Warum digitale Corona-Listen gefährlich sind
Dieser Artikel ist älter als ein Jahr!
Die österreichische Bundesregierung plant derzeit, eine bundesweite Verpflichtung von Betrieben, Vereinen und Veranstaltern, die persönlichen Daten ihrer Besucher, Kunden und Mitarbeiter für 28 Tage zu speichern und den Gesundheitsbehörden zur Verfügung zu stellen. Der Gesetzesentwurf, dessen Begutachtungsfrist am Freitag offiziell endete, sorgte in den vergangenen Tagen für zahlreiche Kritik – auch bei den Gastronomen selbst.
Digitale Liste als Wunsch
Thomas Mayr-Stockinger, Gastronom und Obmann der Sparte bei der Wirtschaftskammer Oberösterreich, will nicht „Daten-Sheriff“ spielen, wie er dem KURIER erzählt hat. Bei ihm im Betrieb gibt es ein „Gästebuch“, in das man sich eintragen könne. Er hält nichts von der geplanten „Zettelwirtschaft“ des Gesundheitsministeriums.
Der Gastrospartenobmann in der Wirtschaftskammer, Mario Pulker, sprach sich ebenfalls dagegen aus: „Wir wollen das nicht“, sagte er gegenüber Ö1. Peter Dobcak, Obmann der Fachgruppe Gastronomie in der Wirtschaftskammer Wien, sprach sich für eine digitale Liste aus, „um Zeit- und Bürokratieaufwand zu sparen“.
Corona-Datensätze waren einsehbar
Eine digitale Liste klingt auf den ersten Blick gut, doch es verlagert das Problem nur – denn dann kommt eine weitere Stelle ins Spiel, die Daten speichert und sammelt. Ein aktueller Vorfall aus Deutschland zeigt die Gefahren auf, die damit einhergehen können. "Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten“, sagt Linus Neumann, Sprecher des Chaos Computer Clubs (CCC).
Der CCC hat zahlreiche Schwachstellen in einem beliebten, digitalen Cloud-System für gastronomische Betriebe entdeckt. Über 87.000 Corona-Datensätze und 5,4 Millionen Reservierungen waren dabei einsehbar, darunter befanden sich auch Daten von Politikern, wie der Bayrische Rundfunk (BR) berichtet. Insgesamt war der Zugriff auf 4,8 Millionen Personendatensätze möglich.
Daten nicht gelöscht
Die Lücken entdeckt hatte das Chaos Emergency Response Team (CERT) des CCC, das sich während eines gemeinsamen Restaurants-Besuchs die Cloud-Software, auf die das besuchte Lokal gesetzt hatte, näher angesehen hatte. Durch eine fehlerhafte Prüfung der Zugriffsrechte konnten die Hacker einen administrativen Vollzugriff herstellen und auf alle im System gespeicherten Daten zugreifen.
Dabei fiel auch auf, dass Daten von Gästen – auch abseits von Corona-Listen - teilweise 11 Jahre lang auf den Servern lagen. Der Cloud-Dienst-Betreiber meinte dazu, dass die „Datenhoheit bei den Kunden“ liegen würde, also bei den Gastronomen – und diese würden auch für die Löschung der Daten die Verantwortung tragen.
Laut dem Bundesbeauftragten für Datenschutz seien in dem System auf jeden Fall auch Corona-Daten gespeichert gewesen, die längst gelöscht werden hätten müssen. „Das sei ein großes Datenschutzproblem“, so Kelber, weil die Aufenthaltsdaten von Bürgern könnten dazu herangezogen werden, bestimmte Verhaltensmuster zu erkennen, etwa dann, wenn jemand an einem fixen Tag zu einer bestimmten Uhrzeit immer ins selbe Lokal geht.
Auch österreichische Kunden betroffen
Gastronovi, der Hersteller der Cloud-Software, gab an, dass nur ein Bruchteil der Kunden tatsächlich von dem Datenzugriff betroffen gewesen sei. In Österreich hat Gastronovi derzeit 348 Kunden. Von denen waren 9 mit 20 abgefragten Datensätzen (Name, Mailadresse, Telefonnummer) durch den Datenzugriff des CCC betroffen.
Die Datenschutzbehörde sei verständigt worden und die Sicherheitslücken binnen zwei Stunden nach Meldung geschlossen, teilte das Unternehmen bislang mit. Auf seiner Website wirbt Gastronovi immer noch damit, dass die Corona-Datenerfassung „datenschutzrechtlich 100 Prozent konform und sicher“ sei.
So speichert man Corona-Listen richtig
Der CCC empfiehlt Gastronomen, auf digitale Corona-Listen zu verzichten und die Daten stattdessen im Restaurant zu erheben und zu speichern. Allerdings sollte man es nicht so machen, wie der Gastronom Thomas Mayr-Stockinger in seinem Lokal. Statt eines Gästebuches, wie es Mayr-Stockinger aufliegen hat, in dem sich Gäste eintragen, benötigen Gastronomen gesonderte Zettel für jede Gruppe, die sich zu Tisch setzt.
Es muss verhindert werden, dass andere Gäste diese Daten sehen – sowie die Gastronomen selbst, denn auch diese dürfen die Daten nicht etwa für Marketing-Zwecke verwenden. „Der ausgefüllte Zettel wird in einem verschlossenen Briefkasten geworfen, um ihn dort vor neugierigen Blicken zu schützen“, empfiehlt der CCC. Dieser werde einmal täglich in einen Umschlag geleert und mit dem Datum beschriftet. Exakt 28 Tage später müsse dieser Umschlag sicher vernichtet werden, und dazwischen an einem sicheren Ort aufbewahrt werden.
Natürlich stellt dies einen Extra-Aufwand für Gastronomen dar, doch die gesetzlichen Covid-19-Bestimmungen müssen genauso ernst genommen werden wie der Datenschutz. Restaurant-Besuchern empfiehlt der CCC, Lokale, die Cloud-Lösungen für Corona-Listen einsetzen, zu meiden.
Die Bürgerrechts- und Datenschutzorganisation epicenter.works hält von den Corona-Listen gar nichts, weil Betriebe „schon durch die wirtschaftliche Lage enorm betroffen seien und ihnen jetzt die Verantwortung für die Datensicherheit übertragen werde“. Zudem würde mit einer derart groß angelegten Datenspeicherung das Vertrauen der Bevölkerung riskiert, heißt es in der offiziellen Stellungnahme zum Gesetzesentwurf.
Kommentare