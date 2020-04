Sie liegt zwar immer noch nicht vor, die Corona-Tracing-App, aber eines kann man schon mal resümieren: Kommunikativ ist einiges schief gelaufen in dem Prozess. Im datenschutzbewussten Deutschland ein System zur digitalen Verfolgung realer Kontakte etablieren zu wollen, ist ein Novum, das gut erklärt und begründet werden muss.Nur so kann man die Bürgerinnen und Bürger dafür gewinnen, es zu nutzen.

Und das sollte gelingen, schließlich ist so eine Tracing-App ein wesentlicher Teil der Strategie nach möglichen weiteren Lockerungen der Corona-Beschränkungen. Die Grundidee: Wenn das Handyprogramm auf sehr vielen Mobiltelefonen der Bürgerinnen und Bürger installiert ist, können schnell Kontaktpersonen von Infizierten identifiziert und isoliert werden. So könnte die Pandemie auch bei weniger Beschränkungen in Schach gehalten werden.

Wohl auch wegen der Datenschutzbedenken in Deutschland war das Projekt „PEPP-PT“ zunächst unter Ausschluss der Öffentlichkeit entwickelt worden, bevor man es am 1. April präsentierte. Dabei handelt es sich um einen technischen Standard zur Messung von Abständen zwischen zwei Handys mit Hilfe von Bluetooth. Auf dieser Basis sollen Apps entwickelt werden, die ihre Nutzer automatisch benachrichtigen, wenn sie einer infizierten Person zu lange zu nah gekommen sind.

Bund hielt sich anfangs zurück

Hinter PEPP-PT (pan-european privacy-preserving proximity tracing initiative) steht ein loses Konsortium aus wissenschaftlichen Institutionen und privaten Unternehmen. Anfangs war von rund 120 Vertretern aus mehreren europäischen Ländern die Rede, inzwischen sollen es noch mehr sein.

In der Öffentlichkeit traten vor allem drei Personen auf: Thomas Wiegand, Leiter des Fraunhofer Heinrich-Hertz-Instituts, Marcel Salathé, Epidemiologe an der EPFL in Lausanne, und Chris Boos, Gründer der KI-Firma Arago und Mitglied im Digitalrat der Bundesregierung.

Der Bund war von Beginn an über das Projekt informiert, hielt sich mit offiziellen Aussagen aber zunächst zurück. Erst letzte Woche bekannte die Regierung, für die Rückverfolgung von Infektionsketten via App den Standard von PEPP-PT zu unterstützen.

Chaos und Unmut rund um die App

Zuvor hatte Gesundheitsminister Jens Spahn (CDU) für Verwirrung gesorgt. Er wollte in einem Gesetzentwurf einen Passus verankern, der dem Staat den Zugriff auf individuelle Mobilfunkdaten zur Pandemiebekämpfung erlaubt hätte. Dieser Vorstoß kam ausgerechnet zwei Tage vor der Pressekonferenz von PEPP-PT, das damit wirbt, nur anonyme Daten nutzen zu wollen und dies nur mit Zustimmung der Bürger.

Als nächstes veröffentlichte das Robert-Koch-Institut (RKI) dann plötzlich noch eine eigene Corona-App, die Fitnessdaten analysiert. Diese hat nichts mit dem PEPP-PT-Standart zu tun, der ja vor allem auf Anonymität setzt. In der Bevölkerung aber haben nicht alle verstanden, dass es um zwei grundverschiedene Apps geht.

Streit unter PEPP-PP-Entwicklern

In diese Gemengelage kommt nun ein offen ausgetragener Streit zwischen den Entwicklern von PEPP-PT. Am Freitag verkündete Marcel Salathé öffentlich seinen Ausstieg aus der Initiative. „Ich persönlich distanziere mich von PEPP-PT“, twitterte er.

Mit ihm verließen seine Kollegen von der EPFL Lausanne und von der ETH Zürich das Projekt. Später folgten das deutsche Helmholtz-Zentrum für Informationssicherheit CISPA und die belgische KU Leuven.

App-Infrastruktur: Streit um das Architekturkonzept

Entzündet hatte sich der Streit an der Frage, welches Architekturkonzept bei PEPP-PT eingesetzt werden soll. Wissenschaftler und IT-Fachleute sind sich uneins, wie die anonymen Daten zur Identifizierung, also die IDs, einzelner App-Nutzer gespeichert werden sollen: Zentral auf einem Server, den der Staat beziehungsweise das RKI betreibt? Oder verbleiben alle Daten zu Begegnungen zwischen zwei Telefonen vollständig dezentral auf dem jeweiligen Mobilgerät?

Bei einem serverbasierten Modell findet die wesentliche Berechnung - also war das Handy eines Infizierten in der Nähe eines anderen Appnutzers, und muss dieser gewarnt werden - auf einem Server statt. Bei der dezentralen Variante findet der Abgleich auf den Geräten selbst statt, das Gerät des Infizierten löst das Verschicken der Warnmeldungen an Kontakte selbst aus.

Hauptinitiatoren setzen auf zentralen Server

Die Hauptinitiatoren der PEPP-PT-Initiative, Chris Boos und Thomas Wiegand, wollen die zentrale Variante umsetzen, genau wie das französische KI-Forschungsinstitut INRIA. Andere Vorschläge, darunter das Tracing-Konzept der TU München (contacTUM) und die Initiative DP3T, hinter der sich Marcel Salathé und seine Schweizer Kollegen, sowie CISPA versammeln, präferieren eine dezentrale Lösung.

Während DP3T sein Konzept früh publiziert und zur Diskussion freigegeben hatte, hatte PEPP-PT zunächst darauf verzichtet. „Die Kommunikation bei PEPP-PT ist nicht transparent. Ideen wurden lange nur hinter verschlossenen Türen diskutiert und nicht veröffentlicht“, klagt Salathé im Gespräch mit Tagesspiegel Background.

Boos entschuldigte sich am Freitag im Rahmen einer Pressekonferenz und erklärte, Salathé zurückgewinnen zu wollen. Seit Samstag ist nun auch das Konzept von PEPP-PT öffentlich verfügbar.

Die Schwachpunkte beider Systeme

„Beide Modelle haben sowohl aus technischer Sicht als auch aus Sicht des Datenschutzes Vor- und Nachteile“, analysiert der Jurist Ulf Buermeyer, Vorsitzender der Gesellschaft der Freiheitsrechte, in der aktuellen Folge seines Podcasts „Lage der Nation“.

Zwar klinge eine zentrale Serverlösung auf den ersten Blick immer schlecht, „weil an einem zentralen Ort Daten abgegriffen werden könnten“, sagt Buermeyer. Hier sei es aber komplizierter.

Auch bei denzentraler Variante Datenschutz-Probleme

Zwar falle bei einem dezentralen System der Server als mögliche Schwachstelle aus, doch führe dies dazu, dass alle Geräte untereinander kommunizieren müssten. Die Folge: Die anderen Geräte kennen dann die ID desjenigen, der die Warnung verschickt hat, also sicher infiziert ist.

So könnte eine potenzielle Datenschutzlücke entstehen – gerade bei den besonders geschützten Gesundheitsdaten. Das öffne – etwa in Kombination mit Gesichtserkennungssoftware – die Tür für Missbrauch durch Dritte.

Angst vor Missbrauch bei zentralem Server

Kritiker der zentralen Variante fürchten hingegen, dass eine solche Infrastruktur von Unrechtsstaaten mittelfristig für die Überwachung von Bürgern zweckentfremdet werden könnte. Auch in demokratischen Systemen könnten die auf dem Server gespeicherten Daten staatliche Stellen dazu einladen, Informationen auch für andere Zwecke zu nutzen, etwa für polizeiliche Arbeit.

Wissenschaftler könnten zudem auch mit anonymen Datensätzen soziale Analysen durchführen und Netzwerke oder Cliquen herausarbeiten. „Ein zentrales System kann technisch gesehen zu einem Überwachungssystem umgerüstet werden“, sagt Marcel Salathé.

Wissenschaftler können Daten nutzen

Das Konzept von PEPP-PT sieht die Nutzung der Daten auch für wissenschaftliche Zwecke vor. Dieser Option müssen die App-Nutzer gesondert zustimmen, die Daten sollen auf einem Extra-Server gespeichert werden. Den zentralen Server benötige man außerdem, um validieren zu können, ob die ausgesprochenen Warnungen tatsächlich mit späteren Infektionen einhergehen, heißt es bei PEPP-PT.

Schließlich kann heute noch niemand genau sagen, wie viel Meter Abstand und welcher Zeitraum ausreichen, um sich mit Covid-19 anzustecken – zumal die App-Nutzer ihr Mobiltelefon mal in der Hose, mal in der Handtasche tragen.

Ein weiterer Vorteil der Metadaten-Analyse könne sein, den Entscheidungsalgorithmus einer App nach einer ersten Praxisphase zu verbessern, sagt Ulf Buermeyer. „Wenn man ‚false positives‘ vermeiden will, spricht viel dafür, den Algorithmus so gut wie möglich zu trainieren“, sagt er.

70 bis 80 Prozent Trefferquote bei Praxistests

Ein deutscher App-Prototyp war in den letzten Wochen von der Bundeswehr in der Praxis getestet worden. Laut dem Fraunhofer Heinrich-Hertz-Institut, das die Testreihe leitet, liegen die Trefferquoten bei Smartphones mit Android-Betriebssystem bei 70 bis 80 Prozent.

„Wir sollten mit dieser App keine Daten sammeln, sondern sie nur für das Contact-Tracing einsetzen“, betont hingegen Salathé. „Als Epidemiologe sage ich: Natürlich sind mehr Daten immer besser. Die Frage ist aber auch: was nutzen mir social graphs, also die Speicherung von komplexen Kontaktnetzwerken, wenn ich nichts über andere Faktoren weiß, die bei der Ansteckung eine Rolle spielen, etwa den Immunstatus der Menschen, oder ob sie eine Maske getragen haben?“

KI-Forscher: „Das ist eher ein philosophischer Streit“

„Ob der zentrale oder dezentrale Ansatz gewählt wird, ist nicht so wichtig“, sagt hingegen Paul Lukowicz, Scientific Director für Embedded Intelligence am DFKI in Kaiserslautern. „Das ist eher ein philosophischer Streit wie die Frage nach Linux oder Windows.“

Er könne die Argumente für eine dezentrale Lösung nachvollziehen, sagt Lukowicz, hoffe aber, es bleibe ein Sturm im Wasserglas, der sich bald lege. Letztlich sei die Diskussion kontraproduktiv und andere offene technische Punkte wichtiger.

„Extrem wichtig ist außerdem, dass die Apps und Geräte wirklich miteinander kommunizieren können“, sagt er. Dafür sei auch die Kooperation mit Apple und Google entscheidend, denn bislang hätten Android und iOS-Apps oft Schwierigkeiten miteinander.

Apple-Geräte machen Probleme

Eine weitere Herausforderung sei es, dass Apps, die Bluetooth nutzen, bei Apple bisher nicht im Hintergrund laufen können. Apple-Geräte scheinen deshalb auch bei den Bundeswehr-Tests nicht berücksichtigt worden zu sein.

Buermeyer glaubt, dass es letztlich darum gehe, eine gesellschaftliche oder politische Entscheidung zu treffen – und keine rein technische: „Bei beiden Modellen, dem zentralen und dem dezentralen, geht es immer darum, welches Risiko will ich lieber eingehen? Ganz ohne Risiko geht es nicht.“

Der Zeitdruck macht die Sache nicht leichter. Die Politik würde eine Lösung gern möglichst bald präsentieren, am liebsten Anfang Mai, wenn die Lockerungen aus dem Lockdown beginnen sollen. Noch wichtiger scheint zu sein, jetzt einen Kompromiss zwischen den Parteien zu finden, auch, damit die verschiedenen Länder-Apps am Ende miteinander kompatibel sind. Sonst gewinnt man kein Vertrauen, für keine Variante. (Mitarbeit: Paul Dalg, Lina Rusch und Oliver Voß)