Corona-Tracking? Hilfe beim Ausstieg aus dem Lock Down?
Das Pepp-PT Konzept: Mit Bluetooth LE werden nur Handys in unmittelbarer Umgebung erfasst, der Rest aber nicht.
Foto: Pepp-PT.org Screenshot: teltarif.de
Soll Deutschland über Millionen von Smartphones die Infektionswege des Corona-Virus verfolgen können, wie es in Singapur oder Südkorea schon der Fall ist? Welche Varianten sind denkbar und wie weit müssten die teilnehmenden Nutzer sensible Daten preisgeben?
Ist Pepp-PT die Lösung?
Das Pepp-PT Konzept: Mit Bluetooth LE werden nur Handys in unmittelbarer Umgebung erfasst, der Rest aber nicht.
Foto: Pepp-PT.org Screenshot: teltarif.de
Vor wenigen Tagen stellte ein Team aus 17 Instituten, Organisationen und Firmen unter Führung des Heinrich-Hertz-Instituts die Referenz- Implementierung für eine datenschutzkonforme Tracking-App vor. Sie haben das Konzept „Pepp-PT“ (Pan European Privacy Protecting Proximity Tracing)
[Link entfernt]
getauft. Es basiert auf freiwilliger Nutzung und der Erkennung anderer App-Nutzer mittels Bluetooth Low Energy, eine Variante des Bluetooth Standards mit besonders wenig Sendeleistung.
Temporäre Kennungen
Dabei erzeugt die App temporäre Kennungen (IDs), damit die Nutzer nicht direkt identifizierbar werden. Heißt: Das Handy sendet „Ich bin 4711“, aber nicht „das Handy gehört Marvin Maier“. Mit anderen Nutzern derselben App (beziehungsweise einer anderen auf der Pepp-PT-Plattform basierenden) werden diese IDs ausgetauscht und auf dem Smartphone verschlüsselt gespeichert.
Wenn bei einem Nutzer eine Coronavirus-Infektion festgestellt wird, soll dieser diese gesammelten IDs in die Cloud übertragen. Aus der Cloud soll dann eine Warnung der Besitzer aller dort notierten temporären IDs über den Zeitpunkt des Kontakts erfolgen. Der Nutzer des Smartphones wüsste dann, dass er oder sie am Datum/Uhrzeit einen andere/n Nutzer/in der App getroffen hat, der oder die positiv getestet wurde. Nun müsste die informierte Person einen Test machen lassen (wenn es einen gäbe) oder auf Verdacht in Quarantäne gehen.
Technisch machbar - praktisch sinnvoll?
Rein technisch gesehen, sollte das Konzept in ganz Europa funktionieren. Damit es Wirkung zeigen kann, müssen möglichst viele Nutzer die entsprechende App installieren. Deshalb sollte (europaweit?) eine einzige Plattform etabliert werden.
Wie setzen andere Länder das Corona-Tracking ein?
Einige Staaten gehen bereits deutlich weiter.
So greift die staatliche Gesundheitsbehörde der Slowakei auf die Lokalisierungsinformationen aller Mobilfunknutzer zu. Sie hat sich per Gesetz dazu ermächtigt, auf dieser technischen Basis Bewegungsprofile zu erstellen und zu verfolgen, wo sich Infizierte bewegen und mit wem sie sich treffen.
Patienten, die in der zu China gehörenden Sonderverwaltungszone Hongkong in Quarantäne geschickt werden, müssen eine App installieren, die bei den Behörden Alarm schlägt, wenn der Nutzer seine Wohnung verlässt oder die App deaktivieren möchte.
In China setzen die Corona-Apps der Internetkonzerne Alibaba und Tencent auf dem sogenannten Social Scoring auf. Ein auslesbarer QR-Code in den Farben Grün, Gelb oder Rot gibt Auskunft darüber, ob sich die jeweilige Person an Orten mit hohem Infektionsrisiko aufgehalten hat oder nicht. In mehreren Großstädten ist das Vorzeigen des QR-Codes Pflicht beim Betreten von öffentlichen Verkehrsmitteln oder Bahnhöfen.
Taiwan greift auf Datenbanken der Krankenkassen und anderer Behörden zu, um Bürgern bei erkanntem Infektionsrisiko eine SMS-Warnung zu schicken. Bei Patienten unter Quarantäne lokalisieren die Behörden deren Smartphone und kontrollieren, ob die Betroffenen ihr Haus verlassen.
Es geht auch liberaler
Liberalere Länder sind mit ihren Maßnahmen zurückhaltender: In Singapur, Südkorea und Israel kommen Apps zum Einsatz, deren Funktionsprinzip weitgehend dem Pepp-PT-Konzept entspricht – allerdings teilweise mit zusätzlichen Funktionen:
So sind in Südkorea die freiwillig nutzbaren Tracking-Apps an das Portal Coronaita angebunden, das bekannte Infektionsherde anzeigt und Hotspots identifiziert – also Orte, an denen sich besonders viele Betroffene aufgehalten haben.
In Israel scheint sich die offizielle App nach aktuellem Kenntnisstand beim Eingriff in Persönlichkeitsrechte zurückzuhalten. Dies hindert die Regierung jedoch nicht daran, Bewegungsprofile aus Mobilfunkdaten zu erstellen und den Inlandsgeheimdienst für das Aufspüren und Überwachen von Corona-Infizierten einzusetzen.
Deutlich ziviler verhält sich die App „Coronavirus Australia“: Sie versorgt Einwohner in Down Under mit offiziellen Informationen und Gesundheitsempfehlungen der Behörden sowie zeitnah aktualisierten Updates über die Verbreitung des Virus.
Welche Tracking-Varianten wären in Deutschland denkbar?
Die Kollegen der Fachzeitschrift „Connect“ haben sich dazu genau informiert und stellen das im Detail vor:
Variante 1: Annäherungs-Erfassung (Proximity Tracing) per Bluetooth
So funktioniert es: Erfassen von Kontakten per Bluetooth LE mit Vergabe einer zufällig erzeugten eindeutigen ID. Lokale Speicherung aller Kontakte zu anderen AppNutzern, aber keine Aufzeichnung des Aufenthaltsortes. Daten werden ins „Backend“-System nur zur Alarmierung bei einer Infektion geladen, die Speicherdauer ist automatisch begrenzt oder durch den Nutzer oder die Behörden konfigurierbar.
So könnte es genutzt werden: Information der Nutzer im Verdachtsfall. Teilnahme freiwillig und ohne Zuordnung von Namen/Identitäten zu der vergebenen ID-Nummer. Im System wird nur gespeichert, welche ID-Nummern es schon gibt. Vorteile: Die Daten bleiben anonym. Kontakte ersten Grades können alarmiert werden. Nachteile: Identifikation der Kontakte nur auf freiwilliger Basis. Einen Nutzwert gäbe es nur bei hoher Verbreitung der App, aber keiner Ortsinformationen. (wo haben sich die Leute getroffen)
Wo wird das eingesetzt? z.B. in: Singapur, Israel, Deutschland (geplant)
Variante 2: Tracking in Basis-Variante
Diese Variante wird z.B. in Südkorea eingesetzt.
Wie funktioniert das? Wie in Variante 1, zusätzlich wird aber ein Bewegungsprofil (Location Tracking) aufgezeichnet. Die genauere Lokalisierung kann auf der Standortberechnung (Triangulation) von Funkzellen, WLAN-Ortung, GPS und/oder Beacons (Bluetooth Baken, deren Standort bekannt ist) basieren. Die Speicherung erfolgt nur auf dem Endgerät, die Speicherdauer begrenzt oder kann durch den Nutzer bzw. die Behörden konfiguriert werden.
Wo könnte man das anwenden? Wie in Variante 1, aber mit einer zusätzlichen „Erinnerungshilfe“ für Aufenthaltsorte (z. B. für Identifikation möglicher Kontaktpersonen durch Behörden, was dann außerhalb der App passieren würde). Die Entscheidung über Nutzung und Upload läge beim Anwender. Bewegungsprofile wären möglich, es gäbe aber keine Datenhaltung im Backend (der Cloud) außer der vergebenen ID.
Was wären die Vorteile: Die Leute blieben zunächst anonym, aber Wege und mögliche Kontaktorte werden nicht übersehen („Tagebuch“), Datenhoheit verbleibt beim Nutzer, Nutzung für bereitgestellte Daten möglich (z.B. regional für Gesundheitsämter).
Nachteile: Auch hier wäre eine Identifikation der Kontakte nur auf freiwilliger Basis möglich, einen Nutzen hätte das nur bei hoher Verbreitung der App.
Variante 3: Erweitertes Tracking
Diese Variante wird in Taiwan eingesetzt. Wie funktioniert das? Wie in Variante 1 und 2, aber mit regelmäßigem Upload der Kontakte (also der Leute, denen man begegnet ist und der Orte, wo man war. Die Speicherdauer wäre durch Behörden konfigurierbar.
Denkbare Möglichkeiten: Wie Variante 1 und 2, zusätzlich zur Erfassung von Kontakten ersten Grades auch von Kontakten zweiten Grades möglich. Durchsetzung von Ausgangssperren / - begrenzungen, Erkennung von Versammlungsorten („Corona-Parties“), Datenhaltung über Locations und IDs im Backend.
Der Vorteil: Schnelle Reaktionszeiten, keine Mitwirkung des Infizierten oder der Kontaktpersonen notwendig, automatische Alarmierung möglich, Nutzung und Rollenkonzepte für Backendauswertung möglich.
Entscheidender Nachteil: Datenhoheit bei Behörden, erheblicher Eingriff in Persönlichkeitsrechte, erhöhte Cyberrisiken, dass Hacker diese Daten missbrauchen oder sogar verändern.
Variante 4: Personalisierte Überwachung mit Passierschein-Funktion
Sie wird in China und Hongkong eingesetzt. Und funktioniert wie in Variante 1-3 beschrieben, aber zusätzlich werden noch eindeutige Identitätsmerkmale wie z. B. Personalausweisnummer, ein sich dynamisch verändernder QR-Code den man als Passierschein nutzen könnte, die Speicherdauer durch Behörden konfigurierbar.
Wie würde das genutzt: Wie bei den Varianten 1 bis 3, zusätzlich als elektronischer Passierschein, Check-In und Check-Out für erlaubte Orte denkbar (z. B. Arzt oder Supermarkt), Kontrolle der QR-Codes über zugehörige Kontroll-App (z.B. Scan QR-Code und Personalausweis). Datenhaltung über Aufenthaltsorte, -zeiten und Identitätsmerkmale im Backend-System von App-Anbieter oder Regierungsbehörde.
DenkbareVorteile wäre die Durchsetzung von Ausgangssperren bzw. -beschränkungen bei Eskalation der Lage, die Einschränkung von Bewegungsräumen auf erlaubte Orte. Die entscheidenden Nachteile sind klar: Ein massiver Eingriff in Persönlichkeitsrechte, hohes Missbrauchsrisiko (Bewertung der Menschen und „gut“ und „böse“ etc.), und aller höchste Cyberrisiken, wenn Hacker diese Daten stehlen oder verändern oder Unbescholtene damit erpressen, die Daten so zu ändern, dass die Bürger Strafe zahlen müssten oder vom Zugang zu für sie wichtigen Orten ausgeschlossen würden.
Was wäre wenn?
Die Kollegen der Zeitschrift Connect finden, dass das für Europa angedachte Funktionsprinzip noch am ehesten die in Datenschutzaspekten unbedenklichste Variante einer Corona-App darstelle.
Allerdings mache der weltweite Vergleich deutlich, dass auch eine Eskalation denkbar wäre. Natürlich bietet auch ein engmaschigeres Tracking Vorteile: Entsprechende Apps könnten, so sieht es Autor Hannes Rügheimer, „für uns alle zur Rückfahrkarte in die Normalität werden. Grundsätzlich vorstellbar wäre ein Nachsteuern der Intensität nach der Eskalationsstufe des Infektionsgeschehens. Dafür gibt es allerdings in demokratischen Staaten hohe Hürden – beispielsweise die Unantastbarkeit von Grundrechten, Zustimmungsvorbehalt durch die Parlamente sowie eine klare zeitliche Begrenzung einschränkender Maßnahmen.“
Rügheimer kommt zu dem Schluss: „In den Apps, die das Pepp-PT-Konzept verfolgen, liegt aber zweifellos eine große Chance, unsere Freiheit in der Corona-Krise schneller zurückzugewinnen.“
Eine Einschätzung - von Henning Gajek
Unter Fachleuten tobt schon länger eine intensive Diskussion, ob dieser Corona-Virus nur eine besonders "fiese" Variante einer alljährlichen Influenza-Grippe oder doch wesentlich gefährlicher ist. Selbst Fachleute sind sich dabei nicht alle einig. Bilder von zusammengebrochenen Gesundheitssytemen sind die andere Seite der Medaille.
Kritiker von allzuvielen Einschränkungen haben die Hoffnung, dass ein gut informierter Mitbürger es ein Stück weit selbst in der Hand haben könnte, dem Risiko ausweichen zu können, durch viel Hygiene (Händewaschen, keine Händeschütteln, möglichst nichts anfassen), viel Abstand halten. Doch reicht das?
Wer beispielsweise beruflich gezwungen ist, z.B. auf dem Weg zur Arbeit oder am "systemrelevanten" Arbeitsplatz anderen Menschen näher kommen zu müssen, als es eigentlich gut wäre, geht ein gewisses bis hohes Risiko ein. Und wer am Ende das Virus wirklich "erwischt" hat, kann Glück haben: Es verläuft milde, kann aber auch Pech haben und landet auf der Beatmungsstation, wenn dort noch ein Bett oder ein Gerät frei ist.
Andersrum ist der Kollateralschaden einer auf nahe Null gebremsten Wirtschaft nicht von der Hand zu weisen. Eine Entscheidung für oder dagegen ist die Wahl zwischen Pest und Cholera. Möglich, dass die Politik ein Angebot macht: "Installiere die App und Du darfst Dich frei(er) bewegen." Welche Institution wird den staatlichen Datensammlern auf die Finger schauen und die Macht haben, "bis hier und nicht weiter" zu rufen? Keine leichte Entscheidung.
Digital hin oder her: An einem wirksamen Impfstoff und hilfreichen Medikamenten und an viel Abstand und Hygiene führt das auf die Dauer nicht vorbei.