Zentral oder dezentral?

Europa gespalten bei Contact-Tracing-Apps

Digitale Kontaktverfolgung soll es ermöglichen die Grenzen zwischen den EU-Staaten zu öffnen, ohne dass die Fallzahlen in die Höhe schnellen. Doch Frankreich und Polen wollen Daten zentralisiert speichern. Damit könnte Europa in zwei Lager zerfallen.

Grenzbalken
Grenzbalken: In Europa wieder Alltag. Bald könnten inkompatible Apps neue Hürden schaffen. Alle Rechte vorbehalten European Union

Der Sommer kommt. In den nächsten Wochen planen einige EU-Staaten, die Ausgangsbeschränkungen wegen der Corona-Pandemie deutlich zu lockern. Bald sollen nach Wunsch der EU-Kommission auch die Grenzen zwischen den Staaten wieder durchlässiger werden, bevor im Juli und August für viele in Europa die Urlaubszeit naht.

Um neue Infektionswellen zu verhindern, setzen die meisten EU-Länder auf Kontaktverfolgung. Apps sollen über Bluetooth aufzeichnen, wer sich in der Nähe aufhält, und alle Kontaktpersonen verständigen, wenn jemand positiv auf das Virus getestet wurde. (Die wichtigsten Fragen dazu haben wir hier beantwortet.)

Voraussetzung für die grenzenlose digitale Kontaktverfolgung ist, dass die Apps in den einzelnen Staaten miteinander sprechen können – im Fachjargon heißt das Interoperabilität. Ohne diese technische Möglichkeit endet die Nützlichkeit der Apps an der Landesgrenze. „Ohne Interoperabilität werden wir nicht reisen können“, sagte EU-Kommissarin Margrethe Vestager im EU-Parlament.

Heute veröffentlicht die Kommission neue Leitlinien für die Interoperabilität von Contact-Tracing-Apps. Das elfseitige Dokument, das gemeinsam von den EU-Staaten ausgearbeitet wurde, bleibt allerdings technische Details schuldig, es legt lediglich einige grundsätzliche Ansätze und Definitionen für die Apps vor.

Die Kommission pocht auf gemeinsame Prinzipien für alle Apps. Die Kontaktverfolgung müsse freiwillig, transparent und zeitlich begrenzt geschehen, die Cybersicherheit und „die Verwendung anonymisierter Daten“ müsse garantiert werden. Zudem sollten sich Apps „auf Bluetooth-Technologie stützen und von nationalen Gesundheitsbehörden zugelassen sein und sowohl grenzüberschreitend als auch betriebssystemübergreifend interoperabel sein“.

Frankreich und Polen wollen zentral Daten sammeln

Soweit die Vorstellungen der Kommission. Die EU-Länder verfolgen jedoch bei Contact Tracing recht unterschiedliche Ansätze: Deutschland, Österreich, Italien und weitere Staaten setzen auf eine Schnittstelle von Google und Apple. Diese erlaubt nur die dezentrale Speicherung von Kontakten direkt am Handy. Dies ist nach den Leitlinien der EU-Kommission und der Datenschutzbehörden die datensparsamste Variante.

Einige Staaten möchten hingegen die Kontaktdaten von App-Nutzer:innen auf zentralen Servern speichern, um das Risiko einer Ansteckung dort berechnen zu können. Dazu gehören Frankreich, Polen und Tschechien. Die zentrale Speicherung soll Daten über Infektionsketten liefern, die für medizinische Studien relevant sein können.

Bei der zentralisierten Speicherung sollen die Kontaktdaten zwar pseudonymisiert werden, sie können aber in vielen Fällen leicht zurückverfolgt werden. Zugleich macht der Ansatz das ganze Netzwerk an Kontakten einer Person zentral einsehbar und erlaubt damit womöglich großflächige Überwachung.

Menschenrechts-NGOs wie Amnesty International warnen daher vor zentralisierter Speicherung. Auch europäische Datenschutzbehörden sind skeptisch. Zentralisierte Apps müssten außergewöhnliche organisatorische und technische Maßnahmen bei Datenschutz und Cybersicherheit liefern, um Vertrauen ihrer Nutzer:innen aufzubauen, heißt es vom Europäischen Datenschutzbeauftragten.

Wegen der Bedenken und fehlender Unterstützung schwenkten Deutschland und weitere Staaten um, dezentrale Apps sind darum de facto der Standard unter EU-Staaten.

Einwände gegen zentralisiertes Tracing gibt es von der Forschungsgruppe DP3T. Sie beschreibt in einem Arbeitspapier, dass Interoperabilität zwischen zentralisierten und dezentralen Apps die Nachteile beider Ansätze vereinen würde. Die Verknüpfung beider App-Ansätze könne den Privatsphärenschutz von Nutzer:innen der dezentralen App erheblich schwächen.

Frankreich hält dennoch an dem System fest, die App „StoppCovid“ soll nach Verzögerungen am 2. Juni starten. Schwierigkeiten bereitet der französischen App zunächst noch Apples Betriebssystem iOS, welches die Verwendung von Bluetooth einschränkt.

Zentralisierte Inseln

Sollten Frankreich, Polen und Tschechien auf ihrem Ansatz beharren, könnte dies Europa in einen Kontinent mit mehreren App-Inseln teilen. Denn es gibt nicht nur Datenschutzbedenken, sondern auch Sorgen vor technischen Problemen bei der Interoperabilität.

Apple und Google antworteten nicht auf eine Anfrage von netzpolitik.org, ob Apps auf Basis ihrer Schnittstelle überhaupt systemübergreifend mit der französischen App Daten austauschen können. Es handele sich um zwei fundamental unterschiedliche und schwer vereinbare Ansätze, sagt Marcel Salathé, Epidemiologe an der ETH Lausanne und Unterstützer des dezentralen Modells.

Trotz der Zweifel drängt die EU-Kommission weiterhin darauf, die beiden Ansätze interoperabel zu machen. In den nächsten Tagen möchte sie gemeinsam mit den Mitgliedsstaaten ein technisches Protokoll für Interoperabilität ausarbeiten, dass eine datenschutzfreundliche Lösung garantiert. Wie das genau aussehen soll, kann heute in Brüssel allerdings noch niemand sagen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

4 Ergänzungen
  1. Ob der dezentrale Ansatz genügend Menschen motiviert, die App zu installieren ist ohnehin schon fraglich, und damit der gesamte Nutzen. Beim zentralen Ansatz wird die Akzeptanz nochmals erheblich geringer ausfallen. Das es ohne die Schnittstellen von Apple auf iPhones nicht geht, das hat Australien lernen müssen: Corona-App funktioniert ohne Apple-API nicht richtig auf iPhones https://www.heise.de/mac-and-i/meldung/Australien-Corona-App-funktioniert-ohne-Apple-API-nicht-richtig-auf-iPhones-4716013.html
    Da können die Franzosen (und alle anderen, die ähnliches vorhaben) noch so viel zetern, ihre Methode ist zum scheitern verurteilt. Je früher sie das kapieren desto eher kommen wir einer gesamteuropäischen Lösung näher (ob die dann tatsächlich bei der Bekämpfung des Virus etwas nützt ist allerdings noch eine ganz andere Frage).

  2. Endlich wirft jemand ein kritisches Auge auf die Entwicklung um die ganze Corona-Tracing Thematik wirft.
    Wir sind selbst Entwickler und haben einen Schlüsselanhänger entwickelt, der ohne den Einsatz von Smartphones und dabei vollkommen anonym Infektionsketten nachverfolgt. Dabei ist sowohl eine grenzübergreifende als auch betriebssystemübergreifende Interoperabilität gegeben. Mit diesem System würden auch Senioren, Kinder und Menschen mit älteren Smartphones, in das Tracing System eingebunden werden.
    Wir versuchen nun schon seit 3 Monaten uns mit der Regierung und Medien über unser marktreifes System auszutauschen – erfolglos. Wie kann es sein, dass die Lösung von Tech-Giganten wie Apple und Google einfach kommentarlos hingenommen wird, ohne über eine ergänzende bzw. alternative Lösung zu berichten? Wie kann es sein, dass von der Gesellschaft erwartet wird, Apple und Google ihre Infiziertendaten anzuvertrauen und auf jedes Smartphone zu laden, wenn uns doch seit spätestens Mai 2018 (Einführung der DGSVO) eingeprügelt wird, unsere Daten nicht preiszugeben?
    Es ist allerhöchste Zeit, dass im Sinne des Journalisten Kodex zur öffentlichen Meinungsbildung beigetragen und über bestehende Alternativen berichtet wird, statt sie der Allgemeinheit vorzuenthalten.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.