20. Apr 2020, Alexander Roßnagel
Die Hoffnungen auf eine datenschutzgerechte Corona-App, die dabei hilft, Infektionsketten zu unterbrechen, ruhten bisher hauptsächlich auf dem Entwickler-Konsortium „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT). Nun scheint das Konsortium im Streit über die Architektur der App auseinanderzubrechen.
Die Hoffnungen auf eine datenschutzgerechte Corona-App, die dabei hilft, Infektionsketten zu unterbrechen, ruhten bisher hauptsächlich auf dem Entwickler-Konsortium „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT). Nun scheint das Konsortium im Streit über die Architektur der App auseinanderzubrechen.
PEPP-PT ist keine App, sondern eine Plattform zum Austausch von Ideen und zur Entwicklung europäischer Standards für eine App. Unter dem Dach dieses Konsortiums arbeiteten mehr als 140 Gruppen, Initiativen, Organisationen und Unternehmen an unterschiedlichen Lösungen für eine datenschutzgerechte App zur Kontakt-Nachverfolgung.
Einigkeit herrscht in diesem Konsortium darüber, dass die zu entwickelnde(n) App(s) mit Hilfe von Bluetooth-Kommunikation infektionsriskante Situationen über eine räumliche Nähe erfassen, ohne die beteiligten Personen zu identifizieren und auch ohne Ortsdaten zu erfassen. Nach der Feststellung einer Infektion werden die Kontakte der infizierten Person über den Umstand eines Kontakts mit Infektionsrisiko informiert. Die Nutzung der App soll freiwillig sein. Das für eine breite Nutzung notwendige Vertrauen soll durch die Transparenz über die datenschutzgerechte Konstruktion der App gewonnen werden. Unter dieser Kernidee verfolgten in den letzten Wochen verschiedene Gruppen unterschiedliche Ansätze. Das Konsortium hat nicht festgelegt, wie die Architektur der App gestaltet und wie Transparenz gewährleistet werden soll. So ist umstritten, über welche zentralen oder dezentralen Elemente die Architektur verfügen soll und ob die Software als „Open Source“ entwickelt oder ob der Quellcode offengelegt werden soll.
Für die Ergebnisse aus PEPP-PT interessieren sich über 40 Regierungen und auch globale Internetkonzerne. Apple und Google haben eine Initiative angekündigt, kompatible Programmierschnittstellen für Corona-Apps anzubieten und später sogar weitere Bausteine in ihre Betriebssysteme aufzunehmen. Alle diese Interessenten äußern Erwartungen an das Konsortium und üben Druck aus. Die Bundesregierung und die Ministerpräsidenten der Länder haben am 15. April unter anderem beschlossen: „Bund und Länder unterstützen … das Architekturkonzept des „Pan-European Privacy-Preserving Proximity Tracing“, weil es einen gesamteuropäischen Ansatz verfolgt, die Einhaltung der europäischen und deutschen Datenschutzregeln vorsieht und lediglich epidemiologisch relevante Kontakte der letzten drei Wochen anonymisiert auf dem Handy des Benutzers ohne die Erfassung des Bewegungsprofils speichert. … (Es) werden alle diejenigen, die unabhängig davon an Tracing-Apps arbeiten, eindringlich gebeten, das zugrundeliegende Architekturkonzept zu nutzen, damit alle Angebote kompatibel sind. Ein Flickenteppich von nicht zusammenwirkenden Systemen würde den Erfolg der Maßnahme zunichtemachen.“
Am Wochenende ist jedoch unter den Entwicklergruppen ein Streit eskaliert, welche Architektur für die App gewählt werden soll. Dies betrifft vor allem die Frage, wo welche Daten gespeichert, verarbeitet und kommuniziert werden. Zwar arbeiten alle Lösungen mit einer zentralen Komponente. Sie unterscheiden sich jedoch danach, welche Daten die zentrale Komponente erhalten soll.
Vereinfacht gesagt, lädt beim „zentralen“ Ansatz die App die Liste der Risiko-Kontakte auf einen zentralen Server hoch, der z.B. vom Robert Koch-Institut betrieben werden könnte, sobald ihre Besitzerin positiv getestet worden ist. Welche Daten dabei übermittelt werden (Telefonnummern oder (ggf. wechselnde) pseudonyme IDs), hängt von der Ausgestaltung ab. Der Server berechnet das Risiko einer Infektion und benachrichtigt die Kontakte. Dieser Ansatz stößt auf Kritik, weil er eine zentrale Datensammlung vorsieht und damit Möglichkeiten nicht ausschließt, die Infizierten und ihre Kontakte zu identifizieren.
Beim „dezentralen“ Ansatz tauschen die Apps untereinander dynamisch wechselnde IDs aus. Die Infizierte lädt auf den zentralen Server keine Daten ihrer Kontakte hoch, sondern nur einen digitalen Schlüssel, aus dem Dritte keine Informationen über die Infizierte ableiten können – der Name wird also nicht bekannt. Alle Contact-Tracing-Apps laden in regelmäßigen Abständen von diesem Server diese Schlüssel infizierter Personen herunter und testen mit diesen, ob eine ihrer allein im Smartphone gespeicherten Kontakt-IDs damit zu finden ist. Dieser Ansatz vermeidet die Missbrauchsmöglichkeiten eines zentralen Servers, benötigt aber für die vielen Nachfragen und Berechnungen auf den Smartphones mehr Energie.
Der dezentrale Ansatz wird z.B. von der Initiative „Decentralized Privacy-Preserving Proximity Tracing“ (DP-3T) verfolgt. Deren Vertreterinnen sind am Wochenende aus dem PEPP-PT-Konsortium ausgetreten, weil sie den Eindruck hatten, dass PEPP-PT mittlerweile primär oder nur noch den zentralen Ansatz vertritt. Angesichts der nur spärlich von PEPP-PT bereitgestellten Informationen über Konzepte, Spezifikationen und technische Analysen fordern sie stärkere Transparenz ein und wollen die PEPP-PT-Initiative nicht weiter unterstützen.
Heute hat, ohne diesen Streit ausdrücklich zu nennen, ein Kreis von mehr als 300 einschlägigen Wissenschaftlerinnen aus 25 Staaten, hauptsächlich in Europa und den USA, in einem offenen Brief gefordert, dass Tracing-Apps folgende vier Kriterien erfüllen müssen, um als datenschutzgerecht zu gelten:
Diese Kriterien sehen die Wissenschaftlerinnen nur bei einem dezentralen Ansatz als erfüllt an. Sie kündigen eine Kooperation von Forschungsgruppen aus verschiedenen inner- und außereuropäischen Ländern an, die sich bereits mit einem dezentralen Ansatz beschäftigt haben.
Prof. Dr. Alexander Roßnagel ist Senior-Professor für öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel und Sprecher des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten „Forum Privatheit“.