aus datenschutzrechtlicher Sicht keinen Unterschied macht, ob das ÖRK einen eigenen Server betreibt, einen österreichischen Hoster oder ein Datacenter von Microsoft nutzt, ist ebenso falsch. Es gibt hier klare Unterscheidungen, auch in Bezug auf die Pflichten zur Belehrung und Auflagen bei der Verarbeitung von Daten.

      16. April 2020 um 23:17
      |Antworten
  9. […] Die ausführliche Analyse der „Stopp-Corona-Uniqa-App“ von Heiko Frenzel können Sie auf seinem Blog hier nachlesen. […]

    17. April 2020 um 11:40
    |Antworten

Was denken Sie darüber?

Deine E-Mail-Adresse wird nicht veröffentlicht.

Copy link