Die Idee der “Corona-App” ist im Grunde recht simpel. Doch die Umsetzung der geplanten Tracing-App erweist sich als deutlich komplizierter. Wir haben für Sie die technischen Hintergründe, datenschutzrechtliche Implikationen und mögliche Lösungsstrategien zusammengefasst – auch mit Blick auf unsere europäischen Nachbarn.
Die sogenannte “Corona-App” soll auf dem eigenen Handy installiert werden und dann Listen über Geräte erstellen, die in der Nähe waren. Mit den Daten passiert nichts weiter, außer, wenn man in “Gefahr” ist. War ein an COVID-19-Erkrankter in der Nähe, wird man gewarnt und kann sich testen lassen oder prophylaktisch in Quarantäne gehen. Die Umsetzung der Idee erweist sich zunehmend als diffizil und wirft viele Fragen auf: Ist eine zentrale oder dezentrale Speicherung der Daten sinnvoll? Was bedeutet das für den Datenschutz? Von wem soll die Technik kommen und ist eine gesamteuropäische Lösung möglich? Im folgenden Beitrag finden Sie die wichtigsten Antworten.
Funktionsweise
Die „Corona“-App oder „Contact-Tracing-App“ soll auf der Basis von Proximity-Tracing das Nachverfolgen von Kontakten ermöglichen, nicht aber den Ort des Kontakts. Der Kontaktort könnte nur über Tracking erzielt werden, wobei Daten von Mobilfunkzellen, WLAN-Signale oder GPS-Daten ausgewertet würden, was bei der geplanten App nicht der Fall ist.
Für die Ermittlung anderer Smartphones in der Nähe wird Bluetooth Low Energy verwendet, eine Funktechnik, die über die Signalstärke die räumliche Nähe zweier Smartphones schätzen soll. Im Idealfall würden die Nahfunkwellen kugelförmig abgestrahlt, da die Abstrahlung aber der Nierencharakteristik unterliegt – d.h. dass der Schall keinen optimalen Eintrittswinkel bietet – kennzeichnet sich das Verfahren durch hohe Ungenauigkeit.
Zentral oder dezentral?
Die Verarbeitung der Daten ist sowohl zentral als auch dezentral möglich.
Zentrale Speicherung
Beim zentralen Matching werden die Nummern aller Kontakte der Infizierten sowie der Zeitpunkt des Kontakts in einer Zentrale gespeichert. Technisch basiert dieser Ansatz auf dem Pan European Privacy Preserving Proximity Tracing (PEPP-PT)-Konzept, bei dem die Daten zentral, aber anonymisiert gespeichert werden. Nach Installation der App sendet das Smartphone regelmäßig eine ID via Bluetooth und lauscht auf die ID-Signale anderer Smartphones. Sobald zwei Anwender in räumliche Nähe zueinander treten, kommt es zum Austausch beider IDs und einer verschlüsselten lokalen Speicherung. Der eingebaute Algorithmus prüft, ob Dauer und Länge des Kontakts für eine potentielle Infektion ausreichend waren. Trifft dies zu, speichern die Geräte auf ihrem lokalen Speicher einen Zahlencode. Die Zahlencodes werden anonymisiert an einen zentralen Speicher weitergeleitet, der die entsprechenden Kontaktpersonen via Smartphone über eine mögliche Infektion informiert und eine Empfehlung zur präventiven Quarantäne ausspricht. Befürworter der zentralen Lösung, wie das Fraunhofer-Institut, argumentieren, dass mit dieser Variante leichter die Warnhinweise versendet werden und zudem die Daten anonymisiert auch für die Forschung verwendet werden könnten.
Dezentrale Speicherung
Bei der dezentralen Variante erhält die Zentrale nur den Tages-Schlüssel positiv getesteter Personen, wenn diese die Daten zur Veröffentlichung freigeben. Die Apps auf allen anderen Smartphones können so berechnen, ob ein Kontakt zu einem Infizierten stattgefunden hat. Dieser Ansatz fußt auf dem Decentralized Privacy Preserving Proximity Tracing (DP-3T)-Konzept. Dabei wird ein geheimer Seed Key (Seed ist der Wert, mit dem ein Zufallszahlengenerator initialisiert wird) hochgeladen, aus dem flüchtige IDs generiert werden, die während des Infektionsfensters ausgesendet werden. Nur mit einem Authentifizierungscode ist das Hochladen der Seed Keys möglich. Der Code wird von den Gesundheitsbehörden bereitgestellt. Die IDs der anderen Nutzer, die der Infizierte in dem bestimmten Zeitraum empfangen hat, werden nicht hochgeladen. Vom Backend erhalten die übrigen Nutzer stattdessen die flüchtigen IDs der Infizierten. Die App gleicht die empfangenen IDs der Infizierten mit den gespeicherten IDs aus der Bluetooth-Kommunikation ab. Bestehen Kongruenzen, berechnet die App das Infektionsrisiko und teilt es dem Nutzer mit. Dadurch soll der Backend-Server keine Daten enthalten, die Aufschluss über die Kontakte von Infizierten geben könnten. Zudem würden keine Daten von Nicht-Infizierten übertragen. Die Anhänger des dezentralen Ansatzes rücken potentiellen Missbrauch der Daten in den Vordergrund, der nur durch eine dezentrale Speicherung ausgeschlossen werden könne.
Bei beiden Modellen ist bislang unklar, wie verhindert werden kann, dass die Hersteller der Telefon-Betriebssysteme Informationen abschöpfen. Da die zentrale Lösung zusätzlich erhebliches Missbrauchspotential birgt, entschied sich die deutsche Bundesregierung am 25. April 2020 aufgrund massiver Proteste von Datenschützern für einen dezentralen Ansatz.
Umsetzung
Die geplante „Corona“-App soll nach Angaben der Bundesregierung von der Telekom und SAP entwickelt und zur Marktreife gebracht werden. Grundlage soll eine „dezentrale Softwarearchitektur“ sein. Kernaufgabe der App sei, dass Bürger nach einem Kontakt mit einem SARS-CoV-2-Infizierten schnellstmöglich darüber informiert würden. Hierdurch werde eine zeitnahe Isolation der Betroffenen ermöglicht, Infektionsketten würden unterbrochen. Nach der Fertigstellung soll die „Corona“-App vom Robert Koch-Institut herausgegeben werden. In einer zweiten Stufe sei dann geplant, einen Forschungsserver einzurichten, der auf Basis freiwilliger Datenspenden pseudonymisierte Daten zur qualitätssichernden Analyse der „Corona“-App nutzen kann.
Fragen und Probleme
1. Technik wird von vielen älteren Geräten nicht unterstützt
Von rund 2 Milliarden Geräten weltweit wird Bluetooth Low Energy nicht unterstützt. Das bedeutet, dass jedes vierte Smartphone die technischen Anforderungen der geplanten App nicht erfüllt. Es kann angenommen werden, dass überdurchschnittlich viele ärmere und alte Menschen kein aktuelles Smartphone besitzen – gerade letztere werden aber zur Risikogruppe gezählt. Weder der zentrale noch der dezentrale Ansatz bieten hierfür eine Lösung.
2. Öffentlicher Quellcode
Bündnis 90/Die Grünen, der Chaos Computer Club, Greenpeace sowie die Gesellschaft für Freiheitsrechte fordern, den Quellcode der Tracing-App von vornherein öffentlich zu machen, um datenschutzrechtliche Vorgaben zu erfüllen. Bund und Länder haben sich in der Zwischenzeit darauf geeinigt, diese Forderung umzusetzen – eine gesetzliche Verankerung, wie von den Grünen gefordert, wird aber abgelehnt.
3. Anonymisierung
Zwar wird im Zusammenhang mit der „Corona“-App von „Anonymisierung“ gesprochen, tatsächlich wird aber beim ersten Start der App ein Pseudonym, bestehend aus User-ID und Postleitzahl generiert, das für den Nutzer sichtbar ist. Die technischen Hürden, solche Pseudonyme wieder realen Personen zuzuordnen, sind niedrig, weshalb in diesem Zusammenhang nicht von einer vollwertigen Anonymisierung gesprochen werden kann.
4. 60% Beteiligung notwendig
Eine Simulation der Technischen Universität München ergab, dass mind. 60% der Bevölkerung die Contact-Tracing-App installieren und verwenden müsste, um einen Beitrag zur Eindämmung des Infektionsgeschehens leisten zu können. Zudem müssten die Kontaktpersonen infizierter Personen ohne Zeitverzögerung informiert werden. Ob tatsächlich soviele Bundesbürger die App – nach dem wochenlangen politischen Tauziehen um die zentrale versus dezentrale Lösung – nutzen wollen, bleibt abzuwarten.
5. Fehlende Präzision
Die Nierencharakteristik der Bluetooth Low Energy kennzeichnet sich durch fehlende Präzision. Keiner der bislang präsentierten Ansätze kann dieses Problem lösen. Damit stellt sich die Frage, ob der Einsatz einer solchen App überhaupt den gewünschten Nutzen bieten kann.
6. Freiwilligkeit?
Die deutsche Bundesregierung betont den Aspekt der Freiwilligkeit, da nicht geplant sei, die Nutzung der App de jure durchzusetzen. In die politische Diskussion hat sich jedoch der Vorschlag, Anreize für die App-Nutzung zu bieten, eingeschlichen – zum Beispiel App-Nutzern Vorrang bei künftigen Reisen zu geben und ihnen als erstes den Zutritt zu Restaurants, Kinos und Freibädern zu gewähren. Durch die indirekte Sanktionierung der App-Verweigerer kommt es zu einer Begriffsverzerrung der „Freiwilligkeit“.
In welcher Form die „Corona“-App kommen wird, wenn überhaupt, bleibt weiterhin unklar; geplanter Termin ist derzeit Mitte Juni 2020. Fest steht jedoch, dass die Einführung dieser App eine heikle Angelegenheit darstellt, die die Gesellschaft durch Schwierigkeiten des Datenschutzes und der Privatsphäre, aber auch durch ungelöste ethisch-juristische Fragen und technische Hürden als Ganzes fordert.
Blick in die Nachbarländer
Eine gesamteuropäische Lösung scheint nicht mehr möglich zu sein – zu unterschiedlich sind die Ansätze der einzelnen Länder. Hier ein Überblick zu den bestehenden und geplanten Konzepten innerhalb Europas:
Aktive Tracing-Apps
1. Österreich: dezentral, Open Source, keine Verwendung von Standortdaten
2. Norwegen: zentral, Closed Source, Fokus: Bewegungsprofile, Nutzung genauer Standortinformationen
3. Island: dezentral, Open Source, Nutzung genauer Standortinformationen
Geplante Tracing-Apps
1. Deutschland: dezentral, Open Source, Sicherheit/Anonymität nicht gewährleistet
2. Großbritannien: zentral, Open Source, Fokus: Symptomatik, nicht die tatsächliche Erkrankung, Datenspeicherung auf unbegrenzte Zeit
3. Frankreich: zentral, Open Source, kein GPS-Zugriff, keine Weiterverwendung der Daten nach Ende der Pandemie
4. Italien: dezentral/zentral noch unklar, Open Source, keine GPS-Daten, Weiterverwendung noch unklar
Noch unentschiedene Länder
1. Schweden: Orientierung am britischen Modell (Fokus Symptomatik), datenschutzrechtliche Bedenken überwiegen jedoch derzeit
2. Niederlande: Wettbewerb ohne überzeugenden Kandidaten; Regierung arbeitet derzeit an einer neuen App; Einführung ob und wann noch nicht geklärt
(Quelle: dpa)