Datenschutzbefürworter setzten sich durch: Deutschland baut eine Covid-19-Tracing-App mit dezentraler Speicherung.

Covid-19-Apps werden entwickelt, um die Verbreitung des Coronavirus zu verfolgen. Während andere Palantir mit der Erstellung einer solchen App beauftragen, hört Deutschland auf Datenschutzbefürworter, um die Akzeptanz sicherzustellen.

2020-04-29
Der ursprüngliche Plan der deutschen Regierung sah den Aufbau einer Corona-Tracing-App vor, die Daten zentral speichern sollte. Aufgrund heftiger Kritik änderte die deutsche Regierung ihren Kurs: Die Tracing-App, die davor warnen soll, mit einer infizierten Person in Kontakt gekommen zu sein, soll, wie von Datenschützern gefordert, nur Kontaktdaten auf Handys speichern.

Dezentralisierte Corona-Tracing-App

Am Mittwoch vergangener Woche hat die deutsche Regierung ihren Plan veröffentlicht, eine Covid-19-Tracing-App mit einer zentralen Datenspeicherung am Robert Koch-Institut - der deutschen Einrichtung zur Verwaltung des öffentlichen Gesundheitswesens und zur Überwachung der Verbreitung des Coronavirus - aufzubauen. Die Covid-19-Tracing-App sollte auf PEPP-PT basieren - ein Projekt, das zunächst wegen seines datenschutzfreundlichen Ansatzes gelobt später aber kritisiert wurde, weil es trotz der Schwachstellen für Sicherheit und Privatsphäre an der zentralen Datenspeicherung festhielt.

Obwohl das Robert Koch-Institut in Deutschland eine hoch angesehene Institution ist, gelang es den Datenschützern, die öffentliche Aufmerksamkeit gegen eine solche zentrale Speicherung hochsensibler Gesundheitsdaten zu erregen.

Der Deutsche Chaos Computer Club sowie andere Verbände, die für das Recht auf Privatsphäre kämpfen, gaben eine sehr klare Stellungnahme ab:

"Rund 300 internationale Wissenschaftlerinnen und Wissenschaftler haben diese Woche einen offenen Brief unterzeichnet, in dem sie das Datenschutzkonzept von PEPP-PT aufgrund des zentralen Datenspeicherungsansatzes deutlich kritisieren und davon abraten. ... Jedem Ansatz eines möglichen Missbrauchs von Gesundheitsdaten muss entschieden entgegengetreten werden."

"Eine Corona-Tracing-App sollte, wenn überhaupt, nur auf Basis eines dezentralen Ansatzes - wie beispielsweise das Konzept DP-3T (Decentralized Privacy Preserving Proximity Tracing) - aufgebaut und programmiert werden. Andernfalls steht zu befürchten, dass der geringe Datenschutz eines zentralen Ansatzes und das Fehlen technischer Beschränkungen gegen Zweckentfremdung dazu führen wird, das Vertrauen in die Verwendung einer solchen App auszuhöhlen und damit die Akzeptanz für spätere digitale Lösungen leichtfertig zu unterminieren."

Erfolgreicher Protest der Datenschützer

Der Protest der Datenschützer war erfolgreich: Die geplante Coronavirus-Tracing-App soll nun Kontaktdaten auf persönlichen Mobiltelefonen statt auf einem zentralen Server speichern. Die deutsche Regierung änderte ihren Kurs und veröffentlichte am Sonntag - nur fünf Tage nach der Veröffentlichung des ursprünglichen Plans - eine Erklärung, in der sie "eine dezentrale Architektur fördern wird, die Kontaktdaten nur auf den Geräten speichert und damit Vertrauen schafft".

Während Bundesgesundheitsminister Jens Spahn (CDU) kürzlich erklärt hatte, er bevorzuge eine zentrale Speicherung der Nutzerdaten, berücksichtigte die Regierung nun, dass nicht nur die technische Seite wichtig sei, sondern auch eine breite Akzeptanz in der Öffentlichkeit.

Mit der Entwicklung einer Tracing-App verfolgt die Bundesregierung einen Ansatz, der auf Freiwilligkeit, der Einhaltung von Datenschutzbestimmungen und der Gewährleistung eines hohen Maßes an IT-Sicherheit beruht. Aus epidemiologischer Sicht geht es vor allem darum, Infektionsketten so früh wie möglich zu erkennen und zu unterbrechen - und dafür ist eine breite Akzeptanz unabdingbar.

Im Gegensatz zu diesem datenschutzfreundlichen Ansatz in Deutschland wurde kürzlich veröffentlicht, dass die Trump-Administration Palantir, die Überwachungsfirma schlechthin, mit der Entwicklung einer Coronavirus-Tracking-App beauftragt hat.

Freiwilliger Ansatz muss breite Unterstützung haben

Deutschland ist darauf angewiesen, dass möglichst viele Bürger die App freiwillig installieren. Schätzungen zufolge müssen mindestens 60 Prozent aller Menschen in Deutschland die App nutzen, um Infektionsketten mit dem Coronavirus effektiv nachzuvollziehen. Indem auch Kontaktpersonen von Infizierten getestet werden, soll eine zweite Infektionswelle verhindert werden, wenn die Kontaktbeschränkungen weiter gelockert werden.

Die Behörden sind derzeit in Gesprächen mit Google und Apple über entsprechende Funktionalitäten. Die Covid-19-Tracing-App soll aufzeichnen, welche Smartphones sich einander genähert haben - und die Nutzer warnen, wenn sich später herausstellt, dass sie sich in der Nähe einer infizierten Person befanden. Eine solche App würde auf dem Smartphone installiert werden, das dann über Bluetooth mit dergleichen App auf anderen Smartphones kommunizieren würde.

Beteiligung von Google und Apple

Google und Apple favorisieren ebenfalls ein dezentralisiertes Modell für eine Covid-19-Tracing-App. Sie planen bis Mai eine gemeinsame Schnittstelle in ihren marktbeherrschenden mobilen Betriebssystemen anzubieten, und etwas später alle notwendigen Funktionalitäten, die eine zusätzliche App überflüssig machen werden.

Die Rolle der Plattformgiganten Google und Apple ist jedoch im Hinblick auf den Schutz der Privatsphäre problematisch. Vor allem Google ist bekannt für seinen Überwachungskapitalismus. Wenn wir es Google und Apple ermöglichen, jetzt auch unser soziales Verhalten sowie sensible Gesundheitsdaten zu verfolgen, wird dieses schwerwiegende Datenschutzproblem erheblich verschärft.

Obwohl die Silicon-Valley-Unternehmen betonen, dass allein aufgrund des dezentralen Aufbaus keine Verbindung zwischen den Handy-IDs und den darauf gespeicherten Nutzerprofilen hergestellt werden kann, befürchten die Datenschützer, dass diesem Anspruch nicht getraut werden kann, da die Datengiganten geschlossenen Quellcode verwenden.

Zudem ist bereits bekannt, dass Google seit langem ein besonderes Interesse an den Gesundheitsdaten seiner Nutzer hat. Folglich könnte der Plan in Zukunft auch schädlich für die Privatsphäre sein, wenn man sich für ein effektives Covid-19-Tracking auf Google und Apple verlässt.

Nichtsdestotrotz müssen Entwickler auf der ganzen Welt weiterhin an datenschutzfreundlichen Covid-19-Tracing-Apps arbeiten, damit wir in naher Zukunft

  • die Verbreitung des Coronavirus verfolgen
  • und gleichzeitig das Recht eines jeden Menschen auf Privatsphäre schützen können.

In diesen schwierigen Zeiten ist es unerlässlich das Coronavirus zu bekämpfen, ohne unser Menschenrecht auf Privatsphäre aufzugeben.