Die globalisierte Welt befindet sich in diesen Wochen im Ausnahmezustand. Alte Gewissheiten werden weggefegt. Wer hätte es vor wenigen Wochen noch für möglich gehalten, dass der weltumspannende Flug- und Reiseverkehr einmal derart einbrechen könnte, die Wirtschaft heruntergefahren würde und Bürgerinnen und Bürger weltweit restriktive Einschränkungen ihrer Freiheitsrechte auferlegt würden? Das könnte die Zeit für intelligente digitale Lösungen sein wie die viel zitierte Smartphone-App, die Infektionsketten nachzeichnen und unterbrechen soll. Doch zahlreiche Fallstricke drohen, denn ein flächendeckender Einsatz einer solchen Technologie birgt ungeahnte Risiken mitsich. Eine Standortbestimmung.
Die öffentliche Diskussion in Deutschland begann im März mit einem Vorschlag des Bundesgesundheitsministers, der gut gemeint, technisch und inhaltlich aber unausgegoren war: Die Forderung nach flächendeckender Ortung aller Mobiltelefone mittels Auswertung der entsprechenden Funkzellen. Ziel sei es, Kontaktpersonen von mit dem Coronavirus infizierten Personen zu ermitteln und zu benachrichtigen. Laut Fachexperten sind Funkzellen für diese Aussage jedoch wenig bis gar nicht geeignet: Deren Größe variiert je nach Standort und Begebenheiten. Und die Aussage, dass sich neben einem Infizierten auch zahlreiche weitere Personen in der gleichen Funkzelle aufgehalten haben, genügt in der Regel nicht, um festzustellen, dass diese Personen auch wirklich physisch nahe genug beieinander waren um sich anzustecken, z.B. in einem Einkaufszentrum (siehe dazu den Artikel Telekom hält Handytracking von Infizierten für „Unfug“). Klar ist jedoch, dass die massenhafte Speicherung personenbezogener Standortdaten ein deutlicher Eingriff in die Privatsphäre von Millionen Menschen wäre. Daran würde auch eine Sammlung standortbezogener Daten mittels GPS und WLAN-Informationen, wie sie z.B. Google verwendet, nichts ändern, welche sich möglicherweise besser als Funkzellendaten auswerten ließen.
Europäische Forscherallianz
Im April folgte dann eine Wendung in diesem Stück: Vorgestellt wurde PEPP-PT (Pan European Privacy Protecting Proximity Tracing), ein Projekt von mehr als 130 internationalen Akteuren. Nutzer laden sich nach deren Konzept freiwillig eine App auf das Telefon. Diese zeichnet lediglich auf, welche anderen Smartphones mit App in den vergangenen 21 Tagen mehr als 15 Minuten in der Nähe des eigenen Mobilfunkgerätes waren und nutzt dafür Bluetooth als Kommunikationsmedium. Bluetooth eignet sich dafür hervorragend, weil es in der Regel keine absolute Standortbestimmung ermöglicht, sondern üblicherweise nur eine Reichweite von wenigen Metern besitzt. Im Fall einer bestätigten Infektion teilen die Infizierten diese Informationen über die App und alle relevanten Kontakte werden benachrichtigt. Wozu das Gesundheitsamt Tage benötigt, soll nun in Sekunden geschehen. Ziel war es laut den Betreibern, bestmöglichen Datenschutz bei dieser Aufgabe zu garantieren. (siehe Corona-Tracking-Apps mit PEPP-PT: „Entscheidend ist für uns, dass der Datenschutz gewährleistet wird“).
Zentraler vs. dezentraler Ansatz
Mittlerweile ist jedoch Streit im PEPP-PT-Konsortium entbrannt darüber, welchen technischen Ansatz man wählen möchte. Ein zentralisierter Ansatz besäße einen allwissenden, zentralen Server, der die eigentlich geheimen Identitätenszahlenfolgen aller Nutzer kennt. Aus diesen Zahlenfolgen leitet die App temporäre Identitätscodes ab, die versandt und auf dem Smartphone der Personen verschlüsselt gespeichert werden, die dem eigenen Telefon Nahe waren. Sie ändern sich mehrmals pro Stunde. Wer einer Person begegnet, soll diese so niemals dauerhaft mit einer ID in Verbindung bringen können. (siehe Zentrale vs. dezentrale Corona-Tracing-Apps: Welche Technologie bietet den besseren Datenschutz?).
In einer dezentralen Version gäbe es keinen zentralen Server. Alle Informationen würden lediglich auf den jeweiligen Smartphones gespeichert. Nach einer Infektion würde die geheime ID des Infizierten an alle Nutzer im Netzwerk versendet. Diese könnten dann die jeweiligen temporären IDs berechnen und selbst ermitteln, ob man betroffen war. Die Bezeichnung für diesen dezentralen Ansatz lautet DP-3T, für den mittlerweile eine Codebasis auf GitHub zur Verfügung gestellt wurde. Aus Datenschutzgründen favorisieren viele Wissenschaftler den dezentralen Ansatz, der aktuell jedoch von der PEPP-PT-Leitung nicht mehr präferiert zu werden scheint. Das Konsortium droht nun auseinanderzubrechen, und jeder Tag bringt dazu aktuell eine neue Nachrichtenlage.
Einstieg der Internetgiganten
Eine weitere, bedeutsame Wendung erfuhr die Diskussion um Tracing Apps durch die Ankündigung der Internet-Riesen Google und Apple, gemeinsam bis Mitte Mai eine API bereitzustellen, die Contact-Tracing ermöglichen soll (siehe Apple und Google schaffen globalen Standard). Auch dieser Ansatz soll mittels Bluetooth funktionieren und später in die Betriebssysteme aufgenommen werden. Die Nutzer hätten dann, so die Konzerne, auch die Möglichkeit, das Tracing zu deaktivieren. Dennoch besteht Grund zur Sorge, da insbesondere Google mehrfach negativ durch das massenhafte Sammeln von Daten aufgefallen ist (siehe auch Digitaler Fußabdruck: 6 Links, die zeigen, wie Google dich sieht).
Kann es funktionieren?
Dass es übrigens keineswegs ausgemachte Sache ist, dass digitale Technologien die Lösung für die Corona-Problematik tatsächlich auch liefern können, wird nach Lektüre des Artikels Warum freiwilliges Handy-Tracking nicht funktioniert des baden-württembergischen Landesdatenschutzbeauftragten Stefan Brink und Clarissa Henning deutlich.
Zusammenfassend: Es ist stark zu hoffen, dass digitale Lösungen, die den Datenschutz achten, dabei helfen, Normalität und Kontaktbeschränkungen wiederherzustellen. Ob dies allerdings tatsächlich im gewünschten Maße gelingt, wird die Zeit zeigen. Dass es jedoch Mittel und Wege gibt, vielversprechende intelligente technische Lösungen zu realisieren, die gleichzeitig auch die Privatsphäre der Bürger*innen schützt, hat die Debatte bereits jetzt eindrücklich gezeigt.
UPDATE vom 26.04.: Die Bundesregierung hat sich nun doch auf die Umsetzung einer dezentralen Lösung geeinigt, wie in der Süddeutschen Zeitung zu lesen war. Ein Sieg für den Datenschutz, der paradoxerweise von den Internetgigangen Google und Apple begünstigt wurde, die diese Lösung selbst favorisierten.
UPDATE vom 16.06.: Die App ist nun in den gängigen App-Stores verfügbar. Besonders interessant: Der Code ist online auf GitHub verfügbar. Ein Blick lohnt!
Kommentare von hofmeister