Bei einem scheinen sich Politik und Wissenschafter weitgehend einig zu sein: Apps zur Aufzeichnung der eigenen Kontakte könnten bei der Bekämpfung der Ausbreitung von Covid-19 behilflich sein – zumindest theoretisch. Wie dieses Tracking erfolgen und ob dies dann freiwillig oder nicht sein soll – oder gar Konsequenzen für die Bewegungsfreiheit im öffentlichen Raum hat –, sind hingegen Fragen, zu denen es auch innerhalb Europas stark divergierende Meinungen gibt. Angesichts dessen werden die Stimmen für eine europaweite Lösung lauter, zuletzt wurde diese Forderung etwa vom deutschen Kanzleramtschef Helge Braun erhoben. Einem Dokument der Europäischen Kommission zufolge, das Reuters einsehen konnte, soll die EU-Kommission planen, einheitliche Regeln für Coronavirus-Apps durchzusetzen. Aktuell divergieren die Vorstellungen der einzelnen Länder zum Umfang der Überwachung teilweise stark.

Contact-Tracing

Das beginnt schon bei der Zielsetzung. Zum Teil soll "nur" eruiert werden, ob eine Person über einen gewissen Zeitraum in engen Kontakt mit einem nachweislich Erkrankten gekommen ist, um sie vorsorglich in Quarantäne zu schicken – oder darauf zu vertrauen, dass diese das selbst tut. Andere Instrumente werden hingegen eingesetzt, um zu prüfen, ob Ausgangsbeschränkungen tatsächlich eingehalten werden, und somit zu einer gezielten Überwachung der Bürger.

Dabei kommen zum Teil Maßnahmen zum Einsatz, die vor dem Coronavirus für unmöglich gehalten wurden: beispielsweise in Polen, wo das Digitalministerium eine verpflichtende App für Personen eingeführt hat, die in Quarantäne geschickt wurden. Sie werden zu zufälligen Zeiten aufgefordert, ein Selfie zu machen – inklusive der Weitergabe von Standortinformationen. Die Polizei prüft Wohnungen von Nutzern, die nicht rechtzeitig reagieren. Sind sie nicht zu Hause, drohen hohe Strafen. Anhand von Gesichtserkennung wird geprüft, ob es sich tatsächlich um die jeweilige Person handelt, zudem werden die übermittelten Fotos mit älteren Bildern abgeglichen, um den Standort zu verifizieren.

Provider kennt Standort

Eine weitere Methode, die in einigen Ländern zum Einsatz kommt, ist die Verwendung der Daten von Netzanbietern. Damit ein Handy eine Verbindung aufbauen kann, muss es dauernd mit Mobilfunkmasten verbunden sein. Das ist unvermeidlich, hat aber auch zur Folge, dass der Provider immer den ungefähren Standort seiner Nutzer kennt – und genau dieser Datenschatz lässt sich auch nutzen, um die Bewegungen einzelner Personen nachzuvollziehen. Da diese Methode allein nicht besonders genau ist, kombiniert Israel die Daten etwa mit Banktransaktionen, um, gemeinsam mit persönlichen Gesprächen, ein besonders genaues Bild zu zeichnen. Die Daten werden auf der Webseite des dortigen Gesundheitsministeriums veröffentlicht. In Bulgarien dürfen Behörden Metadaten ohne Gerichtsbeschluss einsehen, um die Bewegungen von Usern nachzuvollziehen. In Tschechien werden Nutzer von Behörden gefragt, ob ihre Standortinformationen hierfür genutzt werden dürfen.

Andere Länder – wie auch Österreich mit der App des Roten Kreuzes, "Stopp Corona" – beschränken sich derzeit hingegen auf wesentlich weniger invasive Techniken. Smartphone-Apps dienen als Hilfsmittel zum sogenannten Contact-Tracing. Die Idee dahinter: Befinden sich zwei Personen eine gewisse Zeit nahe beieinander – bisher ist dabei als Richtwert von 15 Minuten und zwei Metern die Rede –, tauschen die Smartphones mittels Bluetooth eine pseudonymisierte ID aus. Diese Informationen werden für einen gewissen Zeitraum gespeichert – und zwar nur auf dem Smartphone. Wird dann eine Person krank, teilt sie dies der App mit, in der Folge werden alle relevanten Kontakte automatisch informiert und aufgefordert, sich in Isolation zu begeben. Ähnliche Apps planen oder nutzen zahlreiche europäische Länder, beispielsweise Deutschland, Israel, Belgien, Norwegen und Großbritannien.

Öffentliche Flirts mit Verpflichtung

Bisher kommen sie zumeist freiwillig zum Einsatz, jedoch überlegen Politiker immer wieder laut, eine Pflicht einzuführen. Zuletzt waren solche Ideen beispielsweise von Nationalratspräsident Wolfgang Sobotka zu hören. Auch Bundeskanzler Sebastian Kurz (beide ÖVP) wollte einen Zwang zunächst nicht ausschließen – bis er auf Druck des grünen Koalitionspartners zurückruderte. Die offizielle Linie der Regierung bleibt also vorerst, dass die Freiwilligkeit erhalten bleiben soll.

Zumindest in EU-Staaten eröffnet das die Frage, ob derartige Instrumente nicht gegen die 2018 eingeführte Datenschutzgrundverordnung (DSGVO) verstoßen. Nein, sagt der Europäische Datenschutzausschuss in einem Statement: Demnach sind in Ausnahmesituation solche Maßnahmen genehmigt. Eingriffe in die Privatsphäre müssen aber notwendig und verhältnismäßig sein. In erster Linie sollen aber Lösungen angestrebt werden, die den Datenschutz wahren.

Die unterschiedlichen Vorgehensweisen haben den Ruf nach einer paneuropäischen Lösung immer lauter werden lassen – Braun will sie etwa auch an eine Lockerung von Ausgangsbeschränkungen knüpfen. Eine europaweite App zeichnet sich jedenfalls noch nicht ab, jedoch plant, wie anfangs erwähnt, die EU-Kommission einheitliche Regeln. Dem Reuters vorliegenden Dokument zufolge soll es eine Methodologie geben, um den Nutzen der Handy-Apps, ihre Interoperabilität und ihre Möglichkeiten, Daten über Grenzen hinweg zusammenzuführen, zu bewerten. Zudem soll kontrolliert werden, ob Datenschutzregeln eingehalten und inwieweit die anonymisierten und aggregrierten Informationen genutzt werden. Zur Pflicht soll es demnach gemacht werden, die Daten zu löschen, wenn die Corona-Krise unter Kontrolle ist.

Framework mit Datenschutz im Fokus

Bei der Basistechnologie gibt es Fortschritte: Unter dem Namen Pepp-PT (Pan-European Privacy-Preserving Proximity Tracing) haben sich zahlreiche renommierte Forschungseinrichtungen sowie Unternehmen und Wissenschafter zusammengetan, um eine gemeinsame Grundlage für Apps zur Kontaktnachverfolgung zu schaffen. So könnten dann potenziell verschiedene Apps aus unterschiedlichen Ländern miteinander kommunizieren. Etwas, das essenziell wäre, wenn man tatsächlich die Reisefreiheit mit der Nutzung solcher Apps verknüpfen will.

Der Fokus der Entwicklung liegt dabei auf der Wahrung der Privatsphäre. Man wolle sicherstellen, dass die Sammlung datenschutzkonform passiert und auch im Nachhinein keine Bewegungsprofile einzelner Nutzer rekonstruiert werden können, betonen die Initiatoren. Die Kommunikation erfolgt ausschließlich über Bluetooth, Daten vom Mobilfunker oder gar zur exakten Positionsbestimmung werden also nicht gesammelt.

Das gewählte Konzept erinnert etwas an jenes, das auch vom Roten Kreuz – oder genauer der für die Entwicklung engagierten Firma Accenture – gewählt wurde. Allerdings mit einer Reihe von entscheidenden Vorteilen. Zunächst: Es kommt ganz ohne die Anbindung an die Services von Firmen wie Microsoft und Google aus, zudem ist der Code auch von Anfang an Open Source – kann also von jedem mit den entsprechenden Kenntnissen auf Vertrauenswürdigkeit geprüft werden. Doch auch an der Implementation gibt es Verbesserungen. So werden bei Pepp-PT die getauschten Codes regelmäßig neu erstellt, um selbst die theoretische Nachverfolgbarkeit der Wege Einzelner zu verhindern. Außerdem gibt es eine zusätzliche Absicherung bei der Meldung. Wird eine Person krank, erhält sie von der Gesundheitsbehörde eine einmalige TAN – ähnlich wie beim Onlinebanking –, mit der sie dann die Kontakte – ebenfalls pseudonymisiert – informieren lassen kann. All das ist also freiwillig – ebenso wie die Entscheidung, ob sich die Kontakte dann auch tatsächlich in Quarantäne begeben.

Ob der Plan aufgeht, Pepp-PT als durchgängige Lösung durchzusetzen, muss sich allerdings erst zeigen. Beim Roten Kreuz hat man zwar prinzipielles Interesse an dem Projekt signalisiert, vorerst bleibt man aber noch bei Eigenentwicklungen. So soll am Donnerstag eine neue Version der "Stopp Corona"-App veröffentlicht werden, die als wichtigste Neuerung die automatische Aufzeichnung von Kontakten bietet – bisher wurde all dies manuell vorgenommen, was von vielen Nutzern als zu mühsam kritisiert wurde.

Robert-Koch-Institut entscheidet sich für Pepp-PT

In Deutschland hat man sich hingegen bereits auf Pepp-PT festgelegt: Dieses soll die Basis für die App des damit beauftragten Robert-Koch-Instituts bilden. In anderen Ländern dürften die Chancen für die Übernahme dieser Technologie hingegen deutlich schlechter stehen, immerhin steht der Privatsphärenfokus im Widerspruch zur konkreten Überwachung einzelner Bürger, wie sie etwa Polen praktiziert.

Zudem gilt es abzuwarten, welches Konzept zur Kontaktnachverfolgung sich schlussendlich durchsetzt, ist Pepp-PT doch bei weitem nicht der einzige Ansatz. Und dafür muss man nicht einmal in die USA blicken, wo Forscher gerade an ähnlichen Projekten arbeiten. So gibt es in Europa mit DP-3T ein sehr ähnliches Projekt mit technisch leicht anderen Ansätzen, und auch die Hacker des Chaos Computer Clubs arbeiten derzeit an der Implementierung eigener Konzepte zum pseudonymisierten Contact.Tracing. (Muzayen Al-Youssef, Andreas Proschofsky, 8.4.2020)