Bluetooth-Corona-App auf dem Smartphone

DP3T, PEPP-PT und TCN: Helfer im Kampf gegen Corona

Im Kampf gegen Corona sind unter anderem App-Lösungen und Technologien wie DP3T, PEPP-PT und TCN im Gespräch. Was können sie? Und vor allem: Was dürfen sie aus Datenschutzsicht?

2020-06-08

Logo

Sogenannte Covid-19-Apps oder Anti-Corona-Apps sollen mittels anonymisierter Handyortung helfen, Infektionsketten von Menschen nachzuverfolgen und Kontakte von Covid19-Infizierten zu informieren. Die Schwierigkeit dabei ist aus datenschutzrechtlicher Sicht, dass Standort- und Kontaktdaten zu den personenbezogenen Daten gehören und damit durch die DSGVO geschützt sind. Also sollen diese Daten anonymisiert übertragen und ausgewertet werden. Initiativen wie GesundZusammen wollen mittels anonymisierter Kontaktdaten Leben retten. Aber welche Technologien steckt dahinter und wie funktionieren diese?
 

DP3T – Beispiel für eine dezentrale Speicherung

DP3T bedeutet Decentralized Privacy-Preserving Proximity Tracing. Es handelt sich dabei um ein dezentrales Proximity-Tracing-Verfahren und befindet sich derzeit noch in der Entwicklung. Konkret arbeitet DP3T mit Nahbereichsverfolgung mittels Bluetooth Low Energy-Nahfunk. Registrieren sich Nutzer:innen für eine App, die mit DP3T arbeitet, und stimmen den Nutzungsbedingungen zu, werden alle Begegnungen mit anderen Bluetooth-Netzen gespeichert. Wenn auch die andere Person bei der gleichen App registriert ist, könnte sie direkt kontaktiert werden, sollte einer der beiden mit Covid19 infiziert sein. Ansonsten ließe sich zumindest die Anzahl der Menschen, mit dem der/ die Infizierte in Kontakt kam, konkret ermitteln. Das hilft insbesondere bei der Vorhersage von Fallzahlen und für die Planung im Gesundheitssystem.

Das Ziel ist, dass auch Menschen, die bisher keine Symptome zeigen, so schnell wie möglich erfahren, wenn sie mit einem:r Infizierten länger zusammen waren. So können weitere Schritte eingeleitet werden (wie Quarantäne und / oder ein Test, um so die Ansteckungskette zu stoppen).

Damit ein System, das mittels DP3T arbeitet, Erfolg haben kann, müssten laut der Aussage von Virolog:innen allerdings mindestens zwischen 30-60% der Bevölkerung eine solche App nutzen. Dabei gibt es auch Probleme: Das Tracking über Bluetooth läuft zwar anonym ab, besitzt aber nur eine eingeschränkte Genauigkeit. Besonders in Großstädten leben Menschen so nah auf- und übereinander, dass die Gefahr besteht, dass die App Begegnungen zählen würde, die gar keine waren.

 

PEPP-PT – Beispiel für eine zentrale Speicherung

PEPP-PT bedeutet Pan-European Privacy-Preserving Proximity Tracing und wird oft als bekanntes Beispiel für einen zentralen Ansatz einer Corona-Tracing-App bezeichnet. Diese Technologie speichert die Daten der App-Nutzer:innen also zentralisiert und arbeitet mittels Abstandsmessung per Bluetooth-Sensorik (Bluetooth Low Energy). Die Sensorik dahinter erkennt, ob sich Personen, beispielsweise im Supermarkt oder in der U-Bahn, längere Minuten in direkter Umgebung befanden. Die App stütz sich dabei auf die anonymisierten Daten, die alle Smartphones untereinander austauschen. Sollte jemand seiner App seine Corona-Erkrankung melden, dann werden alle Smartphones, das mit dem des/ der Erkrankten Kontakt hatte, angepingt. Das ist auch durch anonymisierte Daten möglich. So sollen Infektionsketten unterbrochen werden können.

 

TCN – Beispiel für eine dezentrale Nachverfolgung

TCN steht für Temporary Contact Numbers. Diese Lösung ist ein weiterer Ansatz für die dezentrale Nachverfolgung von Kontakten auf Basis von Bluetooth Low Energy. Auch hier ist ein hoher Datenschutzstandard und die Offenlegung des Quellcodes erklärtes Ziel der Entwickler:innen. Durch die Kombination mit einem zusätzlichen Verschlüsselungssystem soll es bei TCN sogar möglich sein, Kontakte zu verfolgen, ohne dass die IDs von Infizierten auf die einzelnen Geräte der Kontakte geladen werden müssten.  

 

Was die Technologien dürfen – und müssen

Der wesentliche Unterschied zwischen DP3T und PEPP-PT ist die Speicherart: bei DP3T werden die Kontakte dezentral auf den Geräten (in den Apps) gespeichert; bei der PEPP-PT-Lösung auf einem zentralen Server des jeweiligen Landes (z.B. Gesundheitsministerium). Beides hat Vor- und Nachteile, die momentan heiß diskutiert werden. Frankreich hat sich für einen komplett zentralen Ansatz entschieden entschieden (der mittels dem Protokoll ROBERT läuft), Deutschland wie ein Großteil Europas hingegen für eine Mischung aus DP3T und Teile von TCN. Dezentrale und zentrale Technologien basierend auf Bluetooth kommen bei Anti-Corona-Apps in Europa gerade am häufigsten zum Einsatz.

Langfristig wird für einen Datenschutz und das Vertrauen der Bürger:innen entscheidend sein, dass die Anwendungen nach der Pandemie abgeschaltet werden, die Daten mit Personenbezug unwiderruflich gelöscht und alle weiteren Daten ausschließlich zur Erforschung der Pandemie verwendet werden. Zu diesen Maßnahmen muss es bereits bei Inbetriebnahme der Apps transparente und valide Regelungen geben.

Autorinnen: Kathrin Strauß und Dorothea Teichmann
Artikel veröffentlicht am: 08. Juni 2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr