Corona-App und Datenschutz - viel Zeit verschwendet (02.04.20)

Länder wie China und Südkorea haben schon früh auf Apps gesetzt, die eine schnelle Ermittlung von Kontaktpersonen Infizierter ermöglichten. Man kann davon ausgehen, dass sie einen messbaren Beitrag zur Eindämmung der Epidemie in diesen Ländern geleistet haben. Die Apps sind auf Anordnung der Regierung in diesen Ländern weiterhin im Einsatz, um ein erneutes Ansteigen der Infektionszahlen nach weitgehender Aufhebung der Ausgangsbeschränkungen (soweit solche bestanden) zu verhindern. Da die Apps "zwangsweise" auf den Smartphones der Bürger installiert wurden und Bewegungsprofile der Handynutzer aufgezeichnet werden, haben Politiker in Deutschland den Einsatz von Apps zur Nachverfolgung von Corona-Infektionsketten über Wochen mehr oder weniger kategorisch abgelehnt.

Aus Gründen des Datenschutzes ist es auch aus heutiger Sicht völlig richtig, die App z.B. aus Südkorea nicht einfach 1:1 zu übernehmen und verpflichtend in Deutschland einzuführen. Völlig falsch ist aber aus heutiger Sicht auch die lange kategorische Ablehnung einer App durch führende Politiker. Es wurde viel Zeit mit einer fruchtlosen Diskussion über theoretische Datenschutzprobleme verschwendet, statt sofort die Entwicklung einer datenschutzkonformen App europäisch koordiniert und intensiv voran zu treiben.
Nach langen Wochen ist nun aber endlich mit dem Pan-European Privacy-Preserving Proximity Tracing (Pepp-Pt) eine sehr gute Lösung auf den Weg gebracht, hauptsächlich auf Initiative der Beteiligten Institute und Firmen. Über 130 Techniker und Wissenschaftler aus verschiedenen europäischen Ländern sind daran beteiligt. Die Ergebnisse der Arbeit werden einer gemeinnützigen Organisation gehören und die definierten technischen Standards sollen frei zugänglich sein. In Deutschland sind u.a. das Fraunhofer-Institut für Nachrichtentechnik und das RKI an der Entwicklung beteiligt.

Um den Datenschutzrichtlinien gerecht zu werden, haben Apps auf Basis von Pepp-Pt keinen Zugriff auf Standortdaten oder Bewegungsprofile der Handynutzer. Gespeichert wird lediglich, welche anderen Handys sich wie lange in der Nähe aufhalten, vorausgesetzt, auf den anderen Handys ist ebenfalls eine kompatible App aktiv. Zwischen den Smartphones werden nur speziell für diesen Zweck generierte IDs per Bluetooth ausgetauscht. Die ausgetauschten IDs werden ausschließlich lokal für 2 bis 3 Wochen auf den Smartphones gespeichert und nicht zu zentralen Servern übermittelt.
Im Fall einer Infektion muss die betroffene Person aktiv die Übermittlung der auf ihrem Smartphone gespeicherten IDs an einen zentralen Server anstoßen. Mit diesem zentralen Server gleichen alle Apps ihre lokal gespeicherten IDs ab, der datenfluss geht also nur vom Server zu den Smartphones. Ist eine der IDs auf dem zentralen Server identisch mit einer lokal gespeicherten Kontakt-ID, hatte man im Laufe der letzten 2 Wochen Kontakt zu einem Infizierten. Zeit und Ort des Kontaktes sind dabei nicht bekannt und auch die konkrete Person hinter der ID ist nicht bekannt.
Man kann also die Funktion der App in einem Satz zusammenfassen, sie stellt die Information zur Verfügung: Sie hatten in den letzten 14 Tagen Kontakt mit einer Infizierten Person und könnten selbst angesteckt sein – begeben Sie sich in häusliche Quarantäne und lassen Sie sich testen!