Linus Neumann ist Berater für IT-Sicherheit, Netzaktivist und einer der Sprecher des Chaos Computer Club. Zudem ist er Co-Autor des Podcasts Logbuch:Netzpolitik.
WirtschaftsWoche: Unsere Handys registrieren genau, wo wir sind und was wir tun. Entsprechend groß sind die Hoffnungen, dass sie uns warnen, wenn wir Menschen mit einer Corona-Infektion bedrohlich nahe gekommen sind. Gleichzeitig aber wecken solche Tracing-Apps Sorgen um den Schutz unserer Privatsphäre. Herr Neumann, müssen wir, um die Pandemie einzudämmen, wichtige Bürgerrechte opfern?
Linus Neumann: Nein, gar nicht. Gehen wir mal davon aus, dass sich mithilfe von Handy-Apps die Ausbreitung des Virus bremsen lässt. Dann ist es halt entscheidend, dass die Mittel, die dafür genutzt werden, so wenig in die Privatsphäre der Menschen eingreifen wie möglich. Klar, manche Datensammler hatten da große Wünsche, wenn ich an die Erfassung von Namen, von Bewegungsprofilen oder das Tracking von GPS-Daten denke, die vor ein, zwei Wochen noch diskutiert wurden. Heute sind wir uns in Deutschland einig, dass solche Apps nur Kontaktinfos ohne jeden Ortsbezug nutzen dürfen. Das ist ein großer Fortschritt beim Datenschutz, der am Ende auch dazu beiträgt, die Akzeptanz einer Corona-App deutlich zu steigern. Je mehr Menschen darauf vertrauen, dass keine sensiblen Daten erfasst und womöglich an andere weitergegeben werden können, desto größer ist die Akzeptanz für die App. So gesehen ist persönlicher Datenschutz nicht Hemmnis, sondern Voraussetzung für die Risikoabwehr.
Eigentlich wollten die Entwickler bis Mitte April ein technisches Gerüst für eine Tracing-App schaffen, die alle europäischen Datenschutzanforderungen erfüllt. Das hat nicht geklappt. Stattdessen drängt sich der Eindruck auf, die Verfechter unterschiedlicher technischer Konzepte reiben sich im Streit über den richtigen Weg auf, statt die Technik einsatzreif zu bekommen.
Es gibt tatsächlich zwei Konzepte: Bei beiden sollen unsere Smartphones, wenn die Tracing-App läuft, fortwährend über Bluetooth einen individuellen Code aussenden, der sich in kurzen Abständen ändert. Gleichzeitig protokollieren die Telefone, welche fremden Codes sie wann erhalten haben. Der entscheidende Unterschied liegt darin, was diese System tun, wenn ein Handynutzer meldet, dass er oder sie positiv auf Corona getestet wurde.
Auf der einen Seite steht das Lager, dass diese Information auf einem zentralen Server hinterlegen will.
Genau, bei diesem Modell meldet der Nutzer an einen zentralen Server, welche Codes anderer Geräte sein eigenes Telefon wann empfangen hat. Der Server schickt dann die Warnung an die Personen, deren Handys diese Codes ursprünglich verschickt haben. Der Vorteil dieses Ansatzes: Wenn der zentrale Server beispielsweise beim Robert-Koch-Institut (RKI) stünde, könnten die Epidemiologen dort eine Hochrechnung erstellen, wie sich die Infiziertenzahlen entwickeln. Schließlich erfahren sie so, wie viele Kontakte ein Infizierter in einem bestimmten Zeitraum hatte. Der Nachteil: Es gibt eine zentrale Instanz, die wissen kann, wer wann wen getroffen hat. Und das ist ein erheblicher Eingriff in die Privatsphäre und schwächt das Vertrauen, gerade weil man dem zentralen Server vertrauen muss.
Den gibt es bei dem anderen Modell nicht?
Rein technisch gibt es auch im dezentralen Modell ein zentrale Plattform für den Informationsaustausch. Der entscheidende Unterschied ist, an welcher Stelle der Alarm für die Nutzer ausgelöst wird. Im zentralen Modell macht das die Intelligenz im Server. Im dezentralen Ansatz dagegen passiert das beim Empfänger und der zentrale Verteiler erfährt nichts darüber, wer wen getroffen hat. Meldet ein Nutzer, dass er oder sie infiziert ist, lädt seine App bloß die eigenen Codes auf den Server hoch. Ob die auch irgendwer empfangen hat, weiß und erfährt der Server nicht. Er bietet nur allen anderen Nutzern eine Liste aller als „infiziert“ gemeldeten Codes zum Download an und deren Telefone können dann abgleichen, ob sie diese Codes in der Vergangenheit empfangen haben. Und falls ja, warnt die App ihren Benutzer. Der Vorteil: Außer dem Empfänger erfährt niemand, dass es überhaupt einen Kontakt mit einem Infizierten gab. So schützen wir also seine Privatsphäre. Der Nachteil: Daten über den Verlauf der Infektionen lassen sich auf diese Weise nur schwer an zentraler Stelle erheben. Behörden wie das RKI müssen eventuell weiter im Blindflug mit bis zu zwei Wochen Verzug auf die Daten schauen, um zu erkennen, wie sich die Lage entwickelt.
Bisher sah es so aus, als ob sich in Europa und Deutschland die Anhänger einer zentralen Strategie beim Tracing durchsetzen. In den vergangenen Tagen aber distanzierten sich mehrere beteiligte Forscher vom europäischen Tracing-Projekt Pepp-pt, das den zentralen Ansatz zu favorisieren schien. Setzt sich nun der dezentrale Ansatz durch?
Entscheidender ist, dass sowohl die EU als auch Deutschland nach meinem Eindruck den zentralen Ansatz präferiert haben, weil er eben weitergehende Analysen zur Ausbreitung der Infektionen erlaubt hat. Aber im Grunde ist dieser Streit inzwischen völlig müßig.
Warum das?
Weil sie nicht mehr viel zu entscheiden haben. Apple und Google haben den Disput entschieden, indem sie die technischen Rahmenbedingungen für den Datenaustausch über ihre Betriebssysteme iOS und Android definiert haben, welches der beiden Konzepte sie technisch unterstützen. Und das ist der dezentrale Ansatz.
„Apple und Google haben in der Vergangenheit mehrfach gezeigt, dass man ihnen misstrauen muss“
Wieso ist die Haltung von Apple und Google so entscheidend?
Weil jeder Entwickler für die Tracing-App den direkten Zugriff auf das Bluetooth-Modul des Telefons braucht. Und den blockieren beide Hersteller im Normalfall bis auf wenige Ausnahmen. Das ist auch aus Datenschutzgründen gut so, damit Apps im Normalfall nicht fortwährend im Hintergrund scannen, an welchen Bluetooth-Sendern ein Handynutzer vorbei kommt. Aber Corona ist halt ein Sonderfall, da müssen iOS und Android genau diesen Schutz ja explizit aufheben. Und sie müssen auch noch erlauben, dass eine Tracing-App immer weiter Codes sendet. Sonst verhindert das die Software, um den Akku nicht zu überlasten.
Und an Google und Apple kommt kein App-Entwickler vorbei?
In dem Fall jedenfalls nicht. Weil beide Konzerne nicht bloß den Bluetooth-Datenaustausch einheitlich freigegeben haben, sondern auch noch definiert haben, wie und welche Daten die Apps dabei nutzen können, haben sie de-facto entschieden, dass Corona-Tracing nur noch im dezentralen Modell funktioniert. Da können sich die Gelehrten noch so streiten, die Sache ist klar.
Bedeutet dies auch, dass zwei US-Techkonzerne mitlesen, welche Informationen über Coronainfizierte zwischen den Smartphones ausgetauscht werden? Ist das nicht noch brisanter, als wenn die Daten in der Hoheit einer staatlichen Stelle wie dem RKI liegen würden, die vom Bundesdatenschutzbeauftragten kontrolliert werden kann?
Grundsätzlich sollte niemand Zugriff auf unsere Daten haben. Weder Staat, noch Unternehmen. Im Fall des dezentralen Ansatzes aber werden die Listen mit den Codes der Infizierten ja ohnehin öffentlich gemacht und den Smartphones zum Download angeboten.
Ließen sich diese Daten nicht so verschlüsseln, dass auch Apple und Google nichts damit anfangen können?
Es gäbe mathematische und krypografische Konzepte, mit denen sich das bewerkstelligen ließe. Aber zum einen bedeuteten die einigen zusätzlichen Aufwand. Zum anderen standen die auch bisher schon weder beim dezentralen noch beim zentralen Ansatz zur Diskussion. Und jetzt haben die Konzerne erst einmal die Standards gesetzt.
Apple und Google sind börsennotierte Unternehmen, die ihren Aktionären Gewinne ausschütten müssen. Anders als eine Bundesbehörde. Fürchten Sie nicht, dass die Corona-Daten früher oder später neben allen anderen unseren erfassten Informationen zu Schrittzahlen, Puls, Ruhezeiten oder anderen Gesundheitsdetails auf den Servern der Techkonzerne landen und von denen auch zu Geld gemacht werden?
Die Erfassung der Fitnessdaten ist ein grundsätzliches Problem und unabhängig vom Tracing. Apple und Google haben in der Vergangenheit mehrfach gezeigt, dass man ihnen misstrauen muss. Und fürs unbefugte Datensammlen haben beide schon kräftig juristisch Ärger bekommen – bis hin zu Milliardenstrafen, die ihnen aufgebrummt wurden. Insofern ist Skepsis sicher angebracht. Auf der anderen Seite führt an Apple und Google aber auch kein Weg vorbei, wenn man Smartphones zur Eindämmung der Infektionen nutzen will. Das ist eine Zwickmühle. Mit ihrer Entscheidung fürs dezentrale Konzept haben sie sich immerhin für die datensparendere Strategie entschieden. Das kann man ihnen zugutehalten. Auch wenn der Schritt Ländern, wie Deutschland, Frankreich oder Italien nicht gefallen wird, denen diese Entscheidung nun weitergehende Analysen und Infektionsprognosen verbaut.
Wäre es deshalb nicht auch denkbar, dass die EU den Handyherstellern technische Vorgaben macht, dass sie auch ein zentrales Tracing ermöglichen müssen, um ihre Geräte noch in Europa verkaufen zu dürfen?
Ich bin kein Spezialist für Handelsrecht. Aber selbst wenn die EU oder auch nur Deutschland solch eine Vorgabe machen und durchsetzen wollten, würden sie sich damit vermutlich erst einmal selbst schädigen. Denn es ist ja gerade das politische Ziel, mit dem Corona-Tracing möglichst rasch beginnen zu können. Einen langen Rechtsstreit mit den Konzernen anzuzetteln, würde je genau das Gegenteil erreichen. Jetzt noch die juristische Keule auszupacken, wäre kontraproduktiv. Nein, nun müssen sich sowohl die Staaten als auch die Anhänger der verschiedenen Glaubensrichtungen erst einmal mit den Vorgaben aus Kalifornien arrangieren – und genau darauf schauen, was Big-Tech mit den Corona-Daten anstellt.
