CWA: Position & Zeit eines roten Kontakts - datenschutzkonform für eine Nachverfolgung

Ich hatte das hier schon mal angerissen:

Es besteht offenbar ein großes Bedürfnis, zu erfahren, wann und wo das war, wenn man in der Corona-Warn-App eine rote Warnung bekommt (Kontakt zu einem Infizierten).

Diese Information wäre auch sehr wichtig für die Frage, in welchen Situationen die meisten Infektionen stattfinden. Denn hierzu ist die Datenlage erschreckend schlecht.

Es wird nun - z.B. durch die Regierung oder auch durch Anke Domscheid-Berg - immer wieder behauptet, das sei nicht möglich, weil dies nicht datenschutzkonform möglich sei und darunter die Akzeptanz der App leiden würde.

Das ist falsch. Das ließe sich absolut datenschutzkonform implementieren: Die App (bzw. eigentlich eine Funktion des Betriebssystems, auf die die App zugreift) zeichnet ja laufend die per Bluetooth empfangenen IDs (einschließlich geschätzter Abstand und Dauer) von Kontakten, denen man begegnet ist, auf. Diese werden für 14 Tage aufgehoben und danach wieder verworfen. Die App ruft nur mehrmals am Tag diejenigen IDs von dem Server der App ab, deren Benutzer sich über die App als positiv getestet gemeldet haben, und gleicht diese IDs mit den IDs der aufgezeichneten, eigenen Kontakte ab. Wenn man mit einer solchen „infektiösen“ ID in den letzten 14 Tagen über einen bestimmten Zeitraum und unterhalb einer bestimmten Nähe Kontakt hatte, bekommt dan die „rote Warnung“ und wird aufgefordert sich testen zu lassen.

Nun spricht - zumindest logisch, s.u. - nichts dagegen, neben der ID eines Kontakts nicht nur Entfernung und Dauer aufzuzeichnen, sondern auch Datum, Uhrzeit und aktuellem Ort. Diese Daten müssten und dürften (genau wie Entfernung und Dauer) nie das eigene Smartphone verlassen!! Sondern würden nur im Fall der roten Warnmeldung mit ausgewertet und angezeigt.

Aus diesen Angaben kann der Betroffene schließen, wo und in welcher Situation er sich bei diesem Kontakt befunden hat. Er könnte diese Information entweder sofort, oder falls er dann selbst positiv getestet wird, im Smartphone hinterlegen und sogar per App an die Gesundheitsbehörden übertragen - meinetwegen anonym.

Dann wird immer mal wieder behaupten, mit der Schnittstelle zur einer der Kernfunktionalitäten der App, die von Apple bzw. Google kommt (der Austausch der IDs per Bluetooth), sei dies (technisch oder lizenzrechtlich?) nicht möglich. Stimmt das überhaupt?

Wenn nein: Angesichts der grottenschlechten Datenlage über das situative Infektionsgeschehen: Warum wird das nicht gemacht?

Dann verlinke doch mal den anderen Beitrag, da gab es ja auch Kritik zu?!

Die Kritik diesbezüglich ist ganz einfach und wurde schon dutzendmal erwähnt:

• es ist technisch nicht möglich (nur als Nachweis: Additional features for the contact diary see pull request 1651 and wishlist issue 196 · Issue #286 · corona-warn-app/cwa-wishlist · GitHub)

• es ist batterieintensiv (alle paar Minuten den Standort abrufen)

• GPS in Smartphones ist ungenau (±8m), wobei es auch genauere Modelle gibt

• bietet epidemiologisch einen fragwürdigen Mehrwehrt weil der Standort über die Situation nichts aussagt

absolut datenschutzkonform

Sie wollen in Konsequenz den gesamten Standortverlauf von Infizierten Personen online stellen - sonst kann da nichts lokal überprüft werden - und machen sie somit identifizierbar - alles für ein fragwürdiges Interesse von Personen die wissen wollen wo sie sich angesteckt haben. Das kann man nicht leisten über die Standortdaten und es ist schon ein Zeichen von Hartnäckigkeit dies immer wieder zu behaupten.

Das sie die Kritik aus ihren alten Beiträgen nicht darstellen dahingestellt - denken sie über ihre Vorschläge auch nach?

Du scheinst den Vorschlag missverstanden zu haben: Der Empfänger trackt seinen eigenen Standort, während er den Token einsammelt. Wo der Infizierte vorher oder nachher war, wird nicht erfasst oder veröffentlicht.

Ok, vielen Dank.

Dann kann ich aber das Argument, das sich hier eine Datenlage verbessert nicht nachvollziehen. Schließlich erfährt niemand vom Standort - zumindest nicht mehr, als durch eine Befragung. Nicht das ich behaupten würde das es Sinn machen würde den zu Erfassen (Argumente siehe oben) - aber das war gerade das Eingangsstatement:

Den zweiten Teil lese ich so als ob sich hier ein wissenschaftlicher Mehrwehrt ergeben würde. Aber das war nur meine Lesart. Das glaube ich nicht - hier geht es darum das scheinbar ein Informationsinteresse befriedigt wird von Leuten die Warnungen bekommen. Edit wegen Falschaussage: Das Datum bekommt man.

Alles weitere - ob es wirklich zur Infektion kam - bringt dann ein Test.
Nicht eindeutige Daten verunsichern mehr.
Sofern sie denn überhaupt erfassbar wären, was beim Standort eben auch nicht der Fall ist.

Wenn man klären will wie „gefährlich“ gewisse Situationen sind kann man sich andere, wissenschaftlich stichaltigere Untersuchungen vorstellen als im Nachinein versuchen Leute zu befragen. Und man kann diese auch darüber informieren. Ich halte also eher wenig davon Menschen die vermutlich ohnehin belastet bis verunsichert sind, die nicht genau über Infektionsfaktoren Bescheid wissen, Datenschnipsel hinzuwerfen damit sie selber einschätzen können wie gefährlich was war.

Habe ich leider nicht mehr gefunden.

Ja, ich habe aus gutem Grund geschrieben, dass das immer wieder behauptet wird. Ich habe dafür aber keinen Beleg gefunden (Dein Verweis, jedenfalls, ist wieder nur eine Behauptung aus einer nicht einzuschätzenden Quelle). Möglicher Weise ja eines der vielen Gerüchte, die sich bei näherer Betrachtung als Irrtum erweisen …

Und wenn:

1. Google und v.a. Apple haben schon bei anderen Gelegenheiten ihre API auf Bitten von Regierungen geändert.
2. Ich verstehe nicht, warum dann immer wieder mit Datenschutz argumentiert wird, wenn das doch konzeptionell 100% datensparsam implementiert werden könnte (sofern Apple / Google mit spielen und wi.

Wenn das für einige Nutzer ein Problem ist, könnte man die Funktion ja deaktivierbar machen.

GPS zusammen mit Wifi und den in den Betriebssystemen enthaltenen Korrekturalgorithmen ist genau genug, um in sehr vielen Apps eine ziemlich exakte Positionierung zu ermöglichen. Verstehe nicht, warum das in dieser App nicht gehen soll.

Datum, Uhrzeit und Standort kann mich als Benutzer dabei unterstützen, mich daran zu erinnern, in welcher Situation ich da gerade war. Und genau darum geht es.

Ja, die Kritik ist einfach, aber nicht unumstößlich. Welchen Mehrwert der Nachsatz „duzend mal erwähnt“ haben soll, erschließt sich mir nicht. Selbst wenn dem so wäre, was bringt’s?

Also, für jemand, der kritisiert, wenn man ein Thema nochmal aufnimmt, obwohl doch das Argument angeblich schon duzend mal widerlegt wurde, bin ich erstaunt, wie schlecht sie meinen Beitrag gelesen haben;

Aber das hatte ja schon @Martino gerade gerückt.

Insgesamt, werter @Axel_R, empfinde ich Ihren Beitrag als unnötig aggressiv und keinen guten Beitrag für eine angemessene Debattenkultur. Ich frage mich, was der Grund hierfür ist

Hm, vielleicht würde es helfen, meinen Post nochmal ergebnisoffen und sorgfältig zu lesen:

Also, nochmal konkreter: Meine Forderung soll es dem Benutzer ermöglichen …

• sich anhand Ort und Zeit zu erinnern, in welcher Situation er da gerade war
• diese Situation anhand eines Dropdown-Controlls (Restaurant, Laden, Arbeit, ÖPNV, im Freien, …) in der App zu hinterlegen
• diese Situation anonymisiert per App an z.B. das RKI zu hinterlegen.

Auf keinen Fall soll diese Information dazu dienen, dass der Anwender entscheiden kann, auf den Test zu verzichten. Wie kommen Sie darauf?

Das ist mir völlig neu. Sind Sie sicher?!? Höre ich zum ersten mal und ich verfolge eigentlich „alles“, was in den Medien einschl. Heise News und Golem über die CWA steht. Aber mag sein, dass ich das übersehen habe.

… aber auch dann, wenn das vor 13 Tagen um 11 Uhr war? Also, ich nicht unbedingt.

In Bezug auf Ihren aggressiven Ton in jetzt schon zwei aktiven Threads darf ich Sie vielleicht noch einmal aus einem früheren Thread zitieren (in dem ich mic h vielleicht etwas im Ton vergriffen hatte):

Die Lösung, die du beschreibst, schützt einen davor, dass der Staat oder die Telekom herausfindet, wer erkrankt ist, aber nicht davor, dass ich herausfinde, ob mein Kumpel, den ich letzte Woche getroffen habe, Covid hat.

Ob diese Preisgabe tatsächlich die Akzeptanz der App schmälert, weiß ich nicht.
Auch, ob man die Preisgabe schlimm findet oder nicht, steht auf einem anderen Blatt.

Ich lese ihren Beitrag, aber da Sie in anderen Themen bereits für Standorttracking waren, kann ich auch aus dem Beitrag nicht zweifelsfrei entnehmen das sie es „datenschutzkonform“ mit dezentraler Speicherung machen wollen, wenn ihr Eingangsstatement - der zweite und dritte Satz - die Interpretation offen lässt: hier wird die „Datenlage“ verbessert, was ich so gelesen das irgendwo Daten gespeichert werden. Da kann man natürlich auch etwas missverstehen - danke @Martino für den freundlichen Hinweis.

Bzgl. Standortzugriff der App gerne ein ein weiterer Nachweis:

Datum ist technisch möglich (und wird angezeigt), Uhrzeit nicht (tschuldigung, das kann eine andere App): App is missing information about "Risikobegegnung" with green risk status · Issue #567 · corona-warn-app/cwa-documentation · GitHub

Ich habe die falsche Behauptung entfernt. Danke für den Hinweis.

Das dachte ich nicht, aber so wie ich hier lesen konnte ging es um das Informationsinteresse der Nutzer („ist ja interessant“) und desweiteren für Erkenntnisse zur Frage wo sich Personen infizieren. Wohlgemerkt, nicht als Daten, wie ich zuerst annahm, sondern Auskunft / Frage in der App.Obwohl ich von den wissenschaftlichen Wert nicht ganz überzeugt bin, erkenne ich doch an das ein nachträgliches Fragen zur Risikosituation im Rahmen der Kontaktverfolgung bereits praktiziert wird - inwiefern das eine Verbesserung ist lasse ich mal dahingestellt.

Insofern man sich etwas neues zu Risikofaktoren erhofft („Was ist denn eigentlich riskant?“) kann es zwischen Untersuchungen die Risikofaktoren ermitteln und den realen Infektionszahlen ein klaren Unterschied geben. Diese Lücke ist was man als „diffus“ beschreibt, wo man nicht weiß wodurch die Infektion zustande kommt. Man kann ihren Vorschlag also so verstehen das es darum geht die Erkenntnis über solche Fälle zu verbessern - einfach um zu wissen wo man genauer hinschauen muss. Das ist im allgemeinen richtig und man kann sicher diskutieren welche Wege da - um es mit Scholz zu sagen - einer „Bazooka“ am nächsten kommen und am effizientesten sind.

Wenn man überlegt das nur bestätigte Infizierte sich melden spielt das bei der Kontaktnachverfolgung eine Rolle - ich und das Gegenüber sind also erstmal beide App-Nutzer, damit ich überhaupt die Möglichkeit haben gewarnt zu werden. Ich werde gewarnt, dann kommt der Test, positiv.
Ich werde jetzt gefragt per App gefragt, wo ich mich (möglicherweise) - um bei Ihnen zu bleiben - vor 13 Tagen infiziert habe? Sicher kennen Sie die gängige Inkubationszeit der Krankheit.

Verstehen sie mich nicht falsch - die App kann bestimmt auch da helfen. Aber bis zu repräsentativen Daten zum Infektionsgeschen gibt es wohl viele andere Bretter zu bohren, die ggf. wichtiger sind.

Das stimmt tatsächlich, und ich finde schön das Sie es jetzt auch erkennen. Vielleicht erinnern sie sich an ihren herablassenden Ton mit Falschaussagen im anderen Thema. Ich bin da nicht nachtragend, aber da Sie heute einen Beitrag von mir kommentierten obwohl Sie wussten, dass sie auf der Ignorierliste sind, wollte ich mal nicht so sein und entsprechend antworten. Ich hab sie jetzt mal nicht wie einen Schuljungen behandelt und sie falsch zitiert, aber dabei wohl in Erinnerung etwas schärfer formuliert. Was auch einem kleinen Missverständnis und der Verwunderung darüber geschuldet war, das hier scheinbar ein altes Thema - ihre große Befürwortung des Standorttrackings - nochmal neu aufgerollt wird.

Ich weiß nicht ob Sie in den von Ihnen eröffneten Themen aktiv mitlesen - durch die Falschzitation würde ich da leichte Zweifel haben - aber falls nicht finden Sie dort bestimmt noch einige Aspekte, die sie hier erneut diskutieren.

Alles gute und nichts für ungut.

Sollen wir wirklich auf eine deutliche Verbesserung des Erkenntnisstand über typische Infektionssituationen verzichten für verantwortungslos handelnde Menschen? Denn: Wenn Dein Kumpel ein verantwortungsbewusster Mensch ist, hat er Dich ohnehin längst informiert, dass er positiv war, bevor Ihr Euch getroffen habt.

Auch beim Datenschutz muss es eine Güterabwägung geben und wenn der gesamtgesellschaftliche Nutzen größer ist als die individuellen Bedürfnisse, müssen letztere zurückstecken!

Danke für den Hinweis (und den konstruktiven Ton). Dort schreibt Google:

(Ich kann nur vermuten, dass das bei Apple ähnlich ist).

OK, ich verstehe, es ist nicht nicht nur eine lizenzrechtliche, sondern eine technische Einschränkung: Die Betriebssystem-Funktion, die für das regelmäßige aussenden der eigenen und das Tracking von Kontakt-BLE-Tokens (IDs) zuständig ist und auf die CWA per API zugreift, trackt offenbar nur Datum und Token (ID) aber keine Uhrzeit (und keine Position). Zwar könnte man technisch außerhalb von dieser Funktion nochmal Datum, Uhrzeit und Ort tracken, kann diese aber mangels Uhrzeit den durch die API-Funktion getrackten Daten nicht zuordnen.

Aber, wie gesagt: Dann muss man mit Google und Apple reden. Da ich bislang immer noch keinen guten Grund, auch nicht im Bereich Datenschutz (s.o.) sehe, weiß ich nicht, warum die sich dagegen sperren würden, wenn sie den Nutzen erkennen: Epidemiologische wertvolle Daten über Infektionsgeschehen.

Ich verstehe nicht, was Sie damit wagen wollen.

Ich verstehe nicht, was Sie damit wagen wollen.

Ja, das haben Sie richtig verstanden. Offenbar habe ich nicht nicht klar genug ausgedrückt: Es geht mir nicht nur um die Befriedigung der „Neugierde“ der Anwender, sondern vor allem um dieses Problem:

https://images.app.goo.gl/kxBQ8i2bT6DxAEDGA

Bei 85% der Infektionen wissen wir nicht, in welcher Situation sich der Infizierte angesteckt hat! Wie soll da irgendjemand über zielgerichtete Maßnahmen zur Kontakteinschränkung entscheiden? Und wie sollen die Bürger wissen, welche Situationen sie besser meiden bzw. wo sie besser aufpassen?

Das liegt ja nicht nur daran, dass die Gesundheitsämter die Situation, in der sich jemand ansteckt, einfach nicht erhebt. Das liegt vor allem daran, dass die Infizierten nicht wissen, wann und wo sich sich angesteckt haben könnten. Die CWA könnte das wissen. Wenn wir (und Apple/Google) das so wollen.

Nicht ohne Grund speichert die App die Tokens 14 Tage. Denn zwischen Infektion über die Feststellung desjenigen, der mich angesteckt hat, dass er Covid haben könnte bis zum positiven Test können bis zu 14 Tage vergehen.

Da bin ich völlig anderer Meinung: Aus epidemiologischer Sicht und aus Sicht der politischen Entscheidungsträger und der Politikberater könnte kaum etwas so wichtig sein wie umfassende Daten über das Infektionsumfeld.

LOL. Ich möchte die Mitleser nicht mit diesem Scharmützel, dessen Ursache sich mir weitgehend entzieht, langweilen. Schicken Sie mir gern eine PM, wenn Sie Gesprächsbedarf haben.

Wenn du mich persönlich fragst, nein, wir sollten nicht darauf verzichten.
Ich wollte lediglich dieser Aussage widersprechen:

Ich denke, dass die von mir beschriebene Datenschutzproblematik von den Betreffenden gemeint ist.
Ich tendiere auch dazu, in diesem begrenzten Umfang, wie du ihn beschreibst, den Datenschutz hintanzustellen für hoffentlich bessere Übersicht, wo Infektionen herkommen.

Ich traue mir aber eigentlich nicht besonders gut zu, dass jetzt aus der Hüfte zu bewerten. Denn beim Thema Datenschutz geht es ja häufig darum, Missbrauch zu verhindern, während sinnvoller Einsatz der Daten häufig erwünscht und hilfreich ist.

Ich kenne die Überlegungen von Apple und Google nicht. Aber ich vermute, dass sie den geringsten Anschein von Missbrauch des Exposure Notification Frameworks vermeiden wollen. Nicht jede Regierung baut eine CWA, deren Quellcode offen einsehbar ist. Beide Firmen wollen, dass Nutzer in Zukunft ihrem Smartphone noch viel mehr Gesundheitsdaten anvertrauen, als dies heute schon der Fall ist. Ein Datenschutzvorfall würde das Vertrauen der Nutzer beschädigen und somit das Marktpotenzial verringern. Also gehen sie das Risiko nicht ein.

Das Argument kann ich verstehen. Dann soll A & G die Nutzung von Uhrzeit und Position im Lizenzvertrag davon abhängig machen, dass die App open source ist und von einer Regierung(sbehörde) herausgegeben wird.

https://www.handelsblatt.com/dpa/wirtschaft-handel-und-finanzen-roundup-wie-die-corona-warn-app-eine-dritte-infektionswelle-verhindern-soll/26901128.html?ticket=ST-3587824-hPGalkITWcvXGlqP0uOh-ap2