Corona-Tracing-App: Verzögerung und Streit

Berlin – Die geplante Warn-App zur Eindämmung des Coronavirus SARS-CoV-2 wird laut Bundesgesundheitsminister Jens Spahn (CDU) voraussichtlich erst im Mai verfügbar sein.

Als Gründe nannte er gegenüber verschiedenen Medien die hohen Anforderungen an Da­tensicherheit, Datenschutz und Funktionalität, die eine aufwendige Abstimmung zwi­schen den drei zuständigen Behörden Bundesamt für Sicherheit in der Informations­tech­nik, Robert-Koch-Institut und den Bundesdatenschutzbeauftragten erfordere.

Bund und Länder haben sich bei der Umsetzung auf den Ansatz des europäischen PPEPT-PT-Konsortiums (Pan-European Privacy-Preserving Proximity Tracing ) zur Identifikation und Nachverfolgung von möglichen Infektionsketten (Contact Tracing) verständigt.

Danach sollen Kontaktinformationen in anonymisierter Form per Bluetooth-Technologie für drei Wochen auf den Geräten der App-Nutzer gespeichert werden. Im Fall eines posi­tiv getesteten Kontakts sollen alle Teilnehmer der Kette darüber informiert werden.

Der datenschutzfreundliche Ansatz funktioniert ohne Bewegungsprofile über Mobilfunk­daten oder GPS. Die Apps in den EU-Mitgliedstaaten sollen miteinander kompatibel sein.

Zentraler oder dezentraler Ansatz

Das PPEPT-PP-Konzept ist unter IT-Experten allerdings nicht unumstritten. Zwar soll das Nachverfolgen möglicher Kontakte zu Infizierten weitgehend anonym erfolgen und die Nutzung der App zudem freiwillig sein.

Kritik gibt es jedoch vor allem an einer zentralen Komponente im Rahmen des Architek­tur­konzepts und des damit verbundenen Privatsphäremodells: So werden für die Kontakt­verfolgung von den Smartphones temporäre Identifikationsnummern (IDs) ausgesendet und mit Geräten, die sich für eine gewisse Zeit in der Nähe befunden haben, ausge­tauscht und verschlüsselt auf den Geräten abgespeichert.

Wird eine Person positiv auf das Coronavirus getestet, lädt sie ihre ID-Liste der Risikokon­takte auf einen zentralen Server hoch. Dieser berechnet das Risiko und informiert mögli­che Risikokontaktpersonen.

Datenschützer befürchten, dass über eine zentrale Sammlung der Kontakte eine Reidenti­fizierung pseudonymisierter Daten möglich wird. Verfechter eines dezentralen Ansatzes (Decentralized Privacy-Preserving Proximity Traqcing – DP-3T) wollen daher ohne einen zentralen Server auskommen, sondern alle erforderlichen Berechnungen auf den Smart­phones selbst ablaufen lassen. Die infizierten Personen melden dabei ihre ID als infiziert, und alle anderen Smartphones im Netzwerk gleichen permanent ab, ob sie Kontakt zu diesen IDs hatten.

Bei einer Sitzung am letzten Wochenende ist Medienberichten zufolge ein länger schwe­lender Richtungsstreit zwischen den jeweiligen Vertretern beider Ansätze eskaliert. Die DP-3T-Verfechter eines dezentralen Tracing-Standards haben die mangelnde Transparenz im Projekt beklagt und sich aus dem PPEPT-PT-Projekt zurückgezogen.

Nach Meinung von Experten hat sowohl die Informationsübermittlung über einen zentra­len Server als auch die dezentrale Information über viele einzelne Geräte jeweils Vor- und Nachteile, wie die Stellungnahmen einiger Wissenschaftler bei SMC verdeutlichen.

„Der Ansatz PEPP-PT bietet einen hohen Privatsphärenschutz“, sagt etwa Matthias Fischer, Universität Hamburg. Es würden keinerlei persönliche Daten gespeichert und die Nutzer einer entsprechenden App könnten komplett anonym bleiben, da Geräte untereinander lediglich anonyme IDs austauschten. Dem IT-Sicherheitsexperten zufolge ist PEPP-PT „ein gutes Beispiel für eine datenschutzfreundliche Lösung.“

Wenn ein zentraler Ansatz, wie in Deutschland vorgesehen, datensparsam ausgelegt ist, dann ist es dort, wie auch im dezentralen Ansatz, nicht sehr einfach, Bluetooth-IDs Personen zuzuweisen. Hierzu müssten dann die pseudonymisierten IDs mit Metadaten wie IP-Adressen abgeglichen werden, was in Deutschland ohne richterlichen Beschluss so eigentlich nicht realistisch machbar ist“, meint Eric Bodden, Heinz Nixdorf Institut, Universität Paderborn. In anderen Ländern, in denen Grundrechte nicht so gut gesichert sind, könne dies jedoch anders aussehen.

„Für Deutschland ist ein dezentraler Ansatz die deutlich bessere Wahl, weil nur so unsere hohen Anforderungen an Datensicherheit und Datenschutz sichergestellt werden können“, erklärt hingegen Thorsten Holz, Horst-Görtz-Institut, Ruhr-Universität Bochum. Generell müsse es sich um ein offenes, vollständig dokumentiertes System handeln, bei dem die Sicherheitseigenschaften auch von unabhängigen Parteien überprüft werden könnten.

„Ein zentraler Ansatz, bei dem einer einzelnen Instanz völlig vertraut wird, ist gefährlich“, ist Jörn Müller-Quade vom Karlsruher Institut für Technologie überzeugt. Ob er im Rahmen einer Abwägung von Grundrechten verhältnismäßig sei, „müssen wir gar nicht diskutieren, weil es mit dem dezentralen Ansatz eine privatsphäreschonende Lösung gibt“.

EU-Parlament fordert dezentralisierte Datenspeicherung

In einer Entschließung vom 17. April hat sich indessen das EU-Parlament klar für eine dezentrale Speicherung und transparente Festlegungen für Corona-Warn-Apps ausge­spro­chen.

So fordert das EU-Parlament unter anderem ,„dass die gesamte Datenspeicherung dezen­tra­lisiert erfolgt, dass für vollständige Transparenz in Bezug auf die (nicht in der EU zu verortenden) kommerziellen Interessen der Entwickler dieser Anwendungen gesorgt wird und dass klare Prognosen darüber vorgelegt werden, wie die Verwendung von Apps zur Ermittlung von Kontaktpersonen durch einen Teil der Bevölkerung in Verbindung mit spezifischen anderen Maßnahmen zu einer deutlich geringeren Zahl infizierter Personen führen wird; fordert, dass die Kommission und die Mitgliedstaaten hinsichtlich der Funk­ti­onsweise von Apps für die Ermittlung von Kontakten uneingeschränkt transparent sind (…).“

Gerätetechnische Limitationen

Wissenschaftler gehen zudem davon aus, dass rund 60 Prozent der Bevölkerung eine Co­rona-Warn-App nutzen müssten, damit Kontakte überhaupt wirksam rekonstruiert werden können. Als ein zusätzliches Hindernis auf diesem Weg könnte sich erweisen, dass auf vielen älteren Smartphone-Modellen die „Bluetooth Low Energy“-Technologie nicht läuft.

Die Funktechnik werde von rund zwei Milliarden Geräten weltweit nicht unterstützt, sag­te Neil Shah, Analyst beim Marktforschungsunternehmen Counterpoint Research, der Fi­nancial Times. Damit funktioniert die erforderliche Technologie auf jedem vierten Smart­phone nicht. Hinzu kommt, dass viele Menschen nur ein einfaches Handy mit Telefon­funktionen haben oder über gar kein Mobiltelefon verfügen.

KBr