Eine Corona-App für Deutschland

Corona-App

Die Einführung einer Corona-App, die künftig ihre Anwender bei Kontakt mit infizierten Personen waren soll, führte in den letzten Wochen zu einer heftigen Debatte. Während Befürworter in der App eine notwendige Maßnahme sehen, um eine zweite Infektionswelle zu verhindern, befürchteten Kritiker Datenmissbrauch und staatliche Überwachung.

Staatliche Überwachung im Kampf gegen Corona

In anderen Teilen der Welt, ist staatliche Überwachung im Rahmen der Corona-Bekämpfung längst Realität. In Südkorea werden etwa Daten aus Kreditkarten und Smartphones sowie Aufnahmen aus öffentlichen Überwachungskameras genutzt, um Infektionsketten nachzuverfolgen und potentiell neuinfizierte Personen aufzuspüren. An welchen Orten die jüngsten Infektionen aufgetreten sind, kann von jedem Bürger via App und auf den Websites der Behörden eingesehen werden.  

In Israel hat Präsident Netanjahu dem Inlandsgeheimdienst per Notstandsverordnung aufgetragen, die Bürger anhand ihrer Handydaten und mithilfe von Technologien, die sonst nur im Kampf gegen Terror eingesetzt werden, gründlichst zu überwachen. Neben der Auswertung von GPS-Daten, Lichtverhältnissen und genutzter WLAN-Verbindungen, wird hier auch vor dem Inhalt privater Nachrichten aus E-Mails oder sozialen Netzwerken nicht Halt gemacht.

Welchen Weg geht Deutschland?

Von Zuständen wie in Südkorea und Israel kann in Deutschland zwar keine Rede sein, dennoch gibt es auch hierzulande Befürchtungen, dass eine Corona-App, abhängig von ihrer technischen Umsetzung, womöglich gegen das bestehende Datenschutzgesetz verstoße und von staatlichen Instanzen für Überwachungszwecke missbraucht werden könnte.

Bis vor kurzem standen in Deutschland 2 Ansätze zur Debatte, einerseits das von der Bundesregierung lange bevorzugte PEPP-PT-Modell, andererseits das von Kritikern verfochtene Konzept DP-3T. Beide Konzepte sehen vor, dass anonymisierte Nutzer-ID-Codes zwischen den Geräten zweier Personen über Bluetooth ausgetauscht werden, wenn sich diese über mehr als 15 Minuten hinweg und mit weniger als zwei Metern Abstand voneinander entfernt aufhalten. An welchem Ort die Personen aufeinandertrafen und um welche Personen es sich dabei genau handle, kann aufgrund nicht geteilter GPS-Daten und anonymisierter Nutzer-IDs nicht festgestellt werden. Wird die Infektion eines Nutzers bestätigt, kann dieser darüber entscheiden, ob er seine Daten via App teilt und zur weiteren Verarbeitung freigibt.

Das zentrale Unterscheidungsmerkmal und zugleich auch der Hauptkritikpunkt an PEPP-PT besteht der vorgesehenen Lokation für die Speicherung und Verarbeitung der Daten. So sieht PEPP-PT vor, dass die ausgetauschte Information über die Nutzerinteraktionen, im Falle einer Infektionen, vom betroffenen Nutzer an einen zentralen Server gesendet wird, wo im nächsten Schritt anhand der empfangenen Meta-Daten, wie etwa der exakten Zeitstempel und Abstandsmessungen, das Infektionsrisiko für die mit der infizierten Person in Kontakt gekommenen Nutzer berechnet wird.

Bei DP-3T hingegen wird lediglich die anonymisierte Nutzer-ID des eigenen Smartphones auf einen Server geladen. Die ID-Codes der infizierten Personen können von anderen Nutzern heruntergeladen und lokal mit den auf dem eigenen Gerät gespeicherten Daten abgeglichen werden. Ein Zugriff auf persönliche Daten durch eine staatliche oder dritte Instanz ist somit nicht möglich.

Die Kritik an PEPP-PT

Lange hielt die Bundesregierung an ihren Plänen zur Umsetzung des PEPP-PT-Konzepts fest. Mangelnde Transparenz in der Entwicklung führte jedoch zuletzt zu immer lauter werdender, externer wie auch interner Kritik sowie zu einem Rückzug einiger am Projekt beteiligter, renommierter Institute. Am 20. April wurde zudem ein von rund 300 Experten unterzeichneter offener Brief veröffentlicht, der davor warnte, dass bei einer zentralen Speicherung und Verarbeitung der Daten, die Gefahr des Datenmissbrauchs und staatlicher Überwachung nicht ausgeschlossen werden könne. So pochten die Kritiker auf eine Klarstellung, mit welchen Sicherheitsvorkehrungen man die Privatsphäre und Persönlichkeitsrechte der Bürge schützen wolle. Des Weiteren forderten die Kritiker, dass:

  • die App ausschließlich für gesundheitsfördernder Maßnahmen verwendet wird und keine Sammlung anderwärtiger Nutzer-Daten stattfindet,
  • die weitere Entwicklung unter voller Transparenz vollzogen wird, sodass eine öffentliche Analyse möglich ist,
  • die Verarbeitung der Nutzerdaten genau protokolliert wird,
  • bei Vorliegen unterschiedlicher Optionen für die Implementierung bestimmter Komponenten und Funktionalitäten der App stets jene gewählt wird, die am wenigsten in die Privatsphäre der Nutzer eingreift, und
  • die App nach der Krise deinstalliert werden kann und alle gespeicherten Daten zur Gänze gelöscht werden.

Unter den Appellierenden befanden sich auch 50 deutsche Forscher, die sich gemeinsam mit ihren Kollegen aus aller Welt für einen dezentralen Ansatz aussprachen, wie es zum Beispiel das konkurrierende DP-3T-Konzept darstellt.

Die Regierung denkt um: DP-3T setzt sich durch

Wie auch bei unseren Nachbarn Österreich und der Schweiz, einigte man sich in Deutschland nun doch auf einen dezentralen Ansatz. Damit kommt die Bundesregierung den Forderungen seiner Kritiker sowie auch der Europäischen Union nach, die betonte, dass eine zentrale Speicherung technisch nicht nötig sei und das Verwenden einer solchen Corona-App auch ein gewisses Maß an Vertrauen auf Seiten der Nutzer voraussetzt, dass sorgfältig mit den erhobenen Daten umgegangen wird. Berechnungen zufolge müssten schließlich 60-70% der deutschen Bevölkerung die App verwenden, damit sie flächendeckend und effektiv Schutz bieten kann.