Tracing-Technologien

Die Corona-App Ihres Vertrauens

Ob Corona-Tracing-Apps mit zentralem oder dezentralem Prinzip arbeiten sollen, ist keine rein technische Frage. Es ist auch eine Frage von Vertrauen. Politisch verantwortungsvolles Handeln heißt, die Unterschiede zu verstehen und ernstzunehmen.

Fotomontage: Auge mit Coronavirus und 1en und 0en
Wer welche Informationen aus dem Kontakt-Tracing zu sehen bekommt, ist nicht nur eine technische Frage. Vereinfachte Pixabay Lizenz Matryx

Samuel Brack und Leonie Reichert sind wissenschaftliche MitarbeiterInnen am Institut für Informatik der Humboldt-Universität zu Berlin. Jeanette Hofmann ist Forschungsdirektorin am Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG), Professorin für Internetpolitik an der Freien Universität Berlin und leitet die Forschungsgruppe Politik der Digitalisierung am Wissenschaftszentrum Berlin für Sozialforschung. Björn Scheuermann ist Forschungsdirektor am HIIG und Professor für Technische Informatik an der Humboldt-Universität zu Berlin. AutorInnen in alphabetischer Reihenfolge.

Es passiert eher selten, dass die Spezifikation einer Smartphone-App über mehrere Tage einen solch zentralen Platz in den Nachrichten einnimmt: Die Kontaktverfolgung ist zwar ein bewährtes Mittel in der Infektionsbekämpfung, aber ihre Digitalisierung ist in den letzten Wochen zum Politikum geworden. Von „religiösen“ Auseinandersetzungen ist da die Rede, und von der Gefahr, dass der Streit ums Technische die Existenz des gesamten Projekts verschleppe.

Die in solchen Äußerungen mitschwingende Unterscheidung zwischen dem eigentlich Relevanten – nämlich dem Ziel, Infektionsketten effektiver aufspüren zu können – und dem zu vernachlässigenden Modus seiner Umsetzung ist nicht nur falsch, sondern auch gefährlich. Wie so oft heiligt der Zweck eben nicht die Mittel; und dies gilt erst recht, wenn mehrere Möglichkeiten zur Wahl stehen.

Statt die technischen Details als Lappalie abzutun, sollten wir die Möglichkeit bedenken, dass Tracing-Apps womöglich keine temporäre Erscheinung sind, die wieder verschwindet, sobald die Pandemie unter Kontrolle gebracht ist. Tracing-Apps könnten sich als bewährtes Instrument der Gesundheitspolitik oder in anderen Bereichen verstetigen, und deshalb ist es so wichtig, dass sie unsere Freiheitsrechte respektieren und nicht unterlaufen. Politisch verantwortliches Handeln in Zeiten von Corona verlangt deshalb, die grundlegenden Unterschiede zwischen den Tracing-Apps zu verstehen und ernst zu nehmen.

Während Pionierländer wie China, Israel und Südkorea erste Tracing-Apps per Beschluss von oben eingeführt haben, wählte Europa den umgekehrten Weg: Eine paneuropäische Initiative von WissenschaftlerInnen und Unternehmen begann im März an einer gemeinsamen Plattform zu arbeiten, die es jedem Land ermöglichen sollte, eine nationale, aber grenzüberschreitend kompatible App zu entwickeln. Im Unterschied zu den Vorläufermodellen aus Asien hat sich das europäische Graswurzelprojekt den Datenschutz ausdrücklich auf die Fahnen geschrieben. Epidemiekontrolle und Privatsphäre sollten, ganz im Einklang mit den europäischen Grundrechten, nicht gegeneinander ausgespielt, sondern technisch miteinander kombiniert werden.

Aus dieser Initiative sind nun zwei Lösungswege hervorgegangen, deren friedliches Nebeneinander leider nur von sehr kurzer Dauer war. Beide streiten augenblicklich darum, die Rolle des europäischen Standards einzunehmen. Einige Länder wie die Estland, Spanien, Schweiz, Österreich, und jetzt auch Deutschland, haben sich für das dezentrale Modell entschieden. Andere wie zum Beispiel Frankreich und Italien halten momentan noch an einer zentralisierten Lösung fest. Auch wenn das Ringen um die beiden Modelle auf den ersten Blick als rein technische Frage erscheinen mag, sind die politischen Implikationen doch nicht zu unterschätzen.

Zwei Vertrauensmodelle

Vorbild für beide Lösungen ist TraceTogether, ein zunächst von Singapur entwickeltes Verfahren zur Kontaktverfolgung, das auf die Funktechnik Bluetooth Low Energy setzt. Sie ermöglicht Geräten, zum Beispiel Smartphones, sich wechselseitig zu registrieren, indem sie untereinander eine Kennung oder ID austauschen. Dabei kann zugleich, mehr oder weniger genau, der räumliche Abstand zwischen ihnen abgeschätzt werden. Auf diese Weise kann ein Telefon bemerken, wenn mit einem anderen ein längerer Kontakt im Zug, im Supermarkt oder beim Schlangestehen bestand. Das legt die Grundlage für eine Information und Reaktion, wenn sich später herausstellt, dass einer der Beteiligten infiziert ist.

Solche Informationen sind allerdings hochsensibel sowie fehler- und missbrauchsanfällig. Nicht nur individuelle Bewegungsprofile, sondern auch sondern auch soziale Kontakte lassen sich mithilfe der Tracing-Daten potenziell rekonstruieren. Hinzu kommt die Gefahr von Fehlalarmen, die sich von den Nutzenden der Tracing-Apps nicht immer beurteilen lassen.

Beide Ansätze unterscheiden sich nun grundsätzlich darin, wie sie die allgemein bekannten Risiken gewichten und zu minimieren versuchen. Im Ergebnis entstehen zwei verschiedene Vertrauensmodelle, deren technische Umsetzungen in beiden Fällen spezifische Stärken und Schwächen aufweisen.

Ein erster Ansatz der Kontaktverfolgung, PEPP-PT genannt, welcher lange Zeit als Favorit für eine deutsche Lösung galt, legt vor allem Wert darauf, dass Informationen über Kontakte mit Infizierten gezielt versendet werden. Aus diesem Grund sieht PEPP-PT ein zentrales, von einer Gesundheitsbehörde wie dem Robert-Koch-Institut betriebenes System der Kontaktverfolgung vor. Dieses generiert für alle Menschen, die die Corona-App installiert haben, zunächst eine anonyme Kennung oder ID, die zentral gespeichert wird.

Für alle registrierten Nutzenden erstellt das System dann sogenannte Pseudonyme, die man sich in etwa wie ständig wechselnde Autokennzeichen vorstellen kann. Diese wechselnden Pseudonyme senden sich die Endgeräte über Bluetooth Low Energy zu, wenn sie sich in räumlicher Nähe zueinander bewegen, und speichern sie auf ihrem Telefon ab. Wenn eine Person amtlich als infiziert gemeldet wird, werden die Pseudonyme, die das eigene Telefon in der Vergangenheit empfangen hat, nach Bestätigung durch die betreffende Person automatisch zur Gesundheitsbehörde hochgeladen.

Dieses Modell der Kontaktverfolgung beruht folglich auf einer zentralen Informationsverwaltung, die in der Lage ist, alle relevanten Personen per App darüber zu benachrichtigen, dass sie sich möglicherweise infiziert haben. Auch wenn die Behörde nicht über Klarnamen, sondern nur über die Kennung der App verfügt, lassen sich die Individuen dahinter doch recht leicht ermitteln – nicht zuletzt, weil Covid-19 laut Infektionsschutzgesetz meldepflichtig ist. PEPP-PT informiert die App-Nutzenden zwar über das Risiko einer Ansteckung, nicht aber darüber, wer sie infiziert haben könnte. Auch wenn dies aus Datenschutzgründen durchaus sinnvoll ist, bleibt das Problem, dass die Betroffenen die Plausibilität von Infektionswarnungen, die sie erhalten, nicht selbst überprüfen können.

Das zweite Modell betrachtet die große Informationskonzentration bei den Gesundheitsbehörden, die PEPP-PT mit sich bringen würde, selbst als Risiko. Statt darauf zu vertrauen, dass der Staat mit diesem Wissen und diesem Informationszugang dauerhaft verantwortungsvoll umgeht, setzt der im europäischen Kontext vor allem von einem Konsortium namens DP-3T vorangetriebene Ansatz auf Informationsvermeidung.

Anders als im zentralen Ansatz wird das Risiko einer Infektion nicht von den Gesundheitsbehörden bestimmt, sondern diese betreibt lediglich eine Art “Schwarzes Brett”, das veröffentlicht, welche Pseudonyme in der Vergangenheit von infizierten Personen verwendet wurden. Die Gesundheitsbehörden geben bei diesem Verfahren auch keine Pseudonyme aus, sondern die App erzeugt diese selbst: Niemand, auch nicht eine Gesundheitsbehörde, kann somit über einen längeren Zeitraum zuordnen, welche der wechselnden Pseudonyme zu derselben Person gehören.

Die Apps aller Nutzenden überprüfen regelmäßig selbst, gewissermaßen mit einem Blick an dieses Schwarze Brett, ob sie einem dieser Pseudonyme in der Vergangenheit begegnet sind. Die Benachrichtigung über eine mögliche Infektion wird also nicht zentral gesteuert, sondern wird dezentral mit Hilfe der öffentlich verfügbaren Daten auf jedem Handy einzeln generiert. Um gezielte Falschmeldungen zu verhindern, können nur positiv auf das Virus getestete Nutzenden entsprechende Informationen am “Schwarzen Brett” anbringen. Die Autorisierung solcher Meldungen, dass man erkrankt ist, obliegt weiterhin der Gesundheitsbehörde, die zum Beispiel einen TAN-Code zum Hochladen der in den letzten Tagen genutzten eigenen Pseudonyme an Infizierte ausgibt.

Im Unterschied zum zentralen Modell erfahren gefährdete Nutzende im Falle eines positiven Abgleichs mit den als infiziert veröffentlichten Pseudonymen zumindest die ungefähre Uhrzeit, zu der gemäß der im eigenen Smartphone aufgezeichneten Historie ein Kontakt bestand. Damit ist einerseits eine erste Plausibilitätsprüfung möglich – War ich zu besagter Zeit in der U-Bahn oder allein in meiner Küche? -, andererseits lässt sich der Personenkreis eingrenzen, der als mögliche Ansteckungsquelle in Frage kommen könnte.

Diese Variante des Entwurfs einer Tracing-App bedeutet also: Informationen über riskante Kontakte erreichen nie das Informationssystem der Gesundheitsbehörde, sondern werden ausschließlich dezentral auf den individuellen Telefonen der Nutzenden berechnet. Zwar wissen die zentralen Stellen, welche Pseudonyme die Infizierten in der Vergangenheit verwendet haben, sie können jedoch die individuellen Kontaktnetzwerke nicht rekonstruieren. Es entstehen also keine zentral gespeicherten Informationen über das soziale Umfeld der App-Nutzenden. Allerdings sind Datenspenden im Rahmen des dezentralen Ansatzes durchaus möglich. App-Nutzende können die Gesundheitsämter mit personenbezogenen Informationen unterstützen, wenn sie dies wollen. Skeptische Stimmen empfehlen aber, Datenspenden strikt von Corona-Apps zu trennen, um das Vertrauen der Bevölkerung nicht zu verspielen.

Vertrauen hin, Vertrauen her

Die beiden Modelle zur digitalen Kontaktverfolgung unterscheiden sich also sehr grundsätzlich im Hinblick auf die Kontrolle über die anfallenden Daten, den Datenschutz und nicht zuletzt hinsichtlich der Missbrauchsmöglichkeiten.

Bei PEPP-PT liegt die Kontrolle über die Daten ausschließlich bei einer zentralen staatlichen Stelle, die allein die Infektionsketten nachvollziehen kann und auch die Risikokalkulation als Grundlage für die Warnung von möglicherweise Infizierten vornimmt. Einerseits ermöglicht dieses Modell, gefährdete Personen schnell zu kontaktieren. Andererseits aber entstehen so detaillierte Abbilder des sozialen Umfelds der Nutzenden. Diese sogenannten sozialen Graphen sind zwar hilfreich für die Risikobewertung von Kontakten über die kurze Lebensdauer eines Pseudonyms hinaus. Zudem können neue epidemiologische Erkenntnisse zu Risikofaktoren leichter in der Risikoberechnung berücksichtigt werden.

Diese Flexibilität im Warnsystem wird allerdings durch Missbrauchsmöglichkeiten wie etwa Angriffe auf die Server durch Hacker erkauft. Auch Polizeibehörden oder Geheimdienste könnten an einer Herausgabe der Daten Interesse zeigen. Genau diese Eigenschaft erleichtert es aber andererseits wiederum, die Metriken für eine Risikobewertung bei Bedarf flächendeckend zu aktualisieren. Bei neuen Erkenntnissen aus der Epidemiologie zu Risikofaktoren müsste bei einer dezentralen Lösung ein Update an alle Endgeräte verteilt werden anstatt dieses beim PEPP-PT-Modell nur auf dem zentralen Server zu installieren.

Dass einmal gesammelte Daten Begehrlichkeiten über den ursprünglichen Erhebungszweck hinaus wecken, konnte man schon oft beobachten. Ein aktuelles Beispiel ist die immer wieder aufflammende Diskussion über die Nutzung von LKW-Mautdaten für die Strafverfolgung. Auch die Vorratsdatenspeicherung stellt eine solche Zweckentfremdung dar: Daten über Telekommunikationsverbindungen, die zunächst für Abrechnungszwecke erhobenen wurden, sollen längerfristig von den Telekommunikationsfirmen für den Zugriff durch Sicherheitsbehörden vorgehalten werden.

Informationen über das eigene Kontaktnetz und Zufallsbegegnungen, wie sie bei PEPP-PT entstehen würden, existieren bislang in diesem Umfang noch nicht. Sie haben aber durchaus das Potential neuer Nutzungsszenarien, die die momentan versprochene Löschung der Daten nach dem Ende der Inkubationszeit zukünftig in Frage stellen könnten. Für eine Löschung der Daten gibt es keine technischen Garantien. Außerdem lässt sich von außen nicht zuverlässig nachvollziehen, ob sie wirklich vollständig und dauerhaft erfolgt ist. Die Gesellschaft wäre darauf angewiesen, dass alle Beteiligten sich an die Regeln halten – obgleich die Vergangenheit lehrt, dass Rufe nach Aufweichung schnell laut werden können, und dass auch bestehenden Löschungsverpflichtungen nicht immer Folge geleistet wird.

Dezentrale Ansätze wie DP-3T belassen die Verantwortung für die Meldung eines Infektionsverdachts dagegen bei den Bürgern. Der Server der Gesundheitsbehörden kann keine Abbildung des sozialen Umfelds ableiten und lernt von Verdachtsfällen nur, wenn die Nutzenden sich nach einer Aufforderung der App beim Gesundheitsamt beziehungsweise einem Arzt melden. Verglichen mit dem zentralen Ansatz bewahren die Nutzenden der App ein erhebliches Maß an Privatsphäre und Autonomie gegenüber staatlichen Stellen und deren Infrastruktur: Es ist dann Aufgabe wie auch rechtliche Pflicht der Infizierten, die Gesundheitsämter zu informieren.

Der Unterschied zwischen beiden Modellen ist auch unter demokratischen Gesichtspunkten relevant: Vertraut der Staat seinen Bürgern genug, um sich darauf zu verlassen, dass sie sich im Verdachtsfall in Quarantäne begeben und testen lassen? Oder überwiegt das Interesse an einer effizienten Pandemiebekämpfung, die dann eine amtliche Überwachung begründen hilft?

…Vertrauen everywhere?

Google und Apple haben angekündigt, das dezentrale Modell der Kontaktverfolgung zu unterstützen, indem sie entsprechende Funktionen in den nächsten Wochen in ihre Smartphone-Betriebssysteme einbauen. Auf diese Weise kann die ständige Suche nach neuen Kontakten kontinuierlich im Hintergrund der Smartphones ablaufen, ohne den Akku zu sehr zu strapazieren. Weil dies mit Apple-Geräten bislang überhaupt nicht möglich war, führte die Tracing-App in Singapur zu Problemen bei der täglichen Nutzung.

Anders als vielfach öffentlich kommuniziert, sind beide Ansätze auf eine Unterstützung durch die Betriebssysteme von Google und Apple angewiesen. Beide Unternehmen haben im übrigen versichert, dass sie keine eigene Infrastruktur betreiben wollen, sondern diese Aufgabe den Gesundheitsbehörden überlassen werden, die an der digitalen Kontaktverfolgung mitwirken möchten. Die Schnittstelle im Betriebssystem der Smartphones soll dazu dienen, die notwendigen Daten lokal zu erheben und diese dann mit dem Server der Gesundheitsbehörden auszutauschen.

Offen bleibt freilich die Frage, wie die geplanten Erweiterungen der Smartphone-Betriebssystem genau umgesetzt werden; insbesondere, ob diese nicht vielleicht doch heimlich Informationen an die Konzerne zurücksenden könnten. Es ist daher essentiell, dass Google und Apple den Quellcode für ihre Erweiterungen offenlegen und damit unabhängigen Sicherheitsforschern die Möglichkeit einräumen zu überprüfen, dass keine zusätzlichen Funktionen eingebaut wurden.

Und bei aller Unterschiedlichkeit gibt es auch Risiken, die beide Ansätze teilen. Dazu gehören etwa die Gefahren, die von dauerhaft aktivierten Bluetooth-Schnittstellen ausgehen. Angreifer können versuchen, den ständigen Austausch von IDs zwischen Telefonen zu manipulieren, um etwa Nachrichten, die in einem Krankenhaus mit Covid-19 Verdachtsfällen aufgenommen wurden, nochmals an einem anderen Ort auszusenden solange sie noch gültig sind. Auf diese Weise können gezielt Personengruppen dazu gebracht werden zu glauben, sie seien infiziert. Auch sind auf Mobiltelefonen eine Vielzahl von Apps installiert, die nicht immer alle das tun, was sie vorgeben. Solche Apps könnten etwa versuchen, den Gesundheitsstatus der App-Nutzenden mitzulesen.

Schließlich wäre denkbar, dass Menschen versuchen, Pseudonyme realen Personen zuzuordnen. Das wäre zum Beispiel dann möglich, wenn zu einem bestimmten Zeitpunkt nur eine Person in der Nähe und nur ein Pseudonym sichtbar waren. Solche Angriffe ließen sich unter Umständen sogar automatisieren: Man denke beispielsweise an Smart-City-Anwendungen wie Überwachungskameras oder Zugangskontrollsysteme, die mit einem Empfänger für Bluetooth Low Energy ausgestattet sind. Zwar können beide Kontaktverfolgungsmodelle solche Angriffsszenarien technisch erschweren, aber kaum vollständig ausschließen.

Und nun? Wider das Modell Singapur

Ist denn nun offensichtlich, welches das überlegene Modell ist oder lässt sich auf eine Entscheidung zwischen beiden Ansätzen womöglich verzichten? Eine Koexistenz beider Lösungen ist derzeit nicht vorstellbar, denn selbst im Falle mehrerer Tracing-Apps müssten sie sich dennoch auf eine gemeinsame Architektur einigen, damit der Informationsaustausch zwischen allen Nutzenden, beziehungsweise Telefonen möglich ist und alle Kontakte auch tatsächlich erkannt werden können. Abzuwägen waren bei der Wahl zwischen den Ansätzen daher die unterschiedlichen Risikofaktoren, aber auch die denkbaren politischen Folgen beider Systeme.

Befürchtet wurde, dass sich aus dem zentralen Modell institutionelle Pfadabhängigkeiten ergeben, die einen Rückbau der entstandenen Kontrollinfrastruktur unwahrscheinlich machen. Wenn einmal ein großer Teil der Smartphone-Nutzenden eine solche App installiert hat und ihr Betrieb zum Normalfall geworden ist, ergeben sich womöglich weitere Anwendungsmöglichkeiten, die jetzt noch jenseits des Vorstellbaren liegen. Das Verfolgen der jährlichen Influenzawelle wäre nur ein erster Schritt.

Wichtiger aber ist vielleicht noch eine politische Bewertung der sehr gegensätzlichen Vertrauensmodelle, für die die beiden Systeme stehen. Während PEPP-PT auf ein hierarchisches, obrigkeitsstaatliches Überwachungssystem setzt, das die Sozialbeziehungen der Bürger digital erfasst und lesbar macht, vertraut DP-3T auf das verantwortliche Handeln der Beteiligten in der Annahme, dass individuelle und kollektive Freiheiten gegenwärtig noch enger als sonst voneinander abhängen. Beiden Modellen ist gemein, dass sie auf die freiwillige Kooperation der BürgerInnen angewiesen sind. Sie sind es schließlich, die ihr Smartphone mit der aktiven App im Alltag bei sich tragen müssen, um einen wirksamen Effekt gegen die Ausbreitung des Virus zu erreichen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

48 Ergänzungen
  1. Vielen Dank für den Versuch einer fairen Darstellung, der sich von der Polemik der letzten Wochen wohltuend abhebt. Gleichwohl habe ich hierzu zwei Anmerkungen:

    1. „Während PEPP-PT auf ein hierarchisches, obrigkeitsstaatliches Überwachungssystem setzt, das die Sozialbeziehungen der Bürger digital erfasst und lesbar macht, vertraut DP-3T auf das verantwortliche Handeln der Beteiligten in der Annahme, dass individuelle und kollektive Freiheiten gegenwärtig noch enger als sonst voneinander abhängen.“

    Diese sehr schroffe und polemische Gegenüberstellung wird der zuvor recht nuancierten Darstellung nicht gerecht. Auch PEPP-PT setzt zunächst einmal auf dezentrale Datensammlung, nur im Infektionsfall werden Daten an den zentralen Server hochgeladen, und auch dies nur mit (nochmaliger) freiwilliger Mitwirkung des Infizierten. Ich sehe darin nichts Obrigkeitsstaatliches, schon gar nicht im Vergleich zu den sehr weitreichenden analogen Mitwirkungs- und Mitteilungspflichten von Infizierten, die das Infektionsschutzrecht schon jetzt kennt.

    Auch wird die Möglichkeit der Depseudonymisierung der Daten durch den Serverbetreiber etwas sehr nonchalant unterstellt. Der Serverbetreiber verfügt nur über Push-Tokens, die allein durch Apple oder Google auf eine konkrete Appinstallation und dann evtl. auf eine konkrete Person bezogen werden können. Mir ist kein einziger Fall bekannt, in dem Apple oder Google so etwas schon einmal gemacht hätten. Wie ein Hacker ein Push-Token auf eine Person beziehen soll, ist mir vollends unerfindlich. Angriffe auf die zentrale Datensammlung durch Hacker würden nach meiner Einschätzung allenfalls mit viel Zusatzwissen eine sehr punktuelle De-Pseudonymisierung ermöglichen. Ich halte die zentral verfügbaren Pseudonyme darum für faktisch sehr viel stärker als Sie anscheinend annehmen.

    Andererseits wird in diesem Beitrag wie auch sonst meiner Ansicht nach die Sicherheit des „Schwarzen Bretts“ ohne hinreichende Begründung als gegeben unterstellt. Was, wenn hier ein Implementationsfehler gemacht wird oder die zugrunde liegende Pseudonymisierungstechnologie ein Defizit enthält? Dann haben wir eine Liste aller bekannten infizierten App-Nutzer veröffentlicht, aus der sich jeder bedienen kann. Das wäre ein absoluter Datenschutzgau, und bei Millionen von Appinstallationen würde ich sehr annehmen, dass der ein oder andere versuchen wird, ihn herbeizuführen.

    2. Der Beitrag enthält m.E. eine Leerstelle, die auch die jüngere Debatte geprägt hat. Er betrachtet praktisch ausschließlich die technische Privatheit. Insbesondere die Rolle des Rechts bleibt völlig unterbelichtet.

    Würde eine zentrale Lösung wie PEPP-PT eingeführt und der Betrieb des Servers in die Hände einer hoheitlichen Stelle gelegt, so könnten (und sollten) dieser Stelle ausdrückliche und strenge Vorgaben zur Zweckbindung der hochgeladenen Kontaktdaten gemacht werden. Dass solche Vorgaben funktionieren, zeigt gerade das im Beitrag erwähnte Beispiel der Mautdaten, die den Strafverfolgungsbehörden auch heute noch eben nicht zur Verfügung stehen (§ 4 Abs. 3 BFStrM; darum liegt auch der Vergleich mit der Vorratsdatenspeicherung, die gerade der Strafverfolgung dient, neben der Sache). Die Einhaltung dieser Vorgaben könnte zudem unschwer in kurzer Frequenz durch die zuständige Datenschutzaufsicht kontrolliert werden.

    Eine Zweckbindung würde auch im dezentralen Modell gelten. Jedoch ist eine Kontrolle missbräuchlicher Nutzungen des „Schwarzen Bretts“ schon rein faktisch unmöglich, wenn Millionen von Menschen an dem System teilnehmen. Bei so vielen Teilnehmern muss auch davon ausgegangen werden, dass eine in absoluten Zahlen vielleicht gar nicht so kleine Minderheit von ihnen kriminelle Zwecke verfolgen wird. Unter dem Gesichtspunkt des Rechtsvollzugs ist das zentrale Modell darum aus meiner Sicht klar vorzugswürdig.

    1. „Mir ist kein einziger Fall bekannt, in dem Apple oder Google so etwas schon einmal gemacht hätten.“

      Gemeint ist: in dem sie das auf Anordnung einer deutschen Behörde schon einmal gemacht hätten.

      1. „Mir ist kein einziger Fall bekannt, in dem Apple oder Google so etwas schon einmal gemacht hätten.“

        Durch den US Cloud Act wären Google und Apple aber eigentlich verflicht, dies auf Anfrage von US Behörden zu tun. In diesem Fall kann dies aber durch die App wirksam unterbunden werden.

    2. Die wesentlichen Parameter der Pandemie sind der aktuelle Krankenstand bzw aktuelle Fälle und die tägliche Anzahl von Neuinfektionen und ihre zeitliche Entwicklung, wobei hierzu keine oder nur sehr schwankende Daten vorliegen. Ich habe die Daten verschiedener Länder dargestellt und ausgewertet und kann damit Prognosen erstellen. Die entsprechende EXCEL-Datei sende ich Ihnen gerne zu, geben Sie mir dazu Ihre E-Mail-Adresse. MfG Dipl.-Phys. Lutz Schulzke

  2. Endlich mal ein Hinweis auf die Frage, zumindest dass Apple und Google etwas mit Daten machen könnten. Von plumper Exfiltration aller Daten, über Zuordnung User/ID/IMEI zu temporären IDs, oder etwa indirekt aussagekräftiger Telemtrie, bis hin zu nichts, ist ja alles „vorstellbar“.

    Hier gäbe es ja auch regulatorische Ansätze, für die sich die Politik aber offensichtlich zu schade ist. Die gingen sogar „freiwillig“ für den OS/HW-Hersteller, z.B. keine Daten auch keine noch so versteckte Telemetrie zu diesen Schnittstellen -> dürfen solche Apps in Europa verkaufen.

    Die Möglichkeiten der Regulation gehen ja noch weiter, so könnte man allgemein Tracking und Becaons (ohne „Benutzerschalter“) konzeptionell mal angehen/abwracken.

      1. Was an CLOUD in „Cloud Act“ ist so schwierig zu verstehen?

        Es kommt natürlich drauf an, ob Apple/Google da irgendwelche Schummelein betreiben. Das ist aber bereits angesprochen, und ist unabhängig von serverbezogenen Gesetzen.

        1. @Denkfehler Bezog sich Ihr Kommentar auf mein „technisch kann dies durch die App aber ausgeschlossen werden.“? Also die App gibt nach derzeitigem Planungsstand nur Public Keys raus. Mit denen kann keiner etwas anfangen, ausser die App selber. Apple und Google können daher mit den Daten der App gar nicht „schummeln“. Ganz anders sieht es natürlich mit dem Betriebssystem selber aus. Da haben die Hersteller ja sogar die Verpflichtung zum „schummeln.“ Wenn man die App aber zum Beispiel auf LineageOS nutzt, sollte man ein „schummeln“ ausschliessen können, oder nicht?

          1. Also sind Sie der Meinung, dass der „Cloud Act“ Google zwingt, auf Endgeräten zu schummeln?

            Leitung der Daten über Googleserver ist nicht Teil der Spezifikation, oder irre ich mich da auch?

          2. „Also sind Sie der Meinung, dass der „Cloud Act“ Google zwingt, auf Endgeräten zu schummeln?“ – Ja, der Cloud Act müsste Google eigentlich dazu zwingen zu mogeln. Dies steht im Widerspruch zur DSGVO, aber „wer gewinnt“ ist Gerichtlich wohl noch nicht abschliessend geklärt. ( https://www.heise.de/select/ix/2018/7/1530927567503187 ) Ob die das tatsächlich tun, kann ich nicht sagen, da ich den Code nicht decompiliert habe.. In den Android Forks wie e.foundation findet sich kein Hinweis aufs „mogeln“, aber den hätte Google ja auch sicher dort herausgenommen.

            „Leitung der Daten über Googleserver ist nicht Teil der Spezifikation, oder irre ich mich da auch?“ – So wie die DP-3T App im Moment aufgebaut ist, findet die Verschlüsselung innerhalb der App statt. Damit ist es in diesem Fall vermtlich egal, ob Google schummelt oder nicht, denn die Daten die zum Server schickt werden sind ja verschlüsselt und die könnte man auch öffentlich zur Verfügung stellen. Das einzige möglich Problem wäre, wenn das Betriebssystem das Memory auslesen würde, aber das macht keinen Sinn, denn das Betriebssystem hat sowieso Zugriff auf alle Informationen.

            Mein Fazit: Jedes vom Werk aus installierte Handy müsste eigentlich der DSGVO widersprechen, aber die DP-3T App ist aus Datenschutzgründen wirklich unbedenklich, wenn man den Build selbst macht oder ihn durch z.B. F-Droid machen lässt.

          3. Beim Zugriff aufs Endgerät bin ich skeptisch. Allerdings darf man nicht Verfahren für/mit US-Bürgern mit nicht-US-Bürgern vergleichen (Konzern widersetzt sich Entschlüsselung von Endgeräten). Es wäre das konzeptionelle Ende von Software made in U.S.A. Vielleicht gehen Sie von einem hypothetischen Design aus, bei dem Google oder Apple eigene Server einbeziehen. Soweit ich es aus der Ferne verstehe, ist das nicht geplant.

            Ansonsten ja, DP3T scheint mir auch das vernünftige Konzept zu sein, wenn man überhaupt so etwas machen will.

  3. Euer
    Let’s Encrypt Authority X3 Wednesday, January 29, 2020-Tuesday, April 28, 2020
    42:9A:09:5F:0F:3D:CA:47:4F:8A:97:57:C4:32:FA:30:DE:BE:FA:7B:75:4D:0B:8B:63:0B:3D:BC:BB:B1:57:DF
    6E:2D:C6:96:B3:01:33:1E:22:BA:9E:AF:C4:CE:EF:4B:F4:0E:94:8D

    ist abgelaufen?

  4. Wieder steht die Technik im Mittelpunkt. Die Wahl der „richtigen“ Technik kann aber die Leerstelle nicht füllen, auf die Jürgen Bredow in seiner Ergänzung hinweist. Diese Leerstelle scheint mir sogar noch größer: Nicht nur herrscht in der Frage der rechtlichen und institutionellen Absicherung lautes Schweigen der Bundesregierung wie auch ihrer Kritiker, es fehlt auch weiter an einem offenen, konstruktiven Entwurfsprozess ausgehend vom Problem und Anwendungskontext. Die Technik war auf einmal da, der Ansatz „stark automatisierte Kontaktverfolgung und technische Benachrichtigung“ ohne Diskussion gesetzt. Besser wäre es, mit einem Konzept der Kontaktverfolgung zu beginnen, das sich auf die bisherigen Praktiken stützt, und davon ausgehend eine funktionale Zielvorstellung zu entwickeln.

    Welchen Anforderungen muss beispielsweise die Benachrichtigung von Betroffenen über eine mögliche Infektion erfüllen? Möchten wir diese Information wirklich zwischen einer WhatsApp-Nachricht von Mutti und einer Erinnerung an die nächste Videokonferenz ins Smartphone piepsen? Welche Daten brauchen die Gesundheitsämter? Müssen sie nicht doch in der Lage sein, Vorgänge zu überwachen und unter Umständen Anordnungen zu erlassen und durchzusetzen? Wenn ja, in welchem Rahmen? Wovon hängt der Erfolg des App-Einsatzes ab, welche flankierenden Maßnahmen sind nötig? Wie legen Betroffene zum Beispiel ihrem Arbeitgeber dar, dass sie die nächsten Zwei Wochen zu Hause bleiben?

    Auf solche Fragen stößt man nur mühsam und spät, wenn man bei der Technik anfängt. Das ist einfach der falsche Designprozess und damit ein neues Beispiel für eine alte deutsche Macke: Anwendungen können wir nicht so gut, im Gegenzug übersteigern wir unsere Erwartungen an die Technik. Bei der Blockchain war’s noch lustig, weil mangels realer Anwendungen folgenlos, und wir konnten über unsere Regierung und ihre Papiere lachen. Jetzt ist es das nicht mehr, sondern wir haben ein reales Problem – arbeiten aber lieber an etwas anderem als an dessen Lösung.

    1. Das sollte man von einem Regierungsapparat eigentlich erwarten, in einer der „reichsten Demokratien“ der Welt.

      Leider jedoch mit Regelmäßigkeit… welche Erwartung hat man, wenn man die Gesetzgebung bei Urheberrecht und Überwachung vor allem im Bezug auf IT betrachtet?

    2. „Möchten wir diese Information … ins Smartphone piepsen? “ – Ich denke, was wohl die meisten möchten sind Null neue COVID-19 Fälle und keine Einschränkungen im Alltag wie seit 6 Tagen in Taiwan. Voraussetzung dafür ist vollständiges Contact Tracing und dabei kann die App einen Beitrag leisten. Mit der App jetzt noch zu zuwarten, bis diese Fragen geklärt sind, ist wohl etwa so, als würde man einen regungslos im Wasser treibenden Mensch nicht herausholen, weil es ja sein könnte, dass man ihn unsittlich berühren würde oder er sich umbringen wollte.

      1. „im Wasser Treibende“ – das ist vollkommen blödsinnig.

        Sie vergleichen eine konkrete Notsituation mit einem potentiellen Nutzen, der den wesentlichen glaubhaften Untersuchungen zufolge, die nicht zusätzliche Datenverknüpfungen ausblenden, nahe Null ist.

          1. Zunächst bin ich da zu faul zu.

            Es ist klar, dass die auf Bluetooth basierende Technik hoch spekulativ ist, was den Nutzen für die Eindämmung einer Pandemie betrifft. Die technische Seite ist von domänenspezifischen Profis schon vielfach angedeutet worden, da ist nicht viel Präzision drin, die Holländer habens untersucht. „Die Entwicklung“ in Island gibt keinerlei aufschluss über die Nützlichkeit einer App, zudem ist Island ein problematisches Beispiel (Insel mit wenigen Einwohnern, Tendenz IT-Affin wie Skandinavier auch). Taiwan ist meiner Einschätzung nach kein valides Vergleichsbeispiel, weil dort viele verschiedene Maßnahmen gleichzeitig gefahren wurden, zudem sehr frühzeitig. Ich habe noch keine Studie gesehen, die den konkreten Erfolg einer App gegenüber bisherigen Maßnahmen aufzeigt. „Die App“ ist ja nicht diejenige, die Qurantäneeinhaltung prüfen soll, soetwas gibt es dort zufällig auch, zudem wohl noch Verbindung mit anderen Daten und Überwachung (Mobiltelefonverfolgung z.B.). Hinzu kommen sinnvolle Dinge wie Bevorratung und System, das anzeigt wo wieviele Masken kaufbar sind, und zum selbst mitdenken, Sachen wie: https://www.taiwannews.com.tw/en/news/3811459 . Das ist nicht annähernd mir unserer Situation vergleichbar, und gibt mir jedenfalls keinerlei Anhaltspunkte bzgl. der App. Können Sie eine Studie nennen, die konkret den Unterschied beleuchtet, den eine solche App macht? Es heißt in europäischen Gefilden eigentlich immer nur „könnte helfen“ u.ä., ansonsten hat man die Hurravermutung, dass Länder wie Taiwan oder Singapur (abzüglich Wanderarbeiter und Berichterstattung) usw. alles ganz toll gemacht hatten, eine App hatten, und deswegen wohl eine App toll sei.

            Um DP3T mal ins Licht zu rücken: https://github.com/DP-3T/documents/issues/224
            Dabei wird erwähnt: https://www.gezondheidsraad.nl/binaries/gezondheidsraad/documenten/overige/2020/04/20/verslag-wetenschappelijke-discussiebijeenkomst-covid-19-apps-als-onderdeel-van-een-exitstrategie/Verslag-wetenschappelijke-discussiebijeenkomst-COVID-19-Apps-als-onderdeel-van-een-exitstrategie.pdf

            Wir sind bei könnte vielleicht (entweder mit x-fachem Aufwand für Callcenter wegen false positives, wo dann die Frage bleibt, ob die Callcenter besser klassisches Tracing machen sollten, oder unter Weglassen der Callcenter, wo dann 500 Leute in Quarantäne drüfen, weil einer am Busbahnhof eingeschlafen war), plus die Unsicherheit wie groß der Effektder App überhaupt ist vs. Ertrinken im Wasser.

          2. Und wenn die App nur 20% mehr Kontakte entdeckt, als das klassische Contact Tracing und damit den R0 Faktor von 1.1 auf 0.9 senkt, so kann dies Deutschland mehrere 10’000 Tote ersparen, wie Sie hier berechnen können: https://covid19-scenarios.org/ . Ja es ist nicht sicher, dass die App wirksam ist, aber die App kann einen grossen Unterschied machen. Die Kosten und das Risiko ist hingegen sehr gering.

          3. Mit auf den Plan nehmen:
            – Falsche Positive.
            – Errichtung eines Repressionsregimes unter Aufwendung von überwachungsfeatures. Mit letzterem meine ich vor allem ein Handy eines der unterstützten Hersteller. Man muss es dann haben und ist also auch diesen Herstellern ausgeliefert.
            – Zeitrahmen.
            – „20% Kontakte“ – die alle infiziert wurden, weil alle ohne Mundschutz direkt ineinander herumlaufen? Wird das eine Unmündigkeitsoffensive?

            Könnte, würde, vielleicht nützen – gegenüber bekannten Problemen, die Sie trotz Aufenthalt auf dieser Webseite noch nicht durchdrungen zu haben scheinen. Die sollen etwas sinnvolles bauen (DP3T), Rechtssicherheit schaffen (gersetzl. Rahmen, Randbedingungen, keine offenen Flanken, vgl. AGB von Neuweltkonzernen „Dienste“), es in Ruhe und adäquat testen usw. Alles andere drum herum, wie auch Ihr letzter Post sind Irreführung.

          4. @ Anonymous sagt vom 12. Mai 2020 um 11:58 Uhr :
            „Falsche Positive“ – Das ändert nichts am Nutzen, sondern verursacht nur unnötige Tests, die jetzt sowieso gemacht werden
            „diesen Herstellern ausgeliefert.“ – Die DP-3T App läuft bei mir auf einem e.foundation Handy. Den wesentlichen Teil der Funktionsweise kann ich also selber schreiben.
            „Zeitrahmen“ – ?? Die App löscht die Daten nach ein paar Tagen automatisch.
            „Die sollen etwas sinnvolles bauen“ – Und warum nicht Sie und Ich? DP-3T ist offen und jeder kann mitmachen. Ich habe, wie gesagt, mehrere Testversionen auf meinem Handy und in meinem Umfeld.

          5. >>>„Falsche Positive“ – Das ändert nichts am Nutzen, sondern verursacht nur unnötige Tests, die jetzt sowieso gemacht werden
            „diesen Herstellern ausgeliefert.“ – Die DP-3T App läuft bei mir auf einem e.foundation Handy. Den wesentlichen Teil der Funktionsweise kann ich also selber schreiben.
            Das sind zwei gefährlicher Vereinfachungen.
            – Mitnichten sind alle unter Quarantäne. Kontaktvermeidung wird mit App aufrechterhalten werden müssen, da führt epidemiologisch kein Weg dran vorbei, sonst ist in kurzer Zeit wieder kompletter Lockdown.
            – Pauschale Quarantäne ist im Allgemeinen rechtswidrig.
            – Was kostet Ihr Handy?
            – Wie lange wird man selbst compilieren dürfen, falls Zugangsbeschränkungen zutreffen?
            – Wenn Tests einen nicht aus „Quarantäne“ herausholen können, glauben Sie, dass es eine verhältnismäßige Maßnahme ist, wenn nicht die konkreten Umstände berücksichtigt werden? Bei wieviel % falschen Positiven wäre Ihre Schmerzgrenze? Quarantäne bedeutet ja: kein Einkaufen, kein garnichts.

            >>> „Zeitrahmen“ – ?? Die App löscht die Daten nach ein paar Tagen automatisch.
            „Zeitrahmen“: Da Sie gerne mit Statistiken argumentieren, wollte ich auf die Frage des Zeitrahmens hinweisen. Zugegeben extrem verkürzt, ich musste selbst nachgraben, was es wohl bedeuten sollte: 10000 Tote vielleicht verhindern… in 10 Jahren oder was… da gehören schon auch Quantifizierung von Effekten wie falschen positiven dazu, wodurch ja auch Kapazitäten gebunden werden. Das wird unter Garantie kein chirurgisches Werkzeug, wie manche kolportieren.

            „Die Daten“: Die Daten anderer werden gelöscht, ihr eigener Seed bleibt natürlich auf ihrem Gerät. Dritte bis Fünfte können aber Aufzeichnungen Ihrer ephemeral IDs, die ja vom (zunächst privaten) Seed abgeleitet behalten, z.B. mit einer Softwareanpassung oder selbst gebauten Geräten/Antennen mit BLE. Würden sie also infiziert, oder fälschlich oder bösartig als infiziert gesetzt, würde ihr Seed veröffentlicht werden, und alle die wollen können nun einen Pseudonymen Datensatz mit ihren zu dem Seed zugeordneten ephemeral IDs haben.

            >>> „Die sollen etwas sinnvolles bauen“ – Und warum nicht Sie und Ich? DP-3T ist offen und jeder kann mitmachen. Ich habe, wie gesagt, mehrere Testversionen auf meinem Handy und in meinem Umfeld.
            Das reicht doch nicht. Zum einen brauchen Sie konkrete Tests unter Myriaden von Randbedingungen, Abstrahlcharakteristiken von verschieden ausgerichteten und verbauten Antennen, Mobilgerät in Jacke/Hose/Tasche/Hand, reale Hindernisse wie Regen, Auto/Busseiten mit Fenstern, Wohnungsfenster, Betonwände, Gipswände etc. Es muss auch klar sein, wie mit welchen Fällen umgegangen wird, und wie/wann Anpassungen ad-hoc gemacht werden, um z.B. neue/spezielle Umstände nachzustellen und in die Datenlöage mit einfließen zu lassen, z.B. Saunaluft oder Ertrinkender unter Eis war positiv. Dann gibt die rechtlichen Fragestellungen drum herum, und die Politischen.

  5. Danke für den schönen Artikel. Drei Anmerkungen dazu:

    1) Auch beim dezentralen Modell kann der Server infizierte Personen zumindest De-anonymisieren, nämlich beim Upload der tempIDs über die IP-Adresse. Allerdings kann das durch bestimmte technische und organisatorische Maßnahmen erschwert werden, was aber gar nicht so einfach ist. „Einfach nicht loggen“ würde ja wieder Vertrauen in den Server bedeuten. ;)

    2) PEPP-PT ist keine Implementation, sondern ein Framework, was sowohl zentrale als auch dezentrale Implementationen erlaubt. Dabei ist PEPP-PT-ROBERT etwa der zentralisierte Ansatz aus Frankreich und PEPP-PT-DP-3T der dezentrale Ansatz eines Gemeinschaftsprojektes, der bspw. in Osterreich und der Schweiz eingesetzt wird. Deutschland hat sich bislang noch nicht dazu geäußert, was es genau unter „dezentral“ verstehen will.

    3) Der mMn relevanteste Punkt einer App und ihrer Implikationen wurde hier ganz ausgespart: Wie verhindern wir, dass die App über kurz oder lang als Zugangskarte von Firmen oder Behörden verwendet wird. Nur wer risikolos ist, darf arbeiten/hinein. Das ist doch die eigentlich zu durchdenkende Zweckentfremdung, die unbedingt verhindert werden muss – und zwar notwendigerweise rechtlich. U.a. genau das haben wir in unserer Datenschutz-Folgenabschätzung einer dezentralen CoronaApp ausgearbeitet, siehe hier: https://www.fiff.de/presse/dsfa-corona.

    1. Es wird in der Politik und auf kommunaler Ebene schon vorgesägt.
      1. App bitte verpflichtend. (Zuerst in Talkshow gehört, jetzt liest man von Kommunen o.ä.)
      2. Zugang zu wichtigen Orten/Unternehmen/Behörden(?) nur mit App. (Online Presse)

      Gerade 2. ist lustig. Eine Einschränkung, die ersteinmal aussieht, als wäre es eine freundliche Sache. Gilt dann „nur mit App“ nur, wenn man die freiwillige App auch außerhalb benutzt? Wenn ja, ist das eben eine App-Pflicht, z.B. für Rathausbesucher :). Wenn nein, ginge doch auch ein Halsband, das vom Pförtner bei betreten des Gebäudes angelegt wird. Also Gästen vom Pförtner, sonst wäre es ja doppelt witzig (Pförtner mit 50 Halsbändern – je nach Humor-Rassismus-Balance der Haus-IT könnte es so kommen). Ja und für ein Halsband könnte man viel präzisere Mittel in Hardware und Software fahren.
      1. Scheidet eigentlich wegen Idiotie aus.

    2. Danke für deine Anmerkungen!
      Zu Punkt 1: Das stimmt, ein möglicher Ansatz das zu verhindern wäre es ein Mixnet wie Tor zu nutzen. DP-3T hat mittlerweile die Linkability zwischen einzelnen Pseudonymen als Problem erkannt und in ihrem aktualisierten Whitepaper einen Non-linkable-Ansatz eingebaut, den wir oben auch schon skizzenhaft angedeutet haben.
      Prinzipiell könnte man das „schwarze Brett“ auch komplett dezentralisieren, damit kommen dann aber andere Probleme dazu wie zum Beispiel wer nimmt an diesem Peer-to-Peer-System teil (Das ist Teil eines extra Whitepapers in dem wir die Idee mal skizziert haben: https://eprint.iacr.org/2020/398)

      Zu Punkt 2: Zu Pepp-Pt gibt es bereits konkreten Quellcode (https://github.com/pepp-pt/), da wird die Unterscheidung zwischen Framework und Implementierung etwas unscharf.
      Für DP-3T gilt, dass die Beteiligten aus dem Pepp-Pt-Konsortium ausgestiegen sind, weswegen es schwierig ist, da von einem Unterprojekt zu sprechen. So fing das ganze an, mittlerweile würden wir es eher als Konkurrenzansatz sehen.

      Zu Punkt 3: Die Nutzung muss natürlich echt freiwillig bleiben. Das ist letztlich immer eine Frage des Rechtsrahmens.

      1. „Zu Punkt 3: Die Nutzung muss natürlich echt freiwillig bleiben. Das ist letztlich immer eine Frage des Rechtsrahmens.“

        im täglichen Geschäft mag das angehen. Ich wollte darauf hinweisen, dass es aber auch zivilisatorische Gründe geben könnte, gewisse Dummheiten weder lokal noch global zu sehr zu befeuern, z.B. Aussterbensgarantie. Es wird immer suggeriert, man könne sich unendlich schnell im Kreis bewegen, oder Prinzipien „kurzzeitig“ ohne Korrekturmechanik aushebeln – daran scheitern nicht nur Demokratien sondern auch Zivilisationen, überall im Universum, immer mal wieder.

      2. Zu Punkt 1: Die Mixnet-Idee hat DP3T selbst verworfen, weil es einfach keines gibt, was der Last und den Anforderungen einer millionenfachen Nutzung gewachsen wäre (siehe die Diskussion auf github). Zudem stellt sich bei allen Ansätzen – auch dem p2p-basierten – nach wie vor die Frage, wie die Effektivität der Anonymisierung datenschutzrechtlich dauerhaft prüfbar gemacht werden kann. Immerhin geht es nach DSGVO um Gesundheitsdaten. Das ist vielleicht lösbar, trivial ist es nicht.

        Zu Punkt 2: Das ist so nicht richtig, selbst wenn es eine Referenzimplementation geben sollte (guckt mal, wie ausgearbeitet die tatsächlich ist), denn. „Vergangene Woche verschwand etwa der Name DP-3T plötzlich von der Webseite von Pepp-PT, ohne dass die Beteiligten vorgewarnt worden waren. Dafür hat sich Boos mittlerweile entschuldigt, das sei „unglücklich“ gewesen. Die Vorwürfe weist er zurück und warnt vor einem Glaubenskrieg. „Statt sich anzuschauen, in welchem Fall welche Lösung besser ist, wird die Diskussion von einigen Vertretern des jeweiligen Ansatzes religiös geführt“, sagte er dem Handelsblatt. Er wolle Pepp-PT für zentrale und dezentrale Lösungen gleichermaßen öffnen und dann von Land zu Land schauen, was sich am besten eigne.“ https://www.sueddeutsche.de/digital/coronavirus-pepp-pt-dp-3t-smartphone-app-streit-1.4882612

        Zu Punkt 3: Volle Zustimmung; dieser Rechtsrahmen muss jedoch stehen, bevor die App getestet wird bzw. in Umlauf kommt.

  6. Der unter 3) genannte Aspekt von Rainer (FIfF) ist gestern ganz konkret geworden. Der DIHK schlägt vor, den Zutritt zu Geschäften, Gaststätten, Malls, ja ganzen Fußgängerzonen über eine App zu steuern.
    Ist die Corona-App nicht die Büchse der Pandorra, wenn erstmal erfasst ist, wer, wann, wie lange, mit wem, wo und in welchem Gesundheitszustand zusammen getroffen ist? Den Geist kriegt niemand mehr in die Flasche zurück.
    Ebenso wurde gestern im Rahmen der Berichte über den Einstieg von Telekom und SAP verlautbart, dass natürlich eine Möglichkeit der „freiwilligen“ Datenspende eingebaut werden soll.
    Mir stellt sich da grundsätzlich eine juristische Frage: Wer hat eigentlich das Recht an den gesammelten Kontaktdaten? Darf ein „Spender“ überhaupt die Daten der unwisssend Kontaktierten einfach weitergeben, ggf. ergänzt mit persönlichen Erinnerungen zu Ort und Zeit? Damit würde die Corona-App zur digitalen Petze.

    1. „Möglichkeit der „freiwilligen“ Datenspende eingebaut werden soll.“ – Eine Lösung wäre, wenn jeder sich seine für ihn passende DP-3T App baut. Dann könnte man gut argumentieren, dass ja schon jeder so eine App hat und man könnte Geld sparen und jeder hätte, was er will.

      1. Die Gefahr beim Mitmarschieren ist aber, dass Blut geleckt wird. Zugangsbeschränkungen ist schon Blut, aber vielleicht darf man bald nicht mehr selbst compilieren?

        Außerdem kann nicht jeder compilieren, viele können oder wollen kein Smartphone, und auch nicht von den Herstellern, und für das Tracking bitte auch nicht aus eigener Tasche. Das betrifft Millionen Menschen, also sind Zugangsbeschränkungen nicht sehr nett, da würde ich nicht mitlaufen.

  7. Vielen Dank für den guten Artikel!

    Eine Anmerkung hätte ich noch:

    > Bei neuen Erkenntnissen aus der Epidemiologie zu Risikofaktoren müsste bei einer dezentralen Lösung ein Update an alle Endgeräte verteilt werden anstatt dieses beim PEPP-PT-Modell nur auf dem zentralen Server zu installieren.

    Diesen Punkt habe ich oft gehört, aber er erschließt sich mir nicht – warum sollte ein verändertes Verhalten der App nur via Update der App möglich sein? Ich als Programmierer sehe kein Problem darin, die Parameter, die z.b. zu einer Warnung des Nutzer führen, einfach als Webservice bereitzustellen. Wenn beispielsweise das RKI festellt, dass die App eigentlich erst ab einen Abstand von einem Meter IDs akzeptieren sollte oder dass ein Kontakt erst ab 20 Minuten als infektiös betrachtet werden sollte – dann spricht nichts dagegen, diese Parameter täglich oder stündlich in Form einer winzigen Datei auf einem (sicheren, zertifizierten, hoffentlich schwer zu hackenden – wie beim zentralen Ansatz eben auch) Server bereitszustellen. Die App muss im dezentralen Design sowieso mehrmals täglich einen Server kontaktieren und einige MB an Daten runterladen, da fällt das Kontaktieren eines zweiten Servers mit anschließendem Download von unter einem KB kaum ins Gewicht.

    Es ist nicht so, als dürfte eine App im dezentralen Ansatz nur noch mit dem „Schwarzes Brett“-Server reden. Die App darf lediglich niemandem die eigenen empfangenen IDs verraten.

  8. „Statt darauf zu vertrauen, dass der Staat mit diesem Wissen und diesem Informationszugang dauerhaft verantwortungsvoll umgeht, setzt der im europäischen Kontext vor allem von einem Konsortium namens DP-3T vorangetriebene Ansatz auf Informationsvermeidung.“

    Ich verstehe, dass man staatlichen Institutionen aus den genannten Gründen mit Vorsicht begegnen sollte, und dass demokratische Kontrolle unbedingt erfolgen muss. Aber warum ist das Vertrauen in die Aussagen großer Tech-Konzerne offensichtlich glaubwürdiger?

    „Google und Apple … Beide Unternehmen haben im übrigen versichert, dass sie keine eigene Infrastruktur betreiben wollen, sondern diese Aufgabe den Gesundheitsbehörden überlassen werden, die an der digitalen Kontaktverfolgung mitwirken möchten

    Offensichtlich ist auch, dass wir in D ein Datenproblem haben. Es gibt nur fragmentierte Erkenntnisse darüber wie sich die Epidemie ausbreitet. Prof. Streeck hat darauf in diversen Sedungen hingewiesen. Wie können wir die Epidemie ohne Impfstoff eindämmen, ohne zu wissen wie sie sich verbreitet? Ich finde man sollte das Interesse des Einzelnen in Balance mit dem Interesse der Gemeinschaft bringen und nicht die eine Seite (das Individuum) verabsolutieren.

    1. Inwiefern hilft die App dabei, zu wissen, wie sich die Pandemie ausbreitet?

      Es gibt ja auch Kontakttracing durch Menschen, das auch konkret funktioniert. Wo ist der qualitative und wo ist der quantitative Vorteil einer App auf Zufallsgeräten mit Zufallshardware, falls überhaupt existent?

        1. Die Leute und 500 andere, bis dann in 3-7 Tagen der Test für Kollateralbenachtichtigte durchgeführt ist. „For the reasons outlined above, testing cannot at the moment provide early quarantine release signals.“ – alle lieben false positives, aber kaum einer versteht sie, soweit ich dass aus meiner Erfahrung mit Beobachtung des anti cheating Bereichts sagen kann. Im Nahverkehr ist das nicht uninteressant, weil man einen geschlossenen, sich bewegenden Raum hat, im stau nebeneinander stehende Busse sind dann aber blöd. Deutschland liebt Einzelfälle!

          Wenn der Effekt Null ist, und gleichzeitig empfohlen wird, mehr Contact Tracer einzustellen, was ist daran schief? Weil „es“ nicht reicht?

          Mir ist schon klar, dass die Hoffnung ist, schneller voranzukommen. Das Schönheitsproblem ist, dass sie eigentlich MEHR Personal brauchen, um bei digitalem Contact Tracing die fake Kontakte auszusortieren. Was sonst geschickte Befragung ergibt, muss nun algorithmisch aber von Hand abgearbeitet werden. Die Alternative, alle automatisch in Quarantäne zu schicken ist verrückt. An der Stelle greift die Frage nach der Testzahl, und vielleicht die Möglichkeit, die App zu manipulieren, um einen Test zu erwzingen, für das günstige Szenario, in dem überhaupt so viel Testkapazitäte da ist, dass man alle digitalen Kontakte testen kann.

          Also mich interessierte hier weniger die Hoffnungen von Befürwortern – Leute wagonweise in Lager zu karren, das können nicht nur Deutsche, das ist kein interessanter Ausblick.

          1. „… überhaupt so viel Testkapazitäten da ist, dass man alle digitalen Kontakte testen kann.“ – Derzeit würde die App ca. 600 (neue Fälle pro Tag) * 50 (Kontakte) = 30’000 Tests verursachen. Die Kapazität liegt in Deutschland derzeit bei über 250’000.

          2. „… überhaupt so viel Testkapazitäten da ist, dass man alle digitalen Kontakte testen kann.“ – Derzeit würde die App ca. 600 (neue Fälle pro Tag) * 50 (Kontakte) = 30’000 Tests verursachen. Die Kapazität liegt in Deutschland derzeit bei über 250’000.

            Zwei Faktoren einmultiplizieren:
            – Falsche Positive.
            – Unvernünftiges Verhalten durch App gefördert.

            Der Rechnung schenke ich keinen glauben. Sie müssten eigentlich allgemein Menschen mit ähnlichen Symptomen testen, zudem auch Zufallstests bei Menschen ohne Symptomen, und es gibt Millionen Menschen die die App nicht benutzen werden.

            Hinzu kommt der in Frage zu stellende Nutzen. Ich warte immer noch auf eine Untersuchung, die einen signifikanten Unterschied durch die App aufzeigt.

        2. Die Hoffnung scheint, dass die App hilft, technisch wären einige Kontakte schnell informiert, sowie eine unklare Menge an false positives. Hallig Hooge 0%, Berlin 5000%, bei Nutzung öffentlicher Verkehrsmittel.

          Meine Frage ist, was wir wissen, und was gemacht werden soll. Gibt es Untersuchungen, welchen UNTERSCHIED die App macht, unter Berücksichtigung von Kleinigkeiten, die den Einsatz bei uns unmöglich machen (Effekt der app war 0,002 während Effekt „vergessener“ Wanderarbeiter 12.3 oder Fehlerbereich Faktor 12, Gesichtserkennung mit benutzt, sowieso Mobilfunkdaten mit ausgewertet, Aufklärungsdaten über Bewegungen von Menschen mit ausgewertet, GPS tracking enthalten, WLAN für Tracking mit benutzt, 90% der Menschen haben Samsung Telefone mit derselben Antennenanordnung, Gesichtserkennung in Zügen u.ä. Orten, usw. usf.).

          Ein Beispiel für eine Folgefrage ist, ob die erhöhte Zahl an false positives die Kontaktverfolgung eher erschwert als verbessert, und ob wir den schnellen insuffizienten Ausweg wählen, einfach alle in Quarantäne zu schicken, also auch alle false positives, womit sich das dann sehr bald ad absurdum geführt haben wird.

          Die schweizer Papiere geben da keinerlei Aufschluss, außer „App may help with X“. Aber das Papier suggestiert, dass man eben nicht mal kurz mit Test aus Quarantäne wieder raus soll. Das wird bestimmt witzig, wenn der Staat bei der Prüfung der Kontakte zu kurz in die Tasche greift, oder gar Rechtsunsicherheiten bestehen lässt.

          1. „Gibt es Untersuchungen, welchen UNTERSCHIED die App macht“ – Da läuft gerade eine Studie: Südkorea, Taiwan und Island sind die Testfälle und Deutschland die Kontrollgruppe. Wenn alles gut läuft, haben wir in ein paar Jahren die Ergebnisse und können dann bei der nächsten Pandemie in 100 Jahren anwenden.
            Hier passt ein Text, der Konfuzius zugeschrieben wird: Der Mensch hat dreierlei Wege, klug zu Handeln; erstens durch Nachdenken, das ist das Edelste, zweitens durch Nachahmen, das ist das Leichteste, und drittens durch Erfahrung, das ist das Bitterste.

          2. Ich bezweifle, dass die genannten Länder hilfreiche Beispiele sind. Die asiatischen Länder haben viele andere Maßnahmen parallel gefahren, sogar Island hat GPS-tracking verwendet, wo man eine ungefähre Idee hat, wieviel Unsicherheit bei wieviel Empfang so besteht, sowie auf viel Personal gesetzt, mit viel Vorbereitung aus der jüngeren Vergangenheit.

            Die Erfahrung, die mit der App gesammelt werden können:
            – App ersetzt nicht Vernunft. Unvernunft greift um sich.
            – Tausende, zehntausende werden unnötig tagelang oder sogar wochenlang in Isolation „gebeten“.
            – „Europa“ will gemeinsam voranschreiten, dabei gelten in anderen Ländern andere Vorstellungen über Datenhaltung, die damit verbundenen Gefahren und FReiwilligkeit im allgemeinen.
            – Manipulation greift um sich (Selbstcompilierer, hilfreiche Anbieter, aber auch Politik).
            – Die App wird nicht nur Pflicht, sondern auch zentral vorgegeben. Selbst bauen ist nicht mehr. Die Features werden schrittweise erweitert.
            – Millionen werden von Orten ausgeschlossen, weil sie die App nicht haben.

            Wenn nicht alles gut geht :).

        3. Ein potentieller Trugschluss, der ob der digitalen Unvernunft oft unbemerkt durchzugehen scheint:
          – „Die Kontakte“

          Sie informieren diejenigen, die die App installiert hatten. Das umschließt zunächst:
          – Leute deren Geräte lange genug so abgestrahlt haben, dass sie „auf der Liste“ eines anderen Gerätes landen.
          – Prinizipbedingt jede menge nicht Infizierter.

          Sie verlieren:
          – Die aufmerksamkeit der Menschen, weil die App ja da ist.
          – Alle diejenigen, die keine App installiert haben, die kein Smartphone haben, deren Smartphone abgeschaltet ist, deren Smartphone Batterie alle ist, die ihr Smartphone vergessen haben.
          – Alle diejenigen die sie durch Husten im Vorbeigehen anstecken. Z.B. ein schnell wieder aus dem Bus geworfener Landstreicher.

          Werden die menschlichen Kontakttracer effektiv reduziert, um die App zu „bedienen“, wird das effektiv auch alles nichts nutzen. Zudem müssen einige Fragestellungen vorher geklärt sein. Freiwilligkeit und Haftungsfragen, automatische Quarantäne und Garantien für Tests, Überprüfung von Geräten in Quarantäne versetzter auf Abstrahlungscharakteristiken, u.ä. – ohne das, ist es aus meiner Sicht Irreführung, für so eine App Werbung zu machen.

          1. „Alle diejenigen die sie durch Husten im Vorbeigehen anstecken. Z.B. ein schnell wieder aus dem Bus geworfener Landstreicher.“

            Laut Spiegelversion einer neuen österreichischen Untersuchung, gibt es die nicht :).

            Zuvor las ich allerdings irgendwo, eine Infektion über 4 Meter im öffentlichen Nahverkehr sei nachgewiesen worden, wohl nicht in Österreich.

            Natürlich kommt es darauf an, was eigentlich untersucht wird, aber die Tests mit Radfahrern, den Windschatten und anderen Sportlern, zeigen doch, dass öffentliche Verkehrsmittel wahrscheinlich nicht harmlos sind. Vermutlich sind die während des Lockdowns nur in starkem Maße nicht benutzt worden. Die Wahrscheinlichkeit, direkt angehustet zu werden, ist auch nicht sehr groß, vor allem wenn die Menschen schon sensibilisiert sind. Es fehlt nur noch die Unaufmerksamkeit im Zuge der Lockerungen, und etwas mehr Heuschnupfen…

          2. „müssen einige Fragestellungen vorher geklärt sein. Freiwilligkeit“ – Und fertig. Wenn die App nur eine freiwillige zusätzliche Information liefert, die man auch ignorieren kann, sind die anderen Fragen nicht mehr wichtig. Ich habe die App schon auf meinem Handy und ich habe mit mir selber keinen Vertrag ausgehandelt, was ich machen muss, wenn ich eine Meldung bekomme. Manchmal ist es sinnvoll, selber zu denken und zu handeln, anstatt immer Vorschriften von anderen zu verlangen.

          3. >>>
            „müssen einige Fragestellungen vorher geklärt sein. Freiwilligkeit“ – Und fertig. Wenn die App nur eine freiwillige zusätzliche Information liefert, die man auch ignorieren kann, sind die anderen Fragen nicht mehr wichtig. Ich habe die App schon auf meinem Handy und ich habe mit mir selber keinen Vertrag ausgehandelt, was ich machen muss, wenn ich eine Meldung bekomme. Manchmal ist es sinnvoll, selber zu denken und zu handeln, anstatt immer Vorschriften von anderen zu verlangen.
            <<<
            Weitestgehend gerne/ja. Wirklich freiwillig und DP3T ohne Kompromisse für den Datenhandel und so weiter – das wäre schon richtig so. Der rechtliche Rahmen sollte aber schon geklärt sein, z.B. aus vershen Gerät ausgeschaltet, vielleicht ohne dass Sie es merken, auf einer Konferenz oder so, sie erhielten eine Warnung, handelten aber nicht so – jetzt sind sie Infiziert, und die Warnung ist im System vermerkt (Fehler doer nicht). Wenn man dann bei aller Freiwilligkeit haftet, dann ist das Konzept in Frage gestellt.

            Sobald allerdings echte Quarantäne im Spiel ist, oder Zugangsbeschränkungen auf Basis der App, dann treten weitere schwerwiegende Probleme auf. Das wird ja bereits diskutiert, von Leuten, die bereits großen Unfug mit umgesetzt haben.

            Infrastrukturbasiertes tracking für Infizierte ist davon unabhängig, und wird es vielleicht auch geben. Die NSA braucht es in Deutschland wahrscheinlich nicht, aber vielleicht Vonovia oder irgendeine Mafia. Für Leute die sich sowas gerne überlegen.

  9. „Es ist daher essentiell, dass Google und Apple den Quellcode für ihre Erweiterungen offenlegen “ dies ist meines wissen nach nicht geschehen. Die DP-3T App hat gerade auf das GEAN API umgestellt und damit läuft die App auf meinem LineageOS Handy nicht mehr https://github.com/DP-3T/dp3t-app-android-ch/issues/40 . Natürlich könnte ich jetzt noch die alte App ohne GEAN API auf meinem Handy installieren, die bisher gut gelaufen ist, aber dies wäre nur sinnvoll, wenn alle anderen auch diese App ohne GEAN nutzen würden oder die Server miteinander verbunden wären.
    Konkret bedeutet dies im Moment, dass das ganze Open Source nichts bringt, wenn nicht alle komplett auf Open Source umsteigen. Ich befürchte, ich werde nicht einmal die Entwickler von LineageOS dazu bringen, zu versuchen das GEAN API nach zu bauen: https://gitlab.com/LineageOS/issues/android/-/issues/1949 Und eigentlich macht dies ja auch keinen Sinn, denn Google und Apple haben ja bereits gesagt, dass sie die nicht wollen. Es sieht so aus, dass durch die Verzögerungen jetzt sich die absolute Macht sichren können. Kennt jemand einen Ausweg?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.