Streitigkeiten zwischen Wissenschaftlern und Regierungen verzögern die Entwicklung einer Corona-App. Nach SWR-Recherchen haben ausgerechnet zwei große Technologiekonzerne den Richtungsstreit möglicherweise schon entschieden.

Von Helena Offenborn und Marcel Kolvenbach, SWR

Wie könnte eine Corona-App ihren Zweck erfüllen und gleichzeitig Datenschutz gewährleisten? Darüber herrscht ein Richtungsstreit. So bezeichnet Nadim Kobeissi die App-Technologie, die hinter der "Pan-European Privacy-Preserving Proximity Tracing"-Initiative (PEPP-PT) steht, als "richtig schlecht". Er ist ehemaliger Professor der New York University und leitet eine Beratungsfirma für IT-Sicherheit.

Doch erst vergangene Woche hatten Bund und Länder verkündet, genau diese Initiative bei der Entwicklung einer nationalen Corona-App zu unterstützen. Was aber nach einer offiziellen EU-Initiative klingt, hat weder offiziell etwas mit der EU zu tun, noch handelt es sich um einen einheitlichen europäischen Ansatz.

Der irreführende Name sei aber lange nicht alles, was ihn störe, erklärt Kobeissi, der es sich zur Aufgabe gemacht hat, die Hintergründe der App-Entwicklung genauer zu untersuchen. Denn bei der zugrundeliegenden Technologie werden Daten an einen zentralen Server gesendet, der beispielsweise vom Staat betrieben wird: "Damit wird angenommen, dass es eine absolut ehrliche zentrale Instanz gibt - die sich die Daten, die sie speichert, niemals anschaut. Das ist eine verrückte Annahme."

RKI in der Kritik

Eine solche Instanz könnte in Deutschland das Robert Koch-Institut sein (RKI). Auf Nachfrage des SWR bestätigte das RKI: "Es ist geplant, dass das RKI Herausgeber der App sein wird." Doch gerade das Institut ist von Datenschützern wegen des Umgangs mit der sogenannten "Corona Datenspende" in den letzten Tagen in die Kritik geraten.

Patrick Breyer hinterfragt die App des Robert Koch-Instituts kritisch.

Vor zwei Wochen stellte der EU-Parlamentarier Patrick Breyer von der Piratenpartei dem Robert-Koch-Institut elf kritisch Fragen bezüglich der "Datenspenden" von Fitness-Apps. Das Schreiben liegt dem SWR vor. Unter anderem wollte Breyer wissen, warum keine schnellstmögliche Anonymisierung der gespeicherten Daten erfolge und ob die App und die personenbezogene Datenspeicherung nach Ende der Coronakrise wieder eingestellt würde.

Bis heute hat der EU-Abgeordnete keine Antwort vom RKI erhalten. Gegenüber dem SWR erklärte Breyer, angesichts von Intransparenz und fehlender technischer Kompetenz des RKI fehle ihm das Vertrauen, eine zukünftige Corona-App zentral von dieser oder ähnlichen Regierungsinstitutionen verwalten zu lassen.

Eine App mit Datenschutz - durchaus machbar

Das ist laut Experten auch gar nicht nötig: "Privacy by Design" nennen IT-Entwickler das Konzept, das in den vergangenen Jahrzehnten so weit entwickelt wurde, dass Netzwerke heutzutage so gebaut werden können, dass Daten nicht zentral gesammelt werden müssen. Die Art der Programmierung verhindert so, dass überhaupt irgendwo Daten anfallen, die aus einer Corona-App eine Überwachungs-App machen könnten, die Regierungen oder Konzernen missbrauchen könnten.

"Die Privacy Forschung der letzten Jahre hat Verfahren entwickelt, die es ermöglichen, die Privatsphäre der User zu schützen und den Epidemiologen gleichzeitig die nötigen Informationen zur Verfügung zu stellen", kommentiert Mathias Dalheimer, Wirtschaftsingenieur und Experte für IT-Sicherheit am Fraunhofer-Institut in Kaiserslautern, die aktuelle Diskussion. Er ist überzeugt: "Man muss sich nicht zwischen Corona-App und Grundrechten entscheiden. Man kann heute beides haben."

Das zeigen auch Forscher rund um ETH Zürich und EPFL Lausanne. Sie haben einen dezentralen Ansatz entwickelt, bei dem der Server keine sensiblen Daten erhält. Für diese Lösung hat sich auch die Schweiz entschieden und hofft, bereits am dem 11. Mai eine fertige App einsetzen zu können.

Außergewöhnlicher Ansatz von Google und Apple

Auch Google und Apple haben sich auf einen solchen dezentralen Ansatz geeinigt. IT-Forscher Kobeissi hält das für außergewöhnlich: "Das ist ein Riesenerfolg und dauert normalerweise mehrere Jahre. Und es ist ohne Zweifel der Ansatz, der die Privatsphäre besser schont."

Eigentlich habe man also alles: eine die Privatsphäre schonende Technologie und die Unterstützung der Smartphone-Betreiber. Warum Regierungen - darunter auch die deutsche - weiterhin auf den zentralen Ansatz von PEPP-PT setzen, versteht Kobeissi nicht: "Warum soll man so einen Nachteil in Kauf nehmen, wenn es mit dem dezentralen Modell doch schon alles gibt, was gebraucht wird?"

Apple und Google haben Tatsachen geschaffen - meint Linus Neumann vom Chaos Coumputer Club.

Das sieht Linus Neumann vom Chaos Computer Club ähnlich. Für ihn sind die aktuellen Debatten über die verschiedenen Ansätze fast überflüssig: "Apple und Google haben sich auf einen dezentralen Ansatz geeinigt und Tatsachen geschaffen. Große Abweichungen sind - zumindest bei Apple - technisch kaum umsetzbar."

Das heißt konkret: Apple und Google entwickeln derzeit eine dezentrale Lösung, die wohl technische Basis für alle Anwendungen sein wird. Ein zentraler Ansatz wie ihn die von der Bundesregierung bisher unterstütze PEPP-PT-Initiative verfolgt, wäre damit technisch wohl gar nicht umsetzbar.

Wirklich garantierter Datenschutz?

Doch dass sich die beiden Konzerne als Garanten für Datenschutz präsentieren, findet EU-Parlamentarier Breyer bemerkenswert: "In Sachen Schutz der Privatsphäre jetzt gerade Apple und Google zu vertrauen, finde ich schon sehr erstaunlich. Beide Konzerne haben in der Vergangenheit wiederholt gezeigt, dass sie etwa Standortdaten für ganz andere Zwecke abgegriffen haben - ohne Zustimmung der Nutzer."

Und auch Linus Neumann von Chaos Computer Club gibt zu bedenken: "Mit der Einigung auf einen Ansatz und dem Ausbau der Contact-Tracing-Technologie haben Apple und Google eine Vereinheitlichung geschaffen, die ein weltweit vereinheitlichtes Contact Tracing ermöglicht - aber auch diktiert."

Google Deutschland erklärte gegenüber dem SWR: Die Privatsphäre und Sicherheit teilnehmender Nutzerinnen und Nutzer stehen im Mittelpunkt der gesamten Entwicklung und Zusammenarbeit, die Teilnahme durch die Nutzer erfolgt rein auf freiwilliger Basis."

Breyer glaubt, dass der Missbrauch von Daten grundsätzlich von privater und öffentlicher Seite möglich ist. Dennoch sei die aktuelle öffentliche Diskussion und auch der sogenannte "Richtungsstreit" zwischen den verschiedenen Initiativen wichtig, um deutlich zu machen, dass ein durchdachter dezentraler Ansatz vor Überwachung schütze.

"Die Diskussion ist vor allem wichtig, seit Apple und Google sich entschieden haben, den dezentralen Ansatz zu verfolgen", stimmt IT-Forscher Kobeissi zu. "Denn wenn Millionen von Geräten beginnen, diese Technologie zu benutzen, dann muss sie auch gut sein. Und das gelingt nur mit einem dezentralen Ansatz." Und er geht noch weiter: "Was wir jetzt entscheiden, bestimmt auch unsere Debatte der Zukunft. Ist die Box der Pandora einmal geöffnet, können die Technologien auch später in anderen Situationen wieder Verwendung finden."

Vertrauen schaffen, um 60 Prozent der Deutschen zu gewinnen

"Dezentral, open source, anonym: Das alles ist technisch machbar und schafft Vertrauen in so einer hochsensiblen App", meint auch IT-Experte Dalheimer. Das gemeinsame Ziel sei nun, eine App zu entwickeln, die die Privatsphäre der Bürger so gut schützt, wie es technisch möglich ist. Denn nur so - und da sind sich alle einig - kann gewährleistet werden, dass die App die größtmögliche Akzeptanz in der Bevölkerung erhält. Genau davon hängt ihr Erfolg ab: Erst, wenn mindestens 60 Prozent der Deutschen die App nutzen, wird sie funktionieren.

Nach viel Kritik rudert die Bundesregierung in der App-Diskussion jetzt zurück: Auf eine Anfrage der Linkspartei teilt sie mit, sie betrachte und bewerte nun doch insgesamt drei Modelle zur Kontaktverfolgung. Der Ansatz der PEPP-PT-Initiative sei jedoch weiterhin mit dabei.