Fragenkatalog des Datenschutzbeauftragten
Gerd Bruckner
 an die Bundesregierung zur
geplanten Einführung der Anti-Corona App

Anfrage am 18.4.2020

Sehr geehrte Damen und Herren,

es ist die Einführung einer sog. Anti-Corona App geplant oder bereits in Vorbereitung. Dazu habe ich als Datenschutzbeauftragter ein paar wichtige Fragen, um deren Beantwortung ich bitte und danke bereits jetzt für Ihre Bemühungen.

1. Es gibt derzeit Informationen, dass mehrere Firmen/Organisationen eine Version im Auftrag der Bundesregierung entwickeln. Mir liegen Informationen vor, dass eine Version vom Fraunhofer Institut und eine andere Version von data4life (Hasso Plattner Foundation / SAP) entwickelt werden. Gleichzeitig ist wohl eine entsprechende Applikation von Google in Zusammenarbeit mit Apple geplant.

Habe ich das richtig verstanden, dass es mehrere Anbieter dann geben wird?

Da es sich um besonders schutzwürdige personenbezogene Daten handelt, habe ich folgende Fragen:

Frage: Wenn es mehrere Applikationen gibt, welche App wird von der Bundesregierung empfohlen bzw. welche wird von der Bundesregierung für die Eindämmung der Corona Epidemie für die Datensammlung eingesetzt?

Frage: Sind private Institutionen, wie z.B. Hasso Plattner Foundation oder andere privatrechtlichen Organisationen eingebunden?

Frage: Welche Organisationen auf der datenschutzrechtlichen Seite und bei der technischen Umsetzung werden bzw. wurden in das Projekt Corona App eingebunden?

Frage: Wenn die Datenübertragung, wie geplant, anonymisiert wird, wie erfolgt die Installation auf dem eingesetzten smartphone und wie erfolgen Updates?

Frage: Ist ein Rückschluss auf personenbezogene Daten, trotz Anonymisierung, möglich?

Frage: Welche Daten werden ausgelesen und anonymisiert?

Frage: Wie bzw. was wird anonymisiert?

Frage: Da eine Information auf smartphones von Betroffenen übertragen wird, bleiben personenbezogene Daten auf dem Host gespeichert, da sonst
eine Rückinformation nicht erfolgen kann? Welche bleiben gespeichert, wie werden diese
verschlüsselt, wie lange werden diese gespeichert und wie ist die end to end Verschlüsselung?

Frage: Welche Daten werden per Bluetooth zwischen den smartphones der Personen (Sender - Empfänger) übertragen und wo werden die
ausgetauschten Daten gespeichert?

Frage: Wohin werden die Daten der smartphones übertragen und wer bearbeitet diese?

Frage: Um Transparenz herzustellen, stellt sich die Frage, ob der Code als "open source" veröffentlicht wird; ist derartiges geplant?

Frage: Welches Protokoll wird bei der Datenübertragung zwischen den smartphones auf der einen Seite und bei der Datenübertragung an den Host
zur Sammlung aller smartphones auf der anderen Seite eingesetzt?

Frage: Wenn die Daten verschlüsselt werden, welcher Verschlüsselungsfaktor / Protokoll wird eingesetzt, um größtmögliche Sicherheit zu gewährleisten?

Frage: Welche Organisation(en) erhält/erhalten die Daten zur statistischen Auswertung?

Frage: Wenn private Organisationen eingebunden sind, welche sind das und wie wird für die nötige Datensicherheit der personenbezogenen Daten dort
gesorgt?

Frage: Wie resp. auf welchem Weg wird die App bereitgestellt?

Frage: Wie erfolgt ein Update resp. wird es automatisch übertragen oder gibt es Optionen ein Update abzulehnen?

Frage: Welche Daten z.B. cookies werden mit der App auf dem smartphone gespeichert? Wie können diese entfernt werden?

Frage: Wie lange werden diese Daten auf dem smartphone gespeichert?

Frage: Wie kann die App vom smartphone entfernt und welche Datenrückstände bleiben auf dem smartphone?

Frage: Sind Restriktionen angedacht, wenn eine Installation von Anwendern abgelehnt werden?

Frage: Damit die App jede Person hat, ist ein smartphone notwendig; was ist mit Personen, die kein smartphone besitzen?

Frage: Wie wird grundsätzlich dafür gesorgt, dass die Daten nicht an Dritte weitergegeben werden?

Frage: Welche Auftragsverarbeiter sind involviert und welche Strafen sind bei Missachtung für die Auftragsverarbeiter vorgesehen?

Frage: Wie wird sicher gestellt, dass Daten und Ergebnisse nicht an Versicherungen, Banken und andere interessierte Geschäftszweige
weitergegeben werden?

Frage: Werden die Daten anderen Staaten zur Verfügung gestellt?

Frage: Welche Organisationen werten die Daten aus?

Ich bin zuversichtlich, dass Sie sich mit diesen Fragen vor der Auftragsvergabe ausreichend beschäftigt haben und mir aus diesem Grund die Antworten schnell übermitteln können.

Mit freundlichen Grüßen

Gerd Bruckner

 

Wenn Sie der Bundesregierung Ihre Fragen senden möchten. Hier der Link zum Formular

PEPP-PT

Die Dokumentation des PEPP-PT ( Pan-European Privacy-Preservinge Proximity Tracing) unter dem Titel " Data Protection and Information Security Architecture - Illustrated on German Implementation" ist auf GitHub zu finden.

Zu dem genannten Themenkomplex haben am 20.4.20 die nachfolgenden Medien Artikel veröffentlicht:


Fragen und Antworten rund um die DSGVO

Datenschutzschulung

Home

Datenschutzerklärung

Impressum


Datenschutzberatung * DSGVO München * Datenschutz * TOMs * Datenschutzfolgeabschätzung * Externer-Datenschutzbeauftragter * Vertraulichkeitsverpflichtungen * Abgabe zum Verfahrensverzeichnis * Datenschutzmeldpflichten * Auftragsverarbeitungsvertrag * Datenschutzhandbuch * Datenschutzkoordinator * Datenschutzprozesse * Vertraulichkeitsverpflichtung * Europäische Datenschutzgrundverordnung * e-privacy * Verzeichnis von Verarbeitungstätigkeiten * PEPP-PT * DSAnpUG-EU * Datenverarbeitungsverfahren gem Art 30 Abs 1 DSGVO * Zweckbestimmung des Verfahrens * Verantwortlicher für die Datenverarbeitung * Zugriffsberechtigte Personen * Technische und organisatorische Maßnahmen * Rechtegestaltung und Protokollierung * Datenweitergabe * Speicherung af Datenträgern * Data Protection and Information Security Architecture - Illustrated on German Implementation * Rechtsgrundlagen der Übermittlung * Datenübermittlung ins Ausland * Drittstaaten nach Art 49 DSGVO * Zugriffsrechte * Geheimhaltungsverpflichtung * Benachrichtigungspflicht * Fristen für die Aufbewahrung der Daten * Löschen von Daten * Datenschutz * DS-GVO * DSGVO * Datenschutzbeauftragter * externer Datenschutzbeauftragter * Datenschutzberatung * München * Bayern * DSGVO-TOMs * Technische und organisatorische Maßnahmen * Datenschutz-Mitarbeiter * DSGVO-Fotorechte * DSGVO-Kleinunternehmen * DSGVO-Mitteständische Unternehmen * Industrie * DSGVO-Datenverwendung * DSGVO-Auskunftsrecht * Datenschutzschulung * Datenschutzdokumentation * Datenschutzkonforme Verarbeitung * Verarbeitungstätigkeiten * Email-Kommunikation * Datenschutz-Cloud * Email Marketing * Newsletter * Nutzerstatistiken * Auftragsverarbeitung * Personaldaten * Zutrittskontrolle * Datenschutz-Compliance * Datenschützer * Datenschutzrechte * Datenschutz-Selbstauskunft * Risikomanagement * Datenschutzaudit * Datenschutzagenda * Schutzziele * Datensicherheitsrisiken * Personenbezogene Daten * Bewertung * Nachweiserbringung * Pseudonymisierung * Auftragsverarbeitung * Datenschutzkonform * PDCA * Datenschutzhandbuch * Datenschutzdokumentation * Datenschutzleitlinie * Datenschutzrichtlinien * Datenschutzdokumentation * Compliance * Datenschutzkommunikation * Zertifizierung * Datenschutzdokumentationsmanagement * Betroffenenrechte * Risikomanagement *

(c) Gerd Bruckner c/o Cybernex Software GmbH 2018-2020