Kategorien
Allgemein Beitrag

Richtungsstreit unter Tracing-App-Entwicklern

Die Hoffnungen auf eine datenschutzgerechte Corona-App, die dabei hilft, Infektionsketten zu unterbrechen, ruhten bisher hauptsächlich auf dem Entwickler-Konsortium „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT). Nun scheint das Konsortium im Streit über die Architektur der App auseinanderzubrechen.

PEPP-PT ist keine App, sondern eine Plattform zum Austausch von Ideen und zur Entwicklung europäischer Standards für eine App. Unter dem Dach dieses Konsortiums arbeiteten mehr als 140 Gruppen, Initiativen, Organisationen und Unternehmen an unterschiedlichen Lösungen für eine datenschutzgerechte App zur Kontakt-Nachverfolgung.

Einigkeit herrscht in diesem Konsortium darüber, dass die zu entwickelnde(n) App(s) mit Hilfe von Bluetooth-Kommunikation infektionsriskante Situationen über eine räumliche Nähe erfassen, ohne die beteiligten Personen zu identifizieren und auch ohne Ortsdaten zu erfassen. Nach der Feststellung einer Infektion werden die Kontakte der infizierten Person über den Umstand eines Kontakts mit Infektionsrisiko informiert. Die Nutzung der App soll freiwillig sein. Das für eine breite Nutzung notwendige Vertrauen soll durch die Transparenz über die datenschutzgerechte Konstruktion der App gewonnen werden. Unter dieser Kernidee verfolgten in den letzten Wochen verschiedene Gruppen unterschiedliche Ansätze. Das Konsortium hat nicht festgelegt, wie die Architektur der App gestaltet und wie Transparenz gewährleistet werden soll. So ist umstritten, über welche zentralen oder dezentralen Elemente die Architektur verfügen soll und ob die Software als „Open Source“ entwickelt oder ob der Quellcode offengelegt werden soll.

Für die Ergebnisse aus PEPP-PT interessieren sich über 40 Regierungen und auch globale Internetkonzerne. Apple und Google haben eine Initiative angekündigt, kompatible Programmierschnittstellen für Corona-Apps anzubieten und später sogar weitere Bausteine in ihre Betriebssysteme aufzunehmen. Alle diese Interessenten äußern Erwartungen an das Konsortium und üben Druck aus. Die Bundesregierung und die Ministerpräsidenten der Länder haben am 15. April unter anderem beschlossen: „Bund und Länder unterstützen … das Architekturkonzept des „Pan-European Privacy-Preserving Proximity Tracing“, weil es einen gesamteuropäischen Ansatz verfolgt, die Einhaltung der europäischen und deutschen Datenschutzregeln vorsieht und lediglich epidemiologisch relevante Kontakte der letzten drei Wochen anonymisiert auf dem Handy des Benutzers ohne die Erfassung des Bewegungsprofils speichert. … (Es) werden alle diejenigen, die unabhängig davon an Tracing-Apps arbeiten, eindringlich gebeten, das zugrundeliegende Architekturkonzept zu nutzen, damit alle Angebote kompatibel sind. Ein Flickenteppich von nicht zusammenwirkenden Systemen würde den Erfolg der Maßnahme zunichtemachen.“

Am Wochenende ist jedoch unter den Entwicklergruppen ein Streit eskaliert, welche Architektur für die App gewählt werden soll. Dies betrifft vor allem die Frage, wo welche Daten gespeichert, verarbeitet und kommuniziert werden. Zwar arbeiten alle Lösungen mit einer zentralen Komponente. Sie unterscheiden sich jedoch danach, welche Daten die zentrale Komponente erhalten soll.

Vereinfacht gesagt, lädt beim „zentralen“ Ansatz die App die Liste der Risiko-Kontakte auf einen zentralen Server hoch, der z.B. vom Robert Koch-Institut betrieben werden könnte, sobald ihre Besitzerin positiv getestet worden ist. Welche Daten dabei übermittelt werden (Telefonnummern oder (ggf. wechselnde) pseudonyme IDs), hängt von der Ausgestaltung ab. Der Server berechnet das Risiko einer Infektion und benachrichtigt die Kontakte. Dieser Ansatz stößt auf Kritik, weil er eine zentrale Datensammlung vorsieht und damit Möglichkeiten nicht ausschließt, die Infizierten und ihre Kontakte zu identifizieren.

Beim „dezentralen“ Ansatz tauschen die Apps untereinander dynamisch wechselnde IDs aus. Die Infizierte lädt auf den zentralen Server keine Daten ihrer Kontakte hoch, sondern nur einen digitalen Schlüssel, aus dem Dritte keine Informationen über die Infizierte ableiten können – der Name wird also nicht bekannt. Alle Contact-Tracing-Apps laden in regelmäßigen Abständen von diesem Server diese Schlüssel infizierter Personen herunter und testen mit diesen, ob eine ihrer allein im Smartphone gespeicherten Kontakt-IDs damit zu finden ist. Dieser Ansatz vermeidet die Missbrauchsmöglichkeiten eines zentralen Servers, benötigt aber für die vielen Nachfragen und Berechnungen auf den Smartphones mehr Energie.

Der dezentrale Ansatz wird z.B. von der Initiative „Decentralized Privacy-Preserving Proximity Tracing“ (DP-3T) verfolgt. Deren Vertreterinnen sind am Wochenende aus dem PEPP-PT-Konsortium ausgetreten, weil sie den Eindruck hatten, dass PEPP-PT mittlerweile primär oder nur noch den zentralen Ansatz vertritt. Angesichts der nur spärlich von PEPP-PT bereitgestellten Informationen über Konzepte, Spezifikationen und technische Analysen fordern sie stärkere Transparenz ein und wollen die PEPP-PT-Initiative nicht weiter unterstützen.

Heute hat, ohne diesen Streit ausdrücklich zu nennen, ein Kreis von mehr als 300 einschlägigen Wissenschaftlerinnen aus 25 Staaten, hauptsächlich in Europa und den USA, in einem offenen Brief gefordert, dass Tracing-Apps folgende vier Kriterien erfüllen müssen, um als datenschutzgerecht zu gelten:

  • Apps dürfen nur den Zweck dienen, Kontakte nachzuverfolgen.
  • Jede App-Lösung muss vollständig transparent und für die öffentliche Analyse offen sein.
  • Bei mehreren Gestaltungsoptionen ist die zu wählen, die Datenschutz am besten gewährleistet.
  • Die Nutzung der App muss freiwillig sein und nach Ende der Corona-Krise müssen sie und die gespeicherten Daten vollständig entfernt werden können.

Diese Kriterien sehen die Wissenschaftlerinnen nur bei einem dezentralen Ansatz als erfüllt an. Sie kündigen eine Kooperation von Forschungsgruppen aus verschiedenen inner- und außereuropäischen Ländern an, die sich bereits mit einem dezentralen Ansatz beschäftigt haben.


Prof. Dr. Alexander Roßnagel ist Senior-Professor für öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel und Sprecher des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten „Forum Privatheit“.

Von Alexander Roßnagel

Prof. Dr. Alexander Roßnagel ist Senior-Professor für öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel und Sprecher des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten „Forum Privatheit“.

2 Antworten auf „Richtungsstreit unter Tracing-App-Entwicklern“

Bedenkenswert finde ich auch den Schutz vor Missbrauch/Fehlbedienung durch App-Anwender: wer meldet eine Person als infiziert?
Wenn das jeder selbst und unkontrolliert tun kann, wird es m.E. viele Falschmeldungen geben wird, die dann zu unnötiger Quarantäen führen.
Am besten wäre es, wenn ein Arzt die Infektion bestätigt und z.B. mein einem Key signiert.

Hallo, C.G.,

zu Ihrer Frage: Es besteht in der Regel ein Kontakt zwischen der Person mit einer festgestellten Infektion und dem Gesundheitsamt (sonst auch dem Arzt oder der Ärztin). Von dort aus erhält die Person einen One-Time-Passcode, der nötig ist für das Auslösen der Benachrichtigung, damit (falsche) Spam-Meldungen vermieden werden.

Man könnte in Einzelfällen ein Falschbenachrichtigen auslösen, wenn die Nutzung eines Smartphones an eine Person nicht eindeutig ist. Dann könnte ein One-Time-Passcode eingegeben werden, der nicht zu allen mitgespeicherten Kontakt-IDs passt, sodass die Benachrichtigung falschen Personen zugeht. Aber wer bereit ist, seine Kontakte zu warnen, wird vermutlich darauf achten, dass er über die ganze Zeit alleine dasselbe Smartphone mit der App verwendet.

Bestimmt wird in Kürze mehr über die genauen technischen und organisatorischen Prozesse bekannt werden. Dann wissen wir es genau!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.