Closed MikeMcC399 closed 1 year ago
MikeMcC399
commented
3 years ago Is there any update of the document https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf available?
The published document only covers the app versions up to CWA 2.2 and today version 2.5 of the Corona-Warn-App was released which completes the integration of EU Digital COVID Certificates (see https://www.coronawarn.app/en/blog/2021-07-12-cwa-version-2-5/).
MikeMcC399
commented
3 years ago PR https://github.com/corona-warn-app/cwa-website/pull/1517 has updated https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf to Version 1.15, 12.07.2021.
The section in question is now on page 87.
The concerns in this issue (https://github.com/corona-warn-app/cwa-website/issues/1281) have not been addressed or commented on in Version 1.15 of the DSFA.
5.6.13 Deinstallation der CWA App
Deinstalliert der CWA-Nutzer die CWA App auf dem Smartphone, werden dadurch grundsätzlich sämtliche von der CWA App gespeicherten Daten vom Smartphone gelöscht.
Durch diesen Schritt nicht automatisch gelöscht werden die Daten, die durch das jeweilige Betriebssystem gespeichert und verwaltet werden. Dies betrifft zum einen Verschlüsselungsschlüssel in der KeyChain. Unter iOS bleiben zudem die Daten in der Begegnungsaufzeichnung des ENF zunächst erhalten. Unter Android werden mit der Deinstallation der CWA-App die Positivschlüssel dann automatisch gelöscht, wenn keine weitere Corona-App installiert ist, die Zugriff auf die Begegnungsaufzeichnung des ENF hat.
Auch eine Löschung bereits an den CWA Server übermittelter und von dort an den EFGS und die Server der anderen nationalen Corona-Apps zur Verfügung gestellter Daten oder im Rahmen der Datenspende an den Data Donation Server übermittelter Daten erfolgt in Folge der Löschung der CWA App auf dem Smartphone nicht. Diese Daten werden nach Ablauf der jeweiligen Löschfristen automatisiert gelöscht.
MikeMcC399
commented
3 years ago There have not been any further updates to the document Datenschutz-Folgenabschätzung "Bericht zur Datenschutz-Folgenabschätzung für die Corona-Warn-App der Bundesrepublik Deutschland Öffentliche Version" since Version 1.15, 12.07.2021, so this issue is still open.
MikeMcC399
commented
2 years ago There has still been no update to the document Datenschutz-Folgenabschätzung which covers the app up until CWA version 2.5.
The current version of the app is 2.14.1 (see https://www.coronawarn.app/en/) which leaves a gap of app functionality that Version 1.15, 12.07.2021 of Datenschutz-Folgenabschätzung does not discuss.
MikeMcC399
commented
2 years ago MikeMcC399
commented
2 years ago This issue remains unaddressed by the current version 1.20 https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf published today.
Section 5.6.13 Deinstallation der CWA App (now Seite 102 von 225) is unchanged.
Ein-Tim
commented
2 years ago If I read the Datenschutz-Folgeabschätzung correctly, this is still an issue.
GisoSchroederSAP
commented
2 years ago DSFA will be update with a simple change from "Positivschlüssel" to "Schlüssel". In fact, if there is no other ENF-leveraging Corona app on the device, the stop() function invoked at time of the CWA deinstallation will remove all keys. The Data Privacy and Security team is informed and takes this to the next alignment meeting on Friday, November 4th.
MikeMcC399
commented
2 years ago @GisoSchroederSAP
Thank you for the update!
GisoSchroederSAP
commented
2 years ago Okay, thanks for the cross-reference here. We hopefully get thise tickets processed and closed soon.
MikeMcC399
commented
1 year ago 
Where to find the issue
This is a follow-on to #1066.
Datenschutz-Folgenabschätzung Bericht zur Datenschutz-Folgenabschätzung für die Corona-Warn-App der Bundesrepublik Deutschland Öffentliche Version
First reported on Version 1.12, 11.05.2021 Reviewed as not yet fixed in Version 1.20, 09.12.2021.
Reference in version 1.12: 5.6.12 Deinstallation der CWA App, Seite 81 von 189 Reference in version 1.15: 5.6.13 Deinstallation der CWA App, Seite 87 von 203 Reference in version 1.20: 5.6.13 Deinstallation der CWA App, Seite 102 von 225
Describe the issue
The Datenschutz-Folgenabschätzung says:
"Unter Android werden mit der Deinstallation der CWA-App die Positivschlüssel dann automatisch gelöscht, wenn keine weitere Corona-App installiert ist, die Zugriff auf die Begegnungsaufzeichnung des ENF hat"
This contradicts information in the App FAQ for the Android operating system and in the Google API documentation regarding Android.
Data Protection Impact Assessment
5.6.13 Deinstallation der CWA App
"Deinstalliert der CWA-Nutzer die CWA App auf dem Smartphone, werden dadurch grundsätzlich sämtliche von der CWA App gespeicherten Daten vom Smartphone gelöscht.
Durch diesen Schritt nicht automatisch gelöscht werden die Daten, die durch das jeweilige Betriebssystem gespeichert und verwaltet werden. Dies betrifft zum einen Verschlüsselungsschlüssel in der KeyChain. Unter iOS bleiben zudem die Daten in der Begegnungsaufzeichnung des ENF zunächst erhalten. Unter Android werden mit der Deinstallation der CWA-App die Positivschlüssel dann automatisch gelöscht, wenn keine weitere Corona-App installiert ist, die Zugriff auf die Begegnungsaufzeichnung des ENF hat."
CWA FAQs - Anwendung
Werden die gesammelten Zufalls-IDs beim Deinstallieren der App entfernt?
"Auf Android-Geräten werden in der derzeitigen Implementierung beim Deinstallieren 'Datenbank und Schlüssel' vom Gerät gelöscht. Sie sollten daher davon ausgehen, dass mit Deinstallation der App auch die Begegnungsaufzeichnungen verloren gehen."
Google - Exposure Notifications API
Methods
"stop()
Disables the broadcast and scan process. You can call this directly. It's also called when a user uninstalls the app. When it’s called as part of the uninstallation process, the database and keys are deleted from the device."
Additional comments
Uninstalling the Corona-Warn-App on Android deletes the complete Exposure Log history displayed by Google.
Steps to reproduce
Note the history of exposure checks
Suggested change
The Datenschutz-Folgenabschätzung should be changed to say that uninstalling the app on Android removes the recorded exposure data.
Not only are the "Positivschlüssel" (Definition in 5.7.6) deleted, but also the "Tageschlüssel (TEK)" (5.7.2), the "RPI" (5.7.3). In fact all keys are deleted.
Was previously logged under Internal Tracking ID: EXPOSUREAPP-6351