Dezentrale Tracing-Apps: Der einzig gangbare Weg – und trotzdem kein Allheilmittel

30. Apr 2020, Andreas Baur

Wenn deutsche „Datenschutzmusterland“-Politiker_innen bei den US-Konzernen Google und Apple vorstellig werden, um für die Unterstützung einer zentral organisierten Covid19-Tracing-Lösung zu werben, macht das zunächst stutzig (vgl. Beitrag “Contact-Tracing“).

Letzte Woche hat die Diskussion um das Für und Wider einer zentralen oder dezentralen Datenspeicherung bei Covid19-Tracing-Apps ordentlich Fahrt aufgenommen: Es gab Zerwürfnisse in den Entwicklungskonsortien (vgl. Beitrag “Richtungsstreit“), offene Briefe und die Bundesregierung legte eine doppelte Wende hin: am Ende zu einer dezentralen Lösung. Warum wir „gerade nochmal Glück gehabt haben“ und eine zentrale Lösung weder in Deutschland noch woanders eingesetzt werden sollte, soll im Folgenden aus ethischer Sicht dargestellt werden. Aber auch auf der Entscheidung für eine dezentrale Lösung können wir uns nicht ausruhen, denn sie ist weder ein Allheilmittel noch unproblematisch.

Corona-Tracing-Apps sollen helfen, potenziell Infizierte frühzeitig zu warnen, sodass sie sich selbst isolieren und testen lassen können. Smartphones tauschen dazu mit anderen, sich im Umkreis befindenden Smartphones kleine Datenpakete aus. Sollte Besitzer_innen eines Smartphones nachweislich corona-infiziert sein, können Kontaktpersonen gewarnt werden, wenn sie eine kompatible App installiert haben und lange genug in der Nähe der der Person waren. Neben vielen technischen, politischen und anderen Streitigkeiten um die Technologie der Apps dreht sich die Debatte viel um die Frage der Zentralität des Systems – eine Kernfrage der IT-Sicherheit. Großer Streitpunkt ist, ob die Speicherung und der Abgleich der gesammelten Datenpakete mit Informationen über Infizierte dezentral, also nur auf dem Gerät, oder zentral auf (staatlichen) Servern erfolgen soll.

Deutschland hatte sich letzte Woche noch betont für eine zentrale Variante eingesetzt, forciert nun aber – überraschend – eine dezentrale Speicherung. Einige Länder setzen auf dezentrale Lösungen, wie auch Google und Apple. Es gibt bei beiden Ansätzen Vor- und Nachteile. Bei allen Diskussionen und vielleicht noch aufkommenden neuen Wendungen: Wir sollten uns dafür einsetzen, dass der zentrale Ansatz weder hier noch woanders verfolgt wird. Und wir sollten die Probleme des dezentralen Ansatzes analysieren, angehen und offen begleiten, ob diese Lösung hilfreich und verhältnismäßig ist.

Menschen tragen Verantwortung – ob mit oder ohne App

Wir dürfen unsere Verantwortung nicht an eine App abgegeben – aus technikethischer Sicht grundsätzlich nicht, aber in diesem speziellen Fall wissen wir noch nicht einmal, wie gut sie funktioniert.

Die App wird häufig wie ein Heilsversprechen propagiert und damit in ihrer Wirkung überschätzt: Wenn wir die App haben, können wir uns wieder normaler (oder vielleicht sogar ganz wie vorher?) bewegen. Sollte man herausfinden, an Covid19 erkrankt zu sein, werden die Nutzer_innen mit nahem Kontakt benachrichtigt und können sich auch testen lassen oder isolieren.

Das erste Problem hierbei liegt in der Funktionsfähigkeit und Zuverlässigkeit dieser Apps: Wie viele und welche Personengruppen nutzen sie? Was geschieht mit Bluetooth-Kontakten, mit denen man lange Kontakt hatte, aber die hinter Plexiglas waren, oder die einfach in der Nachbarwohnung hinter einer Wand leben? Wie geht man mit falschen Meldungen um?

Das zweite ist die Bewertung des Effekts. Südkorea gilt häufig als Vorbild bei der Eindämmung des Virus und dort wurde eine App eingesetzt. Es ist jedoch schwer zu sagen, welchen Anteil die App selbst hat (die übrigens genaue Daten über Menschen zentral speicherte und vor diesen infizierten Menschen warnte – mit Angabe zu Nationalität, Geschlecht, Alter und Bewegungsverlauf). Südkorea testet aber vor allem massiv und schnell – der wahrscheinlich größere Faktor im erfolgreichen Kampf gegen das Virus.

Im Grunde sollen die Apps die Arbeit der überlasteten Gesundheitsämter unterstützen (und eine frühe Eigenisolation ermöglichen): das Nachverfolgen der Kontaktketten, die Übermittlung der Informationen und ggf. die Analyse der Ansteckungsformen. Die Gefahr ist, dass die Menschen ihre Verantwortung an die App abgeben und der Hoffnung folgen, man könnte mit ihr wieder „sorgenlos“ Kontakte pflegen und die Technik wird es schon richten. Pandemien sind komplexe soziale Phänomene und um diesen ausreichend entgegentreten zu können, ist es notwendig, dass sich jede einzelne Person darüber bewusst wird, dass sie letztendlich doch selbst die Verantwortung für ihre Kontakte trägt und keine App ihr das abnehmen kann.

Zentrales Contact-Tracing ist unverhältnismäßig

Die Entwicklung einer solchen App ist alles andere als trivial, und es gibt eine Vielzahl von Vorschlägen, wie die App aussehen könnte. Die Niederlande hatten einen Wettbewerb ausgerufen und alle sieben Kandidaten fielen durch. Österreich schwenkte von einer zentralen auf den quelloffenen dezentralen Vorschlag einiger Wissenschaftler_innen um, der sich DP-3T nennt. In Europa hatte sich schnell eine Gruppe gebildet, die einen Rahmen für zentrale und dezentrale Ansätze schaffen wollte, PEPP-PT. Nachdem Hinweise auf dezentrale Implementierungen von der Website gestrichen wurden, haben sich ca. 300 Expert_innen in einem offenen Brief dagegen gewandt und für eine dezentrale Lösung geworben (vgl. “Richtungsstreit “). Auch Google und Apple wollen die Basis für dezentrale Apps in ihre Systeme integrieren (sie speichern keine Daten und entwickeln selbst keine Apps) (vgl. “Contact-Tracing”), nichtsdestotrotz hatte sich Deutschland zwischendurch für eine zentrale Variante eingesetzt.

Häufig wird argumentiert, dass man nur mit einem zentralen Matching nachvollziehen kann, ob die informierten Kontakte sich auch wirklich später angesteckt haben. Dadurch soll man ein besseres Verständnis der gesamten Pandemie-Entwicklung über lange Zeit bekommen und auch die Sensitivität der Benachrichtigung über die Zeit anpassen können.

In der ethischen Bewertung solcher Technologien geht es dabei immer um die Verhältnismäßigkeit. Fragen zu dieser Verhältnismäßigkeitsbewertung sind zum Beispiel: Ist das Ziel der Maßnahme legitim? Hilft das (technische) Mittel überhaupt, das Ziel zu erreichen? Gibt es andere Mittel, die besser sind oder weniger Nachteile haben? Wie sind die Nachteile dieser Maßnahme zu bewerten und sind sie akzeptabel im Lichte der erwarteten Vorteile? Eine Vielzahl von technischen Maßnahmen hat positive wie negative Auswirkungen, häufig sind sie jedoch ungleich auf verschiedene Menschengruppen verteilt.

Das Ziel des Pandemie-Eindämmens und -verstehens ist legitim und das Mittel wahrscheinlich grundsätzlich geeignet. Jedoch gibt es durchaus auch andere Mittel für die Zielerreichung, wie z.B. die traditionelle Arbeit der Gesundheitsämter, natürlich mit entsprechender Ausstattung.

Der letzte Aspekt der Bewertung wirkt jedoch aber am schwersten: Ist es wirklich verhältnismäßig, die Kontakte, das soziale Bewegungsverhalten einer Bevölkerung zu erfassen, zentral zu protokollieren und vorzuhalten? Aus gutem Grund wurde die Vorratsdatenspeicherung immer wieder von Gerichten verboten. Eine anlasslose Protokollierung der Bevölkerung ist nicht zu rechtfertigen. Missbrauchsgefahren und Einschüchterungsfolgen sind zu groß, Begehrlichkeiten, die Daten für andere (Überwachungs-)Zwecke zu verwenden, werden geweckt. Dass das passiert, wissen wir aus vielen Jahren Forschungsarbeit der Sicherheitsethik. Selbst Metadaten erlauben viele Rückschlüsse auf Menschen. Darüber hinaus zeigen Studien: Auch pseudonymisierte Daten, sogar anonymisierte Daten, können durch die Kombination mit anderen Datensätzen je nach Kontext aufgehoben werden. Im Endeffekt muss man also davon ausgehen, dass die Daten potenziell zuordenbar sind. Die Einführung der Maßnahmen geschieht mitunter schnell, die Rücknahme dieser und der Nebenwirkungen gestaltet sich jedoch häufig schwierig.

Auch wenn ein Nutzen erwartbar und Risiken bei dezentralen Apps geringer sind, ist eine dezentrale Lösung nicht per se verhältnismäßig, sondern muss in ihrer Ausgestaltung nach diesem Kriterium bewertet und in Ihrer Entwicklung begleitet werden. Verknüpfungen z.B. mit Seuchenpässen oder Quarantänekontrollen, wie sie teilweise schon angedacht wurden, sind problematisch.

Zentralität in der Technik ist problematisch

Das schwerwiegendste Argument ist jedoch die zentrale Vorhaltung und Bearbeitung selbst. Datenschutz setzt sich gegen Machtasymmetrien ein. Mit Datenschutz werden nicht die Daten geschützt, sondern diejenigen, denen man mit Auswertung und Vorhaltung ihrer persönlichen Daten Schaden zufügen kann. Das ist zuallererst, wie bei den meisten Abwehrrechten, der Staat, aber auch private Akteure. In diesem Fall sind die Folgen eines potentiellen Missbrauchs, einer Ausweitung der Nutzungsmöglichkeiten oder einfach nur der Fall eines Cybercrime-Attacke auf ein zentrales System mit solch sensiblen Daten enorm. Zentrale Systeme sind zudem für Angreifer interessanter und der anschließende Schaden im immens.

Für jedes Techniksystem gilt: Wenn die Entwicklung öffentlich ist, schafft das Vertrauen. Schwachstellen werden gesucht und angegangen. Und der große Vorteil ist: Diese Nachteile lassen sich meist lösen.

Dies ist jedoch beim zentralen System schwieriger. Seine Grundeigenschaft, die Datenakkumulation, deren Missbrauchsgefahr und alle Gefahren, die daraus entstehen, lassen sich weder technisch noch organisatorisch ausreichend beseitigen. Gegen eine Machtkonzentration durch Zentralität gibt es keine Lösung, zumindest keine technische. In Rechtsstaaten vertrauen wir zwar den sozialen und politischen Einrichtungen, aber nur in einem begrenzten Maße. Besser ist daher, Potenziale für Machtmissbrauch gar nicht erst entstehen zu lassen. Deswegen gibt es in Demokratien das Gebot der Verhältnismäßigkeit, Gewaltenteilung und anderen Einschränkungen. Weil man einzelnen Institutionen nicht absolut vertrauen kann und weil Menschen vor einem Missbrauch geschützt werden müssen.

Deswegen sollten Staaten nicht versuchen, Technikanbieter wie Google und Apple zur Unterstützung zentraler Lösungen zu zwingen, um die Missbrauchsgefahr für alle Gesellschaften nicht zu erhöhen. Sollten in der weiteren Entwicklung einer dezentralen Variante Expert_innen nach Abwägung der Vor- und Nachteile der Meinung sein, dass man auch dort grundsätzliche und schwerwiegende Nachteile im dezentralen System technisch und organisatorisch nicht lösen kann, sollten wir diese Technik nicht verfolgen und in andere Maßnahmen investieren. Eine zentrale Lösung sollte nicht vorangetrieben werden.

Dieser Beitrag erscheint auch in einer ausführlicheren Version auf dem Blog BedenkZeiten des Internationalen Zentrums für Ethik in den Wissenschaften (IZEW) der Universität Tübingen.


Über den Autor

Andreas Baur ist wissenschaftlicher Mitarbeiter im Arbeitsbereich „Gesellschaft, Kultur und technischer Wandel“ des Ethikzentrums der Universität Tübingen und promoviert an der Universität Amsterdam. Er ist Mitglied im Forum Privatheit.

1Kommentar

  • Sven Türpe
    14.01.2024 19:10 Uhr

    Selbstverständlich gibt es gegen eine Machtkonzentration durch Zentralität eine Lösung: Institutionen und demokratische Aufsicht. Wir verfügen in Deutschland sogar über ein leuchtendes Beispiel für den institutionellen Ansatz, denn vor einigen Jahrzehnten haben wir die Stasi-Akten durch den Austausch der damit arbeitenden Institution und ihres Auftrags fast über Nacht verharmlost. Daten sind nie das Problem, Handeln ist es. Die Diskussion „zentral vs. dezentral“ bei gleichzeitiger Weigerung der Bundesregierung, das Thema Kontaktverfolgung gesetzlich zu regeln, verfehlt deshalb deutlich das Thema.

Ihr Kommentar
Antwort auf:  Direkt auf das Thema antworten