Tracking-Apps zu Corona-Zeiten

Kennt ihr das Konzept PEPP-PT? Dabei handelt es sich um eine europäische Plattform für Warn- und Tracking-Apps zu Corona-Zeiten. Datenschützer und Sicherheitsexperten können mit Apps dieser Art gut leben. Doch was bedeutet die Entwicklung für euch?

Wie weit reichen die Möglichkeiten der Apps? Gibt es Konzepte, die noch weiter reichen? Wir klären auf.

Telekom gibt Bewegungsdaten an RKI weiter

Nur zwei Tage nach der deutschlandweiten Schulschließung wegen Corona berichteten die Medien, dass die Deutsche Telekom Bewegungsdaten ihrer Nutzer an das Robert-Koch-Institut (RKI) weitergibt. Auch wir haben in unserem Blog bereits darüber berichtet. Die Daten sind anonymisiert und die einhellige Einschätzung lautete zu dem Zeitpunkt, dass es keine weitergehende Auswertung von Nutzung- und Bewegungsdaten geben werde.

Das RKI wollte mit den Daten nur in Erfahrung bringen, ob sich die Mehrheit der Deutschen daran hielt, Menschenansammlungen zu vermeiden. Gleichzeitig wiegelte das RKI ab: Die verwendeten Daten unterschieden sich kaum von denjenigen, die unter anderem für tägliche Stauprognosen verwendet werden. Für die Lokalisierung einzelner Personen seien die Daten zu ungenau.

Ein Aufschrei in der Bevölkerung bleib aus, obwohl die Telekom ungefragt Daten übermittelt hat. Doch für die Eindämmung des Virus sind die Deutschen anscheinend bereit, massive Einschränkungen hinzunehmen.

Wem begegnen wir wann? Und hat derjenige Corona? Tracking-Apps sollen helfen. Bild: Unsplash/Yoel J Gonzalez

Tracking-Apps sind jetzt im Gespräch

Nur zwei Wochen später gibt es ganz neue Diskussionen. Sie gehen einher mit der wesentlich weitreichenderen Nutzung von Handy-Daten nach dem Vorbild von Südkorea oder Singapur. Die Regierungen überwachen dort mithilfe von Tracking-Apps die Wege der Handynutzer.

In Europa soll das Konzept PEPP-PT die Möglichkeit schaffen, Smartphone-Anwender zu informieren, wenn ihr Weg den Weg eines mit Corona-Infizierten kreuzt. Und zwar dann, wenn derjenige bereits ansteckend war, aber nichts davon wusste. Infizierte könnten sich so freiwillig in Quarantäne begeben. Oder sie vermeiden wenigstens den Kontakt zu Risikogruppen, sodass die Ausbreitung der Krankheit eingedämmt wird.

Ein Team aus 17 Instituten, Organisationen und Firmen haben unter der Führung des Heinrich-Hertz-Instituts in Berlin die „Referenzimplementierung“ für datenschutzkonforme Tracking-Apps vorgestellt.

Konzept PEPP-PT für Tracking-Apps

Für alle, die Zweifel an der Datenübertragung durch Tracking-Apps haben, sei gesagt: Bislang ist geplant, dass die Nutzung solcher Apps freiwillig ist.

Das Konzept PEPP-PT (Pan European Privacy Protecting Proximity Tracing) basiert darauf, dass ihr es freiwillig nutzt. Es erkennt andere App-Nutzer mittels Bluetooth Low Energy und generiert temporäre IDs, um die Nutzer vor Identifikation zu schützen. Diese temporären IDs werden mit anderen Nutzern, die auch Apps verwenden, die auf der PEPP-PT-Plattform basieren, ausgetauscht und auf dem Smartphone verschlüsselt gespeichert. Sollte bei einem Nutzer eine Coronavirus-Infektion festgestellt werden, sollen die auf dem Smartphone gespeicherten IDs ans Backend beziehungsweise in die Cloud übertragen werden. Von dort aus erfolgt eine Warnung an diejenigen, deren temporäre IDs über den Zeitpunkt des Kontakts zu einer nun als infiziert erkannten Person vermerkt sind.

Wie eine solche App funktionieren könnte, und über das Pro und Contra, berichtet dieses YouTube-Video von „Die Da Oben“:

Tracking-Apps vom BSI abgesegnet

Das neue Konzept der Tracking-Apps hat das Ziel, in ganz Europa zu funktionieren. BSI (Bundesamts für Sicherheit in der Informationstechnik) und Ulrich Kelber als Bundesdatenschutzbeauftragter haben das Konzept PEPP-PT bereits abgesegnet. Sie sehen die notwendigen Kriterien für eine Corona-Tracking-App erfüllt: Freiwilligkeit, lokale Datenspeicherung, anonyme Verarbeitung, begrenzter Speicher-Zeitraum, weitestgehender Ausschluss von Missbrauch.

Einen weiteren Grund für die Einführung der Tracking-Apps liefert die Oxford University. Sie kommt in einer Studie zu dem Schluss, dass die mobile App die Übertragung und Ausbreitung der Pandemie verlangsamen könnte. Auch für den Virologen Christian Drosten kann die App ein Hoffnungsschimmer sein. Vor allem, wenn die Nutzer nach der Meldung erster Symptome, zeitnah getestet werden.

Gesundheitsdaten per Fitness-Tracker

Derweil hat das RKI eine App vorgestellt, die mit anonymisierten Daten Symptome einer Corona-Infektion erkennen soll. Die App heißt „Corona Datenspende“. Sie steht sowohl im Apple App Store als auch im Google Play Store zum Download bereit. Kritik kommt vom Chaos Computer Club (CCC), weil die App nicht quelloffen ist. Aber: Zur Prüfbarkeit einer Anwendung gehöre, laut CCC, dass der Quelltext öffentlich einsehbar ist. Nur so können alle Interessierten die Funktionsweise der App nachprüfen.

Zudem übermittelt die App auch Daten wie Körpergewicht, Kalorienverbrauch und Schlafqualität. Und auch Informationen über das Aktivitätsniveau der vergangenen zwei Wochen gibt die App weiter. Alles Daten, die für die Corona-Diagnose aber unerheblich sind.

Der Datenschutzbeauftragte Ulrich Kelber hat die App noch nicht geprüft, sondern lediglich das RKI beraten. Für ihn ist vor allem der Name unglücklich gewählt. „Auch wenn Betroffene dem RKI ihre Daten freiwillig übermitteln, geben sie das Recht an ihren Daten nicht ab und können ihre Einwilligung jederzeit widerrufen. Das RKI hat zugesagt, dass in diesem Fall alle gesammelten Daten gelöscht werden“, so Kelber in einer Stellungnahme.

Datenspende per Fitness-Uhr gegen das Coronavirus. Das RKI hat eine entsprechende App vorgestellt. Bild: Pixabay

Was passiert, wenn keiner mitmacht?

Lasst ihr euch gern überwachen? Könnt ihr euch vorstellen, eine App zu installieren, die nur das eine Ziel hat? Sicherlich gibt es viele, die Tracking-Apps nicht auf ihrem Handy haben wollen. Doch was passiert, wenn zu wenig Nutzer am PEPP-PT-Konzept teilnehmen?

Die Folge wäre, dass es vermutlich eine verpflichtende Nutzung der Apps geben würde. Genau diese Forderung gibt es bereits. Allerdings blieben Infizierte weiterhin anonym und Bewegungsprofile würden nicht erfasst. Wirklich? In anderen Ländern sind diese Grenzen längst überschritten. Beispiel Slowakei: Die Gesundheitsbehörde hat sich selbst berechtigt, Bewegungsprofile zu erstellen und zu verfolgen. Beispiel Hongkong: Infizierte in Quarantäne müssen eine spezielle App installieren, die Alarm schlägt, sobald der Infizierte das Haus verlässt.

Zwischen dem anonymen Tracking und der vollständigen Überwachung gibt es zahlreiche Differenzierungen. Welche das sind, erfahrt ihr in dem Beitrag über konzeptionelle Abstufungen. Was haltet ihr von solchen Apps, die euch überwachen? Schreibt es uns in unseren Kommentaren.

Update vom 15.04.2020: Google und Apple kooperieren

Mit Hochdruck wird aktuell daran gearbeitet, eine geeignete Technologie zur Covid-19-Kontaktverfolgung zu entwickeln. Jetzt haben Google und Apple sogar bekannt gegeben, dass sie sich zu Bekämpfung des Coronavirus sogar zusammengeschlossen haben und sozusagen ihre Kräfte bündeln. Das gemeinsame Ziel ist es, ihren Betriebssystemen sogenannte Programmierschnittstellen hinzuzufügen, die für die Nachverfolgung von Kontaktpersonen notwendig sind.

Der Zeitplan: Schon im Mai sollen die dafür entwickelten offizielle Apps über die jeweiligen App-Stores zur Verfügung stehen; in einem zweiten Schritt werden Google und Apple dann daran arbeiten, eine umfassendere, Bluetooth-basierte Plattform zur Nachverfolgung von Kontakten zu ermöglichen, die vermutlich direkt in die Betriebssysteme eingebaut sein werden.

In der gemeinsamen Erklärung betonen Google und Apple, den Schutz der Privatsphäre und die Sicherheit der Nutzer grundsätzlich in den Mittelpunkt zu stellen. Die Nutzer müssten sich beispielsweise per Opt-in aktiv dazu entscheiden, ihre Daten zu teilen.

Update vom 29.04.2019: Daten zentral speichern?

Zentral oder dezentral – das ist die Frage, die hinsichtlich der Speicherung der durch die Corona-Tracking-Apps gesammelten Daten diskutiert wird. Im Zuge des Projekts PEPP-PT war vom Bundesgesundheitsministeriums eine zentrale Speicherung geplant. Der Speicher könnte beispielsweise beim Robert Koch-Institut stehen. Inzwischen warnen Datenschützer aber vor einem möglichen Datenmissbrauch bei dieser Variante.

Daher scheint es nun einen Schwenk zu einer dezentralen Speicherung der Daten aus den Corona-Apps zu geben. Hierfür könnte die Software-Architektur DP-3T (Decentralized Privacy-Preserving Proximity Tracing) zum Einsatz kommen. Damit werden Informationen direkt auf dem Handy abgeglichen und nicht auf einem zentralen Server. Ein zentraler Server wäre für Hacker sozusagen der Heiligen Gral.

DP-3T funktioniert etwa so: Euer Smartphone lädt in regelmäßigen Abständen sogenannte Schlüssel herunter, die zu mit Corona infizierten Personen gehören. Diese Schlüssel gleicht es mit den auf eurem Handy hinterlegten Schlüsseln eurer Kontaktpersonen ab. Eine Identifizierung sowohl eurer Kontakte als auch infizierter Personen soll dabei nicht möglich sein. Apple und Google befürworten dieses Verfahren.

Update vom 25.05.2020: Technik kommt auf Handys

Wie die Bild berichtet, wird mit den nächsten Betriebssystem-Aktualisierungen sowohl bei iOS als auch bei Android die Technik für Corona-Apps implementiert. Dadurch soll es möglich sein, dass iOS-Geräte mit Android-Handys „kommunizieren“ können. Erkennungsdaten werden dann anonymisiert per Bluetooth ausgetauscht. Allerdings nur, wenn ihr als Nutzer die Funktion aktiviert.

Voraussetzung dafür ist, dass ihr mindestens Android 6 oder iOS 13 auf euren Handys installiert habt. Sobald erste Corona-Apps entwickelt sind, kann die Technik genutzt werden. In Deutschland soll es Mitte Juni soweit sein. Dann gibt das Robert-Koch-Institut eine entsprechende App heraus.

Update vom 02.06.2020: Programmcode veröffentlicht

Einer der großen Kritikpunkte an einer Corona-Warn-App des Bundes war, dass die Entwickler den Programmcode nicht öffentlich machen wollen. Doch damit gehe, so die Kritiker, die Transparenz verloren. Mittlerweile erklärte ein Sprecher von  Telekom und SAP SE jedoch, dass die Entwickler sämtliche Quellcodes auf der Entwickler-Plattform GitHub veröffentlicht haben. Damit lösten die Konzerne ihr Versprechen ein, die App  möglichst transparent zu entwickeln.

Politiker wie Manuel Höferlin (FDP) sind sich sicher, dass das Vertrauen in die App in der Bevölkerung durch den Open-Source-Ansatz größer ist als durch gesetzliche Regelungen, zitiert Heise. Vermutlich könnt ihr die App ab Mitte Juni downloaden, so die aktuelle Planung, Dann wird sie in einer ersten Version in englischer und deutscher Sprache verfügbar sein. Weitere Sprachen sollen folgen.

Update vom 16.06.2020: Corona-Warn-App verfügbar

Jetzt ist sie offiziell da: die Corona-Warn-App. Wer sie sich herunterladen möchte, kann das sowohl im Google Play Store als auch in Apples App Store tun. Voraussetzung für Android ist, dass euer Handy mindestens Android sechs oder höher hat,  iPhones benötigen mindestens iOS 13.5.

Das wichtigste dieser App in Kürze: Die Nutzung ist freiwillig, keiner kann euch verpflichten, sie auf euer Handy zu laden. Auch dürfen euch keine Nachteile entstehen, wenn ihr die App nicht nutzt. Die App arbeitet mittels Bluetooth und sendet, bzw. empfängt anonyme Daten anderer Handynutzer. Ist einer von ihnen mit COVID-19 infiziert, erfahrt ihr davon. Damit ihr nicht selbst das Virus weitergebt, bekommt ihr Verhaltensempfehlungen, wie die freiwillige Isolation und natürlich den Hinweis, sich testen zu lassen. Solltet ihr auch positiv getestet werden, könnt ihr euer Ergebnis in euer Handy eintragen, sodass wiederum weitere Handynutzer gewarnt werden, hatten sie in den letzten 14 Tagen Kontakt zu euch.

Wichtig: Die gewarnten Nutzer erfahren nicht, wann, wo und mit wem dieser Kontakt stattfand. Die Identität aller Beteiligten wird also soweit möglich geschützt. Wie ist eure Meinung zur Warn-App? Ladet ihr sie euch runter? Erfüllen eure Handys die Voraussetzung oder traut ihr dem Braten nicht und fürchtet Datenmissbrauch? Lasst es uns in unseren Kommentaren wissen! Zusätzliche Infos bekommt ihr übrigens auf den Seiten der Bundesregierung und der Corona-App.