Fußball-WM in Katar und Datenschutz? Keine gute Kombi

News

Die Kritik an der Fußball-WM in Katar ebbt nicht ab. Katastrophale Menschenrechtslage, Homophobie, Korruptionsvorwürfe, der Streit um die Regenbogenbinde und nun auch noch der Datenschutz. Der BfDI hat zuletzt eine Warnung hinsichtlich der Verwendung der offiziellen WM-Apps ausgesprochen.

Hayya und Ehteraz – was verbirgt sich dahinter?

Wer die Fußball-WM in Katar live erleben möchte, kommt um die Installation zweier Apps nicht herum. Für die Einreise nach Katar und den Besuch von WM-Spielen ist die Installation der App Hayya auf den Mobiltelefonen der Besucher:innen erforderlich. Die App „Hayya to Qatar 2022“ ist die offizielle App für die Weltmeisterschaft und ist für den Zugang zu Fußballstadien, Fan-Events, die Einsicht in den Zeitplan und die kostenlose Nutzung des ÖPNV vorgesehen.

Die andere katarische App „Ehteraz“ ist der deutschen Corona-Warnapp ähnlich und wird zur Kontaktverfolgung eingesetzt. Reisende ab 18 Jahren benötigen diese App auf ihren Mobiltelefonen. Sie ist beim Besuch von Gesundheitseinrichtungen wie Krankenhäusern oder Arztpraxen vorzuzeigen.

Apps voller Sicherheitslücken

Verschiedene Sicherheitsexpert:innen haben inzwischen vor der Installation der Apps auf privaten Mobiltelefonen gewarnt. Zunächst berichtete der öffentlich-rechtliche Rundfunk NRK aus Norwegen über die Sicherheitslücken der Apps und den weitreichenden Zugriff auf persönliche Daten.

Besonders kritisiert wird die App „Ehteraz“, die ähnlich der deutschen Corona-Warnapp Infektionsketten nachvollziehen soll. Sobald die App auf dem Mobiltelefon installiert ist, könne sie beispielsweise auf sämtliche Daten zugreifen, WLAN- oder Bluetooth-Verbindungen überwachen und den Standort der Nutzenden genau auslesen. Außerdem sei naheliegend, dass die von der App verwendeten Daten an einen zentralen Server übermittelt würden, anstatt lokal auf dem Gerät zu verbleiben. „Ehteraz“ könne

„genau nachverfolgen, wohin man geht und welche anderen Handys sich in der Nähe befinden.“

Damit sei sehr einfach nachzuvollziehen, wer sich mit wem treffe. Gerade in einem Land wie Katar sind die daraus resultierenden Konsequenzen schwerwiegend.

Nicht weniger problematisch ist die offizielle WM-App „Hayya“. Auch sie frage personenbezogene Daten ab, könne den Standort auslesen, verhindere aktiv, dass das Gerät, auf dem sie installiert wird, in den Schlafmodus wechsele und sei so programmiert, dass eine vollumfängliche Kontrolle über die Informationen, die sich auf dem Mobiltelefon befänden, bestehe.

Auch das Auswärtige Amt hat die Apps in seinen Reise- und Sicherheitshinweisen zu Katar aufgegriffen. Die technische Untersuchung beider Apps habe ergeben, dass ein

„externer Zugriff auf Standortdaten und damit anlassunabhängiges Standort-Tracking sowie Datenzugriff auf das Mobiltelefon nicht ausgeschlossen werden könne“.

Es sei auch nicht möglich, den Apps nur bestimmte Berechtigungen zu erteilen und die kritischen Datenübertragungen nicht zu erlauben, denn die App funktioniere ohne die Freigabe aller Berechtigungen nicht und werde dann nicht akzeptiert. Somit würde Besucher:innen der Zutritt verweigert, wenn nicht alle Berechtigungen in der App erteilt würden.

Warnung vor Apps auch durch den BfDI

Inzwischen hat sich auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zu der Thematik geäußert und eine klare Warnung ausgesprochen. Da die Apps „Ehteraz“ und „Hayya“ in den gängigen App-Stores in Europa verfügbar sind und somit auch außerhalb von Katar heruntergeladen werden können, hat die Behörde die Apps einer Prüfung unterzogen. Im Ergebnis konnte festgestellt werden, dass

„die Datenverarbeitungen beider Apps (…) deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben.“

Seitens des BfDI wird den Nutzer:innen empfohlen, eine Installation der beiden Apps nur durchzuführen, wenn sich dies auf keinen Fall vermeiden lässt. Die Behörde geht sogar so weit, von der Verwendung von Privathandys abzuraten und stattdessen lieber ein Telefon zu benutzen, das allein für die Apps genutzt wird. Personenbezogene Daten wie Telefonnummern oder Bilddateien sollten auf dem separaten Handy nicht gespeichert werden. Nach der Nutzung solle es im Idealfall vollständig gelöscht und auf Werkseinstellungen zurückgesetzt werden. Aus der Tatsache, dass die Verwendung von Zweithandys empfohlen wird, anstatt den Apps Zugriff auf das persönliche Gerät zu erlauben, kann jeder seine eigenen Schlüsse ziehen. Die Ernsthaftigkeit des Themas wird jedenfalls sehr deutlich.

Wer sich in diesem Zusammenhang über den sicheren Umgang mit Apps auf mobilen Geräten informieren will, kann dies auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik tun.

Datenschutz in Katar – ein Fass ohne Boden?

Doch mit den Apps „Hayya“ und „Ehteraz“ ist das Thema Datenschutz bei der Weltmeisterschaft in Katar noch lange nicht beendet. Auch digitale Technologien wie der Einsatz von Videokameras im öffentlichen Raum und die biometrische Erfassung mittels Gesichtsscanner und Bildabgleich bei Ein- und Ausreise gehören nach Einschätzung des Auswärtigen Amts zu den Mitteln, die die Behörden vor Ort nutzen. Dem europäischen Verständnis von Datenschutz entspricht das jedenfalls nicht.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Rechtzeitig vor dem Ausscheiden der deutschen Mannschaft heute Abend wird über die Empfehlung des BfDI von vor 3 Wochen berichtet, ein Zweithandy mit nach Katar zu nehmen. Da werden sich einige Fans doppelt Ärgern, dass sie das nicht früher gewusst haben, wenn sie das nach dem Landen heute Abend lesen. ;)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.