Freitag, 14. Januar 2022

Es gibt dafür eine Lösung: Nennt sich Corona Warn-App!


Ich habe an dieser Stelle schon einmal kurz umrissen, warum ich aus technischen und datenschutzrechtlichen Gründen die sog. „offizielle Corona-Warn-App“ für sehr gelungen halte. Auch heute noch sehe ich das genau so.

Die Vorkommnisse aus Mainz und Bochum bei der Luca- und der Recover-App haben gezeigt: Daten werden da abgeschöpft, wo sie lesbar anfallen. Das beste Gegenrezept ist daher, wenn unnötige Daten gar nicht erst anfallen. Um Teilnehmer einer Veranstaltung zu warnen, muß niemand deren Namen o.ä. wissen. 

Genau diesen Ansatz verfolgt die Corona-Warn-App beim „Event-CheckIn“ per QR-Code: Hier werden gar nicht erst unnötige Daten erhoben oder generiert; lediglich der vom Gastgeber erzeugte QR-Code wird lokal auf den Mobiltelefonen der Besucher gespeichert. Niemand erfährt hiervon etwas. Wenn nun ein Event-Besucher „positiv“ auf Covid-19 getestet wurde (und das in die App einpflegt), können die Geräte der anderen Gäste anhand der lokalen Daten selbst feststellen, daß auch sie betroffen sind. Die Gäste (bzw. Mobilgerät-Besitzer) können entsprechend gewarnt werden. 

Bevor eine überlastete Behörde mit der Identifizierung von Klarnamen sowieso nicht nachkommt und dann 5 Tage später eine Warnung ausspricht, halte ich die anonyme, zuverlässige und sofortige Warnung für die bessere Lösung. 

Eigentlich erfüllt die Corona-WarnApp damit alle Funtkionen, die sie erfüllen soll. Ach ja, nur eine, ungenannte Funktion befriedigt sie nicht: Die menschliche Neugier zu befriedigen! 


Links: 


Rechtswidrige Datenabfrage in Mainz - Golem News

Rechtswidrige Datenabfrage in Bochum - Golem News 

Event-CheckIn mit Corona-WarnApp 


Freitag, 7. Januar 2022

Cookies zurück in die Dose!

Lieben Sie Cookie-Banner? Cookie-Banner geben den Nutzern die Möglichkeit, der Nutzung von Tracking-Technologien durch Webseiten zuzustimmen, zu widersprechen oder Einschränkungen vorzunehmen. So war jedenfalls die Idee des EuGH, als er mit dieser Entscheidung die Cookie-Banner EU-weit verbindlich machte und endlich auch Deutschland mit dieser technischen Finesse beglückte. 

Aber - huch! - werden Sie jetzt sagen; bei den meisten Cookie-Bannern sehe ich nur zwei Auswahlmöglichkeiten: "Alle Cookies zulassen" oder "Einstellungen". Wenn der Betreiber großzügig ist, gibt es noch ein "technisch notwendige Cookies erlauben!" - wobei der Terminus "technisch notwendig" durchaus großzügig ausgelegt werden kann. Wenn Sie sich dann aber auf die Seite "Einstellungen" trauen, bekommen sie oft eine kaum durchschaubare Seite von Technik-Gibberish präsentiert, die Ihnen ein "opt-out" entweder sehr erschwert, gar nicht ermöglicht oder zumindest mal so lästig gestaltet, daß man nach einer gefühlten Ewigkeit schließlich doch auf den prominenten Button "Accept all and close" klickt. Das ist nicht ganz das, was der EuGH sich vorgestellt hatte. 

Während wir in Deutschland noch darüber debattieren, ob man die gesetzlichen Regelungen präzisieren müßte, haben unsere französischen Nachbarn bereits eine recht klare Formulierung in ihrem Gesetz eingebaut: Das Ablehnen von Cookies darf nicht umständlicher sein als die Zustimmung zu ihnen. 

Dem genügten die Websites der Konzerne Facebook und Google nach Auffassung der französischen "Commission Nationale de l'Informatique et des Libertés (CNIL)" nicht. Daher wurde nun ein Bußgeld in Höhe von 60 Mio. Euro gegen Facebook und 150 Mio. Euro gegen Google verhängt. Weiterhin wird eine Korrekturfrist von 3 Monaten eingeräumt mit Strafandrohung von weiteren € 100.000,- für jeden Tag, den diese Frist überschritten wird. 

Die sog. "E-Privacy-Regeln", auf denen diese Entscheidung beruht, sind in Deutschland seit Dezember als revidiertes TTDSG in Kraft getreten; Cookies werden dort allerdings nur sehr kurz im Rahmen des § 25 gestreift. Eine Rechtsverordnung, die genauere technische Umsetzungsanordnungen trifft, fehlt bislang noch. 

Trotzdem bestehen weiterhin Bestrebungen im Bundestag, eine Regelung ähnlich der in Frankreich in Gesetzesform zu gießen. 

Spätestens dann sind Cookies das Flash der 2020er: Ein toter Gaul, den man nicht weiter reiten sollte. 


Empfehlung für Webmaster:

Es ist damit zu rechnen, daß Deutschland spätestens Mitte/Ende 2022 eine ähnliche Regelung umsetzen wird. Insofern empfiehlt es sich, die Nutzung von "hidden identifier"-Techniken langsam einzuschränken oder aber ein simpel gestaltetes Vorschaltbanner der Form zu verwenden, bereits jetzt in Frankreich verbindlich ist: "Möchten Cookies erlauben? - Ja / Nein / Einstellungen". 

Eine pragmatische, für technisch versierte User mögliche Variante ist auch folgende: Wenn Sie ohnehin dauernd im "incognito-/privacy-"Modus surfen und alle neuen Cookies verwerfen bzw. löschen, können Sie das praktische Browser-Addon I don't care about cookies nutzen. Hiermit werden alle erkannten Banner automatisch weggeklickt. Dies sollte man allerdings nicht tun, wenn man seinen Browser nicht entsprechend eingerichtet hat. Es sei denn, man liebt extrateure Einkäufe dank "individual pricing" und "retargeting". 


Quelle: 

Heise News: Millionenstrafe für Facebook und Google

Heise News: Naht die Erlösung von der Cookie-Flut