Corona-Selbsttests von Aldi: Trügerische Sicherheit

0
995
Zukünftig sollen negative Schnell- und Eigentests Zugang zu Gastronomie und Kultur ermöglichen. (Foto: Tim Reckmann, CC BY 2.0, www.flickr.com)

Bei der neuen von Bund und Ländern vereinbarten Öffnungsstrategie spielen Schnell- und Eigentests eine große Rolle. Die von Aldi verkauften Tests der Marke Aesku Rapid sind allerdings problematisch: Es können negative COVID-Zertifikate ausgestellt werden, ohne dass der Test jemals gekauft wurde. Auch positive Resultate sind nicht verbindlich und können als negativ angegeben werden. Hier appelliert der Hersteller lediglich an die Eigenverantwortung.

Mithilfe negativer COVID-Zertifikate soll in Zukunft der Besuch in Restaurants, Museen und Veranstaltungen ermöglicht werden. Wer sich selbst negativ testet, kann mithilfe eines QR-Codes auf der Unterseite der Verpackung von Aesku und seiner Personalausweis- oder Führerscheinnummer eine PDF-Datei erzeugen, welche als Negativ-Testzertifikat fungiert.

Das Problem dabei: Um an den QR-Code zu gelangen, muss das Produkt nicht gekauft werden. Es reicht aus, ein Foto oder Video vom Code anzufertigen. Dabei kann eine Aufnahme des Selbsttests aus den sozialen Medien genutzt werden oder schlicht und ergreifend ein Foto vom Produkt aus dem Handel. Ist ein Zertifikat erstmal erstellt, ist der QR-Code für dieses Produkt verbraucht. Wenn also eine fremde Person den ausgespähten QR-Code nutzt, geht der rechtmäßige Käufer später leer aus.

Des Weiteren ist das generelle Konzept des Tests fragwürdig, denn er basiert auf dem Verantwortungsbewusstsein und der Wahrheitstreue der Käufer. Auf der Website von Aesku ichtestemichselbst.de muss nur angegeben werden, ob der Test positiv oder negativ ausgefallen ist. Ein Nachweis wird nicht verlangt. Konkret heißt es dazu auf der Website: „Die wahrheitsgetreue und richtige Eingabe der Testergebnisse liegt in der Verantwortung des Anwenders. Eine Überprüfung durch die Web App erfolgt nicht. Eine Haftung für falsche Reports wird von AESKU.Diagnostics ausgeschlossen.“ Damit begibt sich die Firma auf ähnliches Terrain, wie Webseiten mit nicht-jugendfreien Inhalten in der die Nutzenden mit einem Klick bestätigen können, dass sie über 18 Jahre alt sind.

Eine weitere Problematik liegt darin, dass Aesku auch gegen seine eigenen Datenschutzregeln verstößt. So heißt es auf der Website: “Die eingegebene Personalausweisnummer oder die Führerscheinnummer werden sofort verschlüsselt und sind nicht mehr reproduzierbar. Ohne Zusatzwissen kann die Person, die den Test durchgeführt und die Angaben gemacht hat, nicht bestimmt werden.” Diese Angaben sind allerdings falsch. Bisher sind die Informationen im Klartext in den PDFs auf dem Webservern gespeichert. Darüber hinaus werden die Daten auch noch gespeichert, wenn die Zertifikate abgelaufen sind und kein Bedarf an weiterer Speicherung besteht.

Der Datenschutzbeauftragte des Unternehmens teilte nach Anfrage der Zeitschrift c’t mit, dass der zuständige Landesdatenschutzbeauftragte informiert worden ist und die Datenpanne als meldepflichtig eingestuft wurde. Das Problem des QR-Codes konnte bis dato allerdings noch nicht behoben werden. Um den Code auf der Innenseite des Produkts unterzubringen, wird eine Umstellung der Produktion von Aesku notwendig sein.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here