Sogenannte Covid-19-Apps oder Anti-Corona-Apps sollen mittels anonymisierter Handyortung helfen, Infektionsketten von Menschen nachzuverfolgen und Kontakte von Covid19-Infizierten zu informieren. Die Schwierigkeit dabei ist aus datenschutzrechtlicher Sicht, dass Standort- und Kontaktdaten zu den personenbezogenen Daten gehören und damit durch die DSGVO geschützt sind. Also sollen diese Daten anonymisiert übertragen und ausgewertet werden. Initiativen wie GesundZusammen wollen mittels anonymisierter Kontaktdaten Leben retten. Aber welche Technologien steckt dahinter und wie funktionieren diese?
DP3T – Beispiel für eine dezentrale Speicherung
DP3T bedeutet Decentralized Privacy-Preserving Proximity Tracing. Es handelt sich dabei um ein dezentrales Proximity-Tracing-Verfahren und befindet sich derzeit noch in der Entwicklung. Konkret arbeitet DP3T mit Nahbereichsverfolgung mittels Bluetooth Low Energy-Nahfunk. Registrieren sich Nutzer:innen für eine App, die mit DP3T arbeitet, und stimmen den Nutzungsbedingungen zu, werden alle Begegnungen mit anderen Bluetooth-Netzen gespeichert. Wenn auch die andere Person bei der gleichen App registriert ist, könnte sie direkt kontaktiert werden, sollte einer der beiden mit Covid19 infiziert sein. Ansonsten ließe sich zumindest die Anzahl der Menschen, mit dem der/ die Infizierte in Kontakt kam, konkret ermitteln. Das hilft insbesondere bei der Vorhersage von Fallzahlen und für die Planung im Gesundheitssystem.
Das Ziel ist, dass auch Menschen, die bisher keine Symptome zeigen, so schnell wie möglich erfahren, wenn sie mit einem:r Infizierten länger zusammen waren. So können weitere Schritte eingeleitet werden (wie Quarantäne und / oder ein Test, um so die Ansteckungskette zu stoppen).
Damit ein System, das mittels DP3T arbeitet, Erfolg haben kann, müssten laut der Aussage von Virolog:innen allerdings mindestens zwischen 30-60% der Bevölkerung eine solche App nutzen. Dabei gibt es auch Probleme: Das Tracking über Bluetooth läuft zwar anonym ab, besitzt aber nur eine eingeschränkte Genauigkeit. Besonders in Großstädten leben Menschen so nah auf- und übereinander, dass die Gefahr besteht, dass die App Begegnungen zählen würde, die gar keine waren.
PEPP-PT – Beispiel für eine zentrale Speicherung
PEPP-PT bedeutet Pan-European Privacy-Preserving Proximity Tracing und wird oft als bekanntes Beispiel für einen zentralen Ansatz einer Corona-Tracing-App bezeichnet. Diese Technologie speichert die Daten der App-Nutzer:innen also zentralisiert und arbeitet mittels Abstandsmessung per Bluetooth-Sensorik (Bluetooth Low Energy). Die Sensorik dahinter erkennt, ob sich Personen, beispielsweise im Supermarkt oder in der U-Bahn, längere Minuten in direkter Umgebung befanden. Die App stütz sich dabei auf die anonymisierten Daten, die alle Smartphones untereinander austauschen. Sollte jemand seiner App seine Corona-Erkrankung melden, dann werden alle Smartphones, das mit dem des/ der Erkrankten Kontakt hatte, angepingt. Das ist auch durch anonymisierte Daten möglich. So sollen Infektionsketten unterbrochen werden können.
TCN – Beispiel für eine dezentrale Nachverfolgung
TCN steht für Temporary Contact Numbers. Diese Lösung ist ein weiterer Ansatz für die dezentrale Nachverfolgung von Kontakten auf Basis von Bluetooth Low Energy. Auch hier ist ein hoher Datenschutzstandard und die Offenlegung des Quellcodes erklärtes Ziel der Entwickler:innen. Durch die Kombination mit einem zusätzlichen Verschlüsselungssystem soll es bei TCN sogar möglich sein, Kontakte zu verfolgen, ohne dass die IDs von Infizierten auf die einzelnen Geräte der Kontakte geladen werden müssten.
Was die Technologien dürfen – und müssen
Der wesentliche Unterschied zwischen DP3T und PEPP-PT ist die Speicherart: bei DP3T werden die Kontakte dezentral auf den Geräten (in den Apps) gespeichert; bei der PEPP-PT-Lösung auf einem zentralen Server des jeweiligen Landes (z.B. Gesundheitsministerium). Beides hat Vor- und Nachteile, die momentan heiß diskutiert werden. Frankreich hat sich für einen komplett zentralen Ansatz entschieden entschieden (der mittels dem Protokoll ROBERT läuft), Deutschland wie ein Großteil Europas hingegen für eine Mischung aus DP3T und Teile von TCN. Dezentrale und zentrale Technologien basierend auf Bluetooth kommen bei Anti-Corona-Apps in Europa gerade am häufigsten zum Einsatz.
Langfristig wird für einen Datenschutz und das Vertrauen der Bürger:innen entscheidend sein, dass die Anwendungen nach der Pandemie abgeschaltet werden, die Daten mit Personenbezug unwiderruflich gelöscht und alle weiteren Daten ausschließlich zur Erforschung der Pandemie verwendet werden. Zu diesen Maßnahmen muss es bereits bei Inbetriebnahme der Apps transparente und valide Regelungen geben.
Autorinnen: Kathrin Strauß und Dorothea Teichmann
Artikel veröffentlicht am: 08. Juni 2020