Debatte um Corona-Apps

Bewegt euch endlich!

Zwischen Glaubenskrieg-Rhetorik und Etikettenschwindel: Die Verfechter:innen eines zentralen Ansatz für Corona-Tracing-Apps haben zu viel Vertrauen verspielt. Wenn es ihnen wirklich um den Erfolg der digitalen Kontaktverfolgung geht, müssen sie den Weg jetzt freimachen. Ein Kommentar.

In der Tracing-Debatte liest man oft, Datenschützer:innen würden dem Erfolg im Weg stehen. Das Gegenteil ist der Fall. Gemeinfrei-ähnlich freigegeben durch unsplash.com Ali Yahya

Es ist kurios: Die Debatte um Apps zur digitalen Kontaktverfolgung spaltet Deutschland, ach was, sie spaltet Europa. Deutschland und Frankreich kämpfen für die zentrale Variante. Österreich, die Schweiz, Spanien und andere wollen die dezentrale. Auch die sonst oft sehr einmütige digitale Zivilgesellschaft hat sich über diese Frage regelrecht zerstritten.

Dabei haben alle das gleiche Ziel: die Eindämmung der Corona-Pandemie. Unbestritten ist auch, dass Tracing-Apps von enorm vielen Menschen genutzt werden müssten, damit sie überhaupt Aussicht darauf haben können, hier einen relevanten Beitrag zu leisten.

Für Deutschland liegt die Schätzung bei mindestens 50 Millionen Nutzer:innen. Das macht die Sache eigentlich einfach. Die breite Akzeptanz der Anwendung setzt breites Vertrauen voraus. Viele Menschen haben in Datenfragen aber kein Vertrauen, weder in privatwirtschaftliche noch in staatliche Akteur:innen. Snowden, Cambridge Analytica, Sie wissen schon.

Die Digitalisierung ist für viele Menschen die persönliche Geschichte des großen informationellen Kontrollverlustes. Wenn sie daraus eines gelernt haben, dann ist es dies: misstrauisch gegenüber jenen zu sein, die ihnen Apps als Lösung für irgendetwas anbieten.

Eine App, ein Zweck, kein Problem

Das macht den dezentralen Ansatz so charmant. Auch er bietet keine absolute Sicherheit. Auch er funktioniert in den meisten Ausprägungen nicht „anonym“, selbst wenn das manche behaupten. Aber er kommt ohne die Voraussetzung aus, einer zentralen staatlichen Instanz vertrauen zu müssen, dass sie die Daten exakt so verwendet, wie versprochen. Und das morgen auch noch so tun wird.

Seit einiger Zeit lautet das Hauptargument für den zentralen Ansatz: Nur die pseudonyme Speicherung der Kontaktdaten auf einem Server ermögliche es, mit der Tracing-App gleichzeitig Erkenntnisse für die epidemiologische Forschung zu gewinnen. Man kann hier zwar anmerken, dass der Mehrwert der durch die App gewonnen Daten begrenzt sein dürfte, weil relevante Information fehlen. Beispielsweise ob die Kontakt-Person einen Mundschutz getragen oder ob sie geniest hat. Doch es stimmt wohl: Für epidemiologische Modelle wäre ein Mehr an Daten trotzdem wertvoll.

Nur: Warum hat man das nicht von Anfang an kommuniziert? Bis heute liest man auf der Website von PEPP-PT ausschließlich, dass es darum geht, Kontakt-Personen von Infizierten zu informieren. Wenn die App eigentlich zwei Funktionen erfüllen, also auch Daten für die Forschung sammeln soll, dann macht das die Sache nicht nur datenschutzrechtlich erheblich komplizierter, sondern ist auch ein Etikettenschwindel. Denn für das reine Contact-Tracing braucht es keine zentrale Datenverarbeitung.

Anhänger:innen der zentralen Variante tun den Streit zwischen den Modellen gerne als Glaubensfrage ab. Das Gegenteil ist der Fall. Es ist eine Abwägungsfrage, die in einer aufgeklärten Gesellschaft absolut legitim ist: Wollen wir mehr Daten für die Forschung, zum Preis einer leichteren hypothetischen Identifizierbarkeit der Infizierten? Oder wollen wir ein weniger vertrauensintensives Modell, auch wenn das bedeutet, dass wir uns einen Weg verbauen, mehr über die Krankheit zu erfahren?

Wenn die Beteiligten von Anfang an alle Karten auf den Tisch gelegt hätten, dann hätte man darüber eine bessere Debatte führen können. Hätte. Denn jetzt ist es ohnehin zu spät.

Im Glaubenskrieg sind immer nur die anderen

Derzeit ist oft zu lesen, Datenschützer:innen sollten pragmatischer sein und sich endlich bewegen. Doch Vertrauen lässt sich nicht verordnen. Man gewinnt es auch nicht dadurch, dass man Andersdenkende als religiöse Fundamentalist:innen diskreditiert.

Vertrauen erwirbt man, indem man transparent, wertschätzend und zuverlässig kommuniziert. Und man gewinnt es dadurch, dass man Institutionen an seiner Seite hat, denen viele Menschen vertrauen. Doch die Verfechter:innen des zentralen Modells haben sich durch ihre miserable Kommunikation in eine Sackgasse manövriert. Hunderte Wissenschaftlerinnen und diverse zivilgesellschaftliche Organisationen warnen inzwischen vor dieser Variante.

Die Abwägung lautet heute nicht mehr: umfassenderer Datenschutz oder mehr Möglichkeiten für die Forschung. Inzwischen lautet sie: dezentrale Kontaktverfolgung zur Identifikation von möglichen Infektionsketten oder fundamentales Misstrauen.

Selbst diejenigen, die die Sorgen vor einer Ausnutzung der zentralen App übertrieben finden, können nicht darauf hoffen, den psychologischen Effekt dieser Warnungen wieder einzufangen. Wer trotzdem am zentralen Modell festhält, ist bereit, die gesamte Idee für ein bisschen Mehr an Forschungsdaten zu opfern. Oder geht es am Ende doch nur darum, nicht vom eigenen Dogma abzuweichen?

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

41 Ergänzungen
  1. Mittlerweile hat sich die dezentrale Lösung ja durchgesetzt, und vielleicht auch mit gutem Grund. Trotzdem noch eine Anmerkung zur Debatte: Ich stimme dem Artikel zu, dass die Verfechter der zentralen Variante ausgesprochen schlecht kommuniziert haben. Ich sehe allerdings nicht, dass die andere Seite durchweg seriös und fair vorgegangen wäre. Die unbestreitbaren, aber bei Licht betrachtet im Vergleich zu vielen anderen Apps nicht besonders großen Missbrauchs- und Datensicherheitsrisiken der zentralen Lösung (die immerhin ja auch darauf basieren sollte, 1. keine Standort- oder Bewegungsdaten zu verarbeiten, 2. die Datensammlung dezentral auf dem Mobiltelefon durchzuführen und nur im Infektionsfall Daten weiterzuleiten, 3. die Identität der betroffenen Personen sowohl gegenüber dem sammelnden Endgerät als auch gegenüber dem zentralen Server durch starke Pseudonymisierung zu verschleiern) wurden zur sinistren Salamitaktik hochgejazzt und als perfide verbrämter Einstieg in den Überwachungsstaat denunziert (Zitat: „PEPP-PT is a trojan horse.“). Das dürfte zum Vertrauensverlust ganz erheblich beigetragen haben, und ich frage mich schon, ob das Ziel da bei allen wirklich war, die datensparsamere Variante durchzusetzen, oder ob es nicht manchem darum ging, die ganze App möglichst zu verhindern. Von daher finde ich auch den letzten Textabschnitt etwas erstaunlich, weil er sich für mich so liest, als ob man einer Desinformationskampagne schon darum nachgeben sollte, weil sie bei einem signifikanten Teil der Bevölkerung Erfolg hatte.

    Wie es weiter geht, werden wir sehen – insbesondere auch, ob 1. denn nun genügend Leute dem dezentralen Modell vertrauen, 2. sich wirklich keine größeren Probleme daraus ergeben, dass die gesamte Betriebssystemsinfrastruktur und das technische Rückgrat des Benachrichtigungssystems in den Händen von zwei amerikanischen Konzernen liegen, 3. sich nicht zu viele Menschen einen Spaß daraus machen, die pseudonym verschickten Infiziertenlisten (teilweise) zu depseudonymisieren, 4. sich die nicht ganz unerheblichen Datenmengen, die im dezentralen Modell an die Endgeräte verschickt werden, effizient übertragen lassen und 5. sich wichtige epidemiologische Erkenntnisse anderweitig generieren lassen.

    1. Zu 1. Hoffentlich vertraut man diesem mehr als dem zentralen Ansatz.
      Zu 2. die heutige Realität auf dem Smatphone-Markt (Marktbeherrschung durch Apple/iPhone, Google/Android) hat nichts mit einer Corona-App an sich zu tun. (Und wäre es vielleicht nicht viel schwerer, wenn man dutzende Unternehmen „auf Linie“ bringen müsste anstatt zweier?)
      Zu 3. es werden keine „Infizierten-Listen“ verschickt, sondern Listen mit den „Kontakt-IDs“; eine „Identifizierung“ kann auch jetzt schon ganz analog und ohne App versucht werden („Ich muss in Quarantäne, warum? … Ach ja, der Kollege Meyer hat doch gehustet und ist jetzt krankgeschrieben – der hat Corona, das muss es sein!“)
      Zu 4. „unerheblich“? Dann sollte es ja kein Problem sein ;-) Oder war vielleicht doch „erhebliche Datenmengen“ gemeint? Das sollte bei den bisherigen Infektionszahlen mMn keinerlei Problem sein; aber wenn die zu verteilende Liste wirklich so groß werden sollte, dass dies nicht mehr effizient möglich wäre, dann hätte die App sowieso nichts gebracht.
      Zu 5. es war zu keinem Zeitpunkt Ziel oder Zweck der App als Datenlieferant für Forscher zu dienen! Diese Begehrlichkeiten wurden von der Seitenlinie geäußert und richten wohl nichts als weiteren Vertrauensschaden an.

      (Kann es außerdem sein, dass der zentrale Ansatz teilweise mit dem dezentralen verwechselt wird? Der folgende Satz in deinem Text trifft nämlich auf den dezentralen Ansatz zu, aber nicht auf den zentralen, mit dem er hier aber anscheinend in Verbindung gebracht wird: „2. die Datensammlung dezentral auf dem Mobiltelefon durchzuführen und nur im Infektionsfall Daten weiterzuleiten,“)

      1. 1. Das wird sich zeigen müssen. Ich bin da nicht sehr optimistisch nach den Schießereien der letzten Wochen.

        2. Mit der App hat es aber etwas zu tun, wenn diese Unternehmen nicht mehr nur eine Basisinfrastruktur für das mobile Gerät allgemein, sondern große Teile der Tracinglösung selbst bereitstellen und insbesondere mangels einer zentralen Benachrichtigungsstelle die Benachrichtigungen relativ leicht manipulieren können. Wenn von der Zentrale benachrichtigt wird, erfahren Apple und Google bei entsprechender Obfuscation nicht, wer infiziert ist und wer benachrichtigt wird.

        3. Versandt werden an alle Appbenutzer Listen mit Kontakt-IDs aller, aber auch nur der Personen, die sich gegenüber der App als infiziert gemeldet haben. Also (pseudonymisierte) Infiziertenlisten. Mit der Digitalisierung des Tracing ergeben sich mannigfaltige neue Identifikationsmöglichkeiten, insb. auch ohne persönliche Bekanntschaft. Mit entsprechendem bösen Willen und weiterer Hardware kann ich die Infektion evtl. nicht nur dem Kollegen Mayer zuordnen, sondern auch dem jungen Mann, der neben mir an der Bushaltestelle stand. Das räumen übrigens auch die Verfechter des dezentralen Ansatzes ein.

        4. Bitte erst lesen und dann vermeintliche Fehler verbessern: „nicht ganz unerheblich“ ist etwas anderes als „unerheblich“. Zur Sache: Sinnvollerweise muss die App grenzüberschreitend und nicht nur in einem Land funktionieren. Selbst wenn wir nur einen europaweiten Einsatz zugrundelegen, kann die Liste ganz schön lang werden, ohne dass deshalb die App schon sinnlos wäre. Im zentralen Modell gab es gerade für die grenzüberschreitende Benachrichtigung schon Lösungsansätze.

        5. Da habe ich die Debatte etwas anders wahrgenommen. Dieses Zusatzziel wurde allerdings als Überwachungsfantasie denunziert, um sich damit nicht näher auseinandersetzen zu müssen. Warum es – ohne Panikmache – vertrauensmindernd wirken soll, wenn die App zusätzlich zur Benachrichtigung epidemiologische Erkenntnisse erbringt, erschließt sich mir in keiner Weise, solange die Benachrichtigungsdaten nicht auf bestimmte Personen bezogen werden. Dass die PEPP-PT-Leute äußerst schlecht kommuniziert haben, sehe ich ansonsten genau so.

        Klammerzusatz: Der Satz trifft sehr wohl auch auf den zentralen Ansatz zu. Im zentralen Ansatz werden die per BTLE eingesammelten Kontaktdaten (IDs) erst einmal nur lokal auf dem Mobiltelefon gespeichert. Nur wenn der Inhaber des Telefons sich als infiziert meldet und die Infektion vom Gesundheitsamt bestätigt ist, werden die Kontaktdaten der letzten paar Wochen auf den zentralen Server hochgeladen und dort ausgewertet. Mir scheint eher, dass hier jemand der Verteufelung des zentralen Ansatzes auf den Leim gegangen ist, ohne sich mit dessen Funktionsweise näher zu beschäftigen.

        1. Das ist doch alles für die Tonne, wenn der Erfolg von den Besitzverhätlnissen der Bürger abhängig ist! Virologen meinen, dass man MINDESTENS 60-70% App-Nutzer in der Bevölkerung braucht, damit es was bringt – es gibt in Deutschland aber nur etwa 57 Millionen Smartphone-Nutzer (https://de.statista.com/statistik/daten/studie/198959/umfrage/anzahl-der-smartphonenutzer-in-deutschland-seit-2010/) – was ziemlich genau 70% (von 82 Millionen Einwohnern) entspricht. Es müsste also JEDE(R) nutzen, der ein Handy hat. (und dabei hat nicht einmal jedes Handy das nötige low-energy bluetooth …)

  2. Was bei den Überlegungen noch fehlt ist folgendes: Nicht nur für die Installation und Verwendung der App ist Vertrauen notwendig, das mit den entstehenden Daten verantwortungsvoll umgegangen wird. Sondern erst recht, wenn jemand positiv getestet wurde. Wie hoch ist den die Chance, das derjenige dann auch in der App einträgt, er ist jetzt ansteckend, wenn kein Vertrauen da ist? Ich befürchte, das mancher die App nur nutzt, um auf eine mögliche Ansteckung hingewiesen zu werden, aber nicht, um die eigene Infektion bekannt zu machen (aus Angst vor wie auch immer gearteten Nachteilen). Wieviel bringt das ganze noch, wenn nur jeder zweite Infizierte der App seine Erkrankung mitteilt?
    Von daher, Vertrauen ist nicht nur nötig, um die app überhaupt zu installieren (und gegebenenfalls zusätzlich noch Bluetooth einzuschalten, was auch nicht bei jedem an ist), sondern eben auch um die eigene Infektion bekannt zu geben. Je geringer die Zahl der Installationen und die Bekanntmachung der eigenen Ansteckung ist, desto weniger bringt das ganze. Nur mit schonungsloser Offenheit (Stichwort open source und damit Überprüfbarkeit), konsequenter Datensparsamkeit und einem dezentralen Ansatz läßt sich soviel Vertrauen gewinnen, das die App zumindest einen gewissen Beitrag leisten kann (wobei, Wunder sollte man auch dann nicht erwarten, aber das wäre eine andere Diskussion, Abstand halten ist immer noch das wichtigste).

    1. Ein Problem ist ja immer noch, dass man praktisch 100% Abdeckung bei den _kompatiblen_ Handys mit der App haben müsste, um die notwendigen 60-70% Verbreitung zu erreichen. Das wird allzuoft vergessen.

  3. Danke an die Netzgemeinde und die digitalpolitischen Netz-NGOs!!!!!!
    Nun weiter mit europäischen Smartphone-OS und App-Store

    Liebe Leute, das hat ja gut geklappt, nun wird laut Bundeskanzleramt auf dezentral umgeschwenkt. Ein herzliches Dankeschön eines Bürgers und Verbrauchers an die Netzgemeinde und die digitalpolitischen NGO´s, an die Neumänner, Buermeyers, netzpolitik.org-ler usw.

    Der gesamte Vorgang seit Wochen zeigt, dass die digital- und netzpolitische Szene politisch stark geworden ist, gut und weiter so!!! Gemeinsam müssen wir weiter für Bürger-, Freiheits- und Nutzerrechte kämpfen!!! Und egal ob zentral oder dezentral – beides ist meilenweit besser als die apokalyptischen Horror-Überwchungs- und Kontrollszenarien aus Asien – und was technisch heute einfach alles möglich ist. Europa hat seine Stärke gezeigt und eine gute Alternative – basierend auf seinen Werten – gezeigt.

    Nun muss es aber weiter gehen: Die beiden zentralen digitalen Infrastrukturen – Betriebssysteme und App-Stores – befinden sich in den Händen der beiden bekannten US-Unternehmen – und machen Europa sehr abhängig, wie der Vorgang um die Corona-App gerade auch wieder zeigt!!! Also auf liebe europäische Technik- und Netzcommunity: Macht doch auf demselben Weg wie PEPP-PT bzw. 3P-PT ein europäisches Smartphone-Betriebssystem und einen europäischen App-Store – und beides dann ohne die Überwachungs- und Nachverfolgungsorgien von Apple und Google!!!!!! Denn diese beiden Komponenten gehören mittlerweile zur kritischen Basis-Infrastruktur eines jeden EU-Bürgers und gehören zur Daseinsvorsorge wie Wasser und Strom.

    1. Sorry, der Link klatscht euch gegen eine Paywall :-(
      Über den Brief des Deutschen Landkreistags an Jens Spahn und die enthaltenen Forderungen wird inzwischen aber auch in vielen anderen Medien berichtet.

  4. Und Zack, jetzt „denkt die Bundesregierung um“ :). Die Artikel sind schon fast wieder in der zweiten Reihe, seit gestern.

    Ich wollte noch darauf hinweisen, dass nicht nur Speicherung ein Problem sein muss. Müssten bei einem „dezentralen Modell“, wie es tagesschau.de gestern beschrieb, für alle temporäre IDs anderer nachgefragt werden, ob diese infiziert sind/waren:
    (?) Mitleser im Abfragestrom hätten potentiell schon Kontaktnetze vorliegen, und zwar von allen. Es muss also Getrolle und Impersonifizierung verhindert werden. Kryptographisch geht das, allerdings bedeutet das, dass eventuell eine Zuordnung z.B. über die Signatur eben doch möglich ist. Im Prinzip reicht es allerdings, privaten Schlüssel und ID immer gleichzeitig neu zu generieren, da eine dauerhafte Speicherung von privaten Schlüsseln nicht nötig ist. Auf diese Weise wäre eine Zuordnung vermeintlich nur für Datensätze innerhalb des Neugenerierungsintervalls möglich. Hier kommt es darauf an, wie oft auf Infizierung gefragt wird. Bei gegebener Testlatenz ergibt es kaum Sinn, öfter als 1-2 mal pro tag zu fragen, dann kann man (1-2-3) stündlich die ID wechseln, und alles ist ziemlich gut. Dumm wäre halt, stündlich zu fragen, dann hätte ein MITM/Dienst doch ganz schön zusammenhängende Netz-Zeit-Stückchen. Aus Wegstücken kann man schon wieder was basteln, auch wenn man hier nur Kontaktwegstückchen hat. Also hier wäre es interessant, was für Intervalle voreingestellt werden, wie es kommuniziert wird, und ob/wie es von Benutzern geändert werden kann.
    (?) Braucht relativ viel Bandbreite.
    (!) Speichert nur temporäre IDs von Kontakten Infizierter (ohne deren ID). Das ist allerdings auch ein Kontaktnetz, wenn auch kein leicht zu prüfendes (alle IDs, denen Phantom Nr. X nahegekommen is). hier wird es interessant sein, ob die Implementierung z.B. für jede eigene temporäre ID eine Liste von Kontakten schickt, was ein Problem wäre, oder ob erst eine Menge auf dem Telefon erstellt wird, und dann als ganzes verschickt wird.

    Wahrscheinlich habe ich irgendwie vergessen alles zu lesen. Man kann aber immer noch einiges falsch machen :).

    1. Wenn Infizierte anderen (später) Infizierten nahe kommen, wird es doch sicherlich gemeinsame temporäre IDs wiederum Dritter geben :). Also alleine schon das Infiziertennetz ist ein Kontaktnetz. Irgendwann sind 60-70% der Bevölkerung infiziert, gibt es keine Immunität, wird die App dann Pflicht sein?

      Mal sehen, ob die Daten wirklich nur so lange aufgehoben werden, wie unbedingt nötig. Ein ÖRR Sender war heute immer noch bei Halbhurraberichterstattung, wohl Berichterstattung (dezentrale Richtung) doch irgendwie Appzentriert ohne Hinterfragen, dafür mit Datennützlichkeitserwähnung. War auch ein Experte, aber wessen Aufgabe war denn noch das Nachfragen …

      1. Irgendwo las ich, der Ansatz sei, täglich neue IDs zu generieren.

        Das wäre verrückt. Ist ja nur die Strecke überall dorthin, wo man täglich so hingeht, inklusive Rückweg, alles mit einer ID. Die Datensätze zuzuordnen könnte recht einfach sein, zumindest 80% oder so.

        Manchen Menchen reichen 5 Minuten für die täglichen Wege… das sollte eher stündlich oder noch öfter sein. Ein verschissener Programmieraffe kann schon allerlei Bedingungen setzen, Zeit, Zahl der Kontakte, zurückgelegte Strecke, Marshmellows, und die Generierung sogar verzögern, bis etwas los ist, oh und Multi-Threading :).

        Das letzte war ein Witz, aber halbechte Fastprofis können das natürlich locker.

        1. An die Daten heranzukommen …

          als weiteren Eckpunkt für Problemchen wäre ja noch eine in eine ID eingebettete Timestamp zu sehen. Vielleicht hat man die Wahl:
          1. Täglich generierte IDs haben einen sehr groben Zeitstempel, dafür ist der GESAMTE tägliche Weg durchs (zu denkende) vollständige Kontaktnetz in der Abfrage enthalten.
          2. Stündlich oder öfter neu generierte IDs. Nur kleinere Wegstücke pro ID, DAFÜR aber höhere zeitliche Auflösung. Hier ist die Kombinierbarkeit mit anderen Daten besonders „hoch“ (Kreditkartenzahlungen, Kameras, …).
          (3. Bei Abfrage könnten Mitlesende natürlich die neu hinzugekommenen IDs der Zeit zuordnen, unabhängig von Zeitstempeln. )

          Eckpunkte für weiteres allgemeines Versagen:
          – Keine Zeitstempel verwenden: Trollereien, Relay and/or Replay, DOS verkacken.
          – Kontakte in Reihenfolge des Auftretens abfragen, nicht als zufallsgemischte Liste.
          – Häufige Abfrage: Zeitpunkte ergeben Positionen bei Kombination mit anderen Daten, IPs von Hotspots u.ä. könnten auch direkt mehr oder sehr groben Aufschluss über Orte geben. Dieser Aufschluss beinhaltet das Problem für alle Kontakte mit (!), da die neu Hinzugekommenen offenbar auch in zeitlicher und Räumlicher Nähe zur Strecke der Abfragenden waren.

          ***

          Die offensichtliche Lösung ist wohl, selten abzufragen und täglich genügend viele temporäre IDs ohne, oder wenn dann mit dem selben Zeitstempel zu generieren, wobei für Abfragen die IDs immer zufällig gemischt werden. Mitleser hätten also nicht mehr Information durch den Zeitstempel, vorzugsweise mit einer Auflösung von einem Tag, denn alle Uhren sind unterschiedlich :) (vgl. JS: dom…battery).

          1. Es kommt darauf an, was eigentlich implementiert werden soll.

            1. Infizierte senden ihre eigene ID an den Server. Alle fragen für alle Kontakte bis zu Alter X nach, ob die Infiziert waren.
            2. Infizierte senden ihre Kontakte bis zu Alter X an den Server. Alle fragen für ihre eigene ID nach, ob die infizierten nahe gekommen ist.

            Gerade mit temporären IDs könnte 2. der sinnvollere Weg sein, und exponiert mitnichten die Kontaktnetze aller beim Abfragen. Kontaktnetze infizierter Phantome bleiben allerdings auf dem Server. Da könnte also obig Denkfehler bestehen, andererseits ist ja alles wieder offen :), DP3T raus, „dezentral“ rein.

            Verbleibe gespannt, welcher Ansatz auch immer umgesetzt wird, wie es sich mit den Datenzugriffs- und Auskunfts- „Befugnissen“ verschiedener Behörden /-Teile so verhalten wird, da kann ja vieles umherwandern und vermischt werden. Strecken und Falten…

          2. Der Vollständigkeit halber: 2. Ist unvollständig.

            a) „Alle“ müssen alle eigenen temporären IDs der letzten X Tage für eine Abfrage hochladen.
            b) Man lädt alle IDs von Infizierten herunter.
            c) Man lädt Seeds von Infizierten herunter, mit denen die temporären IDs berechnet werden können.

            a) Damit weiß der Server, wer welche ID jemals hatte, da ja immer wieder abgefragt werden muss. Da wäre also der Unterschied nivelliert, zu serverseitig generierten temporären IDs – diese Betrachtung kann natürlich woanders anecken.

            Diese Abfrage entspricht allerdings im günstigen Falle der Freiwilligkeit, diese App zu benutzen, da Benutzende allgemein nur sich selbst exponieren. Das Problem der false positives bleibt natürlich, weil da die Freiwilligkeit an Infiziertenkontaktnetzen teilzunehmen stark von der Softwarequalität und dem Machbaren abhängt – aber das ist ja angeblich so: die Nutzung ist freiwillig.

            b) Cool, der Server weiß fast nichts über Abfragende. Man könnte jetzt noch über IPs reden usw. Die Datenmenge ist allerdings so eine Sache. Der Vorteil ist ganz klar, dass der Server nicht jedes mal alle senden muss, sondern nur die neu hinzugekommenen, zudem muss die Abfrage nicht über das Mobilfunknetz erfolgen, oder es gibt spezielle WLANs oder Verträge mit providern, die die Netzneutralität hier zu Gunsten aller aufweichen :). Muss man DOS verhindern, also merkt sich der Server die letzten Abfragezeitpunkte der App für Y Tage?
            c) Siehe b), abzüglich der Bandbreite. Zuzüglich der Rechenzeit der App, die jetzt für alle (!) heruntergeladenen Seeds so lange IDs berechnen muss, bis klar ist, ob die Kontakte waren. Hier kann man appseitig wie Serverseitig auch geschickt vorgehen, so dass nicht jedesmal alles von neuem berechnet werden muss. Lustig wäre ein Bug bei den Effizienztweaks, so dass völlig falsche IDs herauskommen. Wichtig ist, dass im Falle von Maßnahmen, tatsächlich Überprüfung stattfindet, nicht nur Einsparung der Telefonkräfte. https://github.com/DP-3T/documents/blob/master/FAQ.md#p6-why-do-infected-people-upload-a-seed-which-enables-recreating-ephids-instead-of-their-individual-ephids-

  5. Ich wuerde annehmen, dass es in der Bevoelkerung mittlerweile keinerlei Grundvertrauen in Politik und Staat in diesem Kontext mehr gibt: zu viele dort Beteiligte haben zu oft in zu vielen Bereichen bewiesen, dass sie nicht vertrauenswuerdig sind. Das unterscheidet Deutschland zB von Skandinavien. Und ohne Vertrauensgrundlage ist Kooperation leider sehr viel aufwendiger.

    Jeder fragt sich nur noch: ist das gut oder schlecht fuer mich, trifft es mich oder kann ich ausweichen, bin ich dann hilflos oder kann ich mich bei Bedarf wehren? Diese Abschaetzung sieht fuer die Reichen und Maechtigen idR naturgemaess anders aus als fuer die Masse der Buerger.

    Es ist symptomatisch, wie schnell die Vertrauensstimmung jetzt wieder kippt, im gleichen Masse, wie die Handlungen der Politiker wieder primaer lobbygeleitet erscheinen.

    1. Das ist uebrigens fairerweise kein reines Politiker-Bashing: die sind ja gewaehlt worden. Ein Scheuer kann 500Mio verschenken, das wird offensichtlich akzeptiert. Ein Trittin hat ein durchfinanziertes Konzept vorgelegt, das war ehrlich und hatte Kosten gezeigt, das wurde nicht akzeptiert. Politiker sind idR lernfaehig und passen sich dem System an, sonst kommen sie nicht weit.

      1. Naja Akzeptanz durch nicht vorhandenen massiven Widerstand?
        Das zeigt die Verrohung in der Politik!

        Es gab schon jede Menge Kritik mindestens aus Koalition und Opposition, sowie Presse (ziemlich übergreifend), und vermutlich unter Wählern auch.

        Die Wahl alle X Jahre als Gradmesser für eine Aktion zu nehmen … Klimawandelhysterie?

          1. Vergewaltigen lassen ist Akzeptanz?

            Die Menschen sind in ein Arbeitsleben eingespannt, da geht nicht unendlich viel. Die Wahl ist also nicht Begriffsverirrung wie „Akzeptanz“ sondern plötzliche Revolution vs. System vernünftiger machen. Eine gewisse Menge an Autokrat(i)en hat das bereits verstanden, soll die Demokratie da hintanstehen?

  6. Wie ich das verstanden habe, wird für die App ja BLE, also Bluetooth Low Energie eingesetzt. Nun ist das ja nicht einfach Bluetooth und nicht alle Handies können das (meins zum Beispiel kann es nicht). Wieviele Handies können das überhaupt? Und wie viele Menschen haben ihr Handy überhaupt immer dabei? Und wie viele haben gar kein Handy?

    Oder: Wie groß ist der Anteil der Menschen, die überhaupt mitspielen *könnten*?

    Es kommt mir vor, als sei diese App eher ein Luftschloss.

  7. Super Kommentar, der die Situation gut zusammenfasst.

    Nun scheint sich die Regierung also doch für eine dezentrale Variante zu entscheiden. Mal schauen, ob das bereits verlorene Vertrauen wieder gewonnen werden kann.

  8. Komische App-Hörigkeit. Wenn ich als unbewusst Infizierter in der Gegend rum laufe (welchen Grund hätte ich für einen Test ; oft werden auch solche mit eigenem Verdacht abgewiesen) und anderen begegne. Wo hilft mir bzw anderen diese App?

    Egal, was da Privacy-mäßig versprochen wird. Das ist der feuchte Traum eines jeden Innenministers und Polizeichefs. Lass mal lieber sein. Diejenigen, die jetzt ihre Daten überall hin pusten, werden damit kein Problem haben.

  9. Bei dieser ganzen Diskussion frage ich mich immer: Was wird aus Leuten wie mir, die überhaupt kein Smartphone besitzen, wenn die App dann doch vielleicht mal Pflicht wird???

    1. „… die überhaupt kein Smartphone besitzen, …“

      Der Staat schenkt Dir ein einfaches Smartphone, falls bedürftig ?

      Das kostet in der Fertigung um 150 €. Ein PCR-Test auf den Virus wird m.W. mit um 60 € (Kasse) und 150 € (privat) berechnet. Da ist so ein Smartphone vergleichsweise preiswert.

      Will man eine Pflichtveranstaltung, wäre der Weg wohl, ein spezielles Tracking Armband in Großserie zu fertigen, das man zu tragen hat. Das kostet vielleicht 50 €. 4 Mrd wenn jeder Deutsche so ein Ding verpasst bekommt. Wäre wohl auch erheblich genauer, weil man die Technik speziell auslegen könnte.

      1. Ein Tracking Armband, also ein Ortungschip wie für Haustiere und Vieh. Dann kommt es hoffentlich zu massiven Ausschreitungen.
        Selbst ein Pflicht der App geht viel zu weit. Das wäre ein wichtiger Baustein für das Grundgerüst auf dem man einen Überwachungsstaat aufbaut.
        Wenn die Medizin zu einem größeren Problem werden kann als die Beschwerden muss man nach einer besseren Medizin suchen.
        Es heißt doch das wir Menschen so erfindungsreich sind, so klug und einfallsreich, das wir uns technisch extrem entwickelt haben und die Krone der Schöpfung sind.
        Wenn dem so ist dann kann es doch nicht sein das man das Gefühl bekommt (mir geht es zumindest so) das jetzt alles von ein App abhängt.
        Gibt es keine anderen Möglichkeiten den Bürger bei der suche nach einer Lösung mit einzubeziehen?
        Warum geht es nicht viel mehr in eine Richtung wie diese?
        https://www.golem.de/news/schwarmintelligenz-computerspieler-bekaempfen-das-coronavirus-2003-147039.html

      2. > „… die überhaupt kein Smartphone besitzen, …“
        > Der Staat schenkt Dir ein einfaches Smartphone, falls bedürftig ?

        Das Geschenk würde ich aus ethischen Gründen verächtlich ablehnen.
        Es gibt kein einziges „Smartphone“ das ökologisch vertretbar produziert werden könnte und das nicht auf der Ausbeutung billiger Arbeitskräfte beruht.

        Ich leiste mir ein geruhsames Leben ohne Telefon und beachte Abstands- und Hygieneregeln. Allerdings kann ich mir keine Mundschutz-Maske basteln und es ist schwierig eine zu bekommen. Da mir nun ein Bussgeld droht verzichte ich vorerst auch noch auf den Einkauf.

        Ich habe keinerlei Probleme mit jeglichem Verzicht, der mir sinnvoll erscheint.
        Danke liebes Virus, du zeigst der Welt was wirklich wichtig ist. Wir werden gezwungen ein wenig schneller zu lernen.

        1. Hinzu käme der Sicherheitsaspekt und die Freiheit der Wahl, und äh Bedienbarkeit.

          Aus Nichtbedienenkönnen soll dann Ausgeliefertsein folgen? Man ist ja auch dem Hersteller und dem OS-Hersteller zumindest „by default“ ausgeliefert…

          Ich glaube, hier ginge nur eine Art Trackingarmband, dessen einziger Zweck das Tracking ist, und das von der Regierung gestellt wird. Das wäre auch ehrlicher, als den Zugang zu Orten auf Appbenutzer einzuschränken. Vielleicht sollte es so ein Armband für diese orte geben ?

  10. Ich sehe hier ehrlich gesagt in erster Linie ein weiteres Digitalprojekt auf dem Weg ins Aus, zusammengetreten von weltfremden Aktivisten mit Unterstützung einer begrenzt kompetenten Regierung. Der ganze bisherige Entwurfsprozess war, soweit sich das von außen einschätzen ässt, eine Katastrophe.

    Bis heute liegt keine Anforderungsanalyse vor und auch keine nachvollziehbare Konzeptentscheidung. Darauf deutet nicht zuletzt die weiter oben von David zitierte Forderung der Landkreise nach anderen Daten. Ich erblicke darin nicht den wie vorhergesagt datensammelwütigen Überwachungsstaat, sondern ein Symptom für Versäumnisse. Es wäre eine gute Idee gewesen, die Entwicklung mit dem Anwendungsentwurf im Dialog mit den Gesundheitsämtern sowie auch den Bürgerinnen und Bürgern zu beginnen.

    Stattdessen geschah etwas anderes: PEPP-PT erschien, wohl auch aus berechtigter Angst vor der unvermeidlichen Kampagne, mit einem spezifischen Ansatz – hochautomatisierte Kontaktverfolgung – und dem Claim perfekten technischen Datenschutzes auf der Bildfläche. Als sich freilich zeigte, dass die anfangs gesetzten Constraints für die Praxis doch zu eng waren, fielen die Fäkalienwürfe nur umso heftiger aus.

    Ich hätte es schöner gefunden, wenn wir für einmal einen agilen Designprozess hinbekommen. Stattdesse geht das Projekt Corona-App jetzt voraussichtlich den Weg der Gesundheitstelematik und des elektrischen Personalausweises. Man wird sich wohl wieder im technischen Datenschutz verzetteln, darüber Anwender und Anwendung vergessen und sich am Ende wundern, dass es nichts taugt.

    Oder hat sich die Bundesregierung am Wochenende in Wirklichkeit für Apple und Google entschieden und damit die Aktivisten getrollt, ohne dass die es bemerkt hätten?

    1. Weltfremde Datensammelaktivisten?

      Es muss doch klar sein, dass es unendlich viele Daten zu sammeln gibt, fast kein Wissen darüber, was für Pandemiebekämpfung im Allgemeinen auch nur nützlich sein könnte, kein Wissen darüber, was erfolgreich sein wird…

      Was außer ‚keine Daten sammeln‘ soll denn der Inhalt einer App sein, die für die Eindämmung der Pandemie konzipiert und beworben wird?

      Das ist alles nicht so schwer. Schwer ist es, eine Begründung für das Sammeln bestimmter Daten zu finden, also besseres als „können dann nebenbei Diagramme machen“.

      1. Genau, weltfremde Aktivisten. Statt sich in einen Grabenkampf um das richtige technische Datenschutzmodell hineinziehen zu lassen, in dem einige wohl vor allem ihren Narzissmus ausleben, hätte man zuerst das Projekt als solches kritisch betrachten sollen. Ist es überhaupt eine gute Idee, auf automatisierte Kontakterfassung und unpersönliche Benachrichtigungen zu setzen? Wie funktioniert Kontaktverfolgung bisher und welche technische Unterstützung könnte sie erleichtern? Welche anderen Einsatzmöglichkeiten gibt es für digitale Lösungen in der Seuchenbekämpfung und welcher Nutzen ist davon jeweils zu erwarten?

        Selbst wenn Datenschutz sehr, sehr wichtig ist, muss man solche Fragen zuerst stellen und beantworten. Ein sinnvoller Entwurfsprozess wird nie von einem weißen Blatt über ein Datenschutzkonzept zu einer funktionsfähigen Lösung führen, sondern man muss die Lösung aus der Auseinandersetzung mit dem Problem und dem Anwendungskontext entwickeln und dabei abhängige Entwurfsdimensionen wie Datenschutz und Sicherheit im Blick behalten.

        Der Auftritt von PEPP-PT mit einem willkürlich gewählten Ansatz und einem engen Datenschutz-Fokus deutete deshalb von Anfang an auf Probleme im Entwicklungsprozess hin. Ich hätte gerne mehr und frühere Hinweise auf diese Probleme gelesen statt narzisstischer Positionierungen um die Frage, ob man rechts- oder linksdrehend scheitern solle. Spätestens seit Ross Andersons Wortmeldung (https://www.lightbluetouchpaper.org/2020/04/12/contact-tracing-in-the-real-world/) am 12. April musste allen klar sein, dass Datenschutz für das Vorhaben der automatischen Kontaktverfolgung nur ein Randproblem darstellt.

        Darüber hinaus hätte ich mir gewünscht, dass einmal jemand die Behauptung von der Vertrauensbildung durch Technik hinterfragt. Mit Ausnahme einiger digitaler Veganer mit ihren Alternativen macht kaum jemand sein Vertrauen von technischen Einzelheiten abhängig, sondern vom Verhalten und Erfolg der Betreiber. Die Bundesregierung hat jedoch bisher auf jede vertrauensbildende Maßnahme verzichtet, insbesondere darauf, die außerordentliche Datenverarbeitung in irgendeiner Form zu regeln. Das ist in den Schützengräben des technischen Schlachtfeldes nur niemandem aufgefallen.

        Fazit: Der deutsche Digitalaktivismus ist gedanklich und konzeptionell genauso abgehängt wie die deutsche Digitalpolitik und die deutsche Digitalwirtschaft. Es ist einfach niemand mehr da, der originelle Beiträge leisten könnte. Alle singen nur ihre alten Lieder.

        1. Ich verstehe die Kritik am Prozess zur Hälfte, die am vermeintlichen „Aktivismus“ allerdings überhaupt nicht.

          In Kürze: Viel Diskussion um modular zu bewältigende Extradatenprojekte ergibt keinen Sinn, da man den Nutzen nicht feststellen können wird. Bei der Richtungsgebung wäre ein Erkennen der Notwendigkeit, Apple+Google mal zu fragen, was so geht, ganz nett gewesen. Die Richtung bzw. Kommunikation bzgl. welcher, wurde allerdings insgsamt ordentlich versemmelt, so dass jenes kein Wunder ist. Es ging offiziell nicht darum „eine App mit Corona“ zu bauen, sondern Kontakttracing durchzuführen, wofür sich eine App mit BLE anzubieten schien. Natürlich sind Datenschutz und Akzeptanz in Europa essentielle Bestandteile einer solchen App, und ob des klaren Zweckes, notwendige Bedingungen. Auf „Aktivistenseite“ gibt es gut umsetzbare Konzepte, die zumindest nach bisheriger Spezifikation auch von Apple+Google unterstützt werden.

          1. Die Politik hat kaum sichtbare Anstalten gemacht, z.B. zu reglementieren, was passieren darf und was nicht, es scheint bis zu Drittanbieterapps alles offen. Aber recht klar kommuniziert wurde bereits früh, das Zwecks „Kontakttracing für Infizierte“ eine App hervorgeschluppt werden sollte.
          2. Der Datenzentrierte Ansatz, ersteinmal alles zu sammeln und dann nachzufragen, wäre so idiotisch wie er die Verfassung bricht. Kontakttracing für Infizierte war der designierte beworbene Zweck, nicht „irgendetwas mit/für/trotz Corona anstellen“. Waren vielleicht Akteure mit einschlägigen Sekundärzielen von Anfang an mit an den Strippen dran?
          3. Datenschutz ist essentiell, Torschlusspanik ist ob der schwierigen Planbarkeit und des ungewissen Nutzens, sowie der völlig unklaren „time to function“, letztlich auch angesichts der Sensibilität der Daten absolut unangebracht. Zumal der klassische Weg der Nivellierung von Rechten zugunsten extragesellschaftlicher Player ja so ähnliche Argumentationen hervorbringt: „Ersteinmal gucken was man alles so schönes machen kann“, „Ziele unter Ausschluss von Datenschutz festlegen, sind ja ein Rechtsstaat.“, „Datenschutz einzubauen wäre jetzt zu kompliziert, das beworbene Ziel heiligt die dafür wohl wirkungslosen Mittel“. Das ist auch ein Grund, warum so schwerwiegend mit Datenschutz argumentiert wird, weil es da Gesetze und Restbewusstsein gibt, und das gerade bei der Akzeptanzfrage Wirkung verspricht. Überall in Rechtsstaaten auf dieser Welt werden derzeit übertriebene Maßnahmen von Gerichten kassiert.
          4. Ohne Apple und Google kann man nichts mit massiver Abdeckung umsetzen, hier wäre frühzeitige Kommunikation „was geht“, gut gewesen. Die Regierung könnte zwar reglementieren, tut solches aber offensichtlich so gut wie nie, vor allem kaum mal adäquat. Apple musste sogar selbst auf die Idee kommen, dass Drittanbieterapps eine schlechte Idee sind, soweit ich korrekte News gelesen und verstanden habe, und hat mal so nonchalant darauf hingewiesen, dass es nur eine App geben wird. Wie man „eine App“ pro Europäischem Land o.ä. dann hinbekommt, bzw. wie man verhindert, während Fussballübertragungen mit der Hollandäpp zu sprechen, verbleibt zunächst wohl im Grauen.

          Zu kurz kommt auch die Sicherheitsdebatte bei Bluetooth und Altsystemen. Sie haben sicherlich Recht, eine Diskussion und Einordnung dessen was „wir“ brauchen und was überhaupt machbar ist, wo die Risiken liegen etc., wäre ja sehr nett gewesen. Ich ging davon aus, dass das hinter verschlossenen Türen passiert war, und das Ergebnis eben „reines Kontakttracing“ war. Erst später fuchtelte das RKI mit einer Datenspendeapp für Fitnessquatsch herum, und plötzlich soll es gerne digitale Überwachung von Quarantäne und weitere freiwillige Datenbereitstellungsmöglichkeiten geben. Das ist aber alles vergleichsweise interessante Hühnerkacke und gehört ob der verfassungsrechtlichen Problematik, und ob des unklaren Nutzens von allem inklusive digitalem BLE-basierten Kontakttracings im deutschen und europäischen Falle, in eine nachgelagerte anzuflanschende App/Diskussion hinein. Allenfalls kann man die Schnittstellenfrage rechtzeitig stellen. Das bleibt ein gesondertes Problem, vor allem ob der Akzeptanzfrage. Das sollte Profis nach ein paar Minuten Diskussion klar sein, wenn genügend viele Nichtgekaufte und Nichtopportunisten und Nichtpsychopathen und entfernt Geschichtsbeflissene dabei sind. Auf Bundesebene… vergessen wir es.

        2. Großen Teilen der prinzipiellen Kritik stimme ich zu:
          1. Projekte, wie auch Gesetzgebung, erscheinen erstaunlich Begleitungsarm, domänenspezifisch.
          2. Fokus auf Technik eines bereits durch Framing vorgegebenen, aber nicht selbstverständlich einzig möglichen Vorgehens, ist problematisch. Das ganze ist allerdings auch ein Exploit der immer wieder „gerne“ angewandt wird, um die Fachwelt oder den fachspezifischen Widerstand zu täuschen, aber für den kaum bis keine generischen Gegenmittel implementiert sind, in unserem Lande.

  11. Mal wieder ein Gedankenexperiment: Wir haben alle diese App, dann wird einer positiv getestet und das APP meldet das. Dann kommen die Gesundheitsämter und testen mich dann durch, weil ich benachrichtigt wurde? Haben denn die Ämter soviele Tests auf Corona zur Verfügung?
    Was ist mit der Fehleranfälligkeit dieser Distanz-Apps? Wird dann im Zweifel dennoch getestet? Haben die Gesundheitsämter denn genug Personal, um die „Verdächtigen“ überhaupt zu konzaktieren?
    Das ist alles eine Illusion. Am Ende ist das nur das Tor für die Big-Data-Welt im Gesundheitswesen.

  12. Die Debatte um Dezentralisierung/Zentralisieren der Covid Tracking App erinnert an ein Laienvolksttheater, das auf ziemlich erbaermliche Weise irgendwann im dritten Akt abgebrochen wird, weil alle Ihre Rollen vergessen haben.

    Es gibt reputable Hacker die ohne zu Zoegern die Loesung von Apple/Google empfehlen,
    das ist sicherlich technisch gesehen am komfortabelsten, steht aber doch in krassem Widerspruch zur Rethorik von Dezentralisierung die ein wenig an die Blockchain-Libertaeren erinnert, aber wenig mit der sonstigen zentralisierten Praxis der Plattform Oekonomie von Apple/Google zu tun hat. Nein das ist nicht Heuchelei, das ist AppleFanBoy-tum von mir aus.

    Ohne auch nur ansatzweise auf das Kernproblem hinzuweisen disqualifizieren sich die meissten „pseudokritischen“ Beitraege meiner Ansicht nach durch fehlende Recherche kombiniert politisiertem Nachbeten. Bisher ist weder keinem der zivilgesellschaftlichen Vertretern der Dezentralisierung aufgefallen wie kurz ihre Systemanalyse greift. Es sollte heissen: Wir wollen eine Zentralisierung der Gesundheitsdatgen verhindern, eine Nutzung durch Polizei usw., Gewaltenteilung und Science Only Lizenz, alles das aber nicht dieses billige Schmierentheater mitmachen!

    1) 400 Gesundheitsaemter haben Datenhoheit, dort befindet sich der „Root of Trust“. Es werden keine TANS ausgebeben, jedenfalls nicht das ich wuesste in Berlin. Es gibt aber ein Backend Virtual Server System vom Hertz-Institut in Braunschweig. Eine Verhinderung der Zentralen Speicherung von privaten Daten kann nur erzielt werden wenn diese Gesundheitsaemter unabhaengig bleiben und vernetzt und nahtlos in die Infrastruktur der App integriert werden, sodas Augenmerk sich endlich auf den entscheidenen Usecase des *analogen contact tracing* konzentriert, bei dem grosse Erfolge bei der Reduzierung von der Infektionsrate moeglich sind, um die Ketten zu unterbrechen. Telefoninterviews und Statustracking per Backend sowie App sollten dabei Hand in Hand interoperabel sein. Sonst skaliert das nicht je nach lokaler Adaption der App.

    2) Das Gesetz zur Meldepflicht gehoert zur Pflichtlektuere. Von dort aus wird ueber die Richtlinie des RKI klar das eine verschaerfte *rekursive* Lesart darin besteht dass die Kontakte von validierten positiv Getesten ebenfalls verpflichtet sind sich beim Gesundheitsamt zu registieren. Das schliesst selektierte Deanonymisierung ein sowie vertrauensvollen Artztkontakt mit ein. Das ist keine freiwilliges Angebot, sondern man ist zu dieser Meldung gesetzlich verpflichtet. Wer will kann ja mal recherchieren was passiert wenn man das Gesetz bricht. Das ist einfach keinem der KritikerInnen aufgefallen in ihrem herdentriebartigen Nachgebete des Dezentralisierungsmantras.

    3) Die meissten Apps insbesondere DB3T hat keine Absicherung bzw. Modellierung des Bereichs des Backends. Durch diese ungenuegende Spezifizierung ist es moeglich bei „self-reporting“ die Kontakte mit spam notifications eines „false positives“ zu versorgen und damit die Krediblitaet des gesamten „dezentralen“ Appnetzwerkes zu komprimittieren. Nein es gibt keine TAN, das ist irgendwo mal in den Github-Issues aufgetaucht, aber nicht implementiert und nicht durchspezifiziert. Die Entwickler kennen das Problem, es gibt aber nur 3 im Gegensatz zu 300 Wissenschaftlern die das unterstuetzt haben.

    4) Vielleicht waers mal gut einen halbgebildeten Informatiker hier und da mit ins Team zu nehmen bevor man wochenlang Politik macht und dabei die Entwicklung empfindlich aufhaelt. Pro Woche kostet Corona um die 40 Milliarden GDP Einbussen, nur mal so nebenbei.

    1. Da stimmt doch fast nichts :). In der technioschen Diskussion der Kritiker ist das nötige doch weitflächig abgehandelt, für den Zweck des Kontakttracings. Die Berichterstattung mag auf das „wie“ fokussieren, aber Kritik am „warum“ und „ob technisch sinnvoll“ gibt es durchaus und wurde auch immer mit angebracht. Das Thema PeppTptp als Aufhänger in vielen Beiträgen heißt nicht, dass nicht Kritik auch in Artikeln differenziert aufgezeigt wurde. Ja, nicht überall alles.

      Warum sollen die Gesundheitsämter „an die App“ angeschlossen werden, wofür ist das nötig? TAN generierung gerne, aber wiur wollen doch nicht zurück zu „16 Bundestrojaner“ oder „16 Lösungen für kein bearbeitetes Problem“.

      Meldepflichtig bin ich aber nicht, wenn ich keinen Kontakt hatte, obwohl mich das System als Kontakt führt. Da gibt es ein technisches und rechtliches Problem, was die Selbstverständlichkeit betrifft. Das ist das Niveau von „Terroristen im Internet bekämpfen“.

      3) Das ist wichtig, aber nicht unlösbar. Ob umfassende pseudonyme Kontaktnetze bei Speicherung und/oder Abfrage rechtlich umsetzbar ist, ob des unklaren Nutzens, sei mal dahingestellt. Es gibt eine Menge Problemstellungen um DOS und Relay/Replay/Trollplay herum. Es gibt aber mehr als 3 Experten, die sich dieses Thema genau angucken. Z.B. haben Apple+Google eine Spezifikation geliefert, es wäre also ein Moment, Kräfte aktiv zu bündeln, und nicht bei der Lösung, die unsere Datenlobby nicht gerne hätte, auf Selbstorganisation mit Hilfe der „3 eingebrachten Affen“ zu setzen, während die andere _Seite Telekom, SAP, Accenture und wahrtscheinlich noch die NASA schon mal im Boot haben.

      4) Blödsinn. Das einzige was ginge wäre eine Mischung aus GPS Tracking und Entfernungsmessung mit ewiger zentraler Datenhaltung, aber das ist definitiv out of the Verfassdingsquestion. Es ist aber unklar wieviel das ganze nutzt, während es ziemlich klar ist, wo es schaden kann.

    2. 3) Self Reporting und 1 Issue über TANs. Issues sind zentraler Bestandteil so eines Projekts. Eines der wesentlichen Kommunikations- und Organisationsmerkmale. TANs könnten ok sein, noch besser wäre eine recht sicher implementierte TEILEN-Variante. Kryptographisch absicherbar, aber teilen mit dem Gesundheitsamt/Ärzt, die das dann authorisiert hochladen.

      Bei einer zentralen Lösung wäre self reporting allerdings auch Mist, sind die jetzt so viel besser, weil die „das“ „schon“ spezifiziert haben? Was haben die denn spezifiziert, und ist das sinnvoll? In den Issues von DP3T ist übrigens auch auf die holländische Parlamentsanhörung verwiesen, die den Nutzen für die Bekämpfung der Epedemie simuliert haben, Apps getestet haben, und es alles wohl für gräuslich befunden haben, soweit das.

      Das bleibt interessant, ob Politik ohne Überprüfung des Nutzens und der Wirkung Unterholz zerlegen spielen wird.

  13. Das was als nötig erachtet wurde schliesst nicht ein was gemeinhin als Contact Tracing bezeichnet wird, die Praxis der Gesundheitsaemter die nebenbei auch bei anderen Epidemien wie z.b. Ebola schon zum Einsatz kam. Das heisst die Meldepflicht enthaelt eine rekursive Regel die persoenlichen Daten beim Gesundheitsamt zu hinterlegen, ein Diagnose beim Arzt einzuholen, und dann wenn der Test positiv ist, weiter Kontakte zu nennen die dann ebenfalls interviewed werden.

    In begleitenden Texten und Pamphleten wird ein Feindbild der „Zentralisierung“ aufgebaut, das an die Blockchain Fundamentalisten aus den Reihen der alt.right Libertarians erinnert, um auch mal gerne in begleitenden Artikeln und Diskussionen institutionskritisch auf Giorgio Agamben hinzuweisen, der sich kürzlich nicht zu schade war in einer Reihe von mehreren Texten seine eigentümliches Verständnis von Wissenschaftlichkeit unter Beweis zu stellen.

    Ein Kernbeispiel fuer diesen Design-Fail ist die fehlende Kontrolle der Validitaet von Covid-Test-Ergebnissen, was bei aller Bemuehung um Sicherheit und Privasphaere, das Modell kompromitiert weil es unkontrolliert viele False Positives erzeugt, die dann Notifications an Kontakte schicken die wiederum weitere False Positives erzeugen koennen. Das heisst die ganze App ist bei genauerem Hinsehen ziemlicher Schmarrn, weil es technisch unbeweisbar ist ob jemand wirklich infiziert ist oder nicht, wenn man nun eine Warnung bekommt. Der Schaden liegt indirekt darin dass es das Vertrauen in die App sowieso, aber auch das dahinterliegende Gesundheitsystem und die Glaubhaftigkeit von Tests an sich verringert. Es geht bei Tests nur um Wahrscheinlichkeitswerte eines Verdachts, die dann erst mit viel hoehrere Spezifitaet im Labor bestaetigt werden kann.

    Die berechtigte Kritik ob es technisch sinnvoll ist, schliesst sich an an die Frage nach der Akzeptanz der App. In jedem Fall setzt es voraus dass digitales und analoges Contact Tracing moeglichst nahtlos miteinander funktionieren und somit als Gesamtkonzept auf einander abgestimmt spezifiziert und entwickelt werden um so langsam mit der installierten Basis mitzuwachsen. Technisch muss dazu einiges verfuegbar sein was bei diesem Protokoll, mit den key seed servern und einem undefiniertem backend alles andere als klar wird, was die Skalierbarkeit des Protokolls angeht. Apple/Google werden die Aufgabe aus erwartbaren Gründen zuverlässiger lösen und auch hier ist IMO zu erwarten dass es ohne zentralisiertes Caching und Auswerten mit Machine Lerning zu viele Fehler geben wird damit das vernuenftig funktioniert und auch in der Breite Akzeptanz findet.

    Dass die App mit diesem im Backend zusammen funktionieren muss, dieses als Schnittstelle darum ausdefiniert werden muss, weil es empfindliche Auswirkungen auf Datenfluss und Modelle hat, die wie es aussieht das Design so wie es ist auf den Kopf stellen, sodass man es auch gleich von vorne nochmal neu entwickeln koennte. Die Interoperabilitaet mit dem Health System ist die Bedingung fuer eine Spezifikation, und sie kann nicht einfach abstrakt irgendwie anderen Verantwortlichen zugeschoben werden, z.b. weil eben Kontaktlisten hier bereits von Gesundheitsamt angefordert werden koennten, wuerde man sich das mal genauer anschauen.

    Wenn der Notstand aufgehoben wird, hat diese App nur den Zweck bei der nächsten Infektionswelle wieder verwendet werden zu koennen, die dann hoffentlich keinen Notstand erfordert. Das tracing Team gibt ja technisch gesehen Hinweise darauf, dass man Kontakte zu einem Infizierten hatte ohne es zu wissen, zu deren Aufgabe es gehoert ja nach den Interviews bei Leuten anzurufen ohne den Namen der infizierten Person zu nennen und diese mit der Information ueberrascht, dass sie moeglicherweise infiziert sein koennten. Die logik der privacy Aktivisten koennte nun darin bestehen das Tracing System so unzuverlaessig erscheinen zu lassen dass der Verdacht nicht als begruendet erscheint, dann wiederum eruebrigt sich aber auch die Diskussion um den Zweck einer solchen App.

    1. Ja eine freiwillige App und automatische Kontaktdatenherausgabe an Gesundheitsämter passen nicht direkt zusammen. Funktionsnachweis… Testabdeckung… Verfassungsrecht …
      Zentralisierung von Daten aller Teilnehmenden wäre eine hochproblematische Angelegenheit. Jegliche solche Zentralisierung ist ein Problem, und in geweisser Weise ein „Feindbild“, das nicht erst aufgebaut werden muss – es ist einer der Gründe, warum Datenschutz, aber auch unsere Verfassung überhaupt existieren.

      DP3T ist ein Datenschutzkonformes Modell, das in internationaler Kooperation erstellt wurde, da ist kein „verlotterter Aktivistentrupp“ – die Leute wissen schon worum es geht. Der infizierte Benutzer muss auch schon irgendwie kooperieren, damit etwas mit einer App funktioniert, aber die Alternative ist ja keine „freiwillige App“, egal ob zentral oder dezentral, sondern eine Fussfessel. Man kann das nur als „freiwillig“ verkaufen, wenn es auch freiwillig bleibt. Auf die Haftungsrisiken, die eine freiwillige App zumindest in Deutschland ad absurdum führen könnten, wurde vielerorts ja bereits hingewiesen. Mitnichten müssen Schnittstellen für Gesundheitsämter aller EU-Länder im Konzeptentwurf quasi als Implementation spezifiziert sein. Es ist ja spezifiziert, welche Interaktionsformen es für die Datenhaltungsseite geben soll.

      Sie scheinen sich die automatische Kontektnetzeinreichung beim Gesundheitsamt vorzustellen, sowie ständiger volatiler Zugriffsbefugnis. Das Konzept von DP3T beinhaltet explizit nicht die automatische Kontaktnetzzustellung an das Gesundheitsamt. Theoretisch könnte die App als Agent auftreten, und die freiwilligkeit unterminieren, aber abgesehen von der unklaren rechtlichen Seite, wer würde die dann Installieren?

      Wollen Sie die App zur Pflicht machen, z.B. für Zugang zum „Amt“, als nächstes alle Bürger zum Amt vorladen? Das wäre sehr deutsch …

      Ihre Auffassung von „Feindbild“ und „Aktivisten“ ist verquer. Haben Sie sich die Konzeptentwürfe mal auf GitHub angesehen?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.