Coronavirus

Corona-Tracking & Datenschutz: kein notwendiger Widerspruch

Eine Kontaktnachverfolgung von möglichen Covid-19-Infizierten mit Handydaten muss nicht zu mehr Überwachung führen, sondern kann auch datenschutzfreundlich ausgestaltet werden. Johannes Abeler, Matthias Bäcker und Ulf Buermeyer skizzieren in einem Gastbeitrag einen grundrechtsfreundlichen Regelungsvorschlag zur aktuellen Debatte.

CC-BY-NC-ND 2.0 fabian.hick

In einem rasch betriebenen Gesetzgebungsverfahren haben Bundestag und Bundesrat das „Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ verabschiedet. Das Gesetz schafft im Infektionsschutzgesetz weitreichende – und teilweise nicht unbedenkliche – Befugnisse des Bundesgesundheitsministeriums, um einer „epidemischen Lage von nationaler Tragweite“ zu begegnen.

Eine Regelung zur Abfrage von Funkzellen-Daten ist in dem verabschiedeten Gesetz hingegen nicht mehr enthalten. Die ursprünglich vorgesehene Regelung sollte den Gesundheitsbehörden ermöglichen, „zum Zwecke der Nachverfolgung von Kontaktpersonen“ „technische Mittel“ einzusetzen und von den Anbietern von Telekommunikationsdiensten Verkehrs- und Standortdaten herauszuverlangen. Die Begründung des Gesetzentwurfs verwies hierzu auf „internationale Erfahrungen“ etwa in Südkorea. Standortdaten von Mobilfunkgeräten könnten dazu genutzt werden, infizierte Personen und ihre Kontaktpersonen gezielt zu lokalisieren und zu informieren sowie Infektionsketten zu rekonstruieren.

Diese Regelung tritt nun vorerst nicht in Kraft, ist aber auch nicht endgültig vom Tisch. Nach der Verabschiedung des neuen Gesetzes im Bundestag betonte der Bundesgesundheitsminister in einer Pressekonferenz nochmals, die Bundesregierung wolle zur Kontaktnachverfolgung auf Handydaten zurückgreifen.

Epidemiologischer Hintergrund: Der Sinn schneller Kontaktnachverfolgung

Das erklärte Ziel der Bundesregierung ist, die Menschen, die mit Corona-infizierten Personen in Kontakt gekommen sind, möglichst rasch zu benachrichtigen, damit sie sich testen lassen und in Quarantäne begeben. Dieses Ziel ist aus epidemiologischer Sicht wohlbegründet. Eine schnelle Kontaktnachverfolgung ist eine zentrale Voraussetzung dafür, den gegenwärtigen Lockdown in absehbarer Zeit zu lockern.

Zwar gibt es noch viele Wissenslücken zu dem Coronavirus. Aber bisher deuten die Daten darauf hin, dass etwa die Hälfte aller Ansteckungen erfolgen, bevor typische Symptome wie Husten oder Fieber auftreten. Es reicht also nicht, Personen erst in Quarantäne zu schicken, wenn sie Symptome zeigen. Um die Infektionsketten zu durchbrechen, müsste man direkt nach einer Corona-Diagnose umgehend alle Personen kontaktieren, die sich in unmittelbarer Nähe der infizierten Person aufgehalten haben. Nach bisherigen Erkenntnissen besteht bei einem Aufenthalt im Umkreis von etwa 1,5 bis 2 Metern um eine infizierte Person ein besonders großes Risiko sich zu infizieren. Ließe sich feststellen, welche Menschen sich so nahe gekommen sind, könnte man frisch angesteckte, aber noch nicht symptomatische Personen finden und durch ihre Quarantäne verhindern, dass sie weitere Personen anstecken. Mathematische Modelle der Epidemie zeigen, dass eine schnelle Kontaktnachverfolgung, kombiniert mit einem großangelegten Virus-Test-Programm, die Epidemie nicht nur verzögern, sondern vollständig eindämmen könnte. Eine hinreichend schnelle Kontaktnachverfolgung ist allerdings analog nicht möglich, sondern nur digital erreichbar.

Von nutzlosen und gefährlichen Daten

Die vorerst zurückgestellte Regelung aus dem Gesetzentwurf zur Änderung des Infektionsschutzgesetzes trägt zu diesem sinnvollen Ziel jedoch nichts erkennbar Sinnvolles bei.
Es ist nicht nachvollziehbar, welchen Beitrag die Verkehrs- und Standortdaten, die die Gesundheitsbehörden bei den Anbietern von Telekommunikationsdiensten erheben können sollten, zur Kontaktnachverfolgung erbringen. Die Telekommunikationsunternehmen verfügen im Wesentlichen über zwei Kategorien von Daten: Funkzellendaten sowie Verkehrsdaten einzelner Telekommunikationsverbindungen. Mit Hilfe der Funkzellendaten lassen sich Mobiltelefone grob lokalisieren – allerdings viel zu ungenau, um tatsächlich Kontaktpersonen zu identifizieren, die sich mit einiger Wahrscheinlichkeit infiziert haben können: Funkzellen umfassen eine Fläche von mindestens mehreren tausend Quadratmetern, in ländlichen Gegenden sogar von mehreren Quadratkilometern. Über physische Kontakte, die ein Infektionsrisiko bergen, sagen sie daher kaum etwas aus. Würde man alle Personen warnen und unter Quarantäne stellen, die sich zu einem bestimmten Zeitpunkt in derselben Funkzelle wie eine infizierte Person aufgehalten haben, wäre in kürzester Zeit der allgemeine Lockdown annähernd wiederhergestellt. Die Daten über Telekommunikationsverbindungen wiederum ermöglichen etwa personen- und gruppenbezogene Aussagen über soziale Vernetzungen von Individuen, aber nicht unbedingt über physische Kontakte, auf die es für die Kontaktnachverfolgung ankommt.

Soweit die Entwurfsregelung einen Einsatz „technischer Mittel“ ermöglichen sollte, ist völlig unklar, um welche Mittel es sich handeln könnte und welche Daten mit ihnen erhoben werden sollen. Heikel ist daran, dass eine Kontaktnachverfolgung technisch auf unterschiedliche Weise realisiert werden kann und die verschiedenen technischen Modalitäten sehr unterschiedliche Datenschutzrisiken bergen. Eine seriöse verfassungsrechtliche Bewertung eines solchen gesetzlichen „Blankoschecks“ lässt sich daher kaum vornehmen. Die dadurch ermöglichten Eingriffe in Grundrechte könnten indes sehr weit reichen. So soll das in dem Gesetzentwurf als Vorbild hervorgehobene südkoreanische Modell auf der Verknüpfung einer Vielzahl von Datenquellen beruhen. Hierzu zählen neben Mobilfunkdaten auch Datenbestände von Kreditkartenunternehmen und Bilddaten von Videoüberwachungsanlagen. Zudem werden die früheren Aufenthaltsorte infizierter Personen veröffentlicht, was in mehreren Fällen zur Preisgabe sensibler (nicht krankheitsbezogener) Informationen über namentlich bestimmbare Personen führte. Zur Bekämpfung der Corona-Pandemie wird der dortigen Bevölkerung damit zugemutet, großflächige Datenerfassungen und erhebliche Risiken für ihre Privatsphäre hinzunehmen.

Eine datensparsame und epidemiologisch vorzugswürdige Alternative

Nun könnte man meinen, der Ausnahmefall der Corona-Krise rechtfertige auch extreme Gegenmaßnahmen. Immerhin geht es darum, Leben und Gesundheit einer großen Zahl von Menschen zu schützen. Zudem erscheinen die Eingriffe in den Datenschutz bei dem südkoreanischen System der Kontaktnachverfolgung weniger schwerwiegend als die weitreichenden Freiheitseinschränkungen und wirtschaftlichen Belastungen, die der gegenwärtige Lockdown mit sich bringt. Auch in existenziellen Gefährdungslagen gilt jedoch, dass von mehreren gleich geeigneten Mitteln zur Gefahrenabwehr dasjenige zu wählen ist, das am wenigsten intensiv in Grundrechte eingreift.

Abbildung 1: Auf jedem Handy wird lokal eine Liste der Handys gespeichert, die sich für mindestens 15 min in weniger als 2 m Entfernung aufgehalten haben. Die IDs sind temporär, können aber vom Server entschlüsselt werden.
Abbildung 1: Auf jedem Handy wird lokal eine Liste der Handys gespeichert, die sich für mindestens 15 min in weniger als 2 m Entfernung aufgehalten haben. Die IDs sind temporär, können aber vom Server entschlüsselt werden.

Nach unserer Überzeugung ist eine schnelle und effiziente Kontaktnachverfolgung möglich, ohne in einem zentralen Datenbestand eine riesige Menge sensibler Daten zu sammeln.
Ein System zur Kontaktnachverfolgung kann so gestaltet werden, dass die meisten benötigten Datenverarbeitungen nicht zentral, sondern lokal auf den Mobiltelefonen der Teilnehmer*innen stattfinden. Lediglich die Benachrichtigung im Infektionsfall müsste zentral veranlasst werden, und auch dabei könnten Daten verwendet werden, die eine Identifikation der Kontaktpersonen der infizierten Nutzerin durch die zentrale Benachrichtigungsstelle praktisch ausschließen. Das System käme zudem ohne die besonders sensiblen Standortdaten aus.

Als Vorbild eines datensparsamen Corona-Tracking-Systems kann dabei das App-Konzept der Regierung von Singapur dienen, das den Grundsatz Privacy by Design bereits weitgehend berücksichtigt und das wir hier mit einigen Modifikationen vorstellen.

Die zentrale Idee dabei ist einfach: Es ist egal, wo man in Kontakt mit einer infizierten Person gekommen ist. Ob im Bus oder am Arbeitsplatz, angehustet ist angehustet. Das heißt, dass man besonders sensible Daten wie GPS-, Funkzellen- oder andere Standortdaten nicht benötigt. Stattdessen ist allein entscheidend, dass sich zwei Menschen in infektionsgefährlicher Weise nahe gekommen sind. Dies wiederum kann man durch Verwendung der Technologie Bluetooth Low Energy feststellen, indem man festhält, welche anderen Handys sich in unmittelbarer physischer Nähe befinden. Der Nachteil von Bluetooth, dass es nur über wenige Meter Kontakt herstellen kann, wird hier zum Vorteil.

Abbildung 2: Falls nach einer Corona-Diagnose der Nutzer seine App-Daten an den Server sendet, können alle Kontaktpersonen durch die App kontaktiert werden. Die Unterrichtung des lokalen Gesundheitsamts muss die Kontaktperson vornehmen, da ihre Identität nicht mit der App verbunden ist.
Abbildung 2: Falls nach einer Corona-Diagnose der Nutzer seine App-Daten an den Server sendet, können alle Kontaktpersonen durch die App kontaktiert werden. Die Unterrichtung des lokalen Gesundheitsamts muss die Kontaktperson vornehmen, da ihre Identität nicht mit der App verbunden ist.

Konkret würde das Tracking so funktionieren: Möglichst viele Menschen installieren freiwillig eine App auf ihrem Handy. Die App generiert mit kryptographischen Mitteln alle halbe Stunde eine neue temporäre ID. Sobald ein anderes Handy mit der App in unmittelbarer Nähe ist, empfangen beide Handys die temporäre ID der jeweils anderen App-Installation und speichern sie. Diese Liste mit IDs anderer App-Installationen wird auf beiden Handys lokal und verschlüsselt gespeichert (siehe Abbildung 1). Sobald bei einem der App-User eine Coronavirus-Infektion diagnostiziert wird, bittet die diagnostizierende Ärztin den Nutzer, die lokal gespeicherten Daten an den zentralen Server zu übertragen (siehe Abbildung 2). Falls der Nutzer zustimmt, erfährt der zentrale Server, mit welchen anderen temporären IDs dieses Handy in Kontakt war. Der Server kann aus diesen IDs zwar nicht entschlüsseln, welche Menschen sich dahinter verbergen, er kann aber alle betroffenen Handys informieren. Diese Benachrichtigung kann dabei ganz ohne Ansehen der Personen verschickt werden, die die Handys nutzen. Denn um eine Nachricht auf dem Handy anzeigen zu können sind keinerlei personenbezogene Daten erforderlich. Es genügt vielmehr ein sogenanntes PushToken, gleichsam eine digitale Adresse des Handys, um eine Push-Nachricht auf das Gerät zu schicken. Dieses PushToken wird bei der Installation der App auf dem Handy generiert. Zugleich hinterlegt die App sowohl das PushToken als auch die temporären IDs, die sie im Laufe der Zeit aussendet, auf einem zentralen Server – in Deutschland beispielsweise beim Robert-Koch-Institut. Auf diese Weise können die Handys allein anhand von temporären IDs und PushTokens adressiert werden, ohne dass die Identität der Personen feststellbar wäre, die diese Handys bei sich tragen.

Wenn ein Handy also in der Nähe eines „infizierten“ Handys war, erhält der User des Handys einen Alarm, verbunden mit der Anweisung, sich umgehend in Quarantäne zu begeben. Die Person müsste sich dann noch mit ihrem lokalen Gesundheitsamt in Verbindung setzen, um einen schnellen Corona-Test zu veranlassen, damit sie entweder die Quarantäne verlassen kann oder damit ihre Kontaktpersonen informiert werden können (siehe Abbildung 2).

Im gesamten Prozess erfährt niemand die Identität der Kontaktpersonen: Nicht die Personen, mit denen die App-User in Kontakt waren, nicht das lokale Gesundheitsamt und nicht einmal der zentrale Server, da die App nicht mit einer Identität verbunden ist. Standortdaten werden zu keiner Zeit erhoben oder gespeichert.

Abbildung 3: Die am häufigsten genannten Gründe gegen die Installation einer Kontaktnachverfolgungs-App (repräsentative Umfrage, Datenerhebung 25.-27. März 2020, mehr Informationen hier)
Abbildung 3: Die am häufigsten genannten Gründe gegen die Installation einer Kontaktnachverfolgungs-App (repräsentative Umfrage, Datenerhebung 25.-27. März 2020)

Wie erwähnt ist dieses Konzept nicht unsere Idee – Singapur hat vor gut einer Woche eine ganz ähnliche App herausgebracht, und mehrere europäische Länder arbeiten an vergleichbaren Apps. Wir sind nicht mit allen Details der Singapurer App und der dort praktizierten Nachverfolgung von Kontakten einverstanden. So ist dort zum Beispiel jede App-Installation mit der Telefonnummer des Nutzers verbunden und somit identifizierbar, was nicht erforderlich und daher aus Gründen der Datensparsamkeit abzulehnen ist. Das grundsätzliche Konzept erscheint uns aber überzeugend. So eine App könnte eine Kontaktverfolgung deutlich wirksamer implementieren als ein System, das auf Funkzellendaten oder Standortdaten basiert, denn beide Kategorien von Daten erlauben keine Positionsbestimmung mit der erforderlichen Präzision von höchstens zwei Metern. Und gleichzeitig wäre ein solches Konzept datenschutzrechtlich einwandfrei.

Datensparsamkeit schafft Akzeptanz

Im Fall der Kontaktnachverfolgung dürfte, wie oben beschrieben, die datensparsame Lösung auch epidemiologisch effektiver sein, weil sie genauer als alle anderen vorgeschlagenen Lösungen erlaubt, tatsächlich festzustellen, wer sich auf 1,5 bis 2 Meter nahe gekommen ist. Zudem sind alle erfolgversprechenden Systeme zur digitalen Kontaktnachverfolgung mittels Mobilfunkdaten darauf angewiesen, dass die Nutzer*innen mitspielen, indem sie eine App installieren oder zumindest ihr Mobiltelefon mit sich führen. Die Wirksamkeit solcher Systeme hängt darum auch von der Akzeptanz in der Bevölkerung ab. Diese Akzeptanz dürfte sich durch eine datensparsame Lösung steigern lassen. Eine in der letzten Woche durchgeführte repräsentative Umfrage hat ergeben, dass 70% der Befragten eine solche App auf ihrem Mobiltelefon installieren würden (Disclosure: Diese Studie wird vom Mitautor Johannes Abeler geleitet). Der am häufigsten genannte Grund gegen eine Installation ist die Sorge, dass die App als Vorwand für eine stärkere Überwachung nach dem Ende der Epidemie genutzt werden könnte (siehe Abbildung 3). Wenn die Bundesregierung erreichen will, dass die App von vielen Menschen installiert wird, dann sollte sie diese Sorge ernst nehmen und auf das Tracking von Standortdaten oder Funkzellendaten verzichten. Technisch möglich ist es.

Fazit: Verhältnismäßigkeit statt Rhetorik vom Ausnahmezustand

In der jetzigen Krise müssen wir auf absehbare Zeit mehr und weitergehende Grundrechtseingriffe hinnehmen als wir es aus normaleren Zeiten gewohnt sind. Trotzdem gibt es keinen Grund, mit einem pauschalen “whatever it takes” den Ausnahmezustand auszurufen und hergebrachte rechtsstaatliche Schutzmechanismen über Bord zu werfen. Auch unter hohem Zeitdruck müssen möglichst freiheitliche und datensparsame Lösungen entwickelt werden. Dies gilt für den rechtlichen Rahmen des gegenwärtigen Lockdown ebenso wie für die Datenverarbeitungen, die dazu beitragen sollen, dass dieser Lockdown aufgehoben werden kann. Für die Kontaktnachverfolgung haben wir dies oben exemplarisch zu zeigen versucht. Es ist dabei durchaus denkbar, dass sich im Zuge der Krisenbewältigung neben der heute bereits absehbaren Notwendigkeit, Begegnungen von Menschen nachzuverfolgen, weitere Erkenntnisziele ergeben. Dann wäre zu untersuchen, welche weiteren Datenverarbeitungen erforderlich sind, um sie zu erreichen, und auf welche verzichtet werden kann.

Die Suche nach einer möglichst datensparsamen Lösung ist nicht nur ein Gebot des Grundrechtsschutzes. Sie wird vielfach sogar zur Effektivität und Effizienz des jeweiligen Datenverarbeitungssystems beitragen: Nur ein System, dem die Menschen vertrauen können, weil es sie nicht ausspäht und sie keinen Repressalien unterwirft, birgt das Potential für eine wirklich breite Unterstützung in der Bevölkerung. Die Bundesregierung muss die Menschen in Deutschland mitnehmen.

Johannes Abeler ist Associate Professor am Department of Economics der Universität Oxford und Tutorial Fellow am dortigen St. Anne’s College.

Matthias Bäcker (Twitter) ist Professor für Öffentliches Recht und Informationsrecht, insbesondere Datenschutzrecht an der Johannes Gutenberg-Universität Mainz.

Ulf Buermeyer (Twitter) ist ehrenamtlicher Vorsitzender der Gesellschaft für Freiheitsrechte e.V. (GFF) und im Hauptberuf Referent der Senatsverwaltung für Justiz, Verbraucherschutz und Antidiskriminierung des Landes Berlin, wo er ein Transparenz-System für Funkzellenabfragen entwickelt. Der Beitrag gibt nur seine persönliche Auffassung wieder.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

84 Ergänzungen
  1. Betrachtet man den Beitrag von tagesschau.de: https://www.tagesschau.de/inland/handy-coronavirus-101.html

    So fällt auf, dass von anonymisierten Daten die Rede ist, die das Robert Koch Institut erhalten habe, was über mehrere Absätze wiederholt wird. Leider sind es nicht irgendwie anonymisierte Daten sondern „handgekeltert anonymisierte und aggregierte Daten“. Das ist natürlich immer noch eine stärkere Form von Anonymisierung, doch darf man Fragen, ob der gemeine Pöbel jener Unterscheidung vielleicht doch würdig sein könnte?

    Oder sollen wir glauben, dass allgemein irgendwie anonymisierte Daten ziemlich ok sind, wenn jemand das Wort „verhältnismäßig“ laut genug furzen kann?

  2. Ohne eine Datenschutzfolgenabschätzung wird man dieses System m.E. nicht an den Start bringen können. Es wäre interessant zu erfahren, ob es hierzu bereits Einschätzungen gibt.

  3. Die App informiert erst, wenn es zu spät ist. Sinn der Sache ist aber die Eindämmung. Also Prävention. Und hier können nur massenhafte Tests, physical distancing und #masks4all helfen.

    Wir im Westen, die wir unsere Freiheit so lieben, lassen uns ungerne in unserer Bewegungsfreiheit und Autonomie einschränken. Doch wenn wir nicht schleunigst eine Kultur des Masken-Tragens in der Öffentlichkeit und auf Arbeit etablieren, dann bliebt die gegenseitige Rücksichtnahme nur eine wirkungslose Freizeitbeschäftigung.

    Sie flacht zwar die Kurve ab, aber trägt dazu bei, dass die Alten und Kranken bei der Triage mit immer jüngerem Alter über die Bettkante der Intensivbetten fallen. Schon jetzt bekommt man ab 60 Jahren (ohne Vorerkrankungen) in Italien kein Beatmungsgerät mehr.

    Ich plädiere eindringlich auf einen ressourcenschonenden Masken-Einsatz. Derzeit hat die Allgemeinbevölkerung KEINE Chance an Atemschutzmasken mehr kommen. Dabei könnten die Ärzte diese problemlos mit Ethanol desinfizieren und nach ein / zwei Tagen des Trockners sicher tragen. Es gibt absolut keine Notwendigkeit die Masken zu entsorgen.

    Ich bin empört über Herrn Dr. Drosten, der sogar von einer Marktkonkurrenz spricht und damit den Gleichheitsgrundsatz unser Verfassung mit Füßen tritt. Sorry, aber Ärzte sind keine heiligen und unfehlbaren Menschen. Sie werden auch erkranken und zum Teil sterben, egal wie gut sie sich schützen. Es gibt keinen 100%igen Schutz, wenn man am Kontaminationsherd quasi baden geht.

    Bleibt bitte alle gesund. Tragt Masken! Egal ob selbstgemacht oder Vollmasken. Das ist derzeit die einzige Option, die Risikogruppen effektiv zu schützen. Neben Händewaschen-/desinfizieren.

    1. Das weitverbreitete Tragen von Masken steht aber der staatlich gewünschten automatischen Identifizierung mittels Gesichtserkennung im Weg. Daher ist es nicht gewollt.

  4. Und um sicherzustellen, dass es nicht Fehlmeldungen („was passiert, wenn ich hier klicke?“) gibt, müsste es autorisierte Handys (in Gesundheitsämtern?) geben. Bei Kontakt mit diesem Handy wird der Alarm erst freigeschaltet.

    1. Leider gibt es auch diese APP bisher nur bei der Datenkrake Google bzw. direkt bei Apple :(

      Ein solch datenkritsche App darf es nur als frei Software gemäß den Bestimmungen von F-Droid.org als freie kostenlose FOSS (Free and Open Source Software) geben und die Daten – auch zum Download – dürfen bei keinem Playstore und besonders bei keinem us-Dienst oder anderen wirtschaftlich oder stattlich abhängigen Anbieter bzw. Server landen.

      1. Es ist doch absolut kein Problem, wenn die App über die Stores von Google und Apple verteilt wird. Das ist doch nur der Distributionskanal. An die Nutzdaten kommen Google und Apple nicht heran.

        1. Das Problem mit Google und Apple App Stores ist, dass der Weg vom Quellcode zur installierbaren Binärdatei nicht nachvollziehbar ist, was ein vertrauensproblem sein kann.

          Daher:

          1. Quellcode veröffentlichen
          2. App auf f-droid.org anbieten als vertrauenswürdie Installationsquelle für Android
          3. App zusätzlich für Leute mit „Vertrauensproblemen“ (oder iPhone) zum Direktdownload anbieten bei vertrauenswürdigen Anbietern (FSFE, EFF…), welche sicherstellen, dass der veröffentlichte Quellcode zum Download der App passt. Denkbar wäre auch ein automatic build system auf github zu verwenden

          1. Leute die den App Stores nicht vertrauen sind eine zu vernachlässigende Größe und würden die App aus Gründen der Paranoia doch sowieso nicht installieren.
            Die Usability muss stimmen – das geht über die Stores am besten. Würde man deinen Weg gehen, würden wahrscheinlich 75% der Bevölkerung die Installation überhaupt nicht hinbekommen, so dass die App wieder nutzlos wäre.

          2. Ich denke auch, dass ohne einfache Installationsmöglichkeit über die Stores niemals die notwendige Abdeckung erzielt werden könnte. Es müsste aber der Quellcode offen und grundsätzlich selbst-compilierbar sein und alternativ auf vertrauenswürdigen Servern Binaries zur Installation /ohne/ die Stores bereitliegen. Außerdem müsste es technisch Versierten und unabhängigen Organisationen leicht möglich sein zu prüfen, ob die über die Stores verbreiteten Apps auch den Quellcode (und nichts als diesen) korrekt implementieren…

            Gesetzlich müsste nicht nur die Installation der App freiwillig sein, sondern auch jegliche damit verbundene Handlung vollkommen unverbindlich. Nicht, dass über bei der Kommunikation mit den Servern gespeicherte IP-Adressen staatlicherseits doch Benutzer identifiziert werden könnten, die doch eigentlich die Kontakte anonym hätten warnen oder sich beim Gesundheitsamt hätten melden müssen, und solches etwa als Straftat verfolgt werden könnte…

  5. Eine solche App muss als freie Software unter Veröffentlichung des Quell-Codes und Prüfung durch Sicherheitsexperten wie z.B. vom ChaosComputer-Club (ccc.de) oder von Mike Kuketz zuvor geprüft werden. Weiterhin kann ich dringend empfehlen diese App NICHT im Google Playstore zu beziehen sondern über F-Droid.org bzw. bei einer bundesdeutschen Quelle als FOSS (Free and Open Source Software) !

    Der technische Ansatz der TraceTogether.gov.sg App ist m.M. nach bereits gut gewählt, aber es dürfte die Rufnummer (mobile number) nicht auf einem Server gespeichert werden.

    Die mobile number darf niemals in us-Dienste und andere staatlichen Behörden gelangen.

    1. Um die Mobilnummer abzugreifen bracht es keine App…

      Mir geht diese Aluhutargumentation echt auf den Keks! Man kann sich das Konzept hinter TraceTogether ansehen und bald auch den Source-Code. Aber bereits nach dem jetzt schon bekannten Informationen ist TraceTogether datensschutztechnisch eine gute Lösung. Zur Not baut man eben die Benachrichtungsfunktion noch so um, dass der Endnutzer proaktiv den Kontakt mit den öffentlichen Stellen aufnehmen muss und schon ist das System auch für das westliche Datenschutzempfinden perfekt.

      1. Da sprechen halt gebrannte Kinder. Wer sagt Dir denn dass die jetzt harmlose Wanze stets harmlos bleibt? Und da baut niemand was „zur Not“ um. Das wird genauso shice implementiert wie ein Nedap-Wahlcomputer oder das Zwangsantwaltspostfach, der DE-Mail oder oder oder. Wir diskutieren seit 10 Jahren drüber Mautdaten zur Strafverfolgung zu verwenden und die Diskussion wird erst aufhören, wenn die Nutzung freigegeben wurde. Anderes Beispiel: Kennzeichenscanner. Anderes Beispiel: Funkzellenabfragen. Anderes Beispiel: behördliche Weigerung bei Löschung einst erhobener Daten. Die Website hier ist voll mit Beispielen warum so ne App ne dumme Idee ist. Anders formuliert: Wo ein Trog ist kommen die Schweine. Es ist auf freiwilliger Ebene ohnehin keine effiziente Methode eine Seuche einzudämmen, notfalls benutz ich die App eben auf dem Handy das hier immer in der Schublade liegt …
        #ZwangsmaskenFuerAlleWaereSinnvoller

        1. Es ist mir ein völliges Rätsel, dass die menschen nur darüber nachdenken. Bis die Personentatsächlich erreicht werden, haben sie höchstwahrscheinlich sowieso schon andere angesteckt. Und was ist auf Dauer unter Quarantäne zu verstehen? Außerdem verläuft immer noch bei einem Großteil der Kranken, das Ganze wie eine leichte Grippe ab. Viel wichtiger ist doch endlich das ganze Geld ins Gesundheitssystem zu stecken, anstatt in die Überwachung der Bürger. Allein diese Forschungsgelder wären doch super geeignet für die Forschung nach Medikamenten oder einfach für neue Sauerstoffgeräte und Intensivbetten.

          1. Mehr als nichts wird es immer sein. Wenn das System gegen bösartige Angreifer und Trolle gefeit sein soll, sowie sowohl auf Endgeräten als auch auf Serverseite nur endlich viel Rechenkapazität verbrauchen soll, wird es letztlich bestenfalls pseudonym bleiben. Letztlich könnte auch eine bösartige Appversion erstellt werden und geleingt es, diese auszurollen, ist also doch Überwachung da.

            Das klingt trivial, bedeutet aber, dass es eben nicht mal eben „machbar“ ist. So wird ja versucht eine Art Vertrauensverklammerung zu erzeugen. Potentiell geachtete und fähige Entitäten anfänglich einbinden, und dann möglichst schlechtaussehend im Verlauf ausscheiden – den Vertrauensvorsprung gerne auch mit Verweis auf die Wichtigkeit der „Sache“ versuchen rethorisch mitzunehmen, als hätte es wirkliche Experten nie gegeben.

      2. Bitte nicht falsch verstehen, die Mehrheit wird sich keine Gedanken über Datenschutz machen, für eine möglichst umfassende Abdeckung sollten aber auch die Bedenkenträger „abgeholt“ werden (oder ignoriert ;-) und die Anmerkungen hier als Anregungen für Verbesserungen verstanden werden.

  6. Generell ist die Idee einer solcher App sinnvoll und der hier vorgestelltete technische Ansatz sehr gut. Was mir noch wichtig wäre ist, dass der Source Code der App veröffentlicht wird, sodass dieser unabhängig geprüft und gebaut werden kann.

  7. Die Politik will eine Corona-App, weil das so Cool klingt. Und man hat was getan. Macher sind gefragt in einer solchen Situation. Ob es hilft? Für den Macher egal, es hilft die eigene Popularität zu fördern.
    Ansonsten? Hmmm. Der Vorschlag klingt ganz gut, aber es ist ein Fehler drin: die Daten sind NICHT anonym, sondern nur pseudonym. Das ist kein Ausschlussgrund! Es ist aber eine Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO nötig. Da es sich um die Verarbeitung von Gesundheitsdaten in großem Stil handelt, kommt man da nicht drum herum. Wenn man die aber gleich von Anfang an mit einbezieht und sie kein Alibi mit „wir wollen das so machen, sehe Du zu, dass es geht“, dann kann sie helfen die Lösung/App/… zu verbessern.

    1. Der maßgebliche Unterschied zwischen anonym und pseudonym ist, ob es einen praktisch realisierbaren Weg gibt, die Daten einer konkreten Person zuzuordnen. Diesen Weg gibt es bei unserem Vorschlag weder bei den PushTokens noch bei den TempIDs.

      1. Doch, es sind diverse Varianten möglich und denkbar. Konstruierte oder nicht konstruierte; Datenpannen gehackte Mobiltelefone, Fehler im Server und vieles mehr. Deswegen sind es nur Pseudonyme – wenn auch starke. Es handelt sich aber nicht um anonyme Daten.

        Auch die Information, dass jemand von der App eine Push-Nachricht erhält und somit wahrscheinlich mit einem Infizierten in Kontakt war, ist ein personenbezogenes Datum. Und dieses erfährt der Push-Dienst-Betreiber (Apple oder Google), denn der muss die Push-Nachricht ja zustellen.

        Die Risiken zu betrachten und Abhilfemaßnahmen – wie ihr sie ja auch schon im Konzert berücksichtigt habt! – ist dann Teil einer Datenschutz-Folgenabschätzung. Wie bereits hier und anderweitig mehrfach gesagt: ich halte deswegen das Konzept weder für schlecht noch für datenschutzwidrig. Aber man muss dies eben alles beachten.

        Wir sind hier auch mitten in der Diskussion um die Frage, ob der objektive oder subjektive Ansatz bei personenbezogenen Daten richtig ist. Der EUGH geht vom objektiven Ansatz aus. Es ist in dem Fall hier auch nicht weiter tragisch, davon auszugehen, dass es sich um personenbezogene Daten (also: pseudonyme) handelt. Wären es anonyme Daten, müsste die DS-GVO übrigens nicht beachtet werden. Sollte sich dann aber nach einer Datenpanne – und sei sie noch so klein – herausstellen, dass die Daten doch nicht anonym sind und notwendige Maßnahmen wegen dieser Fehleinschätzung unterblieben sind … nun …

  8. Warum das Tracken von Covid-19-Infizierten mit Handydaten Quatsch ist – und warum das Thema erst mal rein gar nix mit Datenschutz zu tun hat.

    Das Tracken von Menschen und allen Kontaktpersonen macht nur Sinn, wenn ich weiß wer krank ist. Daran scheitert es schon mal, weil die Testkapazitäten gar nicht vorhanden sind und es auch nicht absehbar ist, wann sie in Breite verfügbar werden. Sieht man übrigens, wenn man die Bildchen anschaut. Da steht klar drin „Arzt diagnostiziert“. Zum Arzt geht nur der, der Beschwerden hat. Und wer Beschwerden hat bleibt üblicherweise liegen. Also worüber reden wir tatsächlich: vielleicht 5% Unvernünftige von xx.000?

    Das eigentliche Problem sind aber die Vielfachen davon, die bereits infiziert sind und nichts von ihrem Pech wissen und auch nicht zum Arzt gehen. Die installieren freiwillige kein App, weil sie keinen Grund dazu haben. Und zur Installation werden sich auch von niemand vergattert, weil ja noch niemand was davon weiß.

    Mal ganz platt: man könnte einfach von Südkorea lernen. Und man könnte mit Masken für alle anfangen. Und dann noch ein paar sinnvolle Dinge tun. Und dann kommt lange nix und erst am Ende eine irgendwie geartete App.

    1. In dem Moment wo ein Test zur Verfügung steht, den jeder selbst zur Diagnose nutzen kann, sollte auch die App nutzbar sein, da sich beides optimal ergänzt und Zeit für die Impfstoffentwicklung gewonnen wäre.

  9. Was ich nicht verstehe bei dem vorgestelltem Prinzip:

    1. Wieso soll ich (quasi) nicht identifizierbar sein, wenn doch eine dauerhafte ID in Form eines Push-Tokens generiert wird bei der App-Installation und diese ID auch noch an einen zentralen Server übertragen wird?

    2. Welchen Nutzen die temporäre ID hat, wenn es eine dauerhafte globale ID in Form des Push-Tokens gibt?

    Sobald man die das Push-Token mit Daten des Providers verknüpfen würde (Push-Token-Zuordnung zu Handy-ID oder Rufnummer), wäre man nicht mehr anonym (max. temporär pseudonym)…

    Ich zitiere:

    > Dieses PushToken wird bei der Installation der App auf dem Handy generiert.
    > Zugleich hinterlegt die App sowohl das PushToken als auch die temporären IDs, die sie im Laufe der Zeit aussendet, auf einem zentralen Server – in Deutschland beispielsweise beim Robert-Koch-Institut.
    > Auf diese Weise können die Handys allein anhand von temporären IDs und PushTokens adressiert werden,
    > ohne dass die Identität der Personen feststellbar wäre, die diese Handys bei sich tragen.

      1. Ja, PushToken und temporäre IDs *sollen* nicht verknüpft werden, aber wie stellt man das dauerhaft sicher, wenn beide beim gleichen zentralen Server hinterlegt werden?

        Irgendwer muss die Verknüpfung von temporärer ID zu PushToken zu Krankheitsstatus kennen, sonst macht die App keinen Sinn.

        1. Die machen das nach einem ganz einfachen Prinzip. Die sammeln deine ID und deinen Token, der dein Handy und somit dich identifiziert. Und dann betonen sie etwa 200 Mal, daß von Seiten des Datenschutzes GAR KEINE Bedenken bestehen. Schon ist das Problem gelöst. Noch Fragen? :-)

          Diese „Äpp“ ist aus meiner Sicht reiner Aktionismus, mit Datenschutz hat das Ganze überhaupt nichts zu tun. Im Endergebnis werden deine Daten – nämlich deine ID, alle deine Kontakte und dein Handy, was ja auch ortbar ist – bei staatlich zugänglicher Stelle gespeichert.

          Habe ich „alle deine Kontakte“ gesagt? Ja, denn es wird erwartet, daß sich über die Dauer mindestens 60% der Bevölkerung durchinfizieren werden, und jeder kann sich doch ausmalen, wie „freiwillig“ das Hochladen der Kontaktinformationen sein wird, sobald man als infiziert diagnostiziert wurde. Somit werden, falls alle diese „Äpp“ nutzen würden, von mindestens 60% der Bevölkerung die langfristig gesammelten Kontaktdaten (wohlgemerkt mit einer Abstandsgenauigkeit von 1.5 Metern!) beim Staat landen, der mit einem einzigen Mausklick über die Providerdaten selbstverständlich herausfinden kann, wem ein Handy gehört.

          1. Puh, das ist jetzt aber schon sehr pauschal-global ;-)

            Ich schätze die Open-Source-Idee und wenn sie es richtig machen (so lese ich das auf die Schnelle aus den Konzepten raus), denken sie auch übers Hochladen der betroffenen IDs (die per se m. E. wirklich harmlos sind) nach, so dass du nicht hochladen musst „ich bin betroffen“, sondern „diese IDs hatten eine Ansteckungs-Exposure“. Dazu braucht es keine Kontaktdaten und Push-Nachrichten, nur Pull (jeder schaut regelmäßig nach auf dem Server, ob seine ID auf der Ansteckungskandidatenliste steht).

  10. Wäre es nicht möglich verschiedene Nutzungszenarien einer App, wie der beschriebenen, zu modellieren?

    Unter welchen Voraussetzungen könnte eine solche App die Infektionszahlen in reduzieren? Wieviele Menschen müssen in einer Region / in einem Land mitmachen, damit sich ein Schutzeffekt einstellt? Wie hoch müssten die Testkapazitäten sein? Wie schnell müsste getestet werden? Welchen Rolle spielen die sogenannten Schmierinfektionen, welchen Einfluss haben diese auf das Infektionsgeschehen? Inwieweit müsste diesen vorgebeugt werden? Reicht das, was derzeit zur Vermeidung von Schmierinfektionen getan wird? Wenn nein, was wäre noch zu tun? Welchen Effekt hätte es, wenn immer mehr Menschen Masken tragen? Wie würde sich dadurch das Risiko einer Infektion bei einer Begegnung ändern? Wie würde dies den Nutzen der App verändern?

    Ab wann könnte von einer relevanten Reduzierung im Verhältnis zum Risiko einer Re-Identifizierung gesprochen werden? Dazu müsste natürlich das Risiko einer Re-Identifizierung ergänzend bestimmt werden. Hierbei einzubeziehen wäre m.E. auch, dass es oft nicht auf eine exakte Re-Identifizierung ankommt. Sie muss nur für den Betrachter und im Kontext des Anwendungsfalls hinreichend wahrscheinlich sein. Der Schritt von ‚Es könnte dieser Mensch gewesen sein.‘ zu ‚Es ist dieser Mensch gewesen.‘ ist oft nur ein kleiner. Gerade wenn Wut und Verzweiflung sich Bahn brechen.

    Können vielleicht Ansteckungsmuster erkannt oder (schein) begründet vermutet werden? Hängt das Infektionsrisiko von Menschen nicht auch mit ihren Lebensumständen zusammen? Könnte dies einer Stigmatisierung von Bevölkerungsgruppen und / oder Wohngebieten vorschubleisten?

    Alle Fragen im Detail zu erwägen und möglichst fundiert zu beantworten, kostet Zeit. Sie nicht zu beantworten, ist für unsere Demokratie gefährlich. Für mich stellt sich damit eine weitere Frage:
    Wie können wir die potentiellen Chancen einer App möglichst rasch aufdecken, ggf. realisieren und zugleich das Risiko, welches mit dem Einsatz der App verbunden ist, unter Kontrolle halten?

    Es braucht die, die die App entwickeln.
    Es braucht die, die die Infrastruktur schaffen, um die App nutzen zu können.
    Es braucht die, die die App und die Infrastruktur prüfen und abnehmen.
    Es braucht die, die ein Test- und Einführungskonzept erarbeiten.
    Es braucht die, die ein Test- und Einführungskonzept prüfen und abnehmen.
    Es braucht die, die die Chancen und Risiken durchdenken und modellieren.
    Es braucht die, die unter Abwägung der Chancen und Risiken den Einsatz der App freigeben oder ablehnen.
    Es braucht die Zusammenarbeit zwischen all diesen.

    Leider bin ich nicht in der Position das praktisch mit auf den Weg zu bringen. Es finden sich sicher andere. Meine Unterstützung habt ihr!

  11. Hier gibt es ein Protokoll-Design, dass im Sinne des Beitrags die Probleme der Singapur-App löst und Pivatsphäre-freundliches Contact Tracing abbildet: https://github.com/JonathanLogan/covidtracer/blob/master/pp-contact-tracer.pdf

    Inwieweit der Bluetooth-Beacon-Ansatz in der Praxis überhaupt funktioniert (wg. APIs auf den Geräten, zu großer Reichweite, Funkproblemen, Akkuverbrauch etc.) lässt sich wohl nur durch Experiment herausfinden.

    1. Sie haben da eine Arbeit gefunden, die von einem Mitglied unseres Teams für die Entwicklung einer datensparsame App für die Information von Kontaktpersonen, entwickelt wurde.
      Wir diskutieren gerade noch, ob die im Papier beschriebene Methode die beste Möglichkeit zur Kommunikation im Backend ist und haben noch andere Ansätze im Blick.
      Im Frontend, beim Schlüsselaustausch über BLE sind wir schon weiter. Diesen haben wir im Rahmen des WirVsVirus Hackathons der Bundesregierung entwickelt.
      Ursprünglich waren wir dort mehrere Teams und haben uns nun als Gleichgesinnte zusammen gefunden, um eine Alternative zu Apps zu bieten, die zur Überwachung genutzt werden könnten.
      Schauen Sie doch gerne auf der Seite eines der ursprünglichen Teams von bandemic.app oder auch auf bluto.eu vorbei. Für die neue, als vereinigte Community entwickelte App, namens ITO, werden wir in den nächsten Tagen eine eigene Website erstellen.
      Im übrigen ist das Projekt komplett OpenSource und jede Mithilfe herzlich Willkommen.

  12. Was ist, wenn Menschen sich entscheiden, überhaupt kein mobiles Gerät zu benutzen?
    Mit anderen Worten, bekommen wir dann die Handy-Pflicht?
    Ich denke, das Maskentragen könnte helfen (,obwohl ist der Schutz den wirklich gegeben) und zweitens sollten schneller Massenveranstaltungen untersagt werden. Denn ein praktisches Beispiel. Ein Fußballspiel mit 60.000 Menschen, davon sind ein paar infiziert. Zack sind 60.000 Menschen in der Pflicht sich beim Gesundheitsamt zu melden. Die sind da doch personell gar nicht in der Lage, dass zu koordinieren. Zudem werden dann 60.000 Tests angeordnet. Schaffen das unsere Ärtze, Test-Stationen denn überhaupt?

    1. Hübsch der Reihe nach.

      Erst wird die Pflicht-App diskutiert.

      Kommt diese, gibt es erst einmal Bußgelder :). Dann kommt Zwangsqarantäne für Handylose, bis die Volksfessel ausgedruckt ist. Dann haben Handylose die Wahl, sich ein Handy zu kaufen, oder den Stromzähler, äh Moment, die Volksfessel zu tragen, natürlich auch auf eigene Kosten.

      (Als Handylos gilt zunächst, wo die App nicht läuft. Um den Übergang humasn zu gestalten, gibt es eine Volkshandyverlosung mittles „Handylosen“, durchgeführt von Bertelsmann, die auch die dabei anfallenden Namens- und Adressdaten verwerten dürfen.)

  13. Interessant ist es auch, wie soll das über Landesgrenzen geregelt werden können? Sprich in bin in einem Urlaubsland und hatte da gg. Kontakt mit einem Corona-Träger? Welche Behörde, welche Ämter koordinieren das. Ja, es gibt in der EU die DS-GVO, nur andere Länder/Staaten haben überhaupt keine Datenschutzgesetze? Was passiert nun?
    Weiss nicht, ob die Technik da nicht nur eine Illusion des Schutzes ist?

  14. Macht die App medizinisch gesehen zum jetzigen Zeitpunkt überhaupt noch Sinn?
    Epidemiologisch wird von einem freien Zirkulieren des Virus ab einer Anzahl von 10 positiv getestete pro 100.000 Einwohner gesprochen. Da sind wir längst weit drüber.
    Nur unter dieser Schwelle ist das Nachverfolgen von Infektionsketten als primärer Infektionsschutz sinnvoll.
    Und: In Singapur wurde eine ähnliche App im sehr frühen Verlauf genutzt.

    1. Es kann durchaus zu mehreren Infektionswellen kommen. Mit so einer App könnten wir bereits die zweite Welle früh stoppen, ohne dass wir das öffentliche Leben lahmlegen müssten.

    2. Auch muss erwähnt werden, dass die App für zukünftige Pandemien genutzt werden könnte. Die Idee und die Forschung an einer solchen App halte ich daher für sehr sinnvoll.

  15. Warum sollen die IDs sofort zum RKI-Server geschickt werden?
    Wenn man die IDs auf dem Gerät des Infizierten speichert,
    reicht es doch diese Daten nur dann auszulesen, wenn der Infizierte erkannt worden ist.
    Dann schickt der RKI die Nachricht an diese IDs.
    Klar das der RKI-Server nun diese IDs noch halten muß um die Betroffenen nicht mit ständigen Meldung zu zumüllen.

    Die IDs müssen auch nicht länger als 14 Tage gespecihert werden.
    Wenn sich eine ID infiziert hat, wäre sie ja wohl schon „durch“ mit dem Infekt, oder?

    Das nicht die Bluetooth-MAC verwendet wird ist eine sehr gute Idee.
    Es reicht ja schon wenn ich im Hotel an der Rezeption mit Namen angesprochen werde, weil die meine BT-Nummer gespecihert haben…

    1. Wie sollen die Handys vom RKI erreicht werden, wenn die Pseudonyme nur von dem infizierten gespeichert sind? Dein Vorschlag ist es ja von einem Infizierten das Handy auszulesen. Dieser hat Zugriff auf pseudonymisierte Kontakte und seine eigenen Pseudonyme.

    1. Man könnte auch einfach in regelmäßigen Abständen die Daten vom Server abfragen und dem User überlassen, entsprechend Kontakt aufzunehmen.

      Die Abfragen lassen sich auch weiter anonymisieren, wenn man bspw. über verkürzte IDs oder zusätzliche Fake-IDs mehr Daten als benötigt abfragt.

  16. Dass wir spät dran sind und die App dem Virus immer nur hinterher laufen kann, ist klar.
    Und dass eine Maskenpflicht, wie sie u.a. Österreich jetzt konkret plant, im Zweifel an der Quelle mehr bringt, ist ebenso klar.

    -> Warum dann nicht einfach das Eine tun ohne das Andere zu lassen!?

    Wir müssen uns doch überlegen, wie wir in der näheren Zukunft eine Lockerung der Beschränkungen sinnvoll ermöglichen können und gleichzeitig alles dafür tun, dass die Entwicklung der Fallzahlen dann nicht wieder -wie davor – exponentiell weiter geht, und so die Kosten des Lockdowns nicht ganz umsonst waren!

    Insofern sollten wir den Zeitpunkt der Lockerung gut vorbereitet als „Reset“ definieren und von dort aus nach vorne schauen.
    Und dabei kann die App durchaus hilfreich sein; wirklich signifikant funktionieren kann das m.E. allerdings tatsächlich nur dann, wenn das „nicht mehr ganz freiwillig“ abläuft (Stichwort „Handy-Pflicht“ — jaja, ich höre schon den Protest, Kommentar nicht erforderlich ;) )

    Der für die App angedachte Ansatz erscheint ausgewogen, zielführend und in der Schlußempfehlung datenschutzkonform.

    Wenn man anstatt eines Push-Tokens eine Pull-Funktion der App implementieren würde, könnte man sogar auf die zentrale Sammlung der ID’s verzichten (Statt der Push-Benachrichtigung fragt die App regelmäßig selbst beim Server nach, ob für eigene ID ein aktueller Alarm vorliegt)

    Den Code open source zu stellen halte ich für vertrauensfördernd und essenziell: So werden CCC & Co. sicherlich sehr zügig und öffentlichkeitswirksam der App das Testat erteilen, dass sie keine privatsphärenfeindliche Hintertür besitzt…!

    PS. Mit Bürgerrechten und Datenschutz in Pandemie-Situationen befasst sich auch die Europäische Akademie für Informationsfreiheit und Datenschutz:

    https://www.eaid-berlin.de/appell-der-europaeischen-akademie-fuer-informationsfreiheit-und-datenschutz-corona-pandemie-bekaempfen-buergerrechte-und-datenschutz-wahren/

    1. > Wenn man anstatt eines Push-Tokens eine Pull-Funktion der App implementieren würde,
      > könnte man sogar auf die zentrale Sammlung der ID’s verzichten (Statt der Push-Benachrichtigung
      > fragt die App regelmäßig selbst beim Server nach, ob für eigene ID ein aktueller Alarm vorliegt)

      Das ist m. E. die datenschutzfreundlichste Lösung, aber die Data-Analytics-Freaks freuen sich dann nicht darüber, weil man keine globalen Daten auswerten kann.

      Kleines Randproblem hier: Wie könnte man verhindern, dass der Server-Betreiber anhand der Verbindung beim Upload der ID im Krankheitsfall erkennen kann, wer das ist (z. B. Server-Logs mit IP-Adresse)? Ein Upload über TOR wäre super, aber wie verhindert man dann Fake-Krankheitsmeldungen?

      1. Wenn man krank ist, muss man doch zum Arzt und sich testen lassen? In diesem Fall können ja nur Ärzte autorisiert sein die pseudonymisierten Kontakte des Infizierten in einen zentralen Server einzupflegen. Ja der Arzt kann dich identifizieren, allerdings lässt sich das wohl kaum umgehen :D

        1. Ja testen lassen…, mit… was?

          Wenn Sie „krank“ sind, werden sie weder getestet noch etwas mit „zum Arzt“. Im Allgemeinen werden Sie derzeit auf Telefonanruf hin einfach zwei Wochen krankgeschrieben.

          Das Konzept mit den Daten nützt also nur bei getesteten Fällen etwas, also derzeit bei schweren Symptomen im Krankenhaus. Mit „leichten“ Symptomen, die viel fieser sind als was die meißten als leicht bezeichnen würden, wird man wohl auch im Krankenhaus noch nicht automatisch getestet.

          Ich habe noch nicht von einer hybriden Strategie gehört, wo man mindestens Stichproben in geringem Umfang auch für leichte Symptome und auch von Hausärzten authorisieren lässt. Vielleicht ist die Zahl der Ärzte gegenüber der möglichen Testzahl zu hoch, dennoch könnte man zufallsbasiert Ärzte „drannehmen“.

  17. Es gäbe aus meiner Sicht schon eine Möglichkeit die Kontaktpersonen zu informieren, ohne eine nachverfolgbare Kommunikation mit dem Server zu erreichen.
    1. Ich lade mir die App auf mein Smartphone und die App generiert mit kryptographischen Mitteln eine ID. Die kann auch temporär sein und sich von Zeit zu Zeit ändern, das verbessert die „Nichtwiedererkennbarkeit“ des Smartphones.
    2. Über BLE werden die Kontakte erfasst (soweit also wie im Artikel beschrieben).
    3. Wird ein Smartphone-Nutzer positiv getestet, gibt er (freiwillig) seine Daten (IDs seiner Kontakte) an den Server der App weiter. Auch das soweit wie oben.
    4. Jetzt kann per Push vom Server (oder auch per Pull durch die App, z.B. wenn im WLAN) die gesamte Liste der betroffenen Kontakte (IDs) des positiv getesteten Nutzers in die App übertragen werden. Die ID-Liste des positiv getesteten Nutzers wird an alle Nutzer der App übertragen!
    5. Die App prüft, ob die eigene ID dabei ist und informiert den Nutzer bei Übereinstimmung.

    Ein Problem ist ggf. die zu übertragende Datenmenge. Kurz überschlagen:
    – 10 Kontakte pro Tag (sollte im Durchschnitt passen bei den aktuellen Kontaktregeln)
    – Kontakte werden 14 Tage in der App gespeichert
    – 10.000 Neuinfizierte pro Tag
    –> macht 1.400.000 IDs, die pro Tag zur App übertragen werden müssen
    – ID-Länge 40 Bit (sollte auch bei zeitlich wechselnden IDs ausreichen)
    –> Downloadvolumen pro Tag liegt dann bei etwa 7 Mbyte (rein für die IDs, ohne Protokoll-Overhead, hoffentlich habe ich mich da nicht verrechnet!)

    Ggf. könnte die Länge der ID noch reduziert werden, was das zu übertragene Datenvolumen verringern würde. Dazu könnte aus der zufällig generierte ID in der App einen Hash erzeugt werden, der mit bereits vorhandenen Hashes auf dem Server verglichen wird. Wenn der Hash schon auf dem Server liegt, generiert die App eine neue ID usw.
    Das verbessert die Eindeutigkeit der mit kryptographischen Mitteln generierten ID (Vermeidung von mehrfach gleichen IDs bei kürzerer Länge) reduziert aber wieder die Annonymität etwas, da jetzt wieder eine ID (bzw. der Hash der ID) auf dem Server mit der Kommunikation des Smartphones verknüpft werden könnte.

    Soweit meine Ideen dazu.

    1. @Uwe M.:

      Wofür die ID-Liste übertragen? Würde es nicht genügen, wenn der unter 3. positiv getestete seine ID-Liste an den App-Server überträgt, der dann für jede ID ein Alarm-Flag setzt und JEDER App-Client regelmäßig (zu intelligent verteilten Zeitpunkten, t.b.d.) den Server abfragt, ob es einen Alarm für seine ID gibt. Sofern mit temporären IDs gearbeitet wird, müsste er für jede ID eine extra Abfrage machen; und nach 2 Wochen verfällt die ID. Also ein PULL-Mechanismus, danz ohne Push-Tokens.

      In einer zweiten Stufe könnte der Server dann – mittels intelligentem Algorithmus (?? t.b.d.) – errechnen, welche IDs aus der Kontaktkette auch noch ein Alarm-Flag bekommen müssen. Diese melden sich ja ohnehin regelmäßig und bekommen das dann mit…
      Problem wird sein, dass das Netz der potenziell Gefährdeten sehr schnell sehr groß werden kann.
      Das bedingt halt einen sehr guten Algorithmus…

      Beginnen könnte man aber auf jeden Fall erst mal mit der ersten Stufe…

      1. Die ID-Liste überträgt…
        ohne Gegenprüfung der anderen Seite?

        Als nächstes bitte ein unverschlüsseltes Netzwerkprotokoll ohne Signaturmechanismen und ohne wirksame Zuordnung der IDs zu Geräten.

    2. Es müssen nicht alle Kontaktdaten von ganz Deutschland heruntergeladen werden. Es reicht jeweils auf dem Gebiet Landkreis oder noch kleiner. Eine sinnvolle Einteilung lässt sich sicher finden. Das reduziert die Menge an abzugleichenden Daten enorm.

      Upload wären nach Freigabe IDA, IDB, Tag, Gebiet, Risikotyp (+Test, +Symptome, +Kontakt sicher Test)

      Hatte auch was zusammengeschrieben:
      https://medium.com/@strub_81933/corona-kontakttracking-per-app-fda771f0d929

    3. Wäre ein möglicher Gedanke mit den Flags, allerdings würde man dann die eigene Identität dem Server gegenüber offenbaren. Man müsste also dann vl. doppelt so viele IDs anfragen als eigene vorliegen. Würde aber dennoch den Traffic deutlich reduzieren. Möglicherweise wäre auch ein Gedanke ähnlich zu Zertifikaten statt Listen eine Baumstruktur mit Hashwerten.

  18. Wofür überhaupt die Liste der Kontakte übertragen? Es müssen doch nur die IDs übertragen werden, die das „infizierte“ Handy verwendet hat. Damit wäre beim Server (RKI) nur eine Liste aller als infiziert gemeldeten IDs. Jeder andere kann ja in seiner Liste nachschauen, ob eine der infiztierten IDs darin auftaucht.

    1. Ich würde sagen das hängt von der Implementierung der App ab und was man von dieser möchte. Wenn man einen transitiven Effekt nutzen möchte, dass wenn A und B Kontakt hatten und A krank ist, dann könnte der Kontakt zwischen B und C ebenfalls infiziert sein. Wie viele Hops man hier machen würde könnte konfiguriert werden.

  19. Bitte folgendes Beachten: Es gibt bei BLE einen dramatischen Unterschied zwischen Theorie und Praxis! Bei unseren umfangreichen Experimenten mit Bluetooth Low Energy kam in der Realität leider heraus, dass die Reichweite sehr schwankt, mal sind es „nur“ 7-10 Meter, mal 20-30 Meter, mal geht es durch Wände durch, manchmal nicht. Auch die Messung des Empfangspegel des Bluetooth Senders beim Empfänger (RSSI) ist keine belastbare Größe, sie schwankt extrem und hat leider wenig mit der tatsächlichen Distanz zu tun. Das war für uns (wir arbeiten am Thema Indoor Lokalisierung) extrem ernüchternd.

    Mit anderen Worten: Es kann dazu kommen, dass bei der geplanten Tracking App u.U. viel zu viele IDs gespeichert werden von Geräten, die gar nicht in der gefährlichen Distanz sind, zum Beispiel von Leuten, die vorm am Haus auf dem Bürgersteig laufen. Unter Umständen werden also mehr falsche Meldungen als echte Kontakte erfasst. Natürlich kann man die Zeitspanne hochsetzen, aber wie hoch? 15 Minuten? Anhusten im Bus oder im Geschäft dauert z.B. nur wenige Sekunden. Kurzgespräche vielleicht 1-2 Minuten, das reicht dann auch schon für die Ansteckung.

    Bitte beachten: Das soll auf keinen Fall eine Kritik an dem Vorhaben sein! Aber es ist mir wichtig, dass die Schwankungen von BLE Reichweiten bei der Entwicklung der App berücksichtigt wird.

  20. Zunächst einmal vielen Dank an die Autoren für Ihren wichtigen Beitrag eines datenschutzfreundlichen Vorgehens gegen das grassierende Corona-Virus. Es scheint also doch technische Lösungswege zu geben, die keinen Trade-off zwischen Daten- und Gesundheitsschutz beinhalten.

    Allerdings vermisse ich im Beitrag Statements darüber, wie vorgegangen werden soll, dieses wichtige Wissen an die richtigen Entscheidungsträger zu vermitteln. In der Praxis droht ganz klar, dass diese relevanten Erkenntnisse verhallen und im politschen Berlin nicht zur Kenntnis genommen werden.

    Gibt es hier vonseiten der Autoren eine politische Kommunikationsstrategie? Das wäre meiner Meinung nach sehr erstrebenswert, um vom wissenschaftlichen Elfenbeinturm herunterzukommen und gesellschaftlich wirklich eine Veränderung voranzutreiben.

      1. Jetzt verstehe ich, dass diese gleiche App („Beteiligt an dem Projekt sind unter anderen das Robert Koch-Institut (RKI) sowie das Fraunhofer Institut für Nachrichtentechnik (Heinrich-Hertz-Institut, HHI).“) auch laut @vieuxrenard datenschutzrechtlich unbedenklich sein sollte. https://m.tagesspiegel.de/politik/handy-tracking-von-corona-infektionsfaellen-app-des-robert-koch-instituts-koennte-schon-diese-woche-praesentiert-werden/25698920.html

  21. Wieso benötigt man diese Push-Tokens? Da findet doch auf Seiten des Servers eine klare Zurodnung alte IDs und Push-Token statt? Das sieht mir nach einer Beziehung aus die man nicht benötigt und den Server verwundbar macht?
    Ein Art Schaufenster aller „infizierter IDs“ auf dem Server einzurichten, die ich mir als Nutzer der App und hoffentlich aktuelle nicht infizierter bei Zeiten herunterladen kann und mit meinen lokal generierten vergangen IDs gegen checken kann, wäre für mich eine bessere Trennung der Daten.

  22. Schön, wie sich alle Gedanken um den Datenschutz machen. Aber man sollte auf einen anderen Punkt eingehen: Die Feststellung der Distanz zwischen zwei Smartphone-Geräten mit Bluetooth. Und da ist es völlig unmöglich unter Alltagsbedingungen in einen relevanten Umfang die Bedingung „< 2 Meter" zu bestimmen. Also würden solche Tracker zu unglaublich vielen "False Positives" führen und anders herum Infizierte in einer falschen Sicherheit wiegen.

    Btw: So manche behaupten gerade, sie hätten das Distanzproblem gelöst. Aber von niemandem werden diesbezüglich Daten präsentiert, Algorithmen erläutert, etc. Dafür ist das Netz voll von nachvollziehbaren Schilderungen, warum es nicht funktioniert. Oder von Arbeiten, wann es funktioniert (aber niemals mit Smartphones, etc ;) ).

    1. Sehr gut!

      Ich würde noch anmerken, dass jedes weitere Datum, das man „netterweise“ mit senden wollen könnte, lustige Zuordnungen ermöglicht.

      Also voll total anonymisiert, mit Ort, Zeit, Distanz zu anderen, Risiko-irgendetwas?

      Hier passieren Fehler schneller als Lösungen für irgendetwas. Polizeien hätten auch gerne Daten, vermutlich um ihrem Personal sagen zu können, wo es aufpassen soll.

      1. Nach einem kurzen Schenk vor den Kameras vorbei sind wir überigens jetzt bei „nett sein“ :).

        Es soll also dezentral werden, aber man darf dann freiwillig mehr Daten teilen.

  23. An die App-Entwickler: Bitte veröffentlicht den Link zum Quellcode der App hier (github, gitlab…)!

    Und: Bitte für den Laien verständlich erklären, warum ein PushToken anonym ist, obwohl damit ein Handy eindeutig identifizierbar ist. Wie ist so ein PushToken aufgebaut?

    1. Unser Code und Protokoll ist auf https://github.com/ito-org verfügbar, Hilfe ist gerne gesehen vor allem wenn vorher unser aktueller Stand des Protokolls angesehen wurde ;) grüße von GlOwl im namen des Ito Teams (ehemals bandemic, bluto, privacy preserving desease tracking und weitere, sry das ich mittlerweile keinen Überblick mehr habe wer alles dazugekommen ist ^^)

      1. @GlOwl: Nur zur Transparenz:

        Wie seid ihr ( „unser Code“) mit den Autoren dieses Artikels verbunden? Ich habe weder im Code auf github noch den Docs euer Web-Seite Hinweise auf ein „PushToken“ gefunden (sondern den m. E. besseren Pull-Ansatz) und vermute daher, dass ihr ein (von den Autoren dieses Artikels) unabhängiges Team seid…

        Gute (Open-Source-)Arbeit von euch übrigens :-)

  24. Ich habe kein Smartphone, weil ich Geräte nutzen will, über die ich Kontrolle habe und nicht umgekehrt. Gut, bei Rechnern ist das auch nicht gegeben, aber nicht so krass wie bei Smartphones. Und nu? Kauft mir die Bundesregierung ein Smartphone? Und zwingt mich dann, es zu tragen? Und wenn keine SIM-Card drin ist? Oder wenn es kaputt ist? Kommt vor.

      1. Wenn man in voller Schutzkleidung unterwegs ist, ist das auch ziemlich egal :).

        Es ist auch fast vernachlässigbar, wenn man nicht in Atem/Hust-Luft hineingezwungen wird, und sich korrekt verhält. Sogar noch mehr egal, wenn alle „recht wirksame“ Masken tragen.

        Es wird erst relevant sein, wenn man Leuten erlaubt, direkt nebeneinander quasi „klasssische Interaktion“ zu fahren – aber ernsthaft: will man das?
        – Ohne genügend Tests wird die App schnell zu einem Mittel der Unterdrückung. Abstufung könnte sein, auf Symptome hin zu prüfen, und schon Sauerstoffmessungen zu machen u.ä., wenn man in der Nähe von Infizierten war, bevor man Symptome zeigt. Das muss das Gesundheitssystem dann aber auch leisten, d.h. Sie kommen an einen Arzt, bevor sie infektiös sein könnten. SCHÖNHEITSFEHLER: Sie erfahren so spät davon, dass sie bereits infektioös sind und weahrscheinlich Symptome haben, oder gar nicht erst welche entwickeln. In der Softwarebranche ist das alles „vielleicht könnte es etwas nützen“, und wird niemand freiwillig bauen (gut oder nicht gut beiseite) – hier sind wir derzeit bei „versuchen, die Leute zu überzeugen“, ohne Nachweis der Wirksamkeit. Mit einem Impfstoff würde man das so nicht machen.
        – Mit genügend Tests ist eine App wahrscheinlich vernachlässigbar.

  25. Die Idee für diese App gefällt mir sehr gut.
    Allerdings werde ich auch künftig keinen Account bei Google, Apple oder derartigen Konzernen haben (sonst hätte ich auch als Smartphone kein „Fairphone“).
    Für mich kommen nur alternative App Stores, wie z.B. F-Droid in Frage.
    Es ist außerdem möglich, die App über neutrale Server anzubieten. (Auf diese Weise habe ich auch den Messenger Threema, der eine Alternative zu WhatsApp darstellt, bekommen.)

  26. Meiner Meinung fehlen in dieser Diskussion einige sehr wichtige Punkte, die unbedingt berücksichtigt werden müssen (ist etwas ausführlicher geworden).

    Also ich finde bereits die Prämissen in dem Text, welche die Notwendigkeit der App beweisen sollen, teilweise falsch.

    „Eine hinreichend schnelle Kontaktnachverfolgung ist allerdings analog nicht möglich, sondern nur digital erreichbar“
    …und eine möglichst Fehlerhafte Kontaktverfolgung (zumindest in dem vorgeschlagenen Fall). Kontakt unter 2m für mindestens 15 min ist nicht gleich Kontakt unter 2m für mindestens 15 min . Da sind noch einige anderen Parameter entscheiden wie z.B. Tragen von Mund-Nase-Maske, sind die Personen zueinander zugewandt oder abgewandt, Stehen sie nur beeinander oder reden sie miteinander bzw. niest jemand, sind sie in geschlossenen (wie Groß) oder offenen Räumen, ist ein Luftzug vorhanden, sind zwischen den Personen Hindernisse wie eine Glasscheibe…
    All diese Parameter werden damit nicht erfasst, sind aber essentiel!
    Somit ist die Aussage, „Es ist egal, wo man in Kontakt mit einer infizierten Person gekommen ist“ falsch.
    „Stattdessen ist allein entscheidend, dass sich zwei Menschen in infektionsgefährlicher Weise nahe gekommen sind“ ist auch Falsch, nähe allein ist nicht entscheidend (siehe oben)
    Die daraus resultierenden Falschmeldung können falsche Gefühle/Reaktionen hervorrufen. Bei einer fälschlicherweise übermittelten Gefahr verunsichert es die Personen unnötig, bei einer fälchlicherweisen nicht übermittelten Gefahr wiegt die Person sich in Falscher Sicherheit, nimmt erste Symptome nicht wahr und verbreitet das Virus.
    Außerdem ist die Kontakterfassung sehr wohl auch analog möglich. Zwischen Infektiosität und ersten Symptomen vergehen im Schnitt (und der ist epidemologisch relevant) 1-3 Tage. Ich finde die Menschen werden ein großteil der relevanten Personen für diesen Zeitraum rekapitulieren können (100% sind nicht nötig, Ansteckungsrate um 2/3 senken ist Ziel).Dazu braucht es nicht ein solches Werkzeug mit so schwerwiegenden potentiellen Nebenwirkungen. Natürlich sind Test in Umfangreichen Maße nötig, damit jeder sich recht schnell testen kann. Aber dies soll ja in den nächsten Wochen erreicht werden.( und die Tracking-App würde für sehr viel Verdachtsfälle sorgen, wo hohe Testkapzitäten auch nötig wären).
    Eine zusätzliche Methode für effiziente Kontaknachvefolgung abseits des Aktionismus mit Tracking wäre einfach den Personalmangel in den Gesundheitsämtern zu beheben.
    “ Immerhin geht es darum, Leben und Gesundheit einer großen Zahl von Menschen zu schützen“
    Wenn mit Menschenleben gekommen wird (was oft auch als Totschlagargument verwendet wird) sollte bedacht werden, dass den Genuss der jetzigen Freiheitsrechte auch viele Menschen gestorben sind.
    Ein weiterer Punkt ist das Öffnen von der Büchse der Pandora. Diese Regierung (insbesondere die CDU, aber auch teilweise SPD) haben in Vergangenheit öfters Gezeigt, dass im Zweifel die Sicherheit für die Freiheit eingetauscht werden. Dabei wird versucht, dass maximale aus dem Grundgesetzt herauszuholen und nähern sich der Grenze solange an, bis das Bundesverfassungsgericht es nicht mehr kippt (bspw. Vorratsdatenspeicherung wurde schon gekippt und dennoch ein neuer Versuch ohne signifikante Änderung gestartet, Poliziegesetze in Bayern, Sachsen bei denen Klage anhängig ist,…). Das Geschah oft gegen den Rat von Experten und Fakten, das Bauchgefühl hat denen gereicht (bestes aktuelles Beispiel Spahn mit den Funkmasten!). Dieses Regierung würde ich nicht vertrauen, dass sie Verwednung und Funktionalität nicht bei nächstbester Gelegenheit erweitert ( Bei Terroranschlag alle Kontaktpersonen von Terroristen, dann bei Terrorverdacht alle Kontaktpersonen von Verdächtigen, dann alle Kontaktpersonen von Gefährdern usw.)
    Wie sich unfassbare Überwachungsmaschinerien etablieren kann, ist doch sehr gut bei Facebook, Google &Co erkenne. Vor einigen Jahrzehnten gab riesen Aufstände bei einer Volkszählung. Inzwischen werden diese Daten teilweise bei Online-Portalen freiwillig Preis gegegeben. Das ist nicht von jetzt auf gleich entstanden, das ging immer in kleinen Schritten, die gerade noch so akzeptiert werden können (Die Gewöhnung des Menschen an Gefahren ist leider ein wissenschaftlicher Fakt). Und diese Tracking-App kann durchaus ein wichtiger Schritt hinsichtlich der Überwachung des Bürgers durch den Staat sein! Es kann auch nicht so kommen, aber allein die Gefahr sollte aufhorschen lassen. Einen Geist wieder in die Flasche zu bekommen ist recht schwierig, siehe die Datenkraken im Netz.

    Wegen all dieser Aspekte ist zwingend eine breite Diskussion nötig und sollte nicht über das Knie gebrochen werden! In der jetzigen aufgeregten Situation ist eine Diskussion Im Parlament (wer will freiwillig als Hemmer gelten, Macher sind ja jetzt so gefragt) und in der Zivilgesellschaft (Versammlungen schwer möglich, mit Demo’s kann kaum Druck ausgeübt werden) schwer möglich, aber zwingend nötig. Wenn jetzt sowas schwerwiegendes in recht kurzer Zeit durchgerpügelt wird, ohne Möglichkeit von Verschieden Gruppen darauf einzuwirken, hat dass den Anschein von regieren im Hinterzimmer.
    Meinen Verständnis von Demokratie nach sind bei so einer schwerwiegende Entscheidung möglichst viele Bevölkerungsteile einzubeziehen und sollte nicht einfach von oben beschlossen werden (Stichwort „die da oben“, hochgefährlich).
    Das hätte die Gefahr das Vertrauen in die Regierung und deren Maßnahmen in der Bevölkerung zu schwächen, was in der derzeitigen Lage gefährlich wäre.

    Diese App könnte durchaus einen Nutzen in ein paar Monaten haben, um bei vereinzelten Infektionsherden die ausbreitung zu verhindern. Allerdings sollte die Zeit bis dahin genutzt werde um ausführlich alle Möglichkeiten und Risiken zu betrachten und Diskutieren.

    1. Ich stimme dem zu.
      Vor allem ist es falsch, die Diskussion ausschließlich auf den Datenschutz zu lenken.
      Es geht um die Praxis.
      Unerwähnt ist auch, WER diese App überhaupt nutzen “darf”.
      Was ist mit unseren Schülern ?
      Entsteht plötzlich ein neues Mobbing – wenn eine(r) die App nicht installiert hat oder “gewarnt” wurde ?
      Desgleichen. Am Arbeitsplatz..
      Selbst innerhalb der Familie, wenn eine(r) in Quarantäne soll .

      Was passiert, wenn ich die Infektionswarnung erhalte, aber nicht darauf reagiere ?
      Werde ich dann “abgeholt” von der Polizei oder “Ordnungsamt” ?

      In eInem Diskussionsbeitrag wurde darauf hingewiesen, was die Benachrichtigung auf Infektion auf einem oder den nächsten Angehöringen bewirkt {Psyche) . Ist das egal ?
      Vergleiche das doch mal mit der Mitteilung von deinem Hausarzt , “Sie haben wahrscheinlich Krebs”.

  27. Liebe Leute, nehmen wir mal an, alles bleibt anonym und 100%ig wasserdicht.
    Aber spätestens dann, wenn wir zum Arzt müssen, weil wir getestet werden wollen, egal ob Gesundheitsamt oder mein Dok nebenan.
    Und in diesem Moment bin ich nicht mehr anonym.
    Ich deanonymisiere mich quasi selbst.
    Und dann kommt noch der Eintrag in die Patientenakte.
    Oh, die ist ja auch elektronisch geworden …
    Ich hoffe, ihr diskutiert auch mal darüber so fleißig, wie an dieser Corona App.

  28. Es ist mir systemisch nicht einsichtig, wie bei einer PUSH-Benachrichtigung De-Pseudonymisierung technisch unmöglich gemacht werden könnte.

    „Irgendwer“ muss die Quarantäneanordnung letztendlich zustellen und braucht dafür einen von „ihm“ adressierbaren Endpunkt. Und etwa von der Provider-IP zum User ist es ein so kurzer Weg, dass sogar temporäre IPs von der Judikative schon als personenbezogene resp personenbeziehbare Daten angesehen wurden.

    Und ab da ist es eigentlich auch schon rum mit der Privacy, ob der zu erwartenden Kriminalisierung „nicht App-konformen Verhaltens“, könnte Staat immer ein dringendes Interesse an Dateneinsicht durchsetzen. Oder sich die Daten schlicht zocken und verwerten – ein Verwertungsverbot von „fruits of the poisoned tree“ gibt es mWn im dt. Strafrecht nicht.

    PULL-Konzepte auf Basis asymmetrischer, harter Crypto – wie hier vereinzelt vorgeschlagen – laborieren daran hingegen – soweit ich es überblicke – nicht, sofern dafür Sorge getragen wird, dass der DB-Zugriff über IP-Anonymisierungsnetzwerke erfolgt und so kein informationeller Mehrwert beim Matching zwischen etwa FW-Log und DB-Zugriffslog erzielt werden kann.

    1. Da Zuordnung möglich sein muss, sehe ich nicht wie etwas anders als „pseudonym“ herauskommen soll.

      Klar kann man den Kontext einschränken, z.B. wenn jede/r dem/der ich meinen Namen nenne, sofort im Boden verschwindet und nie wieder auftaucht, dann bin ich … es darf halt keiner beobachten :).

      1. Es geht schon „ziemlich gut“.

        – Temporäre IDs sind mit genausooft wechselndem privaten Schlüssel signiert. Wechsel alle 1-3 Stunden.
        – Infizierte laden die temporären IDs ihrer Kontakte der letzten X Tage als Gesamtpaket hoch. Irgendwie abgesichert durch Arzt (hihi).
        – Normale Appbenutzer fragen für Ihre die Kontakte der letzten X Tage beim Server nach, ob einer Infiziert war. Dieses wird nur etwa ein mal pro Tag abgefragt. Wichtig ist, dass der Server mehrfache Abfragen unterbindet, damit nicht gepimpte Apps für IDs einzeln abfragen, um herauszufinden wer genau es war – oder soll man das wissen?

        „Einziges“ Problem:
        – DOS ist sehr gut möglich – also wird man vielleicht doch Identifikationsmerkmale (für das Gerät bzw. Teilnehmer) mit einbauen, die vielleicht nicht serverseitig gespeichert werden, die aber bei Abfragen doch ein Kontaktnetz übertragen, das dann zwar nicht gespeichert wird, aber Mithörern dann sehr konkret vorliegen würde, und Frager dauerhaft tracebar macht.

      2. Der Vollständigkeit halber: DP3T ist ein viel besseres Konzept.

        Auf dem Server sind nur Seeds von Infizierten aus denen die temporären IDs (ephemeral ids) brerechnet werden können. App-Benutzer laden also die Seeds der in den letzten zwei Wochen Infizierten herunter.

        Nach diesem Konzept ist also die Kontaktverfolgung per App auch freiwillig und wird nicht auf einem Server exponiert. Demgemäß wären die nicht infizierten Nutzer anonym, oder kurzzeitig via BLE pseudonym.

        Würden jetzt Telefone Beschlagnahmt, wird natürlich die Haftungsfrage interessant, z.B. wenn man einem Infizierten laut App nah war, aber es ignoriert hatte. Freiwilligkeit und Zwang gleichzeitig geht halt nicht, es könnte auch jemand die App selbst compilieren, mit der Änderung, dass der Seed ständig heimlich gewechselt wird, sowie statt eingehender IDs Zufallsmüll gespeichert wird, so dass keine Zuordnung möglich ist. Das wird relevant, wenn es Zugangsbeschränkungen gibt, wo die App eben doch Pflicht wird. Da kann der Staat natürlich Umkehrkanariensender installieren, also gefakte Teilnehmer, die spezielle IDs senden, so dass man finden kann, wenn diese unterschlagen werden.

        Da kann man einen schönen klebrigen Sumpf draus bauen.

  29. Eine Frage die mir unter den Nägeln brennt ist, ob die Daten zur Strafverfolgung genutzt werden drüfen?

    Bezugnehmend auf das Beispiel im Artikel konkret:

    Alice könnte Bob mit COVID-19 angesteckt haben, weil (oder meinetwegen während) beide gegen Hygienevorschriften und damit das Infektionsschutzgesetz verstoßen haben. Dürfen die Strafverfolgungsbehörden die Kontaktnachverfolgungsdaten, die durch die App erhoben werden, nutzen, um ein Fehlverhalten von Bob und Alice nachzuweisen, damit dies schließlich bestraft wird? Möglich wäre das ja nach meinen Verständnis, wenn Alice oder Bob sich anstecken und einer von beiden der Auflösung der Kontaktdaten zustimmt.

    Hab konkret dazu noch nichts gelesen oder gehört. Ist der Gedanke totaler Unfug?

    1. Im Falle von DP3T müsste man beide Mobiltelefone konfiszieren, um zu wissen, ob die sich „Bluetooth Low Energy“-nah getroffen haben. Dabei fällt heraus, was nicht lang genug in der Nähe war, und deswegen lokal nicht gespeichert bleibt, je nach Parametern.

      Ähnliche Information gibt vielleicht, wenn auch eher viel gröber, die Abfrage von Vorratsdaten bzgl. eingewählter Mobilgeräte in Funkzellen her.

      Insofern wäre es plausibel, dass die Daten genutzt würden, z.B. um zu beweisen, dass das Gerät in der nähe gewesen sein muss, bzw. könnte, falls die IDs nicht eindeutig sind. Um nicht infizierte Kontakte zu identifizieren müsste man dann Telefone anderer Leute auf groben Verdacht hin beschlagnahmen… da bin ich skeptisch, dass das legal wäre. Was versucht wird, ist eine andere Sache.

      Die Frage bleibt interessant.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.