„Beispiellose Überwachung“: Forscher kritisieren Datenschutz von möglicher Corona-App

Seit Anfang April nimmt eine mögliche Corona-App immer konkretere Formen an. Ein europäisches Team in Zusammenarbeit von 130 Forschern und Unternehmen – aus Deutschland sind unter anderem das Robert-Koch- (RKI) und Fraunhofer-Heinrich-Hertz-Institut (FHHI), Vodafone und diverse Universitäten beteiligt – erschuf dafür ein Software-Gerüst. Aus diesen Bausteinen können Bund und Länder sowie andere Staaten eigene Apps entwickeln. Die gemeinsame Basis soll dabei den reibungslosen Ablauf über Landesgrenzen garantieren.

Etwa 300 Forscher aus der ganzen Welt, darunter auch frühere Befürworter der App, kritisieren nun die geplante Umsetzung. In einem offenen Brief, der der „Zeit“ vorab vorlag, warnten sie vor einer „beispiellosen Überwachung“ und davor, dass die Corona-App auch nach der Krise als Spion auf den Smartphones der Nutzer verbleibt.

Kontakt- und Bewegungsprofile jedes einzelnen Menschen

Die Gesundheit der Menschen ist heute mehr Geschäft denn Wohlwollen und so ist die Frage durchaus berechtigt, welchen Preis sie hat. Als das höchste Gut des Menschen müsse sich auch der Schutz der persönlichen Daten ihrer unterordnen. Kritiker der Corona-App befürchten jedoch „dass digitale Grundrechte nicht nur temporär eingeschränkt werden“, so die „Zeit“. Zudem könnten Hacker die Daten, aus „allzu sorglos umgesetzter“ Kontakt-Verfolgung, entschlüsseln und umfassende Bewegungs- und Kontaktprofile jedes einzelnen Menschen erstellen. Ein Milliardengeschäft.

Die Softwareentwickler lieferten zwei Ansätze: dezentral und zentral. Bei einer dezentralen Corona-App sucht jedes Smartphone über Bluetooth nach anderen Geräten mit der App. Findet es in der Nähe ein anderes Gerät, tauschen diese „anonym einen Zahlencode zur Identifikation aus“. Sollte später beim Smartphone-Nutzer eine COVID-19-Infektion bestätigt werden, sendet sein Smartphone allen Identifikationscodes eine entsprechende Warnung und „empfiehlt Quarantäne“, beschreiben die Entwickler.

Beim zentralen, von der Bundesregierung favorisierten, Ansatz müssen sich alle Smartphone-Nutzer, die die App installieren, auf einem zentralen Server registrieren. Neben der Erfassung der Nutzer übernimmt dieser die Aufgabe der Erzeugung der Zahlencodes zum Senden an andere Smartphones. Meldet ein anderes Smartphone den erhaltenen Zahlencode dem Server, lassen sich daraus direkte Kontakte ablesen und über die Registrierung eindeutig zuordnen.

Nach Angaben der Entwickler könnten zudem die exakte Kontaktzeit und -dauer, sowie Daten der Bluetooth- und optional WLAN-Verbindungen übertragen werden. Darüber hinaus sehen die Entwickler eine Speicherung von 21 Tagen vor. Ob die Daten nach dieser Frist tatsächlich und vollständig vernichtet werden, liegt in den Händen der Betreiber der App. Datensätze dieser Größenordnung könnten mehrere Hundert Millionen Euro wert sein.

Vernachlässigung der Privatsphäre „extrem gefährlich“

Die umfassende Verwendung der Corona-App setzt Vertrauen und Akzeptanz der Nutzer voraus. Potenzielle Datenlecks oder eine Überwachung durch staatliche oder privat-wirtschaftliche Institutionen würde dies „katastrophal beeinträchtigen“ warnen die Forscher. Unterzeichner des offenen Briefes stammen unter anderem von den Universitäten Stanford und Oxford, der Ruhr-Universität Bochum, der ETH Zürich sowie der Johns Hopkins-Universität. Sie schreiben weiter:

Es ist von entscheidender Bedeutung, dass wir bei der Bewältigung der gegenwärtigen Krise kein Instrument schaffen, das eine groß angelegte Erhebung von Daten über die Bevölkerung ermöglicht. Weder jetzt noch zu einem späteren Zeitpunkt.“

Lösungen, die die Erfassung von Millionen Nutzerprofilen ermöglichen, sollten „ohne Diskussion“ abgelehnt werden. Kenneth Paterson, Professor und Computerwissenschaftler der ETH Zürich sagte: Obgleich die Entwickler die besten Intentionen hätten, sei die Vernachlässigung der Privatsphäre „extrem gefährlich“.

Metadaten, wie beispielsweise Kontakte, seien für Marketingfirmen und Geheimdienste sehr interessant. „Mit dem zentralisierten Ansatz haben sie Zugang zu einem detaillierten Protokoll der anonymisierten Interaktionen zwischen den Nutzern. [Das kann dazu führen], dass sie wissen, wer mit wem spricht“, zitiert die „Zeit“ die Assistenzprofessorin für Privatsphäre und Sicherheit an der ETH Lausanne Carmela Troncoso.

Sechs Forderungen an jede Corona-App

In ihrem offenen Brief fordern Paterson, Troncoso und Kollegen deshalb „alle Länder nachdrücklich auf, sich nur auf Systeme zu verlassen, die der öffentlichen Kontrolle unterliegen und die die Privatsphäre von vornherein schützen“.

Darüber hinaus dürfe eine Corona-App ausschließlich für die Dauer der Corona-Krise zum Schutz der öffentlichen Gesundheit verwendet werden. Danach müssten alle Daten dauerhaft gelöscht werden.

Technische Ansätze müssten öffentlich einsehbar und transparent sein. Gebe es mehrere Ansätze, sei stets die Variante mit dem besten Schutz der persönlichen Daten zu wählen.

Die Installation müsse freiwillig sein und obliege allein dem Nutzer. Das hieße auch bei Updates von weit verbreiteten Drittanbieter-Apps die entsprechenden Funktionen zu integrieren.