Cookie-Banner? Brauchen wir nicht!

Cookie-Banner? Brauchen wir nicht!

Cookie-Banner nerven! Sie gleichen einem Beipackzettel und blockieren mobile erstmal alles. Viele stimmen einfach zu oder gehen wieder weg. Nutzer sind genervt, Seitenbetreiber frustriert. Beiden kann geholfen werden!

Viele halten Cookie-Banner für unverzichtbar. Doch das stimmt nicht! Der Artikel 6, Absatz 1 DSGVO gibt Webseitenbetreibern das Recht, Nutzerdaten zu verarbeiten. Nicht immer ist eine Einwilligung nötig. Mitunter wird sie zum Fallstrick. Nehmen wir einen typischen Fall und vergleichen Absatz 1 lit. a), b) und f) mit §15 Abs. 3 TMG:

  • Ein Nutzer kommt erstmals auf eine Seite. Er ist (noch) kein Kunde. Gemäß lit. a) ist die Verarbeitung seiner Daten rechtmäßig, wenn er deren Zweck aktiv zustimmt. Laut DSK Positionspapier vom 16. April 2018 Seite 4 ist das erforderlich, wenn „Tracking- Mechanismen, die das Verhalten des Nutzers nachvollziehbar machen“ und die „Erstellung von Nutzerprofilen“ erfolgt.  Nicht alle Seiten tun das. Vielen haben aber Cookie-Banner, die dem Nutzer diverse Einstellungen abnötigen. Stimmt er genervt allem zu, ist das Ziel verfehlt. Lehnt er pauschal ab, ist jedwede Verarbeitung blockiert.
  • Bei einem Webshop ist ein Webseitenbesuch eine vorvertragliche Maßnahme, aus der ein Vertrag erfolgen kann. Hier greift Absatz 1 lit. b): Der Seitenbetreiber darf Daten ungefragt erheben, weil der Nutzer „vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird“. So erklärt es Erwägungsgrund 47. Es ist keine aktive Einwilligung nötig, unabdingbar ist jedoch eine hinreichende Information in der Datenschutzerklärung.
  • Lit. f) erlaubt dem Seitenbetreiber die Datenerhebung aus berechtigtem Interesse. Er darf ohne Einwilligung Nutzerdaten verarbeiten, sofern nicht „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen“. Das wäre z.B. der Fall, wenn Nutzerdaten missbraucht werden könnten oder wenn „eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss“, sagt Erwägungsgrund 47. Gemeint sind Webanalyse und Social Media Plugins, die oft auf eigene Rechnung fleißig mitsammeln. Das geht auch anders.
  • § 15 Abs. 3 TMG steht dem nicht entgegen, mehr noch: Laut DSK Positionspapier vom 16. April 2018 ist dieser Absatz nichtig, da die DSGVO ab dem 25. Mai 2018 Vorrang hat.

Es gibt also durchaus Möglichkeiten, ohne Einwilligung Nutzerdaten zu verarbeiten. Neben Logfile-Analysen und digital Fingerprints erlauben lit. b) und f) auch eine Datenverarbeitung mithilfe von „Cookies“.
Wer sein Cookie-Banner loswerden oder reduzieren möchte, muss sich folgende Fragen beantworten:

  • Welche Nutzerdaten erhebe ich, welche brauche ich wirklich?
  • Werden die Daten und Grundrechte der Betroffenen ausreichend geschützt?
  • Wie ist das Tracking-Tool konfiguriert?
  • Werden Social Media Plugins via Zwei-Klick-Lösung oder Shariff Button aktiviert?
Cookiehinweis blockiert Bildschirm
Cookie-Banner nerven und frustrieren (Motive: pixabay)

Cookie-Banner? Brauchen wir nicht!

Am Institut für Datenschutz und Datensicherheit (kurz: IDD GmbH) checken wir, inwieweit die Datenverarbeitung auf der Website den Grundsätzen von Art. 6 Abs. 1 lit. b) und f) entspricht. Zudem prüfen wir, wie Marketing- und Tracking-Tools eingesetzt werden. Viele Unternehmen aktivieren viel, nutzen aber wenig. Sie gehen unnötige Risiken ein, obwohl „mildere Mittel“ voll ausreichen.

Risiken für die Betroffenen bestehen auch, wenn Webseiten unzureichend gesichert sind. Dann können Nutzerdaten abgegriffen werden, die weit über die Cookie Debatte hinausgehen. Deshalb geht unser Service noch einen Schritt weiter: Mit automatisierten PEN-Tests nehmen wir ganze Webanwendungen unter die Lupe und testen, ob sie sich durch Kriminelle austricksen lassen.

Möchten auch Sie Ihr Cookie-Banner reduzieren oder bestenfalls ganz loswerden? Dann kontaktieren Sie uns. Wir unterstützen Sie, damit Sie eine nutzerfreundliche und sichere Webseite anbieten können.

Cyberangriff per E-Mail

(K)ein Cyberangriff per Phishing-mail – Wir testen Mitarbeiter

Immer mehr Cyberattacken auf Unternehmen! Besonders raffiniert: Social Engineering via Phishing-Mails!
Worauf Mitarbeiter reinfallen, testen wir am IDD.

Wie bringt man unbescholtene Mitarbeiter dazu, dass sie geltende Sicherheitsstandards missachten, Cyberkriminellen die virtuelle Tür öffnen und die Hacker bei der Arbeit auch noch unterstützen?
Das gelingt, indem Kriminelle emotional aufgeladene Situationen konstruieren, die im Arbeitsalltag jederzeit passieren könnten. Beliebte Werkzeuge sind E-Mails oder Telefonanrufe. Erste Namen, Positionen, Nummern und Adressen liefert die Firmenwebsite selbst. Dann braucht es nur noch ein Szenario, das das Opfer anspricht.

Wie Hacker Mitarbeiter manipulieren

Cyberkriminelle nutzen schamlos unsere Hilfsbereitschaft aus. Sie machen ihre Opfer neugierig, neidisch, ängstlich oder versetzen sie in Panik. So gehen wir auch vor! Unsere IT-Sicherheitsberater entwickeln fiktive Testszenarien, mit denen sich reale Hacker Zugang zu vertraulichen Informationen oder ganze Systeme erschleichen könnten, vorausgesetzt, das Opfer spielt mit. Um möglichst viele Mitarbeiter auszutricksen, gehen wir stufenweise und in Variationen vor:

Ein einfacher Test fragt z.B. wie Mitarbeiter mit falsch zugestellten E-Mails umgehen. Löschen, weiterleiten oder lesen? Viele lesen, was nicht für sie bestimmt ist. Als Social Engineering Attacke haben sich Bewerbungsmails schon vielfach bewährt. Sie wecken Neugier wie Neid und die Dateianhänge wirken ganz normal. Die Klickraten sind gut, denn gerade in Bewerbermails lassen sich diverse Fallstricke verstecken: gefährliche Links, gefälschte E-Mail-Adressen oder Social Media Buttons. Ein Klick genügt und schon öffnet das Opfer eine schadhafte Datei oder landet auf einer bösartigen Website, die von der echten kaum zu unterscheiden ist. Unbemerkt wird ein Software Download auslöst, die sich ungefragt auf dem Rechner installiert.
Wer sich so nicht ködern lässt, der braucht sozialen Druck. Echte Kriminelle erzeugen häufig Panik, damit das Opfer handelt ohne nachzudenken. Attacken basieren auch auf Unvorsicht und Nachlässigkeit. Hacker hören zu und kommen so an interne Informationen.

Mitarbeiter mit Hacker Methoden fit machen

Wir tarnen uns als IT-Kollege und informieren die Kollegen: Ein IT-Sicherheitsproblem sei aufgetreten, man überprüfe die Login-Daten des Mitarbeiters. So eine Nachricht erzeugt Angst, Unsicherheit und appelliert an die eigene Hilfsbereitschaft. Solch eine Nachricht funktioniert umso besser, je dringender das Problem und je mehr der Adressat mit in Verantwortung gezogen wird. Hat die Mail wohlmöglich eine Chefsignatur, kontrolliert kaum einer die Adress- Syntax.

Durch diese Art der Beeinflussung (Social Engineering) führen Opfer Handlungen aus, die geltenden Sicherheitsstandards widersprechen.  Firewalls, Spamfilter und Autoresponder fangen zwar einen Großteil der Fake E-Mails ab, aber wirklich gute und kreative Social Engineer Angreifer kommen durch.

Wie gehen Ihre Mitarbeiter damit um? Lassen sie sich leicht manipulieren oder handeln sie grundsätzlich richtig? Welche Emotionen greifen, wie viel Druck ist nötig? Wie ausgeklügelt muss der Angriff sein, um potenzielle Opfer zu überlisten?
Das und mehr prüfen wir. Unsere kreativen IT-Sicherheitsberater erfinden Social Engineering Cyberattacken, die unterschiedliche Mitarbeitertypen ansprechen. Wir messen die Reaktionen und werten sie aus: Wie oft wurde die falsche Mail munter weitergeleitet, wurde sie ernsthaft beantwortet? Wie oft wurden Dateianhänge geöffnet oder manipulierte Links geklickt? Wurden sensible Daten weitergegeben?

Sind Sie gegen alle Tricks gefeit? Warten Sie nicht, bis echte Kriminelle das herausfinden. Kontaktieren Sie besser die Experten vom Institut für Datenschutz und Datensicherheit. Wir testen und schulen auch Ihr Unternehmen, denn das ist der beste Schutz vor Social Engineering Cybercrime.

Sichere Website

Ist Ihre Website sicher? Wir checken das!

Sichere Webseiten schaffen Vertrauen und bringen Umsatz. Unsichere Internetseiten verursachen Millionenschäden, kosten Kunden und mitunter die Reputation.
Ist Ihre Website ausreichend vor Angriffen geschützt? Wir finden es heraus mit einem IDD Website Pentest!

Unternehmen, die auf Website Security setzen, gewinnen an Ansehen, Rankings und Kunden. Umgekehrt laufen Firmen Gefahr, sich übers Internet mehrfach zu schaden, wenn sie eine unsichere Seite betreiben.

Die Zeit drängt: 15% mehr Cybercrime meldete das „Bundeslagebild Cybercrime 2019“ des BKA gestern. Bereits 2018 waren laut bitkom research 3 von 4 der befragten Unternehmen Opfer einer Cyberattacke. In 21% der Fälle wurden sensible Daten gestohlen.

Am Institut für Datenschutz und Datensicherheit in Bremen (kurz: IDD GmbH) sind daher Pentests Teil der Website Security Checks.
Unsere Website Scans beschränken sich nicht nur auf die Überprüfung von Cross-Site Scripting, SQL- und Code-Injection Manipulationen. Bei unserem Test werden aktuell bis zu mögliche 400 Angriffsszenarien durchgespielt und in Risiko-Stufen kategorisiert.
Damit geben wir unseren Kunden eine Zustandsbeschreibung und eine Hilfestellung, was zu tun ist. Indem wir die Tests wiederholt durchführen, können wir die Seiten immer wieder auf neue Bedrohungen hin überprüfen.

Webseiten DSGVO-konform absichern

Es muss nicht gleich die große Cyberattacke sein. Schon die normale Informationssuche wird zum Imagegau, wenn der Browser die Webseite als „nicht sicher“ einstuft. Weil Google 2016 genau damit drohte, ließen Betreiber ihre Websites auf HTTPS umstellen. Doch einmal handeln reicht nicht!
Was als SSL-Verschlüsselung begann, entwickelt sich mit jeder Transport Layer Security (TLS) laufend weiter. Hier heißt es am Ball bleiben, darum prüfen Website Pentester nicht nur, ob TLS installiert wurde, sondern auch welche Version auf der Seite aktiv ist.
Gemäß Art. 32 DSGVO ist stets der Seitenbetreiber verantwortlich, wenn personenbezogenen Daten nicht sicher übermittelt werden. Damit haben sich die gesetzlichen Anforderungen verschärft, denn die Bedrohung wächst:
Am 30.04.2020 meldete die G DATA CyberDefense 30% mehr Cyberangriffe im März 2020 als im Vormonat. Der millionenfache Einsatz privater Rechner im Homeoffice ist wohl eine gute Gelegenheit. Das zeigt auch eine aktuelle Umfrage im Digitalbarometer 2020 des BSI: Danach ist jeder 10. Nutzer ohne Schutz im Netz aktiv.

Schutz vor CSRF-Attacken auf Unternehmen

Cyberkriminelle haben vielfach Unternehmen im Visier. Welche, das belegen globale Angriffsdaten der NTT Ltd., die heise.de am 10.06.2020 veröffentlichte: Danach bevorzugen Hacker in Deutschland Technologiefirmen und das Verarbeitende Gewerbe. In 48% der Fälle greifen sie Webseiten und Content-Management Systeme an, in dem sie z.B. websiteübergreifende Anfragen fälschen.

Diese CSRF-Attacken (Cross-Site-Request-Fogerty) geschehen häufig über sog. Man-in-the-Middle Manipulationen, d.h. der Angreifer hackt sich zwischen zwei Kommunikationspartner. Er hört bzw. liest mit oder schlimmer noch: Er täuscht vor, der jeweils andere zu sein. Auf diese Weise kann er ganze Datenpakete abgreifen, umleiten und manipuliert zurückspielen. Die Methode zieht, da jeder 3. Befragte dem BSI 2020 vom einem Account Fremdzugriff berichten konnte.

Die IDD Website Pentests scannen genau, wie und wo diese Art der Anfragefälschung möglich ist. Sie dokumentieren alle Funde und sprechen Handlungsempfehlungen aus, wie diese Lücke geschlossen werden kann. Die Berichte liefern Seiteninhabern, betriebsinternen Datenschützern, Marketing- und IT-Abteilungen strukturierte Hilfen, wie sie gemeinsam die eigene Website sicher machen und dadurch die Kundenzufriedenheit steigern, ihre Reputation im Netz schützen und nachhaltig fördern.

Möchten auch Sie Ihre Website mal gründlich checken lassen? Dann kontaktieren Sie uns einfach und ganz unverbindlich. Wir beraten Sie gerne.

Datenschutzbeauftragter werden

Karriere als betrieblicher Datenschutzbeauftragter – haben Ältere die Nase vorn?

Technisches Verständnis, Unternehmergeist und juristisches Know-how reichen leider nicht aus, um als betrieblicher Datenschutzbeauftragter erfolgreich zu sein. Zudem braucht es spezielle Softskills, die erst im Laufe des Erwerbslebens wachsen. Sind Ältere besser im Datenschutz?

Datenschutz hat immer Konjunktur! Mit der DS-GVO 2016 ist der Bedarf nochmals gestiegen. Werden personenbezogene Daten geschäftsmäßig transferiert oder besonders sensible Daten verarbeitet, ist ein Datenschutzbeauftragter jetzt Pflicht. Wo das nicht geschieht, wird er oftmals trotzdem gebraucht, denn das BDSG-neu (Stand: 26.11.2019) stellt klar: Auch nichtöffentliche Stellen müssen einen internen oder externen DSB bestellen, sobald 20 Mitarbeiter oder mehr permanent personenbezogene Daten EDV-gestützt verarbeiten.
KMUs, die sich für eine interne Lösung entscheiden, suchen selten externe Kandidaten. Das ist eine Aufstiegschance für bestehende Mitarbeiter. Doch wer ist als betrieblicher Datenschutzbeauftragter besonders geeignet? Was sollten Verantwortliche bei der Auswahl beachten?

Anforderungsprofil Datenschutzbeauftragter im Betrieb

Wer sich als DSB bewerben will, der muss nicht zwangsläufig aus der IT-Abteilung oder dem Personalwesen kommen. Die nötige Fachkompetenz kann in einer Weiterbildung erworben werden. Schon seit Jahren bildet das Institut für Datenschutz und Datensicherheit, kurz IDD GmbH; betriebliche Datenschutzbeauftragte aus und zertifiziert ihre DSGVO Qualifikation.
Was die Person jedoch mitbringen muss, ist ein gesundes Selbstbewusstsein, eine hohe Belastbarkeit, problemorientiertes Denken, diplomatisches Geschick und eine ausgeprägte Kommunikationsfähigkeit. Schließlich soll er die Geschäftsleitung in allen Datenschutzfragen beraten. Darüber hinaus muss er jedoch bestehende Datenschutzlücken aufdecken sowie risikobehaftete Arbeitstechniken erkennen und für Abhilfe sorgen. Kurzum vermittelt der DSB zwischen verschiedenen Akteuren, deren Interessenlagen und bringt – im Idealfall – die unternehmerischen Ziele mit den gesetzlichen Anforderungen unter einen Hut.
Das gelingt nicht immer und kann dauern. Ein DSB braucht daher ein dickes Fell und viel Geduld. Doch am Ende muss er sich durchsetzen, das aber bitte mit Bedacht. Je lebensnaher und verständlicher er den vermeidlich öden und drögen Datenschutz darstellen kann, desto eher werden Vorgesetze und Kollege die Vorteile überzeugt und ziehen mit.

Alte Hasen vs. junges Gemüse: Wer ist der bessere DSB?

Feldhase schaut über Grünkohl

Im Datenschutz ist vieles neu. Für den Tätigkeitsbereich „Datenschutzbeauftragter“ schadet es jedoch nicht, wenn dieser nicht direkt von der Uni kommt, sondern schon lange im Betrieb ist. Während andernorts frischer Wind die Dinge voranbringt, ist im Datenschutz das Gegenteil der Fall. Hier zählt Erfahrung, helfen gewachsene Kontakte in der Belegschaft und ein fachübergreifendes Wissen weiter. DSBs bewegen sich an unterschiedlichen Schnittstellen und entlang verschiedener Konfliktlinien: Geht die IT mit dem Datenschutz konform, steht das Marketing womöglich Kopf. Schreibt die Datenschutzrichtlinie 12-stellige Passwörter vor, darf der DSB nicht diejenigen lauthals maßregeln, die das Passwort unter ihre Ablage kleben. Er sollte vielmehr sensibel reagieren und ein gutes Maß finden. Mitunter muss er seine eigenen Ansprüche hintenanstellen. Folglich sollte ein guter DSB selbstkritisch sein und an sich arbeiten.

Zahlreiche Untersuchungen bestätigen, dass ältere Arbeitnehmer krisenresistenter, sprachlich gewandter und zuverlässiger sind. Für die Rollenbeschreibung eines Datenschutzbeauftragten zählen zudem diverse „arbeitsübergreifende Kompetenzen“, die laut Melanie Jana-Tröller (VS-Verlag 2009) erst mit den Jahren erworben werden.

Datenschutzbeauftragter werden

Am IDD ermutigen wir daher bewusst gestandene Persönlichkeiten, sich dem Datenschutz als neue Herausforderung zu stellen. Dass in diesem Zusammenhang IuK-Systeme immer wichtiger werden, sollte unserer Ansicht nach schon die Ausbildung zeigen. Aus diesem Grund haben wir unsere Schulungen um Onlinekurse ergänzt. In unserem Mitgliederbereich arbeiten die Kandidaten den Tätigkeitsbereich eines betrieblichen zum Datenschutzbeauftragten in 12 Bausteinen theoretisch wie praktisch ab. Wir bieten dazu Videos, Download Arbeitsmaterialien und QA Webinare an. Kunden mit Platin Account haben zusätzliche 1:1 Web-Beratungstermine inklusive.

Wenn Sie Lebenserfahrung haben und Datenschutzbeauftragter werden möchten, dann finden Sie auf unserem Datenschutz-Kursportal dazu alles, was Sie brauchen. Mehr zu unserer praxiserprobten und kostengünstigen Ausbildung erfahren Sie in unserem kostenlosen Web-Seminar: „Datenschutz effizient und einfach, melden Sie sich einfach an.

Datenschutz selber machen?

In 12 Schritten zum nachhaltigen Datenschutz

Entwickeln Sie mit dem IDD Datenschutz-Kursportal ein effektives System zum Schutz Ihrer Firmendaten in nur 12 Schritten.

Immer mehr Dienstleistungen werden digitalisiert und das in jeder Branche. Je mehr Daten dabei anfallen, desto wahrscheinlich ist auch die Gefahr von Datenpannen.

Ob kleine Firma oder großer Konzern ist dabei unerheblich. Denn Datenpannen können jeden treffen. Die Klassiker sind aus Versehen gelöschte Kundendaten, das verlorengegangene Firmenhandy, Opfer von Phishingmails, usw. Oft werden schlicht zu viele Daten erhoben und unnötig lange gespeichert. Die Liste ist beliebig erweiterbar.

Wer clever ist, setzt deshalb auf Datenschutz-Kurse der IDD GmbH. Hier lernen Sie, die Sicherheit von Daten in Ihrem Unternehmen in nur 12 Schritten zu gewährleisten.

Datenschutz als Chance sehen

Wer innerhalb der EU gravierende Datenverstöße begeht, muss seit Mai 2018 ordentlich zahlen. Laut handelsblatt.com haben Bund und Länder allein im Jahr 2019 187 Bußgelder verhängt. Zuvor waren es nur 40 insgesamt! Für Unternehmen lohnt es sich deshalb, beim Thema Datenschutz genau hinzuschauen.

Dabei gilt: Sehen Sie den Datenschutz nicht als lästige Pflicht, sondern vielmehr als Chance an. Denn wer Kunden- und Mitarbeiterdaten vorschriftsmäßig behandelt und schützt, der steigert auch nach außen sein Image, stellt mehr Kunden zufrieden und so manchen Mitbewerber in den Schatten.

Komplexer Datenschutz leicht gemacht

„DSGVO und Datenschutz sind recht komplex, was viele abschreckt“, erklärt IDD-Geschäftsführer Dietmar Niehaus. „Dennoch können und sollten Auftragsverarbeitung, Auskunftsrechte, Informationspflichten & Co. nicht einfach ausgelagert werden, auch wenn sie reichlich Arbeit nach sich ziehen. Ein Datenbeschützer vor Ort ist manchmal nämlich die bessere Lösung.

Aus diesem Grund hat das IDD im Juni 2020 das Datenschutz-Kursportal eröffnet. „Hier werden die Themen Datenschutz und Datensicherheit von der praktischen Seite beleuchtet“, meint Niehaus. Darüber hinaus werden Videos und Arbeitsmaterialien zur Verfügung gestellt. Das hält den Aufwand sehr gering.

Großer Nutzen für kleines Geld

Zentrale Punkte des Kurses sind der Datenschutz nach außen, die Datensicherheit im Inneren und der Faktor Mensch. In drei großen Blöcken beziehungsweise 12 Modulen werden diese Themen genau betrachtet und abgearbeitet. „Mitglieder haben permanenten Zugriff und können die einzelnen Lektionen beliebig oft wiederholen“, so Dietmar Niehaus. Gold- und Platinmitglieder haben außerdem die Möglichkeit, an Live-Online-Coachings teilzunehmen oder das 1:1-Online-Coaching zu nutzen. Unterm Strich können Datenschutzbeauftragte so schon für kleines Geld in nur 12 Schritten ein eigenes Datenschutzsystem erstellen, das alles hat, was man braucht.

In der Praxis bewährt

Die IDD Datenschutz-Kurse beruhen auf unseren langjährigen und vielfältigen Erfahrungen als Datenschutzbeauftragte. Die im Kurs vermittelten Informationen und Tipps sind vielfach praktisch erprobt und halten nachweislich den gesetzlichen Anforderungen stand.

Weitere Informationen zum den Kursinhalten, zu den verfügbaren Tarifen, Preisen und Leistungen finden Sie auf unserer Seite Datenschutz Online-Kurse.
Möchten Sie mehr über das Angebot erfahren, dann besuchen Sie unser kostenloses Info Online-Seminar, powered by webinaris.

Corona-Warn-App Datenschutz

Corona-Warn-App – Wie lassen sich Skeptiker überzeugen?

Soll die Corona-Warn-App erfolgreich sein, müssen 60% der Bundesbürger mitmachen. Skeptiker befürchten einen unkontrollierten Datenfluss. Daher hat das Bremer Institut für Datenschutz und Datensicherheit (IDD GmbH) diesen genau analysiert.

Die Corona-Warn-App wurde von namenhaften Unternehmen im Auftrag der Bundesregierung entwickelt. Beteiligt waren zum Beispiel die Deutsche Telekom, SAP, das Helmholtz-Institut und der Chaos Computer Club. Letzterer hatte den Schutz vor Missbrauch im Blick.

Die Corona-Warn-App soll Infektionsketten unterbrechen und registriert alle Kontakte im Umkreis von 2 Metern, die sich in der Nähe aufhalten und ebenfalls die App via Bluetooth aktiviert haben. Dazu muss sie aber ständig mitlaufen. Skeptiker befürchten nun, dass – wie bei Goolge – dabei permanent Daten über den Smartphonenutzer versendet werden. Sind diese Ängste berechtigt? Dieser Frage ist Dietmar Niehaus, Ingenieur, Datenschützer und Geschäftsführer des Instituts für Datenschutz und Datensicherheit in Bremen (IDD GmbH) nachgegangen:

Welche Daten erzeugt die Corona Warn-App?

Die Corona-Warn-App hat einen ID-Code, der alle 20 Minuten neu erstellt wird. Das sind 72 ID-Codes pro Tag und somit 1008 in 14 Tagen. Nach 14 Tagen wird jeder Code gelöscht. Und das passiert permanent. Es werden somit laufend 1008 Datensätze mit ID-Codes auf dem Smartphone gespeichert. Nur die „eigene“ Corona-Warn-App kennt auch die eigenen ID-Codes.

Ist ein anderer App-Nutzer in der Nähe, tauschen beide Corona-Warn-Apps die aktuellen ID-Codes aus und speichern die fremden in der eigenen-Warn-App. Diese werden ebenfalls nach 14 Tagen gelöscht. Wer innerhalb von 14 Tagen 200 Personen begegnet, hat somit 1008 eigene und 200 fremde ID-Codes in seiner Coroan-Warn-App gespeichert. Die fremden IDs lassen sich keiner Person zuordnen. Sie werden auch nicht angezeigt. Keiner erkennt daraus, wem er wo alles begegnet ist.

Was passiert im Ernstfall?

Wer positiv auf Corona getestet wurde, erhält vom Arzt bzw. zuständigem Labor einen QR-Code, mit dem sich der Nutzer als Corona-infiziert in seine App eintragen kann. Die Corona-Warn-App überträgt dann alle 1008 ID-Codes an einen zentralen Server. Der zentrale Server kennt aber den betroffenen Nutzer nicht. Er kennt nur die 1008 ID-Codes, kann sie aber niemandem zuordnen. Das Gesundheitsamt erfährt von einer Infektion nicht durch die Corona-Warn-App, sondern wegen der Meldepflicht vom Arzt.

Diese 1008 ID-Codes des einzelnen Infizierten werden einmal pro Tag von jeder installierten Corona-App abgerufen. Damit werden allen fremden IDs verglichen, die schon in der eigenen App gespeichert sind. Bei einem Treffer wird die eigene App rot und empfiehlt einen Corona-Test. Der Nutzer erfährt nicht, wer ihn gefährdet hat. Umgekehrt weiß niemand, wer den Treffer ausgelöst hat. Beide Seiten können selber entscheiden, was sie jetzt tun.

Aber die Corona-Warn-App kann noch mehr: Sie gibt grundsätzliche Empfehlungen, aber der Nutzer entscheidet, wie er damit umgeht. Wer zum Beispiel zu viele Kontakte hatte, bekommt ein gelbes Feed-Back von der App. Dann ist zu überlegen, ob Kontakte reduziert, Risikopersonen gemieden, mehr Wert auf Abstand gelegt werden sollte oder alles beim Alten bleibt. Das unterliegt der eigenen Verantwortung.

Skeptiker können beruhigt sein, denn die Corona-Warn-App gibt somit nur Daten weiter, wenn er oder sie das möchten. Niemand erfährt vom eigenen Zustand.

Dennoch sieht der Datensicherheitsexperte auch Risiken:

Eigentlich gibt es nur zwei Risiken, die sich aber in Grenzen halten. Zum einen muss die Bluetooth-Schnittstelle ständig aktiviert sein. Dies bietet Hackern eine Angriffsfläche. Dazu müssen sich die Übeltäter aber in meiner Nähe aufhalten und das über eine gewisse Zeit. So greifen sie aber erfahrungsgemäß nicht an. Das Risiko ist somit begrenzt.
Wer in der geöffneten Bluetooth Schnittstelle ein Problem sieht, der sollte sich fragen, ob sie nicht aus anderen Gründen sowieso häufig geöffnet ist, Stichwort: Earphones.

Kritisch sieht Datenschützer Niehaus die möglichen Nachteile, die den Warn-App-Verweigerern entstehen könnten: Es darf nicht sein, dass – wie in Südkorea – auch in Deutschland zum Beispiel die Nutzung öffentlicher Verkehrsmittel, Restaurantbesuche oder der Zutritt zum Arbeitsplatz davon abhängig gemacht werden, dass die Corona-Warn-App installiert und aktiv ist. Der Erfolg der Corona-Warn-App beruht schließlich auf der Freiwilligkeit der Nutzer.

Ein weiteres Problem sind technische Hürden:
So funktioniert die App nicht auf allen Smartphones, sondern erst ab iPhone 6S bzw. Android 6. Zudem ist die deutsche Warn-App im Urlaub nur begrenzt einsetzbar. In Europa existieren viele unterschiedliche Corona-Warn-Apps. Die haben ein gemeinsames Ziel, mehr aber nicht. Zudem behindern sie sich teilweise. So kann ein Urlauber in Holland mit der deutschen Corona-Warn-App nicht auf die Server in Deutschland zugreifen und umgekehrt.

Wie ist es nun um den Datenschutz bestellt?

So ist es in Ländern in Südostasien üblich, dass die Daten zentral von der Regierung ausgewertet und sogar mit anderen Daten abgeglichen werden. Dies hat zum Beispiel in Singapur dazu geführt, dass nur 25 % der Bürger die App installiert haben. In Deutschland ist das anders. Die deutsche Corona-Warn-App arbeitet anonym. Der Nutzer hat die volle Kontrolle über seine Daten und die Nutzung ist freiwillig. Jeder kann seine Corona-Warn-App jederzeit löschen und dadurch alle Datenspuren beseitigen.

Ausblick und Zusammenfassung

Die deutsche Corona-Warn-App ist eine Meisterleistung deutscher Ingenieurkompetenz. Sie arbeitet gut und ist sehr, sehr datenschutzfreundlich konzipiert und umgesetzt. Die App ist zudem als OpenSource programmiert. Dies bedeutet, dass sie theoretisch weltweit kostenlos verwendet werden kann. Es wäre sogar sinnvoll, wenn andere Nationen diese Software übernehmen und einsetzen. Dadurch würden Reisen für alle sicherer werden. Da Corona vor den Grenzen nicht halt macht, sollte die Corona-Warn-App das auch nicht tun.