Contact Tracing: Mit einer App aus der Krise

Weltweit wird über Contact-Tracing-Apps nachgedacht, mit denen die Covid-19-Pandemie eingedämmt werden könnte. Doch es gibt starke Datenschutzbedenken.

In China war die Benutzung einer App Voraussetzung für die Benutzung des öffentlichen Transports. In vielen Städten, wie hier in Shenzen, funktioniert die Bezahlung ohnehin schon via QR-Code mit WeChat. (Foto: CC-BY-SA wikimedia/Shwangtianyuan)

Eine Polizeidrohne schwebt über dem Parc du Cinquantenaire 
in Brüssel und ermahnt die Parkbesucher*innen, die Social-Distancing-Regeln einzuhalten und zu Hause zu bleiben. Das ist keine Szene aus einem dystopischen Film, sondern Ende März so passiert. Die Drohnen werden auch deswegen eingesetzt, weil sich Menschengruppen mit ihnen leicht ausmachen lassen. Seit die Covid-19-Pandemie ausgebrochen ist, ist das Schreckgespenst des Überwachungsstaates ein Stück mehr zur Realität geworden. Nun wird in vielen Ländern über die Einführung von Tracing-Apps diskutiert, die den Ausstieg aus dem Lockdown erleichtern sollen.

Auch in China wurden die Lockerungen der Ausgangssperren durch Apps begleitet. Die Apps AliPay und WeChat, die dort allgegenwärtig sind, können einen QR-Code generieren, der Zutritt zu öffentlichen Verkehrsmitteln oder Geschäften verschaffte – oder eben zur Quarantäne verdonnerte. In drei Stufen (rot für Quarantäne, gelb für Selbstisolation und grün für keinerlei Einschränkungen) wurde aufgrund des bisherigen Verhaltens die Wahrscheinlichkeit, mit SARS-CoV-2 infiziert zu sein, berechnet.

Welche Daten genau in diese Berechnung einflossen, war für die Benutzer*innen nicht ersichtlich – viele beschwerten sich darüber, fälschlicherweise einen roten Code erhalten zu haben. In Hongkong erhielten Geheilte ein elektronisches Armband, mit dem überwacht wurde, ob sie die Quarantäne einhielten – alles Maßnahmen, die mit einem enormen Eingriff in die Privatsphäre der Betroffenen einhergingen. In manchen Ländern sind andere Apps bereits im Einsatz oder kurz davor, so beispielsweise in Singapur, Kolumbien, Nordmazedonien, Österreich und Ghana. Ist es möglich, das Virus mit einer App in die Schranken zu weisen, ohne die Privatsphäre von Millionen Menschen zu verletzen?

Alles nicht so einfach

Die Idee ist in den Grundzügen einfach: Die allermeisten Menschen tragen ihr Smartphone den ganzen Tag über bei sich, wodurch es möglich ist, Kontakte zu anderen zu registrieren. Wird eine Person krank, können alle, die mit ihr in Kontakt waren, benachrichtigt werden und sich für 14 Tage isolieren. Dadurch wäre es möglich, einen Großteil des Alltagslebens wie vor der Pandemie weiterlaufen zu lassen und Infektionsherde schnell zu erkennen. Das Aufzeichnen der Kontakte – Contact Tracing genannt – ist jedoch ein technisches Problem, das nicht so einfach zu lösen ist.

Bereits im März haben Mobilfunkanbieter in mehreren Ländern, beispielsweise in Belgien und Österreich, die Verbindungsdaten ihrer Kund*innen anonymisiert an die jeweiligen Regierungen oder Datenverarbeitungsfirmen weitergegeben, damit diese ein Modell für das Contact Tracing erstellen konnten. Allerdings ergeben sich aus dieser Datensammlung erhebliche Probleme für die Privatsphäre: Wer weiß, welches Smartphone sich wann wo aufgehalten hat, kann leicht Rückschlüsse auf die Person und ihren Wohn- und Arbeitsort ziehen.

Die Lösung könnte eine freiwillig verwendete App sein. Allerdings stellt sich die Frage, wie festgestellt werden kann, wer tatsächlich in der Nähe einer Person war. Funkzellen können unterschiedlich groß sein und bieten nicht wirklich Aufschluss, das zur Navigation verwendete GPS hat ebenfalls keine sehr hohe Auflösung. Im schlechtesten Fall hätte das zur Folge, dass bei einem Krankheitsfall enorm viele Menschen in Isolation müssten, die in Wahrheit aber überhaupt keinen Kontakt mit dem*der Covid-19-Patient*in hatten.

Über Smartwatches und Fitnessarmbänder ist es theoretisch möglich, den Gesundheitszustand einer Person ziemlich genau zu untersuchen. Diese Funktionalität will das Robert Koch-Institut in Deutschland nutzen und mittels der „Corona-Datenspende-App“ die Gesundheits- und Fitnessdaten analysieren und die räumliche Verbreitung des Virus erfassen. Der Chaos Computer Club (CCC) warnt ausdrücklich vor der Nutzung: Durch die App würden dem Forschungsinstitut Zugriff auf sehr persönliche Daten genehmigt, zudem sei die Anonymisierung nicht sichergestellt.

Virtuelles Händeschütteln gegen reales Virus

Eine andere Lösung scheint sich herauszukristallisieren: Über das Bluetooth-Protokoll, mit dem sich das Handy beispielsweise mit dem Auto oder einem tragbaren Lautsprecher verbinden kann, sollen Smartphones das machen, was Menschen aktuell verboten ist. Nämlich einen virtuellen Handschlag, sobald sie weniger als einen Meter voneinander entfernt sind. Somit können alle Kontakte zu Menschen in der Umgebung aufgezeichnet werden, die tatsächlich nahe genug waren, damit eine Infektion realistisch ist. Die meisten Systeme, die in der Entwicklung sind oder bereits eingesetzt werden, basieren auf Bluetooth.

Die Probleme, die sich weiterhin stellen, lassen sich vielleicht mit einem Beispiel am besten verdeutlichen: Bob und Alice sitzen nach Lockerungen gemeinsam im Bus, die auf ihren Smartphones installierte Contact-Tracing-App registriert die Begegnung. Am nächsten Tag entwickelt Bob Symptome, nach einem Schnelltest weiß er vielleicht sogar, dass er mit SARS-CoV-2 infiziert ist. Das gibt er in die App ein und die macht … ja, was genau?

Foto woxx/ja

Zentral oder dezentral in den Überwachungsstaat?

Hier gibt es verschiedene Möglichkeiten, die zu einem Streit unter IT-Spezialist*innen geführt haben. Die große Streitfrage: Wählt man einen dezentralen oder einen zentralisierten Ansatzpunkt? Der letztere ist leichter zu verstehen: Eine zentrale Instanz, vermutlich der Staat, hat eine Datenbank mit allen Infizierten und kontaktiert alle Nutzer*innen, die Kontakt zu einem*r Infizierten hatten. Dazu müsste in unserem Beispiel Bob seine Kontaktliste aus der App dem Staat übergeben, um alle seine Kontakte zu informieren.

Dieses Modell wurde von der Gruppe Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) vorgeschlagen, zu dem unter anderem das Fraunhofer Institut, die TU Berlin und Vodafone gehören. Aus der PEPP-PT-Gruppe sind viele Institutionen und Forscher*innen mittlerweile ausgeschieden, da sie erhebliche Bedenken gegen das zentralisierte Modell hatten. Über 300 Kryptograf*innen und Sicherheitsforscher*innen – darunter auch ein Forscher der Uni Luxemburg – haben einen offenen Brief unterzeichnet, der PEPP-PT stark kritisiert.

Eine datenschutzfreundlichere Methode wurde unter Federführung der École polytechnique fédérale de Lausanne entwickelt und nennt sich Decentralized Privacy-Preserving Proximity Tracing (DP-3T). Der maßgebliche Unterschied besteht hier darin, dass kein zentraler Server weiß, wer mit wem Kontakt hatte. In unserem Beispiel informiert Bob einen zentralen Server, dass er infiziert wurde, was (anonymisiert) in einem Report steht. Alices App lädt sich diesen Report herunter und vergleicht die Infizierten mit den Kontakten, die sie gesammelt hat. Die Forscher*innen, die an DP-3T gearbeitet haben, haben sich ein kompliziertes kryptografisches Verfahren ausgedacht, mit dem es unmöglich sein soll, Nutzer*innen zu enttarnen.

Keine luxemburgische App geplant

Zwei der weltweit führenden IT-Konzerne haben die Diskussion eventuell jedoch überflüssig gemacht: Apple und Google. Auf einem Großteil der Smartphones, die im Einsatz sind, laufen mit die Betriebssystemen dieser Firmen: iOS oder Android. Das System, was Apple und Google vorschlagen, ähnelt der Idee von DP-3T sehr stark. Die Funktionalität würde über ein Update der Betriebssysteme eingefügt, womit sich auch viele technische Fragen klären würden. Die Konzerne haben außerdem angekündigt, das Contact Tracing nach der Pandemie wieder entfernen zu wollen. Somit wäre eine Kondition, die Datenschützer*innen an potenzielles Contact Tracing stellen, erfüllt.

Die luxemburgische Regierung will vorerst keine Contact-Tracing-App einführen. In diesem Punkt war Premierminister Xavier Bettel bei einer Pressekonferenz am 15. April deutlich: „Der Datenschutz geht hier vor. Wenn wir eine europäische Lösung haben, die alle Kriterien des Datenschutzes erfüllt, können wir uns an den Tisch setzen und darüber reden.“ Luxemburg sei zu klein und hätte zu viele Spezifika, um selbstständig eine solche App einzuführen.

So lobenswert diese Aussage aus Sicht des Datenschutzes auch ist – es wundert, dass eine Regierung, die sonst für jedes noch so kleine Problem eine App entwickeln lässt, sich nun gegen eine solche Lösung ausspricht. Die Europäische Kommission gibt sich skeptisch gegenüber des Vorschlages von Apple und Google – somit ist nicht damit zu rechnen, dass demnächst eine luxemburgische Contact-Tracing-App eingeführt wird.

Generell stellt sich die Frage, ob es überhaupt möglich ist, einem sozialen und sanitären Problem wie der Covid-19-Pandemie mit einer technischen Lösung zu begegnen. Auch eine Lösung, die auf Datenschutzbedenken Rücksicht nimmt und technisch ausgereift ist, birgt immer noch die Gefahr von Manipulation. 14 Forscher*innen, vor allem vom französischen Institut national de recherche en sciences et technologies du numérique (Inria) haben am Mittwoch ein Dokument veröffentlicht, in dem sie verschiedenste Szenarien skizzieren, mit denen eine Contact-Tracing-App missbraucht werden könnte. Außerdem betonen sie, dass sich die vorgebliche Anonymität als schlechter Scherz entpuppen könnte, da es in vielen Fällen wohl sehr einfach nachzuvollziehen sei, wer von den Sozialkontakten infiziert  sei.

Der deutsche CCC und die amerikanische Bürger*innenrechtsorgani-
sation ACLU haben Prüfsteine veröffentlicht, anhand derer sie mögliche Contact-Tracing-Apps bewerten wollen – und pochen auf Freiwilligkeit, Datensparsamkeit und Anonymität. Die französische Netzaktivismusgruppe La Quadrature du Net lehnt solche Apps generell ab. Wenn wir nicht alle aufmerksam sind und die Entwicklungen um Contact Tracing kritisch verfolgen, könnte durch die Hintertür schnell eine Generalüberwachung eingeführt werden. Dann würde man sich vielleicht schnell die gute alte Zeit zurückwünschen, in der lediglich Polizeidrohnen einen zum Zuhausebleiben ermahnten.


Cet article vous a plu ?
Nous offrons gratuitement nos articles avec leur regard résolument écologique, féministe et progressif sur le monde. Sans pub ni offre premium ou paywall. Nous avons en effet la conviction que l’accès à l’information doit rester libre. Afin de pouvoir garantir qu’à l’avenir nos articles seront accessibles à quiconque s’y intéresse, nous avons besoin de votre soutien – à travers un abonnement ou un don : woxx.lu/support.

Hat Ihnen dieser Artikel gefallen?
Wir stellen unsere Artikel mit unserem einzigartigen, ökologischen, feministischen, gesellschaftskritischen und linkem Blick auf die Welt allen kostenlos zur Verfügung – ohne Werbung, ohne „Plus“-, „Premium“-Angebot oder eine Paywall. Denn wir sind der Meinung, dass der Zugang zu Informationen frei sein sollte. Um das auch in Zukunft gewährleisten zu können, benötigen wir Ihre Unterstützung; mit einem Abonnement oder einer Spende: woxx.lu/support.
Tagged , , , , , , .Speichere in deinen Favoriten diesen permalink.

Kommentare sind geschlossen.