Das niederländische Gesundheitsministerium hat seine Coronavirus-Warn-App für zwei Tage deaktiviert, nachdem bekannt wurde, dass private Daten von anderen Programmen gesammelt wurden, die Google standardmäßig auf Android-Telefonen installiert.
Die CoronaMelder-App wird ab Mittwochabend für zwei Tage keine Warnungen über mögliche Infektionen versenden, teilte das Gesundheitsministerium am 28. April mit, nachdem das Datenleck entdeckt wurde.
Die App nutzt das Google Apple Exposure Notification (GAEN) Framework – genau wie viele andere ähnliche Apps, die in der EU verwendet werden. Sie arbeitet mit ständig wechselnden, zufällig generierten Codes, die zwischen nahe beieinander liegenden Telefonen ausgetauscht werden – und sendet Warnungen an diejenigen, die in Kontakt mit jemandem waren, der später positiv auf Covid-19 getestet wurde.
Drittanbieter-Apps sollen keinen Zugriff auf diese Codes haben. Es stellte sich jedoch heraus, dass dies auf Android-Telefonen nicht der Fall war und standardmäßig installierte Apps sehr wohl in der Lage waren, die Daten zu lesen.
In einer Erklärung sagte die Regierung, dies sei ein “Verstoß gegen das vorläufige Gesetz über die Anwendung der Benachrichtigung [für] Covid-19.” Der Verstoß wurde zuerst von einem EU-weiten eHealth-Netzwerk entdeckt und am 22. April an die Niederlande gemeldet. Kurz darauf wurde eine Untersuchung eingeleitet, die Gesundheitsminister Hugo de Jonge dazu veranlasste, die App vorübergehend zu sperren, obwohl Google “angedeutet” hatte, das Problem behoben zu haben.
Die Regierung geht jedoch kein Risiko ein und will sicherstellen, dass das Problem gelöst ist, bevor sie die App wieder in Betrieb nimmt. Sie wird die zwei Tage nutzen, um “zu untersuchen, ob Google das Leck tatsächlich behoben hat”, heißt es in der Erklärung des Ministeriums.
Der US-Tech-Riese erklärte gegenüber AP, das Problem liege bei “zufälligen Bluetooth-Kennungen, die vom Exposure Notification Framework verwendet werden”, die “vorübergehend für eine begrenzte Anzahl von vorinstallierten Anwendungen zugänglich” seien. Es sagte auch, dass die Daten von den Identifikatoren zur Verfügung gestellt “auf ihre eigene haben keinen praktischen Wert für schlechte Akteure”, fügte hinzu, dass es den Entwickler von Drittanbieter-Apps wahrscheinlich nicht bewusst war, das die Daten verfügbar waren.
Google versprach außerdem, dass der Fix “in den kommenden Tagen für alle Android-Nutzer verfügbar sein wird.” Die niederländische App wurde laut ihrer Website bis zum 27. April von 4.810.591 Personen heruntergeladen.
Angesichts der Covid-19-Pandemie im vergangenen Jahr haben viele Länder in Europa und darüber hinaus Apps zur Kontaktverfolgung eingeführt, um die Ausbreitung des Virus einzudämmen. Einige Apps, die von einer Reihe von europäischen Ländern, darunter Deutschland und die Niederlande, verwendet wurden, basierten auf Systemen, die von Google und Apple entwickelt wurden, trotz der Bedenken bezüglich des Datenschutzes, sich auf US-Tech-Unternehmen zu verlassen.
Viele verwiesen auf die Risiken von Überwachung, Datenlecks und die Tatsache, dass die Informationen länger als nötig gespeichert werden. Norwegen beendete im Juni 2020 die Nutzung der Kontaktverfolgungs-App, nachdem der Datenschutzbeauftragte des Landes die weitere Nutzung kritisiert hatte.
Im November 2020 stellte sich heraus, dass der australische Geheimdienst “zufällig” Daten von seiner Covid-19-Tracking-App gesammelt hatte. Die Regierung erklärte daraufhin, dass die Privatsphäre von niemandem verletzt worden sei.
