Zu Beginn sah es nach einer schnellen Lösung aus. Mitte April solle es eine App geben, die es erlaube, die Kontakte zwischen Corona-Infizierten und ihren Mitmenschen nachzuvollziehen, versprach Gesundheitsminister Jens Spahn noch Anfang des Monats. Das sogenannte Contact-Tracing gilt als wichtiges Werkzeug, um Lockerungen der strengen Auflagen angehen zu können. Seitdem haben sich die Ereignisse überschlagen – und nun ruht die Hoffnung auf den US-Giganten Apple und Google.
Überraschender Umschwung
Die beiden Entscheidungen dazu fielen am Wochenende. Am Sonntag verkündete Spahn überraschend, von zunächst bevorzugten Modell des PEPP-PT-Konsortiums zurückgetreten. Das auch wegen seiner geringen Transparenz kritisierte internationale Team war wegen seines Ansatzes in die Kritik geraten, einen Teil der Daten zentral speichern zu wollen. "Ganz entscheidend ist das Vertrauen der Bürger in diese Anwendung", erklärte Spahn den "Tagesthemen". "Und eine dezentrale App – das zeigen auch die Debatten – hat eine deutlich höhere Akzeptanz."
Eine große Rolle dürfte auch ein Bericht vom Freitag gespielt haben. Die fehlende Unterstützung von Apple und Google war eine der größten Hürden für die technische Unterstützung der PEPP-PT-Lösung. Die beiden Silicon-Valley-Giganten entwickeln mit Android und iOS die beiden relevanten Smartphone-Systeme, sie hatten angekündigt, eine eigene Version von Contact-Tracing direkt ins System zu verbauen. Deutschland und Frankreich hatten versucht, die beiden Konzerne stattdessen für eine Öffnung ihrer Systeme für die PEPP-PT-Lösung zu gewinnen. Am Freitag war das vom Tisch: Die beiden Konzerne hatten die Bemühungen abgeblockt, meldete Reuters.
Zentral oder dezentral
Der Unterschied zwischen den Ansätzen klingt zunächst gigantisch: Die Variante des PEPP-PT speichere Daten der Nutzer auf einem Server, der dezentrale Ansatz nicht, hieß es in vielen Berichten. "Die Unterschiede der beiden Lösungen sind aus technischer Sicht gering", widerspricht Hannes Federrath, der Präsident der deutschen Gesellschaft für Informatik dieser Wahrnehmung. Auch die Variante des PEPP-PT habe nach seiner Einschätzung versucht, die Menge an identifizierbaren Daten gering zu halten. Trotzdem sei es gut, dass nun noch weniger Daten gesammelt würden. "Der dezentrale Ansatz ist besser", stellt er fest.
Apple und Google nutzen eine Methode, die weitgehend mit der des PEPP-PT-Konkurrenten DP3T übereinstimmt. Dabei wird mit einem komplizierten System von sich ständig ändernden Schlüsseln gearbeitet, die es ermöglichen sollen, den Nutzer über einen möglichen Kontakt mit einem Infizierten zu informieren, ohne dass die Daten dabei für Dritte verwertbar sind. Das wichtigste Merkmal: Die Informationen sind nur auf dem Gerät des Nutzers lesbar – und auch nur dann, wenn ein Kontakt bestätigt wird.
"Die dezentrale Lösung macht die Speicherung von potenziell miteinander verkettbaren Daten obsolet", erklärt Federrath. "Der Abruf der Daten kann so geschehen, dass keine verwertbaren Spuren hinterlegt werden müssen." Wie sicher die App am Ende sei, hänge aber auch von der Umsetzung ab. Apple und Google legen nur die Grundlage, auf der die Länder verschiedene Apps bauen könnten. Dabei seien sogar noch weitere Schutzmaßnahmen denkbar, etwa eine weitere Verschleierung über die TOR-Technologie, die etwa beim anonymen Surfen im Darknet benutzt wird.
Abhängig von den Tech-Konzernen
Ohne die Mitarbeit der Tech-Konzerne wäre die Umsetzung einer Corona-App seiner Ansicht nach schwierig geworden. Vor allem, weil aus Datenschutz-Gründen auf die Bluetooth-Technologie gesetzt werden muss. Die größte Hürde sei dabei, die unterschiedlichen Bluetooth-Lösungen miteinander kompatibel zu machen. "Bluetooth muss Plattform-übergreifend gut genug sein – und das können Apple und Google gemeinsam", erklärt Federrath. Ein zweites Problem: Apple erlaubt es Apps nicht, dauerhaft im Hintergrund auf Bluetooth zuzugreifen. "Diese Beschränkung in iOS lässt sich ohne Apple nicht lösen."
Das Kanzleramt und auch die französische Regierung hatten wegen der Beschränkungen die Konzerne hinter den Kulissen gedrängt, die Schnittstelle für die von ihnen bevorzugte PEPP-PT-Lösung zu öffnen. Doch Google und Apple sperrten sich offenbar, den Apps der Regierungen Ausnahme-Genehmigungen zu erteilen.
Wie tief ist die Integration ins System?
Doch die Integration in das Betriebssystem wirft neue Fragen auf. Wird jetzt jedes Smartphone zum Contact-Tracing-Gerät, dem man das Verhalten erst verbieten muss? Minister Spahn legte bei den "Tagesthemen" noch viel Wert darauf, die Freiwilligkeit der Lösung zu betonen. "Eine Frage ist auch: Bleiben die Funktionen auch nach der Krise in den Betriebssystemen? Werde ich sie einfach abschalten können?", ergänzt Federrath. Da die Umsetzung noch nicht final ist, lässt sich das bislang nicht beantworten.
Federrath sieht zudem noch ein weiteres Problem: Wie werden die Bürger reagieren, wenn sie US-Konzernen für das Contact-Tracing Zugriff auf ihre Gesundheitsdaten geben müssen? Schließlich würde man ihnen dabei hochsensible Daten überlassen. Er selbst würde Apple Health daher nicht nutzen. Nicht, weil er vermutete, dass jemand Zugriff auf seine Daten habe, - sondern weil er es nicht prüfen könne.
Minister Spahn hatte bereits in ein ähnliches Horn geblasen. "Dieser Grundglaube daran, dass Daten, die bei Apple und Google aufgehoben sind - bei amerikanischen Großkonzernen - besser geschützt sind als Daten, die in Deutschland auf Servern auch staatlich kontrolliert liegen, diesen Glauben verstehe ich manchmal nicht", sagte er dem "ZDF". Die Datenschutzbehörden müssten ganz genau darauf achten, eine Möglichkeit des gläsernen Bürgers zu verhindern, glaubt auch Federrath.
Strenge Auflagen der Techkonzerne
Apple und Google haben sich am Wochenende um viel Transparenz bemüht. Sie würden mit den Apps - und auch mit den daraus gewonnenen Daten - kein Geld verdienen, betonten die Konzerne. Die Daten ließen sich auch von ihnen nicht abrufen. Zugang zu der Schnittstelle bekämen keine Apps von Drittanbietern, sondern nur die der Gesundheitsämter. Die auf der Contact-Tracing-Schnittstelle beruhenden Apps müssten hohen Standards genügen. So müssten sie spezifische Auflagen zur Privatsphäre, der Sicherung und Kontrolle der Daten erfüllen. Auch die Freiwilligkeit der Teilnahme und ein Verbot der Sammlung von Standortdaten gehört zum Verpflichtungskatalog. Damit wurden viele Befürchtungen von Kritikern adressiert, wenn auch nicht jede Frage beantwortet wurde.
Trotz der zahlreichen offenen Fragen und seiner ursprünglichen Unterstützung der PEPP-PT-Lösung sieht Federrath die Entwicklung positiv: "Das Ringen um die beste Lösung ist notwendig", ist er sich sicher. "Wir vertrauen aktuell den Virologen, dass sie beurteilen können, ob Contact Tracing wirklich seinen Zweck erfüllen kann. Warum sollen wir also nicht den Technikwissenschaftlern vertrauen, dass sie die technisch beste Lösung bieten?" Nun komme es noch auf die passende Umsetzung an. "Ich bin überzeugt, dass sich die Probleme lösen lassen. Da gibt es meiner Meinung nach überhaupt keine echten technischen und gesellschaftlichen Hürden mehr, die sich nicht lösen lassen."
Quellen:Tagesthemen, Heise
