Interview mit Dirk Kretzschmar: Ist die Datensicherheit der Corona-App prüfbar?

Herr Kretzschmar, können digitale Techniken bei der Bekämpfung der COVID-19-Pandemie hilfreich sein?

Die jüngeren Entwicklungen in der aktuellen Ausnahmesituation haben gezeigt, dass uns digitale Techniken zusätzliche Möglichkeiten verschaffen, die am Ende sogar Leben retten können, wenn man diese richtig und gezielt einsetzt. Die Digitalisierung wird darum derzeit nicht selten als Krisenprofiteur empfunden. Ich sehe aber vielmehr die Chancen im Vordergrund und das Potenzial, welches uns intelligente, digitale Technologien bereits heute bieten.

Die Deutsche Telekom hat dem Robert Koch-Institut (RKI) im März beispielsweise anonymisierte Standortdaten von Millionen deutscher Handynutzer übermittelt, mit deren Hilfe Bewegungsströme der Bevölkerung ermittelt werden, um die weitere Ausbreitung des COVID-19-Virus zu simulieren. Durch diese Prognosen werden wir in die Lage versetzt, Gegenmaßnahmen viel früher ergreifen zu können. Außerdem können die Bewegungsdaten genutzt werden, um die Wirksamkeit von Maßnahmen wie etwa den Erlass von Ausgangs- bzw. Kontaktbeschränkungen zu überprüfen.

Mit digitalen Plattformen können Kliniken und andere Gesundheitseinrichtungen freie Intensivbetten, Beatmungsgeräte und andere knappe Ressourcen koordinieren und optimal managen, um dramatische Situationen wie in anderen europäischen Ländern zu vermeiden.

Die Beispiele zeigen, dass wir verstärkt die Chancen nutzen sollten, die uns digitale Technik bietet. Im Vordergrund steht aber ausdrücklich: Helfen, nicht überwachen.

Dirk Kretzschmar Dirk Kretzschmar Dirk Kretzschmar Dirk Kretzschmar
Dirk Kretzschmar - Geschäftsführer TÜV Informationtechnik GmbH

In Deutschland wird aktuell der Einsatz einer Tracing-App kontrovers diskutiert, die in ähnlicher Form in anderen Ländern bereits im Einsatz ist. Halten Sie solche digitalen Tools für mit dem europäischen Datenschutz vereinbar?

Das Land Südkorea war einer der Vorreiter bei der Nutzung einer App im Kampf gegen Covid-19 und konnte damit bei der Reduzierung der Neuinfektionen offenbar einige Erfolge verzeichnen. Die datenschutzrechtliche Situation in Europa unterscheidet sich natürlich deutlich von der in Südkorea. Mehrere deutsche Aufsichtsbehörden, darunter auch der Bundesdatenschutzbeauftragte, haben sich zum Einsatz solcher Apps bereits differenziert geäußert.

 
 
„In Betracht kommt vor diesem Hintergrund eigentlich nur die ausdrückliche Einwilligung des Betroffenen in die Erfassung seiner Standortdaten. Diese Möglichkeit sieht die DSGVO ausdrücklich vor. Insoweit ist der DSGVO-konforme Einsatz dann grundsätzlich möglich.“
 
Dirk Kretzschmar
 
 

Die Verarbeitung personenbezogener Daten steht gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) unter einem Erlaubnisvorbehalt, d.h. es bedarf für die Verarbeitung immer eines gesetzlich vorgesehenen Erlaubnistatbestandes. Auch Standortdaten einer Person sind personenbezogene Daten und unterliegen damit dieser Beschränkung.

In Betracht kommt vor diesem Hintergrund eigentlich nur die ausdrückliche Einwilligung des Betroffenen in die Erfassung seiner Standortdaten. Diese Möglichkeit sieht die DSGVO ausdrücklich vor. Insoweit ist der DSGVO-konforme Einsatz grundsätzlich möglich.

Dringend geboten ist aber auch die sicherheitstechnische Untersuchung der Netzwerk- und Transportsicherheit bzw. der Konfigurationsmöglichkeiten. Unbedingt müssen auch Penetrationstests zum Einsatz kommen, um die Widerstandsfähigkeit gegen Angriffe von außen zu prüfen. Auch um zu prüfen, was nach dem Löschen der App mit den Daten und Berechtigungen passiert, bzw. welche Zugänge danach offenbleiben.

Der Erfolg der App hängt damit also auch von der Mitwirkung der Bevölkerung ab? Lohnt sich da der ganze Aufwand?

Der App liegt der Gedanke des Solidaritätsprinzips zugrunde. Erst wenn sich eine Bevölkerungsmehrheit (>60%) an der Nutzung einer solchen App beteiligt, kann sie ihr volles Potenzial ausspielen. Jüngere Umfragen zeigen, dass diese Bereitschaft in der Bevölkerung durchaus vorhanden ist. Es setzt sich immer mehr die Erkenntnis durch, dass wir diese Krise am besten meistern, wenn wir sie gemeinsam und solidarisch angehen.

Auch die TÜVIT fühlt sich diesem Grundsatz verpflichtet. Wir haben darum den beteiligten Ministerien und den Entwicklern in der vergangenen Woche ein kostenloses Angebot zur sicherheitstechnischen Prüfung der zum Einsatz vorgesehenen Tracing-App für die Bundesrepublik Deutschland unterbreitet. Auf diese Weise übernehmen wir Verantwortung und leisten unseren Beitrag in dieser herausfordernden Zeit.

Die Solidarität zieht sich übrigens durch die gesamte TÜV NORD GROUP, die in ihrer Bilanzpressekonferenz zudem angekündigt hat, Atemschutzmasken aus China auf Konformität zu prüfen. „Wir machen die Welt sicherer“ heißt unser Konzernslogan und diesen wollen wir auch leben.

Wenn die App zum Einsatz kommen soll, dann schnell. Können Sie vor diesem Hintergrund überhaupt eingehend prüfen, wie Sie es der Bundesregierung angeboten haben?

In Krisenzeiten ist es unabdingbar, flexibel und pragmatisch mit entsprechender Schwerpunktsetzung zu handeln. Unser grundsätzliches Vorgehen des Begleitens des gesamten Entwicklungsprozesses beginnend mit Prüfungen in der Design Phase ist aktuell leider nicht mehr möglich. Es besteht aber dennoch die Möglichkeit, eine „Tracing App“ im Phasenmodell zu prüfen. Im Level 1 erfolgt die Erstellung eines Gutachtens, ob dem Thema Datenschutz ausreichend Rechnung getragen wird. Das dauert zwischen 5 und 7 Werktagen. Die Datenschutzzertifizierung (Level 2) könnte parallel begonnen werden und würde nochmal den selben Zeitraum in Anspruch nehmen. Finales Ziel ist natürlich die Erreichung von Level 3. Aber auch mit den vorhergehenden Levels können wir die Datensicherheit der App drastisch erhöhen. Die TÜVIT ist in der Lage und gewillt die notwendigen Ressourcen schnell und unkompliziert in der gewohnten Qualität zur Verfügung zu stellen, wenn unser Angebot abgerufen wird. Das heißt auch, dass wir als unabhängiger Dienstleiter neutral prüfen werden. Wichtig ist ebenfalls, dass eine vollständige und prüffähige Dokumentation der Lösung von Anfang an bereitgestellt wird.

Wie gehen Sie mit dem Druck aus der Krise um, auch für den Fall, dass das Testergebnis Ihrer Prüfung negativ ausfällt?

Eine Prüforganisation wie die TÜVIT lebt von dem Vertrauen, dass die Bevölkerung in Sie setzt. Dieses in uns gesetzte Vertrauen würden wir auch in dieser Ausnahmesituation nicht verspielen. Durch unseren Einsatz möchten wir erreichen, dass die Bevölkerung die Sicherheit gewinnt, dass eine unabhängige Prüforganisation neutral und sachlich geprüft hat.

Wenn sich ein Großteil der Bevölkerung mit dem Einsatz der App solidarisch verhalten soll, muss auch gewährleistet sein, dass diese sicher ist.

Es ist übrigens nicht ungewöhnlich, dass im Rahmen einer Prüfung Mängel aufgezeigt werden. Wenn diese Erkenntnis dann dazu führt, dass solche behoben werden, haben wir unser Ziel ebenfalls erreicht.

 
 
„Wenn sich ein Großteil der Bevölkerung mit dem Einsatz der App solidarisch verhalten soll, muss auch gewährleistet sein, dass diese sicher ist.“
 
Dirk Kretzschmar
 
 

Wäre die Prüfung einer Corona-App für die TÜVIT ein Novum?

Nein, die Prüfung von Applikationen auf Datenschutz und Datensicherheit gehört zu den Kerntätigkeiten von Prüfstellen wie der TÜVIT. Wir machen das nicht selten auch unter zeitlich herausfordernden Umständen. Schließlich ist der rechtzeitige Marktgang einer App ein entscheidender Wettbewerbsvorteil. Die TÜVIT hat in der Vergangenheit schon eine Reihe namhafter Produkte und Hersteller geprüft.

Appropos, wie geht es eigentlich TÜVIT in der Krise?

Auch an der TÜVIT wird die Krise nicht spurlos vorbei gehen. Unsere Tätigkeit ist zwar nicht unmittelbar von dem sogenannten LockDown betroffen, aber als Dienstleister hängt unser eigener Erfolg nicht unerheblich davon ab, dass es auch unseren Kunden wirtschaftlich gut geht. Unter unseren Kunden befinden sich beispielsweise Hotelketten oder Autozulieferer, deren Geschäftsmodell derzeit massiv beeinträchtigt ist.

Im Unternehmen haben wir eine Vielzahl von Gesundheitsschutzmaßnahmen ergriffen, die unsere eigenen Mitarbeitenden, aber auch die unserer Kunden und Partner, schützen sollen. Als IT-Unternehmen haben wir die Möglichkeit, unsere Mitarbeitenden ortsflexibel, z.B. von zuhause, arbeiten zu lassen. Dennoch ist es uns ein Anliegen, für unsere Kunden auch in der Krise präsent und erreichbar zu sein. Dazu zählt auch, Audits – wo möglich – remote durchzuführen. Nach anfänglichem Zögern sind unsere Kunden sehr begeistert, wie effizient dies abläuft. Auch in anderen Bereichen habe ich mit meinen Mitarbeitenden kreative Lösungen erarbeitet, um den besonderen Umständen Rechnung zu tragen.

Für mich persönlich ist es wichtig, die richtigen Schlussfolgerungen aus der Krise zu ziehen. Es hat sich etwa gezeigt, dass in vielen Bereichen, was die Digitalisierung angeht, noch erheblicher Nachholbedarf besteht. Viele Unternehmen haben Mitarbeiter ohne große Vorbereitung ins Homeoffice geschickt, leider oft, ohne die Sicherheitskonzepte anzupassen. Der massive Ausfall von Schulunterricht wäre vermeidbar gewesen, wenn die Digitalisierung in den Schulen schon weiter vorangeschritten wäre. Viele Unternehmen stellen nun außerdem fest, welche Flexibilität durch die Digitalisierung gewonnen werden kann. Ich hoffe darum, dass wir am Ende als Gesellschaft und als TÜVIT gestärkt aus der Krise hervorgehen können.

Stand: 08.04.2020