Rechtsgrundlage für Tracing-Apps

Warum wir ein Corona-Tracing-Gesetz brauchen

Die beste Corona-Tracing-App ist keine Corona-Tracing-App, findet unser Gastautor Malte Engeler. Doch wenn es sie schon geben muss, dann sollte sie zumindest rechtlich klar geregelt sein.

Menschen auf einer Treppe
Wem warst du in den vergangenen Tagen nah? Das soll eine Contact-Tracing-App ermitteln, doch auf welcher Rechtsgrundlage? CC0 Foto von form PxHere

Malte Engeler ist Rechtswissenschaftler und Richter am Schleswig-Holsteinischen Verwaltungsgericht. Zuvor war er vier Jahre im Bereich der nationalen und europäischen Datenschutzaufsicht tätig.

Seit Wochen wird über Corona-Tracing-Apps debattiert: Smartphone-Anwendungen, mit denen via Bluetooth-Signalen Begegnungen mit Menschen erkannt werden sollen, um automatisiert warnen zu können, falls diese Menschen mit dem Corona-Virus infiziert waren. Nachdem es zunächst sehr lange um die (wichtige) Fragen der technischen Umsetzung einer solchen App ging, schwenkte die Bundesregierung schließlich auf einen dezentralen Ansatz um. Damit ist zwar geklärt, wie eine mögliche Corona-Tracing-App praktisch funktionieren würde, aber es stellt sich sofort die nächste Frage: Wenn eine solche App kommt, kann der Staat sie dann überhaupt rechtmäßig betreiben?

Als Antwort auf diese Frage haben VertreterInnen der Zivilgesellschaft am 03. Mai 2020 eigeninitiativ einen Vorschlag für ein Begleitgesetz vorgelegt, das – für den Fall der Veröffentlichung einer Corona-App – entscheidende Leitplanken für den Betrieb und die Nutzung der App einziehen will. Beteiligt an dem Projekt waren AutorInnen und Mitwirkende aus unterschiedlichen fachlichen und politischen Richtungen, darunter der Autor dieses Gastbeitrags.

Warum überhaupt ein „Corona-App-Gesetz“?

Die erste Frage ist natürlich: Braucht es ein solches Gesetz überhaupt?

Die Antwort darauf ist zunächst eine juristische. Jede denkbare Umsetzung einer Corona-App verarbeitet personenbeziehbare (pseudonyme) Daten. Komplett anonym geht es nicht. Das haben Forschende des Forums der InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e.V. in einer Analyse ermittelt. Rein rechtlich erfordert jede derartige Verarbeitung personenbezogener Daten eine Rechtsgrundlage, also eine Form der Erlaubnis zur Datenverarbeitung. Diese Erlaubnis kann in der Einwilligung der Betroffenen oder in einer gesetzlichen Erlaubnis bestehen.

Im Fall der Corona-Tracing-App wird eine Einwilligung allerdings ganz überwiegend nicht für sinnvoll gehalten. Die europäischen Datenschutzaufsichtsbehörden zum Beispiel haben recht früh in einer gemeinsamen Stellungnahme klargestellt, dass es wohl an der erforderlichen Freiwilligkeit fehlen würde. Das ist einleuchtend, denn letztlich steht die Corona-Tracing-App immer vor der Drohkulisse: Installieren oder staatlich verordneter Lockdown.

Deshalb halten auch die VerfasserInnen des nun vorgelegten Gesetzesentwurfs – anders als einzelne Stimmen aus Verbänden und Politik – es für abwegig, den Betrieb und die Nutzung einer Corona-Tracing-App auf eine Einwilligung der Nutzenden zu stützen. Es braucht vielmehr eine klare gesetzliche Regelung, die Umfang und Grenzen der zulässigen Datenverarbeitung und der zulässigen Zwecke regelt. Das heißt im Umkehrschluss jedoch nicht, dass die App-Nutzung verpflichtend ist. Im Gegenteil: Erst durch eine gesetzliche Regelung kann ansatzweise gewährleistet werden, dass bei der App-Nutzung so etwas wie Freiwilligkeit verbleibt.

Insofern ist der vorgelegte Entwurf auch politisch motiviert. Er regelt nicht nur das „Ob“ einer Corona-Tracing-App, sondern auch das wichtige „Wie“. Angesichts immer neuer Forderungen und Ideen zu möglichen Weiterverwendungen der über die App verarbeiteten Daten könnte eine gesetzliche Regelung den nötigen äußeren Rahmen für die (Weiter-) Verarbeitung der Corona-App-Daten setzen. Auch Zweckbindung, Open Source und ein automatisches Ende der Tracing-Maßnahmen könnten so gesetzlich festgeschrieben werden.

Was steht in dem Entwurf?

Der „Vorschlag für ein Gesetz zur Einführung und zum Betrieb einer App-basierten Nachverfolgung von Infektionsrisiken mit dem SARS-CoV-2 (Corona) Virus“ umfasst 14 Paragraphen und enthält zunächst Vorgaben zum Ziel des Gesetzes. Das ist deshalb so zentral, weil in der Vergangenheit sehr schnell und sehr allgemein auf den „Schutz des Lebens“ verwiesen wurde. Ein derart abstraktes Ziel macht aber entweder alle staatlichen Maßnahmen erforderlich oder jede Verhältnismäßigkeitsprüfung unmöglich. Mit dem im Entwurf konkretisierten Ziel, die frühe Unterbrechung von möglichen Infektionsketten zu ermöglichen und so die Belastungskapazitäten des Gesundheitssystem vor einer Überlastung zu schützen, wird es hingegen möglich, die Rechtmäßigkeit der mit der App einhergehenden Eingriffe in das Datenschutz-Grundrecht anhand konkreter Ziele zu beurteilen.

Der Entwurf enthält danach Vorgaben für eine bedingungslose Freiwilligkeit der App. Jede auch nur mittelbare Einflussnahme auf die Nutzenden der App, etwa indem man die Teilhabe am öffentlichen Leben von der Nutzung der App abhängig macht oder die App-Verbreitung gar durch die Gewährung von Steuervorteilen fördern will, soll ausgeschlossen werden. Wenn die App-Nutzung tatsächlich ansatzweise freiwillig erfolgen soll, dann braucht es eine solche rigorose Regelung.

Neben formellen Einzelfragen zur Verantwortlichkeit, einer Beschreibung des technischen Verfahrens und Verpflichtungen zu Transparenz sowie Open Source enthält der Entwurf dann auch eine strikte Zweckbindung und eine klare Vorgabe über das Ende der Geltungskraft. Die Zweckbindung ist im Entwurf sehr eng formuliert und soll verhindern, dass ArbeitgeberInnen, VersichererInnen oder staatliche Stellen die Daten in irgendeiner Weise verarbeiten, die über die Ziele des Gesetzes hinausgehen: das Unterbrechen von Infektionsketten in der Corona-Pandemie. Das gleiche Ziel will auch der letzte Paragraph erreichen und empfiehlt, dass ein mögliches Corona-App-Gesetz entweder nach einem Jahr oder sobald der Bundestag die Pandemie für beendet erklärt, wieder außer Kraft tritt. So soll verhindert werden, dass sich die Corona-Tracing-App still und heimlich zu einer Überwachungsinfrastruktur verselbstständigt, für die immer neue Zwecke gefunden werden könnten. Die Corona-Tracing-App soll genau das bleiben, als was sie angekündigt war: eine einmalige Reaktion auf eine pandemische Notlage, nicht etwa ein Testlauf für eine dauerhafte Überwachung.

Was steht nicht in dem Entwurf

Der Entwurf will keine Aussagen darüber treffen, ob ein App-basiertes Corona-Tracing zur Bewältigung der Pandemie überhaupt erforderlich ist. Das ist eine Frage für VirologInnen und EpidemiologInnen, die im Vorfeld und gesondert zu klären ist. Der Entwurf will lediglich für den Fall, dass eine App-basierte Nachverfolgung tatsächlich für sinnvoll beurteilt wird, ein Vorschlag für eine rechtliche Absicherung sein. Die VerfasserInnen sind sich allerdings sehr bewusst, dass eine deutschland- oder gar europaweite Nachverfolgung der alltäglichen Begegnungen von Menschen einen immensen Eingriff in unsere Grundrechte darstellt und nur unter Ausnahmebedingungen wie der aktuellen weltweiten Pandemie überhaupt denkbar sein darf. An die Begründung für die Erforderlichkeit einer solchen Infrastruktur sind daher in jedem Fall höchste Anforderungen zu stellen.

Der Entwurf will ebenfalls keine Aussage über die technische Geeignetheit von Bluetooth-basiertem Kontakt-Tracing treffen. Den VerfasserInnen sind die vielen technischen Probleme bei einer Bluetooth-basierten Lösung durchaus bewusst. Der Entwurf setzt daher selbstverständlich voraus, dass eine Corona-Tracing-App überhaupt technisch geeignet ist. Ist das nicht der Fall, werden also Daten der App-Nutzenden verarbeitet, ohne dass damit überhaupt ein sinnvoller Beitrag zur Bewältigung der Pandemie geleistet werden kann, erübrigt sich ihre Einführung ebenso wie ein begleitendes Corona-App-Gesetz.

Was will der Entwurf erreichen?

Der Entwurf soll vor allem Rechtfertigungsdruck auslösen. Er will zeigen, wie ein auf das Nötigste beschränkter gesetzlicher Rahmen für eine Corona-Tracing-App aussehen würde. Er ist eine Messlatte für den Gesetzgeber: Werden die im Vorfeld immer wieder betonten Beschränkungen der App eingehalten? Bleibt es bei einer rein freiwilligen und zweckgebundenen Nutzung der Daten aus der App? Der Entwurf hat daher selbstverständlich auch eine politische Aussage: gegen schleichend normalisierte Überwachung, gegen Zweckentfremdung, gegen Diskriminierung.

Was passiert jetzt?

Der Entwurf ist vor Veröffentlichung den Fraktionen der CDU, SPD, Grünen, Linken und FDP übersandt worden. Er wurde bisher ganz überwiegend positiv aufgenommen. Die Co-Vorsitzende der SPD, Saskia Esken, lobte ihn auf Twitter als wertvollen Debattenbeitrag, die Linke prüft, ihn in den parlamentarischen Prozess einzubringen und die Grünen forderten – allerdings ohne Bezugnahme auf den Entwurf – die Bundesregierung selbst auf, einen gesetzlichen Rahmen für die Corona-Tracing-App zu schaffen. Auch Mitglieder des Chaos Computer Clubs bewerteten den Entwurf als sinnvolle Zusammenfassung der erforderlichen Begleitmaßnahmen. Als Debattenbeitrag hat er auch in der Fachwelt reges Interesse und konstruktive Diskussionen ausgelöst. Je nachdem wie sich die Debatte um die Corona-Tracing-App in den kommenden Wochen entwickelt, beabsichtigen die VerfasserInnen, das Feedback in einer kommenden Version des Entwurfs aufzugreifen.

Ob es eine gesetzliche Begleitregelung zu einer Corona-Tracing-App überhaupt geben wird, hängt jetzt von zwei Faktoren ab. Erstens liegt es in der Hand der Regierungskoalition, sich klar für oder gegen eine gesetzliche Begleitung der App zu positionieren. Zweitens muss die App überhaupt veröffentlicht werden. Aktuell gehen die mit der Entwicklung beauftragten Unternehmen Telekom und SAP davon aus, dass die App nicht vor Juni startklar ist. Bereits jetzt befinden wir uns in einer Phase der Lockerungen des Lockdowns und es erscheint nicht als fernliegend, dass wir die App im Juni tatsächlich gar nicht mehr benötigen werden. Das ist aktuell auch die Hoffnung des Autors, denn soviel ist klar: Die beste Corona-Tracing-App ist keine Corona-Tracing-App.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

39 Ergänzungen
  1. „Der Entwurf setzt daher selbstverständlich voraus, dass eine Corona-Tracing-App überhaupt technisch geeignet ist.“

    Hier gibt es zwei Möglichkeiten:
    1. Auswandern.
    2. Nachfragen, wie denn eigentlich die Eignungskriterien aussehen.

    Ich halte es für den Moment mal mit 2: Sind da überhaupt Kriterien formuliert?
    Man kann Einbrecher auch mit Wasserstoffbombeneinsätzen stoppen…

  2. Zitat: „Bereits jetzt befinden wir uns in einer Phase der Lockerungen des Lockdowns und es erscheint nicht als fernliegend, dass wir die App im Juni tatsächlich gar nicht mehr benötigen werden.“

    Warum denkt der Autor, dass eine App im Juni „tatsächlich“ nicht mehr benötigt wird? Um welche in der Zukunft liegende Tatsachenbehauptung handelt es sich hierbei?

    Zitat: „Das ist aktuell auch die Hoffnung des Autors, denn soviel ist klar: Die beste Corona-Tracing-App ist keine Corona-Tracing-App.“

    Es ist schlicht unverständlich was hier gehofft wird und warum. Der Autor möge sich die Mühe machen, sich weniger kryptisch zu erklären.

  3. „Drohkulisse: Installieren oder staatlich verordneter Lockdown“ – Ich stelle mir hier die Frage, von wem wird die Drohkulisse aufgebaut? Doch wohl vom Virus und den interessiert keine rechtliche Grundlage.

    „Komplett anonym geht es nicht.“ – Das stimmt so nicht:

    „FIfF e.V. in einer Analyse ermittelt: … besteht ein hohes Risiko fälschlich registrierter Expositionsereignisse (falsch positiv), die zu unrecht auferlegte Selbst-Isolation oder Quarantäne zur Folge haben“ – Und was ist die Alternative? Derzeit sind wir alle mehr oder weniger „falsch positiv“. Die App kann als nur zur einer Verbesserung beitragen.

    „FIfF e.V. in einer Analyse ermittelt: … Somit unterliegen diese dem Schutz der DSGVO“ – Ich denke, hier handelt es sich um einen Überlegungsfehler, denn ich muss mich doch wohl normalerweise nicht vor mich selbst schützen? Technisch ist durch die App ja ausgeschlossen, dass die Daten außerhalb der Smartphones zu irgend etwas nütze sein könnten.

    „FIfF e.V. in einer Analyse ermittelt: … Allen derzeit vorliegenden Vorschlägen fehlt es an einem solchen expliziten Trennungsvorgang.“ – Das stimmt nicht für DP-3T. Bitte den code nochmal genau durchsehen und prüfen.

    „Das ist aktuell auch die Hoffnung des Autors, denn soviel ist klar: Die beste Corona-Tracing-App ist keine Corona-Tracing-App.“ – Hat der Autor schon mal eine Risiko/Nutzen Abschätzung gemacht?

    Meine Rechnung:
    Die App kostst nichts, denn die wird derzeit von Unis und Freiwilligen entwickelt, die sowieso daran arbeiten würden. Da die App nur Public Keys auf den Server speichert ist der Schaden praktisch Null, wenn es keinen Programmierfehler hat. Die Wahrscheinlichkeit eines kritischen Programmierfehler würde ich auf Basis der Sichtung des derzeitigen Codes auf unter 0.1% schätzen. Da 98% der Smartphonenutzer ihre Positionsdaten sowieso an private Firmen weiterleiten, ist die Schadenswahrscheinlichkeit bei 0.002%. Die Schadenshöhe ist das übermitteln der Positionsdaten was etwa 4 EUR pro Person ist. (Umsatz von 162 Mia und 4 Mia Nutzer und Geotrakinganteil von 10%) . So gesehen wäre der geschätzte Schaden bei weniger als 10’000 Euro für ganz Deutschland.

    Bei Nutzen kann man diese Überschlagsrechnung machen: Derzeit hat es in Deutschland 1’500 neue Fälle pro Tag, 10% könnte die App wohl sicher verhindern und die Todesfallrate liegt bei 1.5%. Also können mindesten 2 Menschenleben pro Tag gerettet werden, was mindestens 200’000 pro Tag bedeutet.

    1. Das finde ich ausgesprochen naiv. Schon die falschen Positiven sind ein Genickbruch, wenn sie z.B. Quarantäne zur Folge hätten – wohl eine Frage der Dosis und der Verhältnisse. Noch schlimmer wird es mit Zugangsbeschränkungen, da Abseits von Gesetzen zum Abschalten des Trackings seitens Google etc., müssen sich viele dann überhaupt erst ein Gerät zulegen, wahlweise teuer oder Googl/Apple/… Also selbst wenn das nur eine „Minderheit“ ist, die noch kein Gerät des richtigen Herstellers haben, das mit den Minderheiten kennen wir doch schon aus der Geschichte.

      Eine App ersetzt nie und nimmer Kontaktvermeidung. Das wäre gesellschaftlicher Selbstmord, das so umzusetzen.

      Es fehlt rechtliche Klarstellung (Auftrag der Regierung zu kommunizieren? Quo Vadis GroKo?), sowie weitere Randbedinungen.

      Es fehlt Klarstellung der Richtung, was mit lügenden Politikern nicht machbar ist. Z.B. kann es sehr schnell zu weiteren trojanischen Effekten kommen. Zugangsbeschränkungen auf Basis der App könnten dazu führen, dass die App proprietär werden muss, da sonst nicht unterscheidbar ist, ob sie manipuliert wurde. Alternativ zementiert das die Herrschaft auf dem Mobiltelefonmarkt, gibt man solche aufgaben an die Hersteller ab. Zudem sind Zugangsbeschränkungen zunächst ersteinmal ein weiterer Pfeiler von Intrusion, denn wie soll das geprüft werden… über ein Gesetz, dass Zuwiderhandlung strafbar wird? Das wird ja noch witziger (Batterie alle, zugangsbeschränkter Ort nicht als solcher ausgewiesen)…

      Klar wäre das ein weiterer Schritt in Richtung der „Statistikherrschaft“, wobei eben vor allem größere Unternehmen noch weiter in Richtung Herrschaft rücken, Bürger für sich allerdings nicht.

      Das ist ein großes Feld voller Riesenprobleme, was u.a. ein Grund dafür ist, dass DP3T überhaupt existiert. Dort enden die Probleme aber nicht – lösbar oder nicht.

      1. „wenn sie z.B. Quarantäne zur Folge hätten“ – Wenn Sie COVID-19 positiv sind, würden Sie sich also nicht in Quarantäne begeben?
        „überhaupt erst ein Gerät zulegen“ – Davon habe ich nichts gesagt und das ist von DP-3T auch nicht geplant.
        „Eine App ersetzt nie und nimmer Kontaktvermeidung“ – Das habe ich auch nicht gesagt. Die App ist explizit als Ergänzung gedacht.
        „Statistikherrschaft“ – Was genau soll dass sein? Die Herrschaft der Fakten und Wissenschaftler?

      2. „wenn sie z.B. Quarantäne zur Folge hätten“ – Wenn Sie COVID-19 positiv sind, würden Sie sich also nicht in Quarantäne begeben?
        -> Falsche Positive sind entweder nicht infiziert. Entweder waren die nicht so nah, wie die App eigentlich unter Idealbedingungen als Maximalentfernung feststellen sollte, oder die sind hinter einer Scheibe gewesen, so dass keine Infektion möglich ist (oder, oder, oder). Mit „falsche Positive“ ist hier gemeint, dass die App Teilnehmer als Kontakte führt, die nicht infiziert sein sollten, da sie z.B. zu weit Weg für eine Infektion waren, gemäß der gesetzten Kriterien, oder hinter einer Glasscheibe geschützt. Ohne Nachprüfung und Abwägung werden sie hier viele Menschen in Quarantäne stecken, die garantiert nicht von dem vermeintlichen Kontakt infiziert wurden.

        „überhaupt erst ein Gerät zulegen“ – Davon habe ich nichts gesagt und das ist von DP-3T auch nicht geplant.
        Bei D3PT nicht, aber die Existenz einer App führt zu entsprechenden Forderungen aus der Politik, z.B. die App als Voraussetzung für den Zugang zum öffentlichen Nahverkehr zu machen. Das sind dann die Ziele der Politik, nicht von DP3T oder sonstwem.

        „Eine App ersetzt nie und nimmer Kontaktvermeidung“ – Das habe ich auch nicht gesagt. Die App ist explizit als Ergänzung gedacht.
        Das hat Island auch gemacht, mit GPS-Tracking und 38% Teilnahme der Bevölkerung (nicht nur 38% der Smartphonebenutzer). Das Ergebnis ist eher nüchtern zu betrachten.

        „Statistikherrschaft“ – Was genau soll dass sein? Die Herrschaft der Fakten und Wissenschaftler?
        Statistiken über Lebenslänge können nicht sagen, wann jemand stirbt. Dafür eingesetzt werden sie trotzdem. „Statistikregime“ oder „Statistikherrschaft“ ist eine groteske Kolportation, mit der gemeint ist, dass Machtanwendung hinter Statistik versteckt wird, also „unwertes Leben“ nicht mehr in KZs gekarrt wird, sondern z.B. statistisch früher stirbt, so dass es weniger Aufmerksamkeit erzeugt. Internetkonzerne sind gut in den Prinzipien, die dieser Betrachtung zugrundeliegen („Die meißten Benutzer…“). Ein anderes Beispiel ist, Statistiken einzusetzen, wo sie eigentlich nichts drüber aussagen, also gewissermaßen Herrschaft mit nicht anwendbarer Statistik erklärt.

        1. @Anonymous: Achte mal bitte auf deine Sprache. Die Leichtigkeit, mit der vielen in der Corona-Krise wieder Nazi- und KZ-Vergleiche über die Lippen kommen, ist absolut daneben.

          1. Entschuldigung.

            Ich weise allerdings darauf hin, dass bei gegebener Macht, ein Prozentsatz der Menschen fast deterministisch auf Basis derselben Impulse entsprechend handeln wird :).

        2. „Falsche Positive … viele Menschen in Quarantäne stecken“ – Vor allem werden gezielt diejenigen getestet und eventuell in Quarantäne kommen, bei denen es wirklich nötig ist. Je weniger Fälle es hat, desto sinnvoller wird die App.
          „Existenz einer App“ – Die App ist schon da. Wenn viele freiwillig mitmachen, braucht es keine Pflicht. Der beste Weg die Pflicht zu vermeiden, ist also die zu App zu nutzen (was ich bereits mache).
          „Island – Ergebnis ist eher nüchtern “ – Ja, Island hat noch ganze 15 aktive Fälle. Wenn alles gut geht, dürfte Island in ein paar Tages „Coronafrei“ sein.
          „Statistikherrschaft“ – Bei dieser App geht es darum mit Hilfe der Statistik Menschenleben zu schützen. https://en.wikipedia.org/wiki/Bombe ist aus meiner Sicht ein gutes Beispiel für einen sinnvollen Einsatz von Statistik. Ein anderes wäre die Maximierung der Glückszeitpunkte. Oder das ignorieren von Gefühlen bei komplexen Entscheidungen, die andere betreffen, was in hier (App nutzen oder nicht) der Fall ist. Das Problem mit unseren Gefühlen ist, dass die Evolution den Nutzen von Apps nicht in unser Gefühl einbauen konnte.

    2. „Da die App nur Public Keys auf den Server speichert“
      Welche denn? Bei DP3T gibt es für https vielleicht einen öffentlichen SChlüssel, zum abholen der Seeds Infizierter. Letzteres wird auf der Infrastruktur gespeichert. Das isnd aber keine public keys, sondern, sofern der Vergleich mit asymmetrischer Kryptographie verzeihbar ist, private Schlüssel. Die werden erst im nachgewiesenen Infektionsfall dort hochgeladen, dann ziehen sich die Apps die Seeds vom Server, und rechnen aus, ob unter aufgeschnappten „ephemeral IDs“ welche von heruntergeladenen Seeds ableitbar sind.

      „„Komplett anonym geht es nicht.“ – Das stimmt so nicht:“ – Bezugspunkt? Im Zweifel sind sie mindestens kurzzeitig Pseudonym, wenn die App eine ID mehrfach sendet. Das gilt auch für nicht infizierte. Hinzu kommen Zugriffe auf Mobilfunknetz, Internet und letztlich auch Infrastrukturserver. Es kommt also bei Anonymität auf das Bezugssystem an. Vor den Zeta-Aliens ist hier z.B. niemand anonym, nicht einmal KIs. Für Infizierte ist die Idee bei DP3T, dass nur Seeds Infizierter hochgeladen werden, somit deren „personenbezogene Daten“ nicht auf der zur App zugehörigen Infrastruktur vorhanden sind – aber Vorsicht: sobald der Seed veröffentlicht ist, können z.B. mit großen Antennen an Verkehrsknotenpunkten aufgezeichnete Ephemeral IDs von Infizierten mit öffentlich verfügbaren Seeds in Bezug gesetzt werden, so dass sich teile derer Wege für jeden solchen „Rogue player“ nachvollziehen lassen, wenn auch dann offiziell zu dem Moment noch Pseudonym. Auch hier zählen die Randbedingungen, z.B. „Berlin: 98% Schaden“, „Führerbunker: 100% Schaden“, „Leuchtturm Sheepshead Island: 100% Touristen + 0% Schaden = 100%!“. Hier muss man auch wiederkehrende Wege bedenken, sowie das illegale Verbinden mit anderen Daten.

      Eine Schwachstelle in der App, z.B. beim Reporting an das Gesundheitsamt, wäre unschön, wenn z.B. alle Kontakt-IDs von beliebigen Leuten per Bluetooth abgerufen werden können, oder zumindest von einer anderen App. Oder ein besonderer Zufallsgenerator für Seeds, hatten wir auch lange nicht mehr – wobei man hier auch das Betriebssystem im Auge behalten sollte. Es könnte ohne weiteres passieren, dass Apple+Google einen für die NSA nachvollziehbaren Zufallsgenerator für die App verwenden, z.B. im fiktiven Falle, dass die IDs von einer Betriebssystem-API geholt werden müssen.

      False positives müssen Sie aber quantifizieren, in Ihrer Rechnung. Weder kann die App Infektionen verhindern, noch kann sie unterscheiden, ob eine Glasscheibe dazwischen war. Sparen sie also an menschlichen Kontakttracern, werden sie falsche Positive nicht bearbeitet kriegen, und das gilt dann wohl auch für echte Kontakte, da man die naturgemäß nicht unterscheiden kann. Jetzt kommt die Frage nach Tests und Quarantäne, leider erlauben die Tests wahrscheinlich kein frühzeitiges Etnlassen aus der Quarantäne, und Quarantäne wäre dann auch nicht mehr freiwillig, App-Zwang auch nicht – und mit App wird es sehr viele falsche Positive geben.

      Ein Zwang, die App eben doch immer an zu haben, und nicht erst im Bus anzuschalten, weil man sonst neben einem Bus wartend, jeden Tag, mit 100% Wahrscheinlichkeit zu einem falschen positiven Wird (Bluetooth vs. Sekurit), wäre ja auch eine typische Erweiterung eines bereits fachlich in der nähe von Verrücktheit befindlichen Falles. Und weil „Multiplikatoren“ so ein schönes Wort ist, muss man an eben jenes denken: Zwang + Antennen. Perfektes pseudonymes tracing für jeden Rogue Player! (Kleingedruckt: mit gewissen Resourcen2, oder genügend Personal mit Mobilgeräten, die ohnehin in der Stadt sind, z.B. in Berlin. Anspielung ist hier eine Kartell-App, die Corona-Tracing-Tracing betreibt, hier natürlich auch auf Zwang, mit Orts-, Mobilfunkzellen-, und IP-Tracking für alle Mitglieder. Die App schnappt also IDs auf, und ordnet Wege Infizierten zu, etwas Big Data, vielleicht ein paar extra scharfe Daten dazu, und schon kann man wunderbar in der Gegend herumerpressen, selbst wenn die Profile so nicht direkt nutzbar sind: Bekannte, Verwandte, Kollegen, …).

      1. In diesem Zusammenhang wäre is auch interessant, Leute gewissermaßen aus Versehen auf Infiziert zu setzen. Selbst wenn das wieder rückgängig gemacht würde, wäre bei einem Angriff mittels „Antenneninfrastruktur“ eine Teilsicht des Bewegungsprofils erstellbar.

        Also Seeds leaken, so dass der möglichst Infrastrukturlose Ansatz mittels Infrastruktur nutzbar gemacht wird. Böse Apps bei einem Prozentsatz der Leute könnten die Infrastruktur ersetzen, wenn Apple/Google schlampen.

        Ein zentraler Ansatz erschwert ähnliche Angriffe wohl eher nicht, bis zu dem Punkt, dass mittels des OS/HW Herstellers komplette Verdongelung passiert, so dass OS/App compilieren nicht mehr geht, weil man sich nicht einmal mit dem Server verbunden kriegt (vgl. DRM). Umgehbar oder nicht, das Szenario wollen wir nicht.

        1. „aus Versehen auf Infiziert zu setzen.“ – Dies wird in der App durch einen Code verhindert.
          „OS/HW Herstellers komplette Verdongelung“ – Die einfache Lösung wäre, dass jetzt alle die frei compilierbare Version installieren und damit die OS/HW Hersteller gar nicht mehr gebraucht werden.

          1. * „aus Versehen auf Infiziert zu setzen.“ – Dies wird in der App durch einen Code verhindert.

            Naja, Sie schrieben von 0,1% Fehlerwahrscheinlichkeit im code, andere schreiben von denkbarer Qualität von Fehlern, z.B. umgehung der Notwendigkeit, einen Code einzugeben, wegen Protokollfehlern oder einer „Debuggingschnittstelle“, die eine andere App vielleicht nutzen könnte, oder vielleicht ja auch nur das Abhandenkommen solcher Codes, denn die werden sicherlich begehrt sein.

            * „OS/HW Herstellers komplette Verdongelung“ – Die einfache Lösung wäre, dass jetzt alle die frei compilierbare Version installieren und damit die OS/HW Hersteller gar nicht mehr gebraucht werden.

            Beschrieben wurde aber das Szenario, in dem veränderte selbst compilierte Versionen dafür benutzt werden, um im Falle von Zugangsbeschränkungen für App-nicht-Benutzer Zugang zu erhalten, ohne jemals als Kontakt geführt zu werden. Wenn also eine Variante von „nicht ganz so freiwillig“ umgesetzt wird. Damit erhält man Zugang und muss nicht in Quarantäne, und die Stimmen werden kommen, die ein Verhindern dieser Manipulationsmöglichkeit verlangen. Bei Umsetzung ist der Open Source Teil dann halb tot.

          2. „Codes, denn die werden sicherlich begehrt sein“ – Warum sollten „ich habe COVID-19“ Codes begehrt sein?

            „nicht ganz so freiwillig“ – Wollen sie das denn? Nennen Sie sich deshalb hier „Keine Wahlfreiheit“? Wie gesagt, Sie könnten das Problem umgehen, aber offenbar möchten Sie das nicht.

          3. >>> „Codes, denn die werden sicherlich begehrt sein“ – Warum sollten „ich habe COVID-19“ Codes begehrt sein?
            1. Sie brauchen als „Rogue Player“ nicht nur Antennen zum Empfang haben. Sie können auch an Geräte anderer Leute ihre eigenen fabrizierten IDs senden, mit „eigenen Leuten“ oder mit größeren Antennen und Sendeleistungen. Jetzt erlaubt Ihnen ein Arzt-Melde-Code möglicherweise, anderen Leuten mitzuteilen, dass diese fabrizierten IDs infiziert sind. Damit können Sie im Extremfall einen ganzen Betrieb lahmlegen. Die Sendeantenne kann ja groß sein, wenn Sie einfach nur viele erreichen wollen. Wird dann irgendein Pauschalquatsch umgesetzt, z.B. Haftungsrisiken bestehen lassen, ohne die App-Kontakte wirklich händisch rückzuverfolgen und auf Plausibilität zu prüfen, dann werden sich mehr Leute auf Zuruf durch die App in isolierung begeben. Aber auch im idealen wirklich freiwilligen Fall, würden sich eine Menge Leute in Isolierung begeben, denn dafür ist das ganze ja da. Es wird vielleicht Gegenmaßnahmen von Herstellern geben, lässt sich aber nicht gänzlich verhindern. Die andere Variante wäre ohne Codes einen unter Kontrolle der Organisation befindlichen Menschen tatsächlich zu infizieren, und mit einem fabrizierten Mobilgerät zum Arzt zu schicken.

            2. Eher nicht Softwarefehler. Im idealisierten Kontext, nicht wissend, wie genau es implementiert werden wird, werden die Codes einem Angreifer nichts nutzen, wenn nicht gerade ein entsperrtes Mobilgerät vorliegt. Vermutend dass der Code in der App eingegeben wird, die App daraus kryptographisch sicher mittels des eigenen geheimen Seeds dann eine irgendwie so oder so ähnlich signierte Nachricht an den Server schickt. Dann muss ein Angreifer schon den geheimen Seed von Opfern kennen, um etwas anzustellen, was ohne Sicherheitslücken oder Mitwirkung nicht möglich scheint. Softwarefehler könnten beinhalten, den Seed auslesen zu können, durch eine andere App z.B. wegen vergessener Debuggingschnittstellen, durch einen Webseitenbesuch (eher abstrus), Nachrichten zwischen Apps (Debugging Schnittstelle). Bei schlechter Implementierung kann natürlich immer alles mögliche passieren, die Implementierung liegt aber wohl auch in der Hand des Staates, weil es die Spezifika der Server beinhaltet, die DP3T zumindest bis vor kurzem nicht beinhaltet. Das würde ich aber ausklammern.

            >>> „nicht ganz so freiwillig“ – Wollen sie das denn? Nennen Sie sich deshalb hier „Keine Wahlfreiheit“? Wie gesagt, Sie könnten das Problem umgehen, aber offenbar möchten Sie das nicht.

            Z.B. Beschränkung des Zugangs auf App-Benutzer, Haftungsrisiken, all die schönen Dinge die außerhalb des Einflussbereiches von DP3T oder der Appbenutzer liegen, die aber die App de facto obligatorisch machen. Das können Sie dann nicht umgehen.

      2. “ Seeds ableitbar sind“ – Also sind die Keys auf dem Server ohne Keys auf dem eigenen Handy absolut wertlos, richtig?
        „Zugriffe auf Mobilfunknetz“ – Das ist aber nicht ein Problem der App.
        „nachvollziehbaren Zufallsgenerator“ – Haben Sie dafür Belege? Es wäre ohne Problem möglich einen sicheren Zufallsgenerator in die App einzubauen.
        „Sparen sie also an menschlichen Kontakttracern“ – Davon habe ich nichts gesagt und das ist auch nicht geplant.
        „mit App wird es sehr viele falsche Positive geben“ – Haben Sie eine Schätzung? Nach meiner Schätzung liegt die Zahl deutlich unter der Testkapazität sollte weiter sinken.
        „schon kann man wunderbar in der Gegend herumerpressen,“ – Das können Sie auch ohne App. Sie gehen offenbar grundsätzlich davon aus, das viele Menschen einfach nur zerstören wollen. Wenn dies so ist, wird eine Gesellschaft zusammenbrechen. Mit und auch ohne App. Ich glaube, der Mensch ist ein soziales Wesen und wenn man seine Grundbedürfnisse erfüllt, gehen die meisten Menschen liebevoll miteinander um.

        1. „“ Seeds ableitbar sind“ – Also sind die Keys auf dem Server ohne Keys auf dem eigenen Handy absolut wertlos, richtig?“
          Die Keys auf dem Server sind die Seeds von Infizierten. Daraus kann die App nachrechnen, ob Infizierte getroffen wurden, da alle „ephemeral IDs“ bei DP3T sich aus dem zugehörigen Seed berechnen lassen. Das ist mit ableitbar gemeint. Sie können also für alle auf dem Server gespeicherten Seeds alle ephemeral IDs berechnen. Wenn sie also an verschiedenen Punkten in der Stadt mitgeschnitten haben, was da so für ephemeral IDs per Broadcast herumfliegen, können sie also mit den Seeds von Server gucken, wo ungefähr so Infizierte unterwegs waren, wenn die denn in der Stadt waren. also Bewegungsprofile von „Infizierten“. Fehlt noch „person of interest“ auf infiziert zu setzen, oder man wartet, bis ein hoher Prozentsatz infiziert war. Die Bewegungsmuster der meißten Menschen stellen keine Eulerkurve über das gesamte Universum dar.

          „“„Zugriffe auf Mobilfunknetz“ – Das ist aber nicht ein Problem der App.““
          Das ist ein Problem jeder app, und der Benutzung von Smartphones. Alles was zeitlich/örtliche Zuordnung ergeben könnte, auch eine Düsseldorfer mobil-IP, könnte anonym zu pseudonym machen, wenn auch vielleicht nur für Wegstücke.

          „„nachvollziehbaren Zufallsgenerator“ – Haben Sie dafür Belege? Es wäre ohne Problem möglich einen sicheren Zufallsgenerator in die App einzubauen.“
          Ein fiktives Szenario mit einem Standardangriff, dessen Abwehr nicht in der Hand der Appentwickler und wohl auch nicht in der Hand unserer Regierung/en wäre. Erfordert Kontrolle des OS über die IDs, die nur über eine API abgefragt werden können, aber nicht von der App verändert werden können – fiktiv.

          „„Sparen sie also an menschlichen Kontakttracern“ – Davon habe ich nichts gesagt und das ist auch nicht geplant.“
          Sie planen offenbar auch nicht so mit falschen Positiven :).

          „„mit App wird es sehr viele falsche Positive geben“ – Haben Sie eine Schätzung? Nach meiner Schätzung liegt die Zahl deutlich unter der Testkapazität sollte weiter sinken.“
          Dann braucht es keine App. Und die Zahlen, wieviele gerettet werden stimmen dann wohl auch nicht. Wie gesagt, an der Haltestelle schlafen, ein Bus parkt bis zur Abfahrt mit Leuten drin… das können schnell mal 20 Kontakte sein. Distanzmessung ist ein Witz mit verschiednen Antennenausrichtungen und realweltlichen Hindernissen, da wird 1-8 Meter nicht unterschieden werden. In Ballungszentren ist die Gefahr sehr hoch, dass es sehr viele sein werden, nicht für alle Menschen aber in mehr als Einzelfällen. Wie lautet Ihre Schätzung?

          „„schon kann man wunderbar in der Gegend herumerpressen,“ – Das können Sie auch ohne App. Sie gehen offenbar grundsätzlich davon aus, das viele Menschen einfach nur zerstören wollen. Wenn dies so ist, wird eine Gesellschaft zusammenbrechen. Mit und auch ohne App. Ich glaube, der Mensch ist ein soziales Wesen und wenn man seine Grundbedürfnisse erfüllt, gehen die meisten Menschen liebevoll miteinander um.“
          Das hier ist das Beispiel, wo wenige viele erpressen, dank einer App.

      3. Bei Rogue Player dachte ich gerade an Immobilienkonzerne, innerhalb derer eine Managementschicht auf die Idee kommt, mal zu gucken, wo ungefähr ihre Mieter in Berlin denn mal so unterwegs sind. Da stellt sich natürlich die Frage nach der Legalität.

        Wie heißt noch gleich das Gesetz, das das unterbindet? WLAN Tracking darf man ja auch nicht ohne weiteres unternehmen…

        Die Verarbeitung von Positionsdaten zu Menschen wäre natürlich schon per DSGVO verboten, aber bei total anonymen BLE broadcasts von temporären IDs, wie sieht es da aus?

        1. Also nur bereits anonymisierte Daten recordieren. Die Daten sind auch schon k-aggregiert, wobei k jeweils mit den Wohnblöcken mitschwankt.

          Kommt es so, wird man es, was die Bundesebene betrifft, wohl auch kagg-regiert nennen.

  4. Halten wir doch einfach mal fest, dass der Staat davon ausgeht, dass ich diese Wanze (auch genannt Smartphone) ständig angeschaltet habe. Wenn ich das Ding Zuhause lasse oder einfach abschalte, können die sich über die APP ein Ei schlagen !! Wer zwingt die Bürger ständig erreichbar zu sein. Dafür gibt es kein Gesetz. Das machen die Menschen selbst und auch noch freiwillig. Die Bürger haben es selbst in der Hand !!

    1. In dem Artikel sind keine Zahlen veröffentlicht, was die App wirklich gebracht hat. Das kann aber auch daran liegen, dass es in Island in den letzten 4 Tagen gar keine Neuinfektionen gefunden wurden. Wenn es keine Infektionen gibt, kann die App auch nichts finden. Mir scheint, alle Länder, die Apps einsetzen, haben sehr gute Zahlen. Oder gibt es ein Gegenbeispiel?

      1. Island hat früh reagiert und ist auch viel kleiner als Deutschland z.B.. Die absoluten Zahlen werden also auch geringer sein. Es ist also nicht 100% klar, ob so ein Ergebnis, wenn es denn eines ist, für die eine oder die ander Richtung wirklich übertragbar ist.

        Die „Ergebnisse“, von denen ich gehört habe, sprechen schon die Sprache: Island als Beispiel mit der höchsten Verbreitung der app aber marginalem Nutzen bei konkreter Untersuchung dieses Umstandes (unter Vorbehalt), sonst gab es so Adoptionsraten von 20% +-, bei keiner mir bekannten Untersuchung zum Effekt der App allein, wobei auch unterschiedliches zum einsatz kam, inklusive Funkzellenabfragen und Gesichtserkennung, je nach Land.

        Da bleibe ich also skeptisch. Die App verhindert keine Infektion (direkt), führt zu unvernünftigem Verhalten u.a. bei Politikern, und hat wenig Aussicht auf signifikanten Vorteil. Soetwas würde man als Medikament nur puschen, wenn man skrupellos Geld verdienen will (auch das gab es ja schon), sonst würde man es weiter erforschen, und nicht als Zugangsfeature benutzen.

        1. Also die App kostet nichts und schadet nicht (außer etwas Stromverbrauch). Wenn die App auch nur einen Fall verhindert, hat sie sich schon gelohnt. Politiker haben mit der App gar nichts zu tun, denn die ist einfach bei mir auf dem Handy.

          1. Die App schadet nicht unter Idealbedingungen und unter Ausblenden der Risiken.

            Die Idealbedingungen, die Sie implizit postulieren, sind aber nicht das, was offenbar einige in der Politik unter Ideal verstehen (vgl. Axel Voss und andere Rufer).

          2. „Wenn die App auch nur einen Fall verhindert, hat sie sich schon gelohnt.“

            Naja, da lohnt sie sich aber „genauso sehr“, wie sämtliche Bürger unter dauerhafte Quarantäne zu stellen, „bis das Virus tot ist“.

          3. „Politiker haben mit der App gar nichts zu tun, denn die ist einfach bei mir auf dem Handy.“

            Wie kommen Sie darauf, sich einer Pflichtapp entziehen zu können? Das entscheidet die Politik, und erst verzögert vielleicht ein Gericht bzw. mehrere. Werden erst Beschränkungen beschlossen, die nur für App-Benutzer nicht gelten, dann ist es auch nicht mehr weit, dass die App nicht mehr selbst compilierbar ist. Das hängt aber nicht davon ab, ob jemand meint, sich entziehen zu können, sondern wie das Recht gelagert ist, und im Zweifel, wie z.B. die deutsche oder europäische Politik so bereit ist zu gehen (und in welche Richtungen).

          4. Das ist auch meine Hoffnung.

            Bin mal gespannt welche App es dann wie wird… es ist ja nicht klar, das meine selbstcompilierte App überhaupt Anbindung an das „Arztnetz“ erhält. Dann muss ich die Staatsapp aus dem Store installieren, und darf vielleicht den offiziellen Source code irgendwo lesen. Das Vertrauen in die Politik ist bei mir da nicht so stark ausgeprägt, vielleicht hält das (Grund-) Gesetz.

  5. Self Reporting:
    Die meissten Corona Tracing Apps enthalten das Feature „Self Reporting“.
    Dabei wird nicht nachgeprüft, ob ein positiver Test validiert ist durch ein wirkliches Testergebnis. Der Vorschlag „token“ zu verwenden bedeutet eine paralelle Infrastruktur für alle Aerzte aufzubauen, die am Gesundheitsamt vorbei dann positive Tests validieren (mit 1x tokens, die irgendwo generiert werden muessen und am besten einem Key fuer jeden Arzt, der dann wieder validiert und zertifiziert werden muss). Der logistische Aufwand ist zu hoch.
    Die false positives die hiermit absichtlich oder unabsichtlich reproduzierbar sind, kompromittieren die Glaubhaftigkeit der App. Die Abfrage des Tokens war bis vor kurzem nur in der spezifikation von DP-3T und nicht in Sourcecode implementiert. Bei apple/google wird die Client-Server spezifikation der jeweiligen App ueberlassen.

    Stattdessen sollte bei meldepflichtigem Verdacht auf covid19-Infektion eine Anmeldung beim zustaendigen GA stattfinden, hier befindet sich auch der „root of trust“ und die Validierung der Testergebnisse ist moeglich. (amtlich sozusagen). Die gesamte Begleitung des Verlaufs findet ueber das GA statt und hat auf verschiedene Weise mit der Funktion dieser App zu tun. Darum muss das jeweils lokale GA hier als Backend auftauchen damit die Interoperablitaet sich verbessert. Statt langer Call-center schlangen, und unsicherheiten im Vorgehen kann eine App vor allem bei der Prozessoptimierung helfen, Verdachtsfaelle einzukreisen und von den weniger wahrscheinlichen unterscheiden zu helfen. Zum Schluss wird durch die APP ein Test ausgeloest, der bei positivem Ergebnis meldepflichtig ist, bei einem negativen Test sollten die Daten wieder deaktiviert bzw. geloescht werden.

    Kritik der Kritik
    Nichts davon wurde von der einseitig gefuehrten Diskussion bisher ansatzweise eingebracht. Ein Gesetz scheint sowohl zuviel Funktionalitaet im Missbrauchsbereich zu imaginieren, wie auch zugleich die Machbarkeit einer solchen App als ganzes in Frage zu stellen, was in keiner Weise den Gegebenheiten der Plattformoekonomie von kommerziellen Diensten entspricht („there is an app for it“), also wie eine Art verquere Kompensationsbeweung erscheint, weil dort wo es notwendig ist, bei den grossen Firmen wie Facebook oder Palantir nur sehr duerftige Erfolge der Privacy-Aktivisten zu verzeichnen sind.

    Interoperabilität:
    Ein Gesetz ist wohl nicht nötig, da entsprechende Weisungen reichen, aber wenn schon Gesetz dann sollte diese zuerst vor allem die bestmoegliche Interaktion von bestehenden Backends der 400 GAs mit analogen und digitalen contact tracing, unter Einhaltung der Datenhoheit fordern. Hier kann eine Architekturaenderung ploetzlich Zentralisierung von Patientenakten bedeuten, dabei „brauchen“ die Daten nur die Landkreise und Kommunen fuer ihre jeweiligen regionalen Massnahmen. Nichts davon hat die „Scheuklappen“ Debatte um dezentral/zentral bisher auch nur ansatzweise angesprochen.

    Statt Endkonsumentensicht:
    Es gibt eine Reihe von Backends die bisher in der Debatte nicht auftauchen.
    (SORMAS und DEMIS) Ein Gesetzesvorschlag sollte diese backends zur Empfehlung bringen, und foederale Funktionalitaet und Einhalt der Datenhoheit (Datensparsamkeit) fordern, damit die Effektivitaet des contact tracing als ganzes verbessert wird, fuer die Allgemeinheit und die einzelnen, und mit regionalem Focus, dem Ausbruchsgeschehen angemessen.

    BT optimierung
    Kontextdaten sollten von apple/google erhebbar sein um per machine learning die false positives und false negatives zu minimieren, dazu koennten Nutzer freiwillig bestimmte Zusatzdaten zur verfuegung stellen. So wie das Protokoll bisher definiert ist, wird es hochwahrscheinlich nicht ausreichen um Fehlerquellen zu minimieren. Dabei sollte per Auditing und anderen fachlichen Untersuchungen des Open Source codes, und der Protokolle, ebenso wie Datenschutzpruefungen selbstverstaendlich regelmaessig stattfinden.

    feature creep:
    weitere module wie z.b. symptom check / diary, gesundheitliche zusatzinformationen sollten moeglicherweise in eigenen app modulen die interoperabel sind verfuegbar sein, aber unabhaengig funktionieren, damit die app nicht zu monolithisch wird und damit unsicherer und schwerer zu pflegen.

    Meldegesetz:
    Eine abschwaechung des Meldegesetzes ist gefaehrlich wenn es darum geht Infektionsketten fruehzeitig zu erkennen und zu unterbrechen. bei den Interviews der Contagion Teams wird unter Umstaenden mehr Privatheit geopfert als durch eine App, sie machen ueberdies weitaus mehr Arbeit und setzen die Obergrenze an Kapazitaet fuer einen moeglichen Lockdown und damit empfindliche Einbussen an Freiheit.
    Das Meldegesetz sollte nicht Coronaleugner schuetzen die sich dann per Diskrimierungsschutz und False Positives dabei engagieren mit falsch verstandenen Widerstand und Protest, den Fakenewspegel zu steigern zu dem langsam aber sicher nun auch die App als staatlicher Ueberwachungsapparat hinzukommt, um mit dieser Debatte schliesslich die Effektivitaet der Gesundheitsaemter und die Verbreitung der app zu verhindern, was schlicht unvernuenftig waere. Um empirisch gesehen eine App als gescheitert zu betrachten, sind ueberhaupt erst ausreichende Tests incl. Updates notwendig.

    Politik:
    Es ist zu hoffen dass die Gruenen erkennen, dass im nachhinein eine ueberzogene Kritik an der App, die nicht konstruktiv alle Moeglichkeiten ausschoepfte unter groesstmoeglicher Privatheit, zum Schluss wie eine art Anti-Vacc Bewegung rueberkommt, hier nur im digitalen. wie auch dieser ganze Entwurf auf Verbraucherschutzaktivismus hindeutet, der seinen Erfolg darin sieht die Effektivitaet solcher Apps zu vermindern, ohne so ganz begriffen zu haben was die App ueberhaupt machen sollte damit sie funktioniert. Die Rechnung geht aber nur auf wenn der lockdown verhindert wird und dabei so wenig wie moeglich Privatheit geopfert werden muss.

    Das gesundheitsamt (die Klinik, der Arzt, die Test labs, die Contagion Scouts) sind nicht der Feind, das Virus ist das Problem. Wenn die Infektionsrate wieder waechst und die Kapazitaeten des tracings uebersteigen, dann sollte nicht der Widerstand gegen diese app zum Schluss mitverantwortlich gemacht werden koennen. Es geht nicht um Solutionism, sondern die Verwendung aller sinnvollen Methoden und deren schrittweise Verbesserungen.

  6. Was wenn die App sie fälschlich warnt, sie wissen mit App niemandem nahe gewesen zu sein, und ignorieren es in Eigenverantwortung, aber sie haben sich irgendwo auf mehr oder weniger unwahrscheinliche Weise doch infiziert (z.B. ein Fahrradfahrer, der zeitlich nach der Warnung durch die App an ihnen vorbeifährt, was selbst mit App nicht als Kontakt gewertet würde, wenn es auch Aufgrund der Geschwindigkeit vielleicht nachflickbar wäre, oder der hat keine App)? Jetzt stecken sie nachweislich irgendwen an, das wird rückverfolgt, und es wird interessant, wie freiwillig die App-Nutzung und die Isolierungsaufforderung denn nun war.

    1. Nachflickbar:

      Allerdings nur asymmetrisch, so dass der Radfahrer selbst Fussgänger als „unwahrscheinliche Kontakte“ führen könnte, die Fussgänger aber aufgrund nicht vorhandener Kenntnis der Geschwindigkeiten anderer Leute nicht.

      Es kommt allerdings auch auf die Sendehäufigkeit an, die ja letztlich schon auch im Zusammenhang mit dem Batteriehaushalt steht. Alle zehn Sekunden könnte dafür zu selten sein.

      Ein Klassiker für false positives oder false negatives könnte übrigens auch das Warten auf die Pizza sein. Da steht ein Pulk vor der Ausgabe, der auch höflich aus dem Weg geht, während sie ihre früher bestellte Pizza abholen, aber:
      1. Ortungsinsuffizienz: 5-8 Meter Entfernung sind aufgrund irgendwelcher Spezifika „nah“, Zeitdauer ist 10 Minuten oder mehr.
      2. Vielleicht haben die so viel herumgeatmet und gesprochen, dass man sich sogar beim Bewegen durch die Wolke infizieren könnte. Hier wird wieder interessant, wie lange man dort für das Abholen gebraucht hat – wartete man doch weiter weg, führt einen die App vielleicht nicht einmal als Kontakt, wenn man nu kurz die Pizza entgegennimmt.

      Klassisches Kontakttracing würde vielleicht ergeben, dass Menschen in der Nähe der Pizzeria zu Zeitpunkt X in Gefahr waren, und die Wahrscheinlichkeit, dass sich jemand im Pulk an Ort und Zeit erinnert ist auch hoch. Wird man dann eine zentrale durchsuchbare Schnittstelle bauen, wo Orte und Zeitpunkte mit Gefährdung suchbar werden? Das ließe ja Rückschlüsse auf die Infizierten zu… Oder sie bauen in die App ein, dass Zeitpunkte und Orte von aufgeschnappten IDs mit suchbar werden, dann können sie vielleicht wählen, alle IDs aufzunehmen, und für „Infektionswahrscheinlichkeitsfälle“ nachvollziehen wer oder was das ungefähr gewesen sein könnte, um ihre eigene Entscheidung zu treffen. Abgesehen davon, dass dann Tracking für Kriminelle noch einfacher wird, bleibt natürlcih die Frage, ob das wohl legal wäre, solche Funktionen anzubieten, während die andere Frage ist, ob die App etwas nützt, wenn es nicht dabei ist.

      Geht man nun nach Kriterien vor, oder wartet man auf Alert durch App und geht bei Symptomen zum Arzt?
      Kriterien: Erkläre es deinem Arbeitgeber.
      Alert/Arzt: Die Zahlen werden explodieren, vielleicht gibt es den Arbeitgeber bald nicht mehr :).

      Man muss ja nicht immer in Horrorszenarien denken, aber das hier ist weder klar, noch gut vorbereitet, oder zumindest sehr sehr schlecht kommuniziert. Oder es geht um etwas ganz anderes.

      1. Mal ein anderes, nämlich: https://github.com/corona-warn-app/cwa-documentation/blob/master/translations/scoping_document.de.md

        Unter E04.01 steht dann: „2. Die Notifikation informiert den App-Nutzer über eine Risikoänderung (in Abhängigkeit der zur Verfügung gestellten API-Funktion)“

        Und hier, Google Play Services: https://www.blog.google/documents/68/Android_Exposure_Notification_API_documentation_v1.2.pdf
        „Calculates and provides an exposure risk level to the app.“

        Ob man bei DIESEN Sachen vielleicht zu langsam war?

        ***

        Hinzu kommt, dass es „nur eine App“ geben wird, das führt dann naturgegeben zur Frage nach „Reproducible Builds“: https://github.com/corona-warn-app/cwa-documentation/issues/14

        Lustig ist auch Relay: https://github.com/corona-warn-app/cwa-documentation/issues/41

        Jetzt fehlt noch, dass das OS die „Zufallsids“ auch noch unter Kontrolle hat, dann braucht es nur noch eine Verschwörung, um eine weitereTheorie daraus zu machen.
        HMM: https://blog.google/documents/69/Exposure_Notification_-_Cryptography_Specification_v1.2.1.pdf
        CRNG ist unter „External Functions“, das klingt doch erst einmal gut. Alle 10 minuten rolling-Dings-ID, immerhin. TEK 24h generiert hmm, die sind aber privat, bis infizierte die hochladen.

        Google Play Services: https://www.blog.google/documents/68/Android_Exposure_Notification_API_documentation_v1.2.pdf
        „Generates daily random Temporary Exposure Keys and RotatingProximity Identifiers (RPIs) based on them.“
        RPIs wechseln alle 10 Minuten, aber werden berechnet, vom lieben OS? Zugrunde liegt der täglich wechselnde TEK, auch vom OS!?

        Was sind jetzt external functions??
        Unter Your App: „Provides temporary tracing keys, key start time number, and key transmissionrisk level from your internet-accessible server to the Google Play services API.“

        Das sieht jetzt danach aus, als hätte die App das selbst in der Hand. Aber, die RPIs werden wohl automatisch vom System generiert, während das Gerät halt schläft oder auch etwas anderes macht, also das hier heißt wohl eher, dass der Server Daten von Infizierten teilt.

        Code lesen für Doofe ist einfacher:
        – Es gibt ein Feld für einen Temporary exposure key, aber das sind die von anderen, da steht ja das Risiko bei.
        – Es steht nicht da, dass man dem System einen Identifier oder Zufallsgenerator übergeben kann, „External Functions“ meint wohl eher soetwas wie „gottgegeben“, also z.B. AES256, oder NASA-CRNG.
        – Das Rolling Intervall ist in Vielfachen von 10 Minuten. Bei 10 Minuten würde wohl nicht viel psyeudonymes Tracking bei herauskommen, wenn man nicht die ganze Stadt mit Antennen zupflastern will (der Fall ohne einen Infizierten zu haben).

        Ja nee, das war ja auch Code im PDF oder so – wie auch immer, mir jetzt zu kompliziert :(.

        1. Google Play Services:

          a) „Generates daily random Temporary Exposure Keys and RotatingProximity Identifiers (RPIs) based on them.“
          -> Das OS generiert diese. Kann man den CRNG nicht von der APP aus setzen, hat man da keinerlei Einfluss. Es mag sein, dass hier der/ein System-CRNG benutzt wird, der z.B. auch bei sicheren Verbindungen zum Playstore selbst Anwendung finden sollte. Ist dennoch immer nett, wenn sowas explizit dokumentiert wird, sonst heißt es später dann, Mersenne mit IMEI und Zeit sei doch gut, o.ä.. Das Trollpotential für den Open-Source Teil von Android halte ich für nicht so wahrscheinlich, also dass U.S Regierung per Dekret einen anderen RNG vorschreibt, oder Android über CRNG-Verbot direkt killt. Andererseits wird das schon eine Mischung aus Positions-, Kontakt-, und Gesundheitsverfolgung. Das ist nichts, was man mal so eben aus dem Ärmel schütteln sollte.

          b) „Accepts keys from the application for exposure detection“
          -> Damit ist gemeint, die TEK Schlüssel der Infizierten, die man vom gov. Server bekommt. Dann guckt das OS, nicht die App, wem man wie nah wie oft wann war, und berechnet auf Basis der zugehörigen Konfiguration, auf die die App einfluss hat, das Risiko aus. Ich habe jetzt nicht gesehen, wie die App mal eben einzelne Incidents auf Basis eigener Analyse herausnehmen kann. Für Fälle hinter Plexiglasscheiben, bzw. Erinnerung allgemein, wäre vielleicht eine Erinnerungshilfe ganz nett, hat aber das Risiko, dass es mehr Kollisionen zwischen Köpfen gibt, weil alle dauernd nachflicken, was gerade passiert ist.

          1. Mit dem „alle TEKs“ Konzept von Google+Apple wird die Idee von DP3T wohl verhindert, Seeds zu benutzen, aus denen die eigentlichen TEKs berechnet werden können, um Bandbreite zu sparen.

            Logisch, da mehr Bendbreite auch für Werbung nutzen müssen zu wollen den genannten entgegenkomt. Was wird auf Serverseite getan? Wird es vereinfachte Mechanismen geben, herunterzuladende TEKs auf Regionen einzuschränken?

            Ganz dunkles Muster: mehr Daten, alles wird besser.

  7. Warum wir kein Tracing-Gesetz brauchen ist ganz klar:
    Eine flächendeckende Rund-um-die-Uhr-Verfolgung sämtlicher
    Bewohner eines Staates wäre ein Verstoß gegen die Menschenwürde.

    In dem Zusammenhang ist die Lektüre des Volkszählungsurteils von 1983
    (https://de.wikipedia.org/wiki/Volksz%C3%A4hlungsurteil)
    nochmal dringend anzuraten. Viele der damaligen Aspekte sind 1:1
    auf die aktuelle Situation anwendbar und weiterhin gültig.
    Pandemie hin oder her.

    Abgesehen davon, ist es seit Jahrtausenden Wunsch der Herrschenden,
    ihre Untertanen im Detail ausforschen zu können.

    Wenn man also unbedingt gesetzliche Änderungen dazu vornehmen will –
    sicherheitshalber, falls zukünftig noch seltsamere Parteien an
    die Macht kommen sollten – gehört ein Zusatz in die Verfassung:

    „Grundgesetz Artikel 13
    (8) Eine allgemeine flächendeckende Verfolgung von Personen findet nicht statt.“

    1. Die Hauptidee ist aber schon, die Benutzer nicht ins Haftungsmesser springen zu lassen.

      Die Gefahr, dass ein Gesetz zur Etablierung von Tracking u.ä. benutzt wird, mag durchaus bestehen.

      Bei der Verfolgung von Personen mittels der App kommt es schon auf das technische Konzept hinter der App an, das trifft eventuell so nicht zu. Im Gegenteil, ohne Gesetz besteht möglicherweise erst recht das Risiko, außerhalb des eigentlich beworbenen Zwecks als Benutzer der App verfolgt zu werden. Sind z.B. die Haftungsrisiken nicht ausgeräumt, könnten Strafverfolgungsbehörden auf die Idee kommen, bzgl. Benutzer der App allerlei zu vermuten oder sogar zu verfolgen.

  8. Wenn ihr die App freiwillig nutzt, braucht es kein Gesetz. Ihr nickt ja die Nutzungsbedingungen von OS und App ab, so dass kein rechtsfreier Raum entsteht.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.