Mehrere netzpolitische Organisationen fordern die Bundesregierung nachdrücklich auf, das von ihr bevorzugte Konzept für eine App zum Nachverfolgen von Coronavirus-Infektionsketten auf Basis des Softwaregerüsts der Initiative PEPP-PT mit zentralem Datenabgleich aufzugeben. Sie warnen: Der "geringe Datenschutz eines zentralen Ansatzes und das Fehlen technischer Beschränkungen gegen Zweckentfremdung" würden dazu führen, das Vertrauen in eine solche App auszuhöhlen "und damit die Akzeptanz für spätere digitale Lösungen leichtfertig zu unterminieren".

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Eine zentrale Serverlösung für die Mobilanwendung, wie sie momentan etwa das bei PEPP-PT führende Heinrich-Hertz-Institut der Fraunhofer-Gesellschaft verfolgt, sei "der problematischste unter den vorliegenden Entwürfen", schreiben der Chaos Computer Club (CCC), die der SPD beziehungsweise der FDP nahestehenden netzpolitischen Vereine D64 und Load, das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF), die Gesellschaft für Informatik (GI) und die Stiftung Datenschutz in Brandbriefen an Bundesgesundheitsminister Jens Spahn und den Chef des Bundeskanzleramts, Helge Braun, die beide der CDU angehören.

Möglicher Missbrauch

Nachdem das nach Absetzbewegungen verkleinerte PEPP-PT-Konsortium nicht in der Lage gewesen sei, "schnell eine halbwegs funktionierende und datenschutzfreundliche Lösung zu liefern, sollte nun technisch ausgereiften und datenschutzrechtlich gebotenen Ansätzen unbedingt der Vorzug gegeben werden", heißt es in den Appellen. "Eine Corona-Tracing-App sollte, wenn überhaupt, nur auf Basis eines dezentralen Ansatzes aufgebaut und programmiert werden. Einen solche verfolge etwa das Konzept DP3T (Decentralized Privacy Preserving Proximity Tracing).

Zwar verteidigten Befürworter einer zentralen Speicherung damit, dass die Daten pseudonymisiert würden, erläutern die unterzeichnenden Organisationen. "Eine Zurückverfolgung und De-Anonymisierung etwa von infizierten Personen ist bei der Datenerhebung jedoch mit deutlich geringerem Aufwand als bei einem dezentralen Ansatz möglich", wenn die über Bluetooth ausgetauschten IDs auf Personen beziehbar seien. Jedem Grundstein eines möglichen Missbrauchs von Gesundheitsdaten müsse entschieden entgegengetreten werden".

Durch Forderungen etwa aus den Reihen der Bundesregierung, "Datenschutzanliegen im Angesicht der Pandemie hintanzustellen, werden Glaubwürdigkeit und Gestaltungswirkung für die Zukunft verspielt", monieren die Autoren. Ferner sei ein gemeinschaftlicher europäischer Ansatz bei der Bekämpfung des Virus und für die Kontaktnachverfolgung im gemeinsamen europäischen Binnenmarkt essenziell.

'Pflicht zur App'

"Uns besorgen zudem die immer lauter werdenden Rufe nach einer 'Pflicht zur App' für gewisse Bereiche des Lebens", erklärten die Verfasser. "Die gemeinsame Bekämpfung der Pandemie benötigt Vertrauen und die Kooperation aller." Die Bereitschaft dazu wird mit einer Zwangslösung ohne Not verspielt. In der derzeitigen politischen Diskussion würden generell Erwartungen für eine Tracing-App geschürt, "die möglicherweise nicht eingehalten werden können".

Dass es auch anders geht, zeigen für die Vertreter der Zivilgesellschaft die Schweiz und Österreich. Dort würden Empfehlungen von Expertengruppen für dezentrale und transparente Konzepte berücksichtigt. Dabei handele es sich auch um den Ansatz, für den sich mit Apple und Google die beiden Marktführer für Smartphone-Betriebssysteme zur Kooperation bereit erklärt haben. Ohne die Zusammenarbeit mit den beiden Unternehmen sei ein Scheitern der App vorhersehbar.

Aussicht auf Erfolg – die richtige App

Das Kanzleramt soll aktuell aber Druck auf Apple machen, damit der US-Konzern auch die zentrale Speichervariante und PEPPT-PT unterstützt. Google ist dem Vernehmen nach bereit, seine geplante Bluetooth-Schnittstelle für das Rahmenwerk zu öffnen. Eine offizielle Entscheidung für eine konkrete Lösung gibt es laut Gesundheitsministerium auch noch nicht.

Eine App, die zumindest eine Aussicht auf Erfolg haben soll, müsse zumindest ein transparentes Konzept verfolgen und quelloffen programmiert werden, verlangen die Briefschreiber weiter. Die Regierung sollte daher die Forderungen auch aus der Wissenschaft und die Bedenken von IT-Experten ernst nehmen und eine "Bruchlandung" vermeiden.

CCC – Regierung auf dem Holzweg

Der CCC formuliert die Kritik in einem "Beibrief" noch schärfer: Die Hackervereinigung sieht die Regierung komplett auf dem Holzweg. Das "lückenlose zentrale Verfolgen der Aufenthalte aller Bürger" sei "das Horror-Szenario schlechthin". Andere Beispiele von "sorglos hingeschluderten" Corona-Anwendungen wie die "Datenspende-App" des Robert-Koch-Instituts hätten gezeigt, "dass die anfallenden sensiblen Datenhalden nicht angemessen geschützt werden und von Innen- und Außentätern missbraucht werden könnten". Dass Spahn "die Peitsche" mit der App-Pflicht hinter dem Rücken versteckt halte, setze der Posse die Krone auf, da Millionen von Bürgern gar kein taugliches Smartphone hätten.

"Auch ein vergleichsweise datenschutzfreundliches Tracing von Kontakten stellt eine Technologie mit erheblichem Missbrauchspotenzial dar", hatte Christian Mihr, Geschäftsführer von Reporter ohne Grenzen, am Donnerstag ebenfalls gewarnt. "Jegliche nachträgliche Zweckerweiterung, die die Anonymität der Nutzerinnen und Nutzer und ihrer Kontakte, insbesondere auch im Kontext der journalistischen Arbeit, in Frage stellt, muss kategorisch ausgeschlossen werden." Die skizzierte Software werde internationalen Einsatz finden und dürfe "nicht durch Missbrauch durch autoritäre Staaten zum Exportgut für Überwachungstechnologie werden". (bme)