Kontaktverfolgung

Wie die Corona-App Frankreich in Europa isoliert

Die Corona-App zur Kontaktverfolgung soll nicht nur in Deutschland funktionieren, sondern in ganz Europa. Ganz Europa? Nein, denn Frankreich bleibt beim europäischen Datenaustausch erstmal außen vor.

Macron and Merkel
Jupiter trifft Mutti: Frankreichs Präsident und die deutsche Kanzlerin Alle Rechte vorbehalten European Union

In Deutschland startet heute mit viel Fanfare die Corona-App, die es in einigen anderen EU-Ländern bereits gibt und mit der Infektionsketten besser nachvollziehbar werden sollen. Bislang arbeitet jedes Land mehr oder weniger auf eigene Faust an seiner App. Mit der Wiederöffnung der Grenzen und der sommerlichen Reisezeit sollen die Corona-Apps der verschiedenen Länder jedoch miteinander „sprechen“ können, also Daten austauschen und damit grenzüberschreitend funktionieren. Im Fachjargon heißt das Interoperabilität.

Die EU-Kommission stellt zeitgleich mit dem Start der deutschen App ihr Konzept für grenzenlose Apps vor. Künftig soll es eine gemeinsame Serverinfrastruktur der EU-Staaten geben („federation gateway“), welches den Datenaustausch zwischen den Backend-Servern der einzelnen nationalen App-Lösungen regelt. Dafür legt die Kommission in Abstimmung mit den Staaten am heutigen Dienstag ein 10-seitiges Dokument mit technischen Spezifikationen vor – ein erster Schritt. Die Gateway-Server möchte die EU-Kommission selbst betreiben, sie sollen binnen drei Wochen bereitstehen.

Erste Tests der gemeinsamen Infrastruktur sollen „sobald als möglich“ stattfinden. Einen Pilotversuch soll es zwischen Deutschland, den Niederlanden, Polen und Irland geben, sagte ein Sprecher der EU-Kommission.

Der zuständige EU-Digitalkommissar Thierry Breton drängt dazu, die Apps möglichst bald grenzüberschreitend einsetzbar zu machen. „Da wir uns der Reisesaison nähern, ist es wichtig, sicherzustellen, dass die Europäer die App von ihrem eigenen Land aus nutzen können, wo immer sie in der EU unterwegs sind.“ Anders gesagt: Wer im Urlaub in Italien einer später als infiziert gemeldeten Person nah war, soll darüber ebenfalls gewarnt werden können.

Frankreich geht eigenen Weg

Bei der Einigung gibt es allerdings eine große Ausnahme: Frankreich. Fast alle EU-Staaten verwenden für ihre Apps eine datenschutzfreundliche Infrastruktur, bei der Kontaktdaten dezentral auf den Handys der Nutzer:innen abgelegt werden. In Deutschland kommt die eigens von Google und Apple geschaffene Schnittstelle zum Einsatz, die praktisch einen globalen Standard für Kontaktverfolgung darstellt.

Die französische Regierung setzt hingegen von Anfang an auf eine zentralisierte Datenspeicherung, die den Gesundheitsbehörden Einblick in die sozialen Kontakte ihrer Nutzer:innen gibt, sollten sich diese in der App infiziert melden.

Weil dieser Ansatz technisch und datenschutzrechtlich schwer mit den Lösungen vereinbar ist, die in der restlichen EU zum Einsatz kommen, bleibt Frankreich bei der grenzüberschreitenden App-Nutzung außen vor. Die gemeinsame Infrastruktur der EU-Staaten funktioniert erstmal nur für dezentrale Apps, wie die Kommission betont. Bislang haben sechs Mitgliedsstaaten dezentrale Apps gelauncht, weiter elf planen das in den kommenden Wochen.

In Brüssel kann niemand mit Sicherheit sagen, ob und wann der gemeinsame, dezentrale Ansatz der anderen Staaten mit der französischen App kompatibel gemacht werden kann. Das eHealth-Netzwerk aus Kommission und Mitgliedsstaaten arbeite in einer eigenen Arbeitsgruppe daran, aber es gebe noch keinen Zeitplan dafür, sagte ein Sprecher auf eine Frage von netzpolitik.org.

Der Europäische Datenschutzausschuss erklärte nach der Ankündigung der Kommission, zwischen den unterschiedlichen Ansätzen von Frankreich und anderen EU-Staaten könne eine Interoperabilität sich als „praktisch nicht durchführbar erweisen, ohne unverhältnismäßige Nachteile“ in Kauf zu nehmen.

Die Spaltung zwischen den EU-Staaten zeichnet sich schon seit Wochen ab. In offiziellen Dokumenten lobten die Kommission und die EU-Datenschutzbehörden die dezentrale Speicherung zwar als die datensparsamste und damit datenschutzfreundlichste Variante. Allerdings scheut die Kommission davor zurück, den französischen Ansatz direkt zu kritisieren.

Digitalkommissar Breton, ein ehemaliger französischer Minister, drängt die EU-Staaten seit Wochen zur Entwicklung von Tracing-Apps. Um die nötigen technischen Voraussetzungen zu schaffen, lobbyierte Breton sogar in Telefongesprächen bei Google-Chef Sundar Pichai und Apple-Chef Tim Cook. Das eigenen Land konnte oder wollte der Kommissar aber offenkundig nicht von einem einheitlichen Ansatz überzeugen.

Warnung vor Geolokalisierung

Bis zur nahtlosen grenzüberschreitenden Nutzung der Apps, wie sie sich die EU-Kommission wünscht, ist ohnehin noch einiges zu tun. Die Staaten und die Kommission müssen die nun vorgeschlagene Infrastruktur umsetzen. Ein konkreter Zeitplan dafür lag zunächst nicht vor.

„Die Dokumente sagen nicht, wie die Interoperabilität erreicht werden soll“, kritisiert der französische Kryptographie-Experte Serge Vaudenay gegenüber netzpolitik.org. „Dies ist noch zu lösen. Ich bin besorgt, dass es mehr Sicherheits- und Datenschutzprobleme aufwerfen könnte, als wir jetzt haben.“

Der Sicherheitsforscher weist auf einen möglichen Widerspruch der EU-Pläne mit den Vorgaben von Google und Apple hin. Denn die Pläne der EU-Kommission sehen vor, dass die Apps alle Länder identifizieren sollen, in denen sich die Nutzer:innen in den vergangenen 14 Tagen aufgehalten haben. Das soll das Volumen der auszutauschenden Daten reduzieren. Die Vorgaben von Google und Apple verbieten Apps allerdings, Standortdaten zu sammeln.

„Der App zu erlauben, das besuchte Land automatisch zu erkennen, impliziert eine Ausnahme zu der Absicht, die Geolokalisierung nicht zu verwenden“, sagt Vaudeny. „Wir sollten die Konsequenzen davon untersuchen.“

Bedeutend ist an der Ankündigung der Kommission vor allem die Klarstellung, dass die grenzüberschreitende Nutzung von Corona-Apps zunächst nur mit der datenschutzfreundlichen dezentralen Speichervariante möglich ist. Ob die Verwendung der deutschen Corona-App diesen Sommer in Frankreich möglich sein wird, oder überhaupt, ist mehr als fraglich.

Update 17.06.2020: Die Erklärung des Europäischen Datenschutzausschusses wurde nachträglich hinzugefügt. Eine Verweis aus ein bevorstehendes Treffen des Ausschusses im vorletzten Absatz wurde entfernt.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

6 Ergänzungen
  1. Die Franzosen könnten doch einfach *zusätzlich* die Apple/Google-API nutzen. Wäre für die Programmierer sicherlich nicht schwer, das einzubauen.

    1. Die Nutzungsbedingungen für die API sind recht strikt: keine Sammlung von zentralen Profilen, etc. Genau das scheint die franz. App ja zu machen. Daher scheint mir eine einfache Nachrüstung nicht möglich zu sein.

  2. Wer sich diese App auf seinem Smartphone installiert, hat den „Schuss noch nicht gehört“.

    Meine Meinung: alles was die Politik in Verbindung mit dem RKI und anderer fraglicher Institutionen bisher bzgl. der angeblichen Corona-Pandemie inszeniert hat ist mit „nötigender Willkür“ noch wohlwollend umschrieben.

  3. Bei Aufenthalt in Frankreich könnte zusätzlich die französische Corona-App geladen werden.
    Welcher Effekt tritt bei paralleler Nutzung der beiden Apps ein?

    1. Eine gleichzeitige Nutzung beider Apps ist wohl möglich, allerdings macht das die Sache insbesondere an Transitorten wie Flughäfen nicht gerade leichter.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.