Schon Mitte April hat die Bundesregierung zum ersten Mal das Konzept einer Tracing-App zur Eindämmung der SARS-CoV-2-Infektionen vorgestellt. Das Ziel der App – der Gesellschaft eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller zurückverfolgt werden können und somit schneller unterbrochen werden können. Die Kontakte von Infizierten sollen schneller ermittelt werden können und damit sollen wiederum weitere Infektionen verhindert werden können.
Das damalige Konzept der App wurde von einer Vielzahl von netzpolitischen Organisationen, darunter auch der Chaos Computer Club (CCC), heftig kritisiert[1]. Der Datenschutz käme deutlich zu kurz, so dass deutliche Sicherheitslücken bestünden. Der CCC ging noch weiter und formulierte 10 Prüfsteine für die Beurteilung von Tracing-Apps.[2] Nun soll in den kommenden Tagen die neue App in den App-Stores verfügbar sein. Wie steht es nun um die Sicherheit der Nutzerdaten? Wurde die Kritik bei der Entwicklung des neuen Konzepts berücksichtigt und erfüllt die neue App die Prüfsteine des CCC?
Die Kritik setzt sich aus gesellschaftlichen und technischen Anforderungen zusammen.
1. Grundsätzliche Anforderungen an Sinn und Zweckmäßigkeit der App
Aus gesellschaftspolitscher Sicht ist an die Tracing-App die Anforderung zu stellen, dass sie tatsächlich dazu beitragen kann die Infektionszahlen nachweislich zu senken und dass sich ausschließlich zu diesem Zweck eingesetzt wird. Zudem darf weder ein direkter noch ein indirekter Zwang bestehen, die App zu nutzen.
Nach einer Studie der University of Oxford kann die Corona-Epidemie gestoppt werden, wenn 60% der Bevölkerung eine Tracing-App verwenden und sich nach den Empfehlungen der App richten.[3] Die App ist also durchaus geeignet, bei der Bekämpfung der Epidemie eine Schlüsselfunktion zu spielen. In Deutschland sind aktuell jedoch nur 42% der Bevölkerung bereit die App zu nutzen, 39% geben hingegen an, die App nicht nutzen zu wollen.[4] Einen Zwang zur Nutzung der App wird es in Deutschland nicht geben. Nach Bundesinnenminister Horst Seehofer wird auch ein Anreizsystem nicht eingeführt werden. Ist die App damit sinnlos? Wissenschaftler gehen davon aus, dass auch mit weniger Nutzern ein positiver Effekt durch die Tracing-App eintreten wird. Jeder weitere Nutzer kann dazu beitragen, die Infektionsketten zu durchbrechen.
2. Schutz der Privatsphäre, Transparenz und Überprüfbarkeit
Um eine möglichst weite gesellschaftliche Akzeptanz erreichen zu können muss die Tracing-App die Privatsphäre der Nutzer schützen und diese auch transparent und überprüfbar garantieren. Gerade Gesundheitsdaten gehören zu den intimsten Daten der Nutzer und müssen daher einen besonders hohen Schutz genießen.
Die Privatsphäre der Nutzer wird dadurch sichergestellt, dass die Daten nur anonymisiert verarbeitet werden. Das Prinzip funktioniert folgendermaßen: Wenn sich zwei Handys mit der App eine bestimmte Zeit nah genug sind, tauschen sie per Bluetooth sogenannte pseudonyme IDs aus. Diese wechseln regelmäßig und lassen keinen direkten Rückschluss zu, um welche konkrete Person es sich handelt.
Um diesen Schutz transparent und überprüfbar zu gestalten forderten die netzpolitischen Organisationen in ihrem offenen Brief an das Bundeskanzleramt und den Gesundheitsminister, dass der Programmcode offengelegt werden solle, damit Software-Experten den Quellcode einsehen können. Diesem Wunsch ist die Bundesregierung nachgekommen – der Quellcode, der von SAP und der Deutschen Telekom entwickelten App, ist auf der Plattform GitHub frei einsehbar.[5] Bislang haben bereits mehr als 65.000 Experten die Codes angesehen und Verbesserungsvorschläge gemacht.
3. Dezentrale Speicherung von Daten
Größter Kritikpunkt am ursprünglichen Konzept der App war, dass dieses eine zentrale Instanz, in Form von zentralen Servern vorsah. Aus Sicht der netzpolitischen Organisationen stellt ein zentraler Server eine große Sicherheitslücke dar, eine dezentrale Speicherung der Daten hingegen könne das Vertrauen der Bürger in die App stärken. Auch namhafte Vorbilder wie Google und Apple ziehen den dezentralen Ansatz vor. Worin besteht aber der Unterschied zwischen den Ansätzen?
Beim dezentralen Modell schickt die App eines Infizierten seine ID an einen Server, von dem die anderen Nutzer sie herunterladen können. Die Prüfung, ob es einen Kontakt zu einer infizierten Person gab, findet anschließend nur lokal auf dem Handy des Nutzers statt. Beim zentralen Modell dagegen schickt die App eines Infizierten zusätzlich die IDs der Kontakte auf einen zentralen Server. Dort liegt dann also auch ein Kontaktnetz - ein datenschutzrechtliches Horror-Szenario.
Diese Kritik wird im neuen Konzept der App umgesetzt- die Daten sollen nur noch dezentral gespeichert werden.
4. Datensparsame Speicherung und Anonymität
Aus datenschutzrechtlichen Gründen ist an die App auch der Anspruch zu stellen, dass nur minimale, für den Anwendungszweck notwendige Daten gespeichert werden und die Anonymität der Nutzer gewahrt wird. Aus diesem Grund sollten keine Daten gespeichert werden, die über einen Kontakt zwischen Menschen und dessen Dauer hinausgehen. Daten dürfen unter keinen Umständen an Dritte weitergegeben werden oder gar veröffentlicht werden. Zudem müssen die Daten stets verschlüsselt werden. Die erhobenen Daten dürfen nicht zur Deanonymisierung der Nutzer geeignet sein. Das setzt voraus, dass die IDs nicht auf Personen zurückführbar sein dürfen.
Nach dem neuen Konzept der App werden zwischen den App-Nutzern lediglich sogenannte Kuzzeit-Identifikationsnummern ausgetauscht. Dieses Konzept sieht vor, dass die IDs der Nutzer ständig wechseln und somit nicht deanonymisierbar sein werden. Die App wertet zudem keine Geo-Daten aus und übermittelt keine Ortsinformationen. Der Aufbau von Bewegungs- und Kontaktprofilen ist dadurch nicht möglich.
5. Juristische Beurteilung
Aus juristischer Sicht stellt sich zuletzt noch die Frage, ob für den Einsatz der App durch die Bundesregierung eine gesetzliche Grundlage erforderlich ist.
Die Bundesregierung hält ein Gesetz nicht für notwendig, da es sich um eine freiwillige App handele und in die Grundrechte der Bürger nicht eingegriffen würde. Dahingegen fordern sowohl die vier Justizminister und -senatoren der Grünen in den Bundesländern als auch die Linkspartei und der Deutsche Caritasverband eine gesetzliche Grundlage. Nur so könne der Missbrauch der App ausgeschlossen werden. Darin soll auch vorgeschrieben werden, dass die App nur auf freiwilliger Basis und nur befristet eingesetzt werden dürfe. Ein solches Gesetz könne auch die Akzeptanz in der Bevölkerung erhöhen.
6. Fazit
Gemessen an den Prüfsteinen des CCC lässt sich sagen, dass die Bundesregierung sich bemüht hat, die Kritik der Öffentlichkeit in ihrem zweiten Konzept umzusetzen. Die Veröffentlichung des Programmcodes ist ein sehr erfreulicher Schritt, die App transparent zu gestalten und damit auch das Vertrauen der Bevölkerung in die App zu stärken. Dazu kann auch die dezentrale Gestaltung der Datenverarbeitung beitragen. Könnte diese umsichtige Planung die App aber vielleicht auch obsolet gemacht haben? Letztlich wird der Erfolg der App nämlich an den Nutzerzahlen zu messen sein. Diese werden sicherlich stark davon abhängen, inwiefern eine neue Infektionswelle das Land erfasst und ob die Bevölkerung ein weiteres Mal dazu bereit ist, sich dem Virus mit geschlossener Solidarität entgegen zu stellen.
[1] https://www.ccc.de/de/updates/2020/corona-tracing-app-offener-brief-an-bundeskanzleramt-und-gesundheitsminister [2] https://www.ccc.de/de/updates/2020/contact-tracing-requirements [3] https://www.research.ox.ac.uk/Article/2020-04-16-digital-contact-tracing-can-slow-or-even-stop-coronavirus-transmission-and-ease-us-out-of-lockdown [4] https://www.tagesschau.de/inland/deutschlandtrend/ [5] https://github.com/corona-warn-app/cwa-documentation
Comments