Kontroverse über Corona-Tracking-App beigelegt, läuft wieder

Die europäische Tracking-App zur Ermittlung von möglichen Kontakten zu Corona-Infizierten sollte nach Ostern zur Verfügung stehen. Datenschützer waren nicht begeistert, doch die Entwicklung schien rasant. Wegen des Streits um die Datenspeicherung kam es zu Verzögerungen. Jetzt, nach Einlenken der Regierung und Projekt-Neuorganisation, geht es wieder voran.

Nachdem das Projekt über Datenschutzkontroversen und Experten auseinandersetzungen nicht nur verspätete, sondern regelrecht ins Stocken geriet, wird nun wieder "Fahrt aufgenommen". 

Dezentrale Speicherung: Bundesregierung schwenkt bei Corona-Tracking-App um

Der starke Widerstand der Experten und Datenschützer, aber auch die Standpunkte der beiden IT-Konzerne Google und Apple, die die Mehrzahl der Smartphones mit ihren Betriebssystemen ausstatten und für eine dezentrale Lösung waren, haben zu einem Umdenken bei der Bundesregierung geführt. So hat man sich auf das dezentrale Speicherkonzept festgelegt.

  • Das Projekt der Corona-Tracking-App soll demnach gemeinsam von der Deutschen Telekom und dem Softwarekonzern SAP entwickelt werden.
  • Dabei sollen die schon bislang an der App beteiligten Fraunhofer-Gesellschaft und das Helmholz-Centrum CISPA weiterhin beratend tätig bleiben.
  • Ebenso werden bei der Entwicklung der Corona-Tracking-App das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit in das Projekt (BfDI) eingebunden, um zu gewährleisten, dass alle Anforderungen an Datensicherheit und Datenschutz erfüllt werden.
  • Herausgegeben werden soll die App nach der Fertigstellung durch das Robert-Koch-Institut.

Funktionsweise der Corona-Tracking-App

Der Pland: Die Corona-App nutzt Bluetooth-Low-Energy um den Abstand zwischen Personen zu messen. Sie soll es ermöglichen, dass sich Mobilgeräte die Kontakte merken, die die vom RKI festgelegten Kriterien (Nähe und Zeit) für eine Infektion erfüllt haben.

Die Geräte tauschen untereinander temporäre verschlüsselte Identitäten aus und wenn ein Nutzer der Corona-App positiv auf das Corona-Virus getestet wurde, kann er auf freiwilliger Basis diese relevanten Kontakte durch die App informieren lassen. 

Einen konkreten Termin für die Fertigstellung der App nannte die Bundesregierung in ihrer Presseerklärung jedoch nicht.

Große Erwartungen an eine Tracking-App zur Bekämpfung der Corona-Pandemie haben nicht nur Virologen und Epidemiologen, auch Politiker setzen auf diese Technik. Grund für den Optimismus ist, dass solche Lösungen bereits in vielen asiatischen Staaten erfolgreich eingesetzt wurden und beispielsweise in Ländern wie Südkorea oder Taiwan anscheinend mit dazu beigetragen hat, dass die Folgen des Viren-Ausbruchs relativ moderat geblieben waren.

Datenschutz im Fokus der Corona-einheitlichen europäischen App-Entwicklung

Während in vielen Staaten die Tracking-Apps jedoch mehr oder weniger verpflichtend sind und recht freigiebig auf die personenbezogenen Daten der Nutzer zugreifen, war bei der Entwicklung solcher Lösungen in Europa von Anfang an klar, dass hier nur solche Apps in Frage kommen können,

  • die den hohen Datenschutzanforderungen genügen
  • und die zudem auf einer freiwilligen Teilnahme der Anwender basieren.

Entwicklungs-Konsortium aus Forschungseinrichtungen und Unternehmen PEPP-PT

Um eine einheitliche europäische Plattform zu entwickeln, die diesen Anforderungen gerecht werden kann, hatte sich ein Konsortium aus zahlreichen Forschungseinrichtungen und auch Unternehmen gebildet, das dieses Projekt mit der Bezeichnung PEPP-PT (Pan European Privacy Protecting Proximity Tracing) auf den Weg brachte und vorantrieb. Wesentlich beteiligt am PEPP-PT waren von Anfang an das Heinrich-Hertz-Institut und das KI-Unternehmen Arago.

App-Entwicklung in kritischer Phase: Meinungsverschiedenheiten und renommierte Aussteiger

Nach relativ schnellen Fortschritten zu Beginn kam das Projekt derzeit jedoch in eine kritische Phase. Es zogen sich mehrere renommierte Teilnehmer aus dem Konsortium zurück und auch unabhängige Experten äußerten Kritik. Begonnen hatte diese Entwicklung mit dem Ausstieg des PEPP-PT-Mitbegründers Marcel Salathé von der Eidgenössischen Hochschule Lausanne sowie der ETH Zürich. Nur wenige Tage später verabschiedeten sich mit dem - - nun wieder beratend eingestiegenen - Helmholtz-Institut für Informationssicherheit (CISPA) oder der Katholischen Universität Leuven weitere prominente Einrichtungen.

Worum ging der Streit bei der PEPP-PT- Entwicklung?

Kernpunkt des Streits zwischen den mittlerweile abtrünnigen Forschern und dem Konsortium war die Frage nach der Art der Speicherung der Daten.

  • Die Aussteiger wollten ausschließlich eine dezentrale Speicherung der jeweiligen Kontaktdaten,
  • bei der PEPP-PT-Initiative wollte man dagegen auch den Ansatz einer zentralen Speicherung auf einem Server ermöglichen, wobei man betonte, weiterhin beide Verfahren unterstützen zu wollen. 

Neben dem Streit um die Art der Datenspeicherung monierten die Kritiker aber zunehmend auch eine unzureichende Offenheit und mangelnde Transparenz in dem Projekt. 

Hände die Smartphone bedienen mit EU-Zeichen, Sicherheitsschloss

Brief von 300 internationalen Wissenschaftlern warnt vor Überwachungsexzessen

Neue Dynamik gewann die Kritik am PEPP-PT durch einen Brief von 300 internationalen Wissenschaftlern, in dem sie vor dem Einstieg in eine weitgehende Überwachung durch Kontaktverfolgung-Apps warnen. In ihrem Schreiben sehen sie auch das Risiko, dass die derzeit entwickelten Lösungen einen Einstieg in eine „noch nie dagewesen Überwachung der Gesellschaft“ bedeuten könnten. Die zentrale Speicherung der Daten aus der Tracking-App wurde allerdings nicht von allen Experten als prinzipiell schlechtere Lösung im Hinblick auf den Datenschutz eingestuft.

Auch Datenschützer sind bei der Frage zentrale / dezentrale Speicherung ambivalent

In seinem Podcast sieht etwa Ulf Buermeyer, Vorsitzender der Gesellschaft für Freiheitsrechte (GFF), bei beiden Ansätzen jeweils Vor- und Nachteile. So sei die Speicherung der Daten an einem Ort zwar beunruhigend, weil diese Daten hier auch abgegriffen werden könnten, aber auch der häufige Austausch der Daten, der bei den dezentralen Lösungen notwendig sei, bringe Risiken mit sich. Auch beim Deutschen Forschungszentrum für Künstliche Intelligenz hält man die Frage, ob nun eine zentrale oder eine dezentrale Speicherung der Daten erfolge, für nicht so wichtig.

Apple und Google mischen beim Corona-Tracking  mit

Unterstützung bekamen die Befürworter der dezentralen Speicherung aber auch durch Apple und Google, den Entwicklern der beiden Smartphone-Plattformen iOS und Android. Diese haben mittlerweile angekündigt, eine gemeinsame Plattform zur Kontaktverfolgung mittels Bluetooth zu entwickeln, die in die jeweiligen Betriebssysteme integriert werden soll und auf der z.B. die Apps von staatlichen Stellen aufsetzen können.

Weitere News zum Thema:

Akzeptanz für Verwendung von Handy-Daten im Kampf gegen Corona steigt

Datenschutz in Zeiten von Corona Covid 19

Sind die Corona-Einschränkungen grundgesetzkonform?

Hintergrund: Datenschutz und Corona-Tracking

Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar lehnte in einem Kommentar gegenüber Heise solche Apps nicht grundsätzlich ab, stellte dabei allerdings einen umfangreichen Anforderungskatalog auf. Um den Vorgaben des Grundgesetzes zu entsprechen, müsse eine App-Lösung insbesondere die folgenden Anforderungen erfüllen:

  • Installation und Verwendung auf freiwilliger Basis und unter Kontrolle durch die Nutzer.
  • Transparenz: Jeder, der die App installiert, muss wissen, auf was er sich einlässt.
  • Nur, wenn ein Nutzer positiv auf COVID-19 getestet wird, sollten die Daten an eine zentrale Stelle hochgeladen und dort ausgewertet werden, um mögliche Kontaktpersonen festzustellen und diese zu informieren.
  • Die Daten sollten möglichst anonym verarbeitet werden.
  • Die Nutzeridentifikation könnte über eine nicht namentlich zugeordnete ID stattfinden.
  • Die Daten sollten nur für einen begrenzten Zeitraum gespeichert und anschließend rückstandslos gelöscht werden.

Die technischen Lösungen bzw. Apps müssen so gestaltet werden, dass sie einen Missbrauch durch Dritte ausschließen und die Sicherheit der IT-Systeme nicht gefährden.

Schlagworte zum Thema:  Coronavirus, Datenschutz