Datenschutz

Unsere Leitgedanken

Wir nehmen die Verpflichtung zum Datenschutz sehr ernst. Ohne eine ausdrückliche und zeit/ortsbezogene Einwilligung des Nutzers werden keine personenbezogenen Daten erhoben. Generell werden nur so wenige personenbezogene Daten erfasst, wie zur Bewältigung der Corona-Krise unbedingt erforderlich. Eine Verarbeitung und Weitergabe von personenbezogenen Daten erfolgt ausschließlich im Rahmen dieses expliziten gesellschaftlichen Zwecks und unter Einhaltung aller geltenden gesetzlichen Bestimmungen. Unter keinen Umständen werden personenbezogene Daten an unberechtigte Dritte, d.h. an Dritte außerhalb der Verantwortlichkeit des Betreibers oder des Gesundheitssystems, weitergegeben. Weitere Information über verantwortliche Stellen und Rechte von Nutzern und Betroffenen finden sich in der → Datenschutzerklärung.

Die nachstehende Beschreibung des zugrunde liegenden Datenschutzkonzepts ist wie folgt gegliedert:

(1) Beteiligte Parteien
(2) Erhebung von Daten
(3) Speicherung von Daten
(4) Verarbeitung von Daten

Der verfolgte Ansatz gleicht im Kern einer freiwilligen Eintragung von Telefonnummern in aushängende Listen, um im Infektionsfall unmittelbar benachrichtigt zu werden. Durch eine verschlüsselte Eintragung in vergleichbare digitale Kontaktlisten – mittels Scannen von QR-Codes – wird die Nachverfolgung von Infektionsketten automatisierbar und gleichzeitig sicher gegenüber Mißbrauch. Die datenschutzrechtlichen Vorteile einer zeit/ortsbezogenen Einwilligung zur Kontaktaufnahme bleiben dabei in vollem Umfang erhalten, während ein anhaltsloser Zugriff auf personenbezogene Daten durch konsequenten Einbezug von betroffenen Nutzern kryptographisch unterbunden wird.

Beteiligte Parteien

An der Datenerhebung und Verarbeitung sind mehrere unabhängige Parteien beteiligt, die in gleichem Maße zum Schutz der Daten beitragen. Zur Absicherung der erhobenen Daten gegenüber unbefugtem Zugriff kommen verschiedene kryptograhische Schlüssel zum Einsatz, die sich im ausschließlichen Besitz der beteiligten Parteien befinden, d.h. im Besitz berechtigter Gesundsheitsbehörden (AUTH-Schlüssel), des Betreibers (OP-Schlüssel) und jedes Nutzers (USR-Schlüssel), sowie weitere zufällig auf den Nutzergeräten erzeugte TAG-Schlüssel und auf Betreiber-Servern generierte TMP-Schlüssel, aus denen für einzelne Scan-Vorgänge jeweils zeit/ortsabhängige Komposit-Schlüssel (SCAN-Schlüsselpaare) abgeleitet werden. Eine Entschlüsselung entsprechend gesicherter Daten ist dabei nur durch Kooperation aller beteiligten Parteien bzw. durch Kombination aller erforderlichen Schlüssel möglich. Weitere Details zur konkreten Verwendung dieser Schlüssel finden sich in den folgenden Abschnitten.

Erhebung von Daten

Personenbezogene Daten Im Zuge jeder Erstbenutzung wird die Telefonnummer des Nutzers abgefragt und auf Wunsch der Hochschule mit einer Campus-Kennung verknüpft. Zum Zwecke einer Risikobewertung durch zuständige Gesundheitsbehörden kann vom Nutzer freiwillig auch dessen Postleitzahl Geburtsjahr angegeben werden. Alle personenbezogenen Daten werden unmittelbar auf dem Gerät des Nutzers mit dem AUTH-Schlüssel verschlüsselt. Jedem Nutzer steht die Erzeugung von eigenen temporären QR-Codes offen, die eine Web-URL mit zufällig generiertem Identifikator und einen TAG-Schlüssel beinhalten. Auf Nutzerwunsch können Registrierungsdaten und QR-Codes mit einem zusätzlichen PIN-Code gegen Mißbrauch (oder Verlust im Falle einer Mitführung in ausgedruckter Form) gesichert werden. Im Zuge der Erzeugung von QR-Codes werden die bereits verschlüsselten Kontaktdaten des Nutzers mit dem erzeugten QR-Code ohne Möglichkeit eines Rückschlusses auf den Nutzer verknüpft. Der resultierende Datensatz wird mit dem TAG-Schlüssel erneut verschlüsselt und über den OP-Schlüssel des Betreibers zusätzlich gesichert an dessen Server-Infrastruktur übertragen. Zu statistischen Zwecken und zur Verbesserung des Dienstes werden im Zuge der Registrierung Land und Postleitzahl für den Betreiber zugänglich, d.h. nur einmalig mit dessen OP-Schlüssel gesichert, ebenfalls mit übertragen. Ein Rückschluss auf Personen ist daraus nicht möglich.

Standortbezogene Daten Jedem Nutzer steht weiterhin die Erzeugung von standortbezogenen QR-Codes offen. Im Zuge dessen werden Telefonnummer sowie Land, Postleitzahl und Name des Standortes erfragt. Zudem ist auch der Typ des Standortes, z.B. Gastronomie, Einzelhandel oder Unternehmen, über eine Auswahlliste anzugeben. Zur Erleichterung von Nachverfolgungen im Infektionsfall kann freiwillig auch eine weitere Beschreibung (z.B. Adresse, Gebäudeteil oder Raumnummer) angegeben werden. Die standortbezogenen QR-Codes beinhalten eine Web-URL mit zufällig erzeugtem Identifikator und TAG-Schlüssel sowie deren Name, Land und Postleitzahl zur Anzeige bei Scan-Vorgängen. Entsprechende Daten werden bei Erzeugung des QR-Codes analog zu personenbezogenen Daten mit AUTH-, TAG- und OP-Schlüssel dreifach geschützt an die Infrastruktur des Betreibers übertragen. Zu statistischen Zwecken und zur Verbesserung des Dienstes werden Land und Postleitzahl für den Betreiber zugänglich, d.h. nur einmalig mit dessen OP-Schlüssel gesichert, ebenfalls mit übertragen. Ein Rückschluss auf Personen oder Standorte ist daraus nicht möglich.

Verknüpfung von Personen/Standorten Auf Wunsch des Nutzers können eigene personenbezogene Daten mit den personen- oder standortbezogenen Daten anderer Nutzer durch Scannen eines QR-Codes verknüpft werden. Im Zuge dessen wird ein sekundengenauer Zeitstempel erzeugt und die voraussichtliche Dauer des Kontakts über eine Auswahlliste abgefragt (ein erneutes Scannen zur Verlängerung des Aufenthalts bleibt dabei jederzeit möglich, ebenso steht ein Checkin-Mechanismus für bis zu 24 Std. zur Verfügung). Für nutzerbezogene QR-Codes wird auf freiwilliger Basis auch Land und Postleitzahl des Scan-Ortes abgefragt und (geschützt durch den OP-Schlüssel) an die Server des Betreibers übertragen. Im resultierenden Datensatz ist zudem auch ein Verweis auf die Kontaktdaten des scannenden Nutzers selbst enthalten, der zusätzlich mit einem SCAN-Schlüsselpaar, d.h. dem QR-Code-bezogenen TAG-Schlüssel und einem zeitabhängigen (Server-seitig abzufragenden) TMP-Schlüssel, gesichert wird. Der verwendete SCAN-Schlüssel wird zusammen mit der Kontaktreferenz des Nutzers geschützt durch OP-, AUTH- und USR-Schlüssel im resultierenden Datensatz mit übertragen. Durch Freigabe des USR-Schlüssels im Infektionsfall wird über den entschlüsselten SCAN-Schlüssel somit ein Zugriff auf die AUTH-verschlüsselte Kontaktreferenz des scannenden Nutzers sowie weiterer betroffener Nutzer – zur selben Zeit am selben Ort – möglich. Die Direktverknüpfung von Personen erfolgt nach dem selben Prinzip mit Hilfe virtueller Standorte, die durch temporär von Nutzern erzeugte QR-Codes repräsentiert werden. Zu informativen Zwecken wird ferner auch die Gesamtzahl aller gescannten QR-Codes, die Gesamtzahl der dabei angegebenen Kontaktstunden sowie Zeitpunkt und Name/Identifikator des zuletzt gescannten QR-Codes erhoben und auf dessen Gerät vorgehalten bzw. aktualisiert. Eine Übertragung dieser Informationen an den Betreiber erfolgt nicht, ebenso ist daraus kein Rückschluss auf frühere besuchte Standorte möglich. Auf Nutzerwunsch lässt sich diese Funktion deaktivieren.

Speicherung von Daten

Vorhaltung und Übertragung Personenbezogene Daten werden in verschlüsselter Form (OP- und AUTH-Schlüssel) an die Betreiber-Server übertragen. Auf dem Gerät des Nutzers, d.h. im persistenten Browser-Speicher, wird nur eine daraus abgeleitete Referenz (Prüfsumme) abgelegt. Beim Scannen von QR-Codes werden die verknüpften Daten zusätzlich verschlüsselt (TMP- und OP-Schlüssel) und an die IT-Infrastruktur des Betreibers übertragen. Jede Form der Datenübertragung wird neben der beschriebenen Datenverschlüsselung generell auch mit einer zusätzlichen Transportverschlüsselung abgesichert. Der aus dem Nutzerpasswort generierte USR-Schlüssel, einfache aggregierte Scan-Statistiken sowie Informationen zum zuletzt gescannten QR-Code werden vom Nutzer am Gerät in zugänglicher Form benötigt und somit unverschlüsselt vorgehalten. Eine weitere Übertragung dieser Daten erfolgt nicht. Die Vorhaltung von Kontaktketten in der IT-Infrastruktur des Betreibers ist grundsätzlich auf 28 Tage begrenzt, ältere Daten werden kontinuierlich gelöscht.

Keine eindeutigen Identifikatoren In den übertragenen personenbezogenen Nutzerdaten finden sich keinerlei für den Betreiber zugängliche Identifikatoren oder anderweitig gleichbleibende Merkmale, aus denen sich ein Bewegungsprofil – auch nicht in pseudonymer Form – ableiten ließe. Dies wird durch eine konsequente Entkoppelung von Nutzern und QR-Code-Identifikatoren sowie durch eine fortwährende zeit/ortsabhängige Neuverschlüsselung (AUTH- und SCAN-Schlüssel) von personenbezogenen Kontaktreferenzen vor jeder Übertragung gewährleistet. Durch einen in die Verschlüsselungstechnik eingebetteten Zufallsanteil sind auch direkt aufeinanderfolgende Kontakt-Scans einzelnen Nutzern nicht mehr zuordenbar. Eine Rekonstruktion von personenbezogenen Kontaktketten ist durch diese starke Form der Anonymisierung daher ausschließlich durch Kombination der OP-, AUTH- und USR-Schlüssel möglich, d.h. durch Zusammenarbeit von Betreiber, Gesundheitsbehörden und betroffenen Nutzern. Da über diesen Mechanismus im Infektionsfall (bewusst) auch die verwendeten SCAN-Schlüssel zugänglich werden, ist ein Zugriff auf personenbezogene Kontaktdaten weiterer Nutzer in der direkten Kontaktkette des infizierten Nutzers möglich. Deren eigene Kontaktketten wiederum bleiben aufgrund der Unzugänglichkeit weiterer USR- bzw. SCAN-Schlüssel und mangels eindeutiger Identifikatoren nach wie vor vollständig anonymisiert und gegenüber Zugriffen aller Parteien geschützt.

Einwilligung und Widerruf Bei Aufruf dieser Webseite werden keinerlei personenbezogene Daten generiert oder erhoben. Es werden insbesondere keine Server-Logs vorgehalten oder IP-Adressen des Aufrufers protokolliert. Auf den Einsatz von Web-Analysediensten Dritter, auf Werbemittel oder andere Formen der besucherbasierten Monetarisierung wird ebenso wie auf die Einbindung von externem Quellmaterial verzichtet. Eine Erhebung von personenbezogenen Daten erfolgt erst mit ausdrücklicher Einwilligung des Nutzers im Rahmen der Registrierung. Mit jedem manuellen Scan-Vorgang wird eine zeit/ortsbeschränkte Einwilligung zur Nutzung der personenbezogenen Daten im Infektionsfall abgegeben. Lokal im Browser-Speicher vorgehaltene Daten können jederzeit über die Funktion »Alle Daten löschen« gelöscht werden. Der Betreiber verpflichtet sich zudem, alle erhobenen Daten nach 4 Wochen zu löschen.

Gesamtkonzept Jede mittels einzelner Scan-Vorgänge erhobene Kontaktverknüpfung wird gemäß folgendem (vereinfachten) Schema geschützt und übertragen:
WWW { OP [ Statistik SCAN ( AUTH | Kontakt |)]}
Für kryptographische Details wird auf die separate Dokumentation verwiesen. → Verschlüsselungskonzept

Verarbeitung von Daten

Betreiber Die Erzeugung von eindeutigen Standort-Identifikatoren sowie von zeitabhängigen Schlüsselkomponenten erfolgt zentralisiert auf speziellen TAG-Servern unter Überwachung der Technischen Universität München, während standortabhängige Schlüsselkomponenten zur Hinterlegung in QR-Codes lokal auf den Geräten der jeweiligen Nutzer generiert werden. Eine Speicherung bzw. Protokollierung von Informationen auf den TAG-Servern, insbesondere von Standort-Identifikatoren, Schlüsselkomponenten, IP-Adressen oder konkreten Zeitpunkten der Schlüsselerzeugung, wird nicht vorgenommen. Alle temporär verarbeiteten Daten werden ausschließlich flüchtig im Arbeitsspeicher vorgehalten und nicht mit den erhobenen Daten korreliert. Der Betreiber verpflichtet sich, diese Maßnahmen dauerhaft umzusetzen. Ungeachtet dessen führt eine unbefugte Erhebung entsprechender Server-Protokolle aufgrund weiterer unzugänglicher Schlüsselanteile nicht zur Kompromittierung des vorgestellten Datenschutzkonzepts, Vertrauen in den Betreiber oder dessen Infrastruktur ist daher aus technischer Sicht nicht erforderlich. Die Entgegennahme der verschlüsselten personen- und standortbezogenen Daten sowie Kontaktverknüpfungen wird über unabhängige POST-Server des Betreibers realisiert, die über keine Kommunikationskanäle zu den TAG-Servern verfügen. Da im vorliegenden Datenschutzkonzept ausschließlich eine Übertragung von mehrfach verschlüsselten Datensätzen vorgesehen ist, die sich zudem nur unter Mitwirken der Nutzer entschlüsseln lassen, lässt sich für den Betrieb der Server-Infrastruktur ohne sicherheitstechnische Bedenken auf die hoch-skalierbare Infrastruktur eines (deutschen) Cloud-Anbieters zurückgegreifen. Die Erstentschlüsselung der entgegengenommen Datensätze durch den Betreiber, d.h. die Generierung und Aufbereitung von statistischen Informationen, erfolgt nur auf Betreiber-internen Systemen ohne eigene Internet-Anbindung.

Gesundheitsbehörden Im Infektionsfall kann vom betroffenen Nutzer ein behördlicher erzeugter und authentifizierter QR-Code unter Angabe dessen Anmeldedaten gescannt werden. Mit dieser expliziten Einwilligung, d.h. der Übertragung des aus den Anmeldedaten initial generierten USR-Schlüssels, wird beim Betreiber eine Nachverfolgung aller vom Nutzer gescannten QR-Codes, d.h. eine Entschlüsselung der dabei verwendeten zeit/ortsabhängigen SCAN-Schlüssel, ausgelöst. Anhand der SCAN-Schlüssel lassen sich die Kontaktdaten direkt betroffener Nutzer, d.h. von Personen zur selben Zeit am selben Ort, identifizieren und teilentschlüsseln. Anhand der Postleitzahlen betroffener Nutzer und Standorte werden zuständige Gesundheitsbehörden – im Besitz des verbleibenden AUTH-Schlüssels zur endgültigen Entschlüsselung – identifiziert und resultierende Datensätze übermittelt. Andere Informationen über diese Nutzer, insbesondere deren eigene Kontaktketten, bleiben weiterhin für alle Parteien unzugänglich.

Epidemiologen Zu statistischen Zwecken, insbesondere zur Beobachtung der Effektivität von Eindämmungsmaßnahmen, sowie zum Zwecke weiterführender Forschungsarbeiten über die Ausbreitung des Corona-Virus werden kontinuierlich vollständig anonymisierte, d.h. standortbezogen aggregierte Datensätze ohne Personenbezug erzeugt. Diese Datensätze werden vom Betreiber zur Verbesserung des Dienstes genutzt sowie an berechtigte Stellen, z.B. anerkannte Epidemiologen oder Forschungseinrichtungen, weitergegeben. Die verarbeiteten Daten beinhalten ausschließlich aggregierte Informationen nach Land und Postleitzahl. Mit Hilfe dieser Forschungsdaten ist eine anonyme Auswertung von Kontakt-Clustern, regionalen Häufungen, Ausbreitungsmustern etc. ohne jeglichen Rückschluss auf einzelne Bürger möglich.

Europäischer Kontext Es wird eine Interoperabilität mit staatlich und wissenschaftlich anerkannten Alternativlösungen, bspw. Bluetooth-basierten Contact-Tracing-Apps oder auch technischen Rahmenwerken für den innereuropäischen Austausch von Infektionskontakten, angestrebt, sofern diese dem vorstehenden Datenschutzkonzept nicht widersprechen. Im Falle entsprechender Kooperationsentwicklungen werden alle registrierten Nutzer umgehend durch Einblendung auf dieser Webseite über das geplante Vorgehen informiert und deren Einwilligung für eine weitere Teilnahme neu eingeholt.