Zwei Apps der katarischen Regierung sorgen derzeit im Zusammenhang mit der dortigen Fußball-Weltmeisterschaft für Kritik von Datenschützerinnen und Datenschützern. Die Verwendungspflicht wurde zwar vor kurzem teilweise aufgehoben, viele Reisende dürften sie jedoch trotzdem installieren – und damit ihre Daten den Behörden des Emirats anvertrauen.

Datenzugriff, Standort- und Verbindungstracking

"Ehteraz", was so viel wie "Vorsichtsmaßnahme" bedeutet, ist die Corona-App der katarischen Regierung. Bis zum 1. November mussten sie alle Personen über 18 den Behörden jederzeit vorweisen können, mittlerweile ist sie nur noch für den Besuch von Gesundheitseinrichtungen nötig. Die App greift auf alle auf dem Gerät gespeicherten Daten, dessen WLAN- und Bluetooth-Verbindungen, den genauen Standort zu. Außerdem kann sie die Bildschirmsperre des Smartphones umgehen. Im Gegensatz zu vergleichbaren Apps in europäischen Staaten werden die gesammelten Daten an einen zentralisierten Server übermittelt und sind dort vermutlich einer Einzelperson zuordenbar. So könnten die katarischen Behörden theoretisch jederzeit herausfinden, wo man sich befindet und mit wem man sich trifft.

Laut einem Bericht des norwegischen öffentlich-rechtlichen Rundfunks NRK ist "Ehteraz" vergleichbar mit der ersten Version der norwegischen Corona-App "Smittestopp", die nach zwei Monaten von der norwegischen Datenschutzbehörde Datatilsynet gestoppt wurde.

Wie ein Schlüssel für die eigene Wohnung

"Hayya" heißt die zweite App, die derzeit unter Kritik steht. Der Name lässt sich mit "Ankommen" übersetzen, es handelt sich um eine App zur Verwaltung des Einreisevisums, der "Hayya Card". Außerdem lassen sich damit die öffentlichen Verkehrsmittel kostenlos nutzen. Auch diese App greift auf weite Teile der auf dem Gerät gespeicherten persönlichen Informationen zu, kann den Standort und die Netzwerkverbindungen des Geräts abrufen – und den Stand-by-Modus unterdrücken.

Øyvind Vasaasen ist der Sicherheitschef von NRK. Im Zuge der WM-Vorbereitung des Senders hatte er die beiden Apps überprüft und sagte, die Installation wäre vergleichbar damit, den katarischen Behörden einen Schlüssel zur eigenen Wohnung zu geben: "Sie bekommen einen Schlüssel und können eintreten. Sie wissen nicht, was sie dort tun. Sie sagen, dass sie die Chance vielleicht nicht nutzen, aber Sie geben ihnen die Möglichkeit dazu."

Martin Gravåk von der IT-Sicherheitsfirma Bouvet sagte gegenüber NRK, wenn jemand "etwas bösere Intentionen hat als das norwegische Institut für öffentliche Gesundheit", dann könne diese Person oder Behörde mit den über die beiden Apps gesammelten Informationen "ziemlich viele schlechte Dinge anstellen". Und: "Wenn du Jagd auf die Opposition, Schwule oder andere, die du nicht magst, machst, wird eine solche App das deutlich vereinfachen."

Auch Amnesty und der deutsche Datenschutzbeauftragte warnen

Amnesty International warnte bereits im Sommer 2020 vor der katarischen Corona-App. Die katarische App sei, neben anderen Apps aus Ländern wie Frankreich, Island, Norwegen, "menschenrechtlich problematisch bis gefährlich in Bezug auf willkürliche Überwachung und Verletzungen von Privatsphäre sowie Datenschutz". Die norwegische "Smittestopp"-App, die NRK mit "Ehteraz" vergleicht, stufte Amnesty gar als "potenzielles Massenüberwachungsinstrument" ein.

Kürzlich warnte auch der deutsche Beauftragte für Datenschutz und Informationsfreiheit (BfDI) vor "Ehteraz" und "Hayya". Wer nach Katar reisen möchte, sollte für die beiden Apps am besten ein separates Smartphone verwenden, auf dem keine sensiblen Daten gespeichert sind, so der BfDI. Mittlerweile können Fans aber außerhalb von Gesundheitseinrichtungen auf "Ehteraz" verzichten, und "Hayya" lässt sich auch durch einen schlichten QR-Code ersetzen. (Jonas Heitzer, 16.11.2022)