Datenschutzbehörden warnen vor WM-Apps Hayya und Ehteraz
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) rät Besucherinnen und Besuchern der Fußball-Weltmeisterschaft (WM) 2022 in Katar zur Verwendung eines separaten Mobiltelefons für die Reise. Hintergrund der Empfehlung ist, dass die Fußball-Fans die Apps „Hayya“ und „Ehteraz“ installieren müssen, welche der BfDI als datenschutztechnisch bedenklich einstuft.
Die WM-Apps Hayya und Ehteraz
„Hayya“ ist die offizielle WM-App, mit der die sogenannte „Hayya-Card“ verwaltet wird, die für Einreise und Zutritt zu den Fußballstadien sowie die Nutzung des öffentlichen Nahverkehrs erforderlich ist. „Ehteraz“ wird zur Corona-Kontaktverfolgung eingesetzt und muss von allen Reisenden ab 18 Jahren installiert werden. Allerdings wird „Ehteraz“ nur für den Besuch von Gesundheitseinrichtungen benötigt. Beide Apps können in den gängigen App-Stores heruntergeladen werden.
Ergebnisse der Analyse
Bei der ersten Analyse der Apps hat der BfDI festgestellt, dass „die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben.“ Eine der Apps erhebe Daten zu Telefonaten, welche in Deutschland als sensible Telekommunikationsverbindungsdaten unter das Fernmeldegeheimnis fielen. Die andere App könne aktiv den Schlafmodus des Geräts verhindern. Zudem liege nahe, dass die Daten nicht nur lokal gespeichert, sondern auch an einen zentralen Server übermittelt würden. Aus diesen Gründen sollten Besucherinnen und Besucher der WM laut BfDI ein separates Gerät zur Installation der Apps verwenden, auf dem keine personenbezogenen Daten gespeichert seien, und nach Rückkehr das Betriebssystem und sämtliche Inhalte darauf vollständig löschen.
Bedenken anderer Datenschutzbehörden
Die Einschätzung des BfDI deckt sich mit der Warnung der französischen und der norwegischen Datenschutzbehörden CNIL und Datatilsynet. Auch diese empfehlen die Nutzung eines separaten Geräts für die Apps. Die norwegische Datenschutzbehörde Datatilsynet hält den umfangreichen Zugriff der Apps für alarmierend und gab Empfehlungen (auf Norwegisch) dahingehend ab, was Besucherinnen und Besucher tun können, die keinen Zugriff auf ein Zweitgerät haben oder ein solches nicht nutzen möchten. Demnach könnten die eigenen Daten vor Einreise gesichert und anschließend auf dem Mobiltelefon gelöscht werden, sodass es in Katar nur für die beiden Apps verwendet würde. Nach Rückkehr könnte das Gerät dann zurückgesetzt und die gesicherten Daten wiederhergestellt werden.
Nicht das einzige Datenschutzthema bei der WM in Katar
Die verpflichtende Installation dieser Apps ist nicht das einzige Problem, das sich bei der WM in Katar im Bereich des Datenschutzes stellt. Laut Auswärtigem Amt nutzen die Behörden in Katar „intensiv digitale Technologien.“ Es würden unter anderem flächendeckend Videokameras im öffentlichen Raum eingesetzt und bei jeder Ein- und Ausreise fände eine biometrische Erfassung mittels Gesichtsscanner und Bildabgleich statt.