Soll ich mir die Stopp-Corona-App vom Roten Kreuz runterladen?

Gastkommentar von Alexandra Steinbichler, Datenschutzbeauftragte von Cards & Systems.

COVID-19 hält uns immer noch in Atem. Welche Apps können uns während der Krise mit nützlichen Informationen versorgen oder helfen, das Coronavirus in Schach zu halten? Welche persönlichen Daten müssen wir preisgeben? Wie so Vieles in unserem Leben hat die Corona-Krise einige interessante Datenschutzaspekte.

Von Stopp-Corona-App bis Zoom

Die mögliche Datensammlung über die Stopp-Corona-App durch das österreichische Rote Kreuz macht Einige von uns nervös. Warum? Befürchten wir eine staatliche Totalüberwachung? Andererseits benützen wir unbekümmert Videochatplattformen wie Zoom oder Chatprogramme wie WhatsApp, um mit Familie oder Lehrpersonal und Schulkolleginnen und -kollegen unserer Kinder in Verbindung zu bleiben.

Was steckt datenschutztechnisch dahinter?

Das Rote Kreuz hat Datenminimierung zu seinem Grundprinzip gemacht. Personenbezogene Daten bleiben auf dem Endgerät des Users. Verarbeitet wird, solange man nicht an COVID-19 erkrankt ist, eine eindeutige, zufällig generierte Kennzahl ("ID"), die an den vom Roten Kreuz genutzten Server übermittelt wird. Die IDs der Personen, mit denen ein sogenannter "Handshake" vorgenommen wird, werden auf dem User-Endgerät gespeichert. Unsere Userdaten sind also pseudonymisiert.

Erst bei Krankmeldung über die App wird die User-Handynummer verlangt, die das Rote Kreuz für 30 Tage aufbewahrt. Diese Speicherung erfolgt zum Schutz der Userinnen und User, um bei einem konkreten Verdacht auf missbräuchliche und/oder rechtswidrige Nutzung handeln zu können.

Das Rote Kreuz scheint seine Hausaufgaben gemacht zu haben. Bei Zoom, dem allseits beliebten Videochat-Programm dürfte das nicht ganz der Fall sein. Im Artikel "Man kann Zoom nicht bedenkenlos nutzen" in der Wiener Zeitung heißt es, Zoom würde nicht nur personenbezogenen Daten, Gerätedaten, Standortinformationen und weitere Angaben, die User im Zuge einer Anmeldung preisgeben, sondern auch sämtliche aufgezeichnete Meetings, Chats, hochgeladene Dokumente, in Meetings erstellte White Boards, die Namen aller am Meeting beteiligten Personen und Transkripte der Meetings sowie die öffentlichen und privaten Chats von rund 200 Millionen Usern auf Servern speichern, die unter anderem in China stehen.

Dazu kommt, dass die Zoom-Sicherheitsvorkehrungen, und hier allen voran die Verschlüsselung, als unzureichend eingestuft werden. Eine Zoom-Nutzung sollte man also reiflich überlegen.

Wie meistere ich als User also meinen Alltag?

Während ich in Home Office meine Arbeit zu erledigen versuche, bekommt mein Jüngerer einen Wutanfall, weil ihn sein Lernpensum an seine Grenzen bringt, mein Älterer braucht eine dringende Kuscheleinheit und meine Partnerin ist genervt, weil unser überfordertes Internet ihr wichtiges Videomeeting unterbricht. Sieht Ihr Alltag derzeit so oder so ähnlich aus?

Wir sind alle in einer nie dagewesenen Ausnahmesituation. Erleichterungen greifen langsam. Hier ein paar Tipps, wie sie datensicher durch den Arbeitstag kommen:

  • Unter den derzeitigen Umständen muss der räumliche Arbeitsplatz und die IT-Hardware möglicherweise von verschiedenen Haushaltszugehörigen verwendet werden. Sei das der Zugriff auf die Firmenumgebung über ein privates Endgerät, der Videochat mit der Lehrerin oder der Download von Schulaufgaben am Firmenlaptop.
  • Achten Sie auf eine strenge Trennung der Abwicklungen. Schließen Sie alle Firmenprogramme und melden Sie sich aus der Firmenumgebung ab, wenn Sie den Arbeitsbereich verlassen oder der Laptop anderweitig verwendet werden muss.
  • Keine Speicherung und Notiz von Firmendaten auf privaten Geräten, einer privaten Cloud oder Notizzetteln.
  • Kritisch kann das mögliche Mithören von Informationen beim Telefonieren sein. Das betrifft nicht nur den Home Office-Bereich. Das Besprechen von Firmendaten in der Öffentlichkeit passiert schnell einmal, kann aber weitreichende Folgen haben. Achten Sie besonders darauf, welche Daten Sie am Telefon besprechen.
  • Vorsicht ist auch bei Transportund Verwahrung von Firmen-Hardware wie Dienstlaptops und Diensthandys geboten.
  • Der Zugang in die Firmenumgebung sollte gesichert, beispielsweise über eine verschlüsselte VPN-Verbindung, erfolgen. Berufliche Informationen sollten keinesfalls über private Kommunikationswege, wie WhatsApp, Facebook, Zoom, etc. geteilt werden.

Der Spagat der Arbeitgeber

Laut österreichischer Datenschutzbehörde ist jeder Arbeitgeber gegenüber seinen Arbeitnehmer*innen zu umfassender Fürsorge, also zum Ausschluss von Ge­sundheitsrisiken am Arbeitsplatz verpflichtet. Das bedeutet, dass der Arbeitgeber Gesundheitsdaten, wiewohl sie als besonders schützenswert gelten, in jenem Ausmaß an die Gesundheitsbehörde weiterzugeben hat, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen – hier im Besonderen die Kolleginnen und Kollegen – zu schützen.

Klar ist, dass die Verarbeitung der Mitarbeiter-Gesundheitsdaten einer strengen Zweckbindung unterliegen. Verwendet werden darf also nur, was der Gesundheits­vorsorge, der Eindämmung des Virus und der Heil­behandlung dient.

Ebenso zu beachten ist der Grundsatz der Speicherbegrenzung. Der Arbeitgeber muss die dann nicht mehr notwendigen Gesundheitsdaten der Mitarbeiterinnen und Mitarbeiter nach Ende der Epidemie löschen. Welche Daten damit genau gemeint sind, ist schwer einzugrenzen. Die österreichische Datenschutzbehörde gibt als Beispiel private Handynummern von Mitarbeitetenden an. Private Kontaktdaten der Mitarbeiter*innen können – mit freiwilliger Einwilligung - erhoben werden um kurzfristig über eine Infektion im Unternehmen zu informieren.

Social Engineering oder wie Kriminelle die Coronakrise zu nutzen versuchen

Wäre es nicht super, laufend auf dem neuesten Informationsstand zu bleiben? Da kommt die E-Mail mit einem Link zur neuesten Nachrichtensoftware ja gerade richtig. Möglicherweise ruft ein "Mitarbeiter der Gesundheitsbehörde" an, um Kreditkartendaten zu erfragen, damit der Corona-Impfstoff zugeschickt werden kann. Vielleicht ist es ein Pop-Up von einem angeblichen "Sicherheitsteam" mit der Aufforderung, eine Home Office-Software zu installieren.

Vorsicht bei solchen Phishing-E-Mails, -Kurznachrichten oder -Telefonaten. Oft versuchen Kriminelle dann auch noch Druck zu machen und führen eine besondere Dringlichkeit ins Treffen.

Hier gilt: Direkt auf offizielle Seiten zugreifen statt Links in E-Mails anzuklicken, keine persönlichen Daten an Personen herausgeben, die man nicht kennt und gegebenenfalls mit Spezialist*innen innerhalb des Unternehmens Kontakt aufnehmen.

Die letzten Wochen haben unseren Alltag von einem Moment auf den anderen auf den Kopf gestellt. Neben den unbestrittenen negativen Auswirkungen von COVID-19 durften wir Zusammenhalt und gegenseitige Unterstützung erleben. Dinge, wie sinnvolles Home Office, die Stärkung der heimischen Wirtschaft oder gemeinsame Familien-Spieleabende werden uns hoffentlich auch nach dieser herausfordernden Zeit begleiten.

In welcher Form wir als Einzelperson, Entscheidungsträger, Gruppe oder Unternehmen unsere Daten schützen, ist mit den hier geteilten Informationen – so hoffen wir – ein Stück leichter.

www.cardsys.at


Kommentare auf LEADERSNET geben stets ausschließlich die Meinung des jeweiligen Autors bzw. der jeweiligen Autorin wieder, nicht die der gesamten Redaktion. Im Sinne der Pluralität versuchen wir unterschiedlichen Standpunkten Raum zu geben – nur so kann eine konstruktive Diskussion entstehen. Kommentare können einseitig, polemisch und bissig sein, sie erheben jedoch nicht den Anspruch auf Objektivität.

leadersnet.TV