Corona-App in Deutschland: Anonymität und Quellenschutz gewährleisten
(Berlin) - Sogenannte Tracking-Apps werden derzeit intensiv als wichtiges Instrument diskutiert, um Kontaktpersonen mit dem Coronavirus Infizierter schnell und effektiv zu identifizieren. Nach scharfer Kritik an einem ersten Vorstoß der Bundesregierung konzentriert sich die Debatte in Deutschland nun auf Vorschläge für eine Bluetooth-basierte App, die Datenschutz-Bedenken Rechnung tragen soll. Ungeachtet vieler noch offener Details hat Reporter ohne Grenzen (RSF) eine erste Einschätzung der momentan kursierenden Vorschläge vorgenommen und benennt potenzielle Risiken und die Mindestanforderungen an eine solche Lösung, um den journalistischen Quellenschutz im digitalen Raum nicht auszuhöhlen.
"Eine Corona-Tracking-App darf nicht zum Einfallstor für verdachtsunabhängige Überwachung und anlasslose Vorratsdatenspeicherung werden", sagte der Geschäftsführer von Reporter ohne Grenzen, Christian Mihr. "Solche Technologien können in der Ausnahmesituation dieser Krise einen wichtigen Beitrag leisten, zugleich muss aber von Anfang an sichergestellt und unabhängig überprüfbar sein, dass die App die Anonymität journalistischer Quellen schützt, nur die unbedingt benötigten Daten erhebt und zu keinem anderen Zweck als zur akuten Eindämmung der Coronavirus-Pandemie verwendet wird. Anonymität und Schutz vor Überwachung sind nicht nur, aber besonders für Journalistinnen und Journalisten essenziell, die auch in der Corona-Krise in der Lage sein müssen, Missstände und Fehlentwicklungen aufzudecken und dabei ihre Quellen zu schützen."
Angesichts der weltweiten Diskussion über den Nutzen von Apps zum digitalen Tracking von Coronavirus-Infizierten und deren Kontaktpersonen hat RSF ebenso wie andere Bürgerrechtsorganisationen und die Menschenrechtsbeauftragten internationaler Organisationen die teils erheblichen Einschnitte solcher Lösungen in Grund- und Menschenrechte kritisiert. Zentral ist dabei aus der Perspektive der Pressefreiheit die Frage, inwieweit entsprechende Apps Anonymität und journalistischen Quellenschutz gewährleisten.
In Deutschland lautete ein erster Vorschlag, die Abfrage von Funkzellen-Daten zum Corona-Tracking im mittlerweile beschlossenen "Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite" festzuschreiben. Dieser Vorstoß scheiterte an heftiger Kritik sowohl an der mangelnden Zweckmäßigkeit dieses Ansatzes als auch an seiner Unvereinbarkeit mit Datenschutz und Grundrechten.
Mindestanforderungen an eine Corona-Tracking-App
Inzwischen gibt es mehrere alternative Vorschläge, die auf der Nutzung der Bluetooth-Technologie von Smartphones basieren. Auch wenn viele Details noch offen sind, lassen sich aus der aktuellen Debatte und aus dem, was über die wichtigsten Lösungsansätze bekannt ist, einige Mindestanforderungen an eine Corona-Tracking-App ableiten:
- Eine Corona-App sollte so wenige Daten wie möglich und nur so viele wie unbedingt nötig speichern.
- Jede Corona-App muss von Anfang an als Open-Source-Software veröffentlicht werden. Dasselbe gilt für Änderungen an der App durch Software-Updates. Nur so können unabhängige Expertinnen und Experten die Software bewerten und überprüfen, ob sie Anonymität und journalistischen Quellenschutz gewährleistet.
- Alle durch die App gesammelten Daten müssen strikt vor jeder anderen Nutzung durch Geheimdienste, sonstige Behörden oder Unternehmen geschützt werden. Klar benannte Löschfristen müssen essenzieller Bestandteil der Lösung sein; ihre Einhaltung ist von einer unabhängigen Stelle zu prüfen.
- Der Aufbau privater Datenbanken mit den temporären Identifikationsnummern (IDs) einer Corona-Tracking-App muss unbedingt verhindert werden.
- Nachträgliche Erweiterungen des Zwecks der App zum Beispiel zur Kontrolle oder Überprüfung von Ausgangs- und Kontaktbeschränkungen müssen kategorisch ausgeschlossen sein.
- Die von Mobiltelefonen ausgestrahlten Bluetooth Low Energy Beacons dürfen ausschließlich zur Bekämpfung von Infektionsketten genutzt werden. Jede andere Nutzung auch zu kommerziellen Zwecken, der ein Nutzer nicht explizit zugestimmt hat, muss verboten werden.
- Sobald sich die konkreten Sicherheitsrisiken einer Bluetooth-basierten Lösung beurteilen lassen, muss eine sorgfältige und transparente Abwägung der zu erwartenden digitalen Sicherheitsrisiken gegen den voraussichtlichen Nutzen der Lösung stattfinden.
Die verschiedenen diskutierten Ansätze unterscheiden sich vor allem darin, was im Infektionsfall im Detail mit den Daten der Betroffenen passiert, sowie in der Handhabung der von der App erzeugten temporären IDs. Derzeit erscheinen Lösungen nach dem Vorbild Singapurs als mutmaßlich datenschutzfreundlichste Möglichkeit, Informationen über Kontakte infizierter Personen zu sammeln. Inwieweit eine Lösung diesen Anforderungen tatsächlich genügt, wird sich aber erst anhand ihrer konkreten Umsetzung beurteilen lassen.
Bluetooth-Technologie als Lösung?
Nach dem misslungenen ersten Vorstoß der Bundesregierung arbeitet nun das Robert-Koch-Institut Berichten zufolge gemeinsam mit dem Fraunhofer Heinrich-Hertz-Institut an einer datenschutzfreundlicheren Variante einer App aus Singapur, die Bürgerinnen und Bürger zum freiwilligen Teilen von Kontaktdaten ermutigen soll. Ein Verbund von Unternehmen und Forschungsinstitutionen dieser beiden Institute arbeitet laut Spiegel unter dem Titel "Pan-European Privacy Protecting Proximity Tracing" (Pepp-PT) bereits an einem europäischen Standard, der die Rahmenbedingungen für mögliche nationale Apps vorgeben soll.
Die Software-Lösung soll durch die Nutzung einer Technologie namens Bluetooth Low Energy Beacon eine effektive anonyme Ermittlung von Kontaktpersonen Erkrankter ermöglichen.
Diese Technologie erlaubt es Telefonen, die sich für eine Mindestdauer in der Nähe befinden, sich gegenseitig Identifikationsnummern zuzusenden, die für die spätere Ermittlung von Kontakten genutzt werden können. Die dabei anfallenden Daten werden lokal auf den Telefonen gespeichert und müssen nur im Infektionsfall an einen zentralen Server gemeldet werden.
Ähnliche Vorschläge brachte vor einigen Tagen der von verschiedenen Innovations- und IT-Initiativen unter der Schirmherrschaft von Kanzleramtsminister Helge Braun veranstaltete Wir vs. Virus-Hackathon hervor. Auch die Juristen Ulf Buermeyer und Matthias Bäcker sowie der Wirtschaftswissenschaftler Johannes Abeler sprachen sich in einem Gastbeitrag bei Netzpolitik.org für diese vergleichsweise datensparsame Technologie aus.
Tatsächlich sind Lösungen nach dem Vorbild Singapurs unter den derzeit diskutierten Varianten die datenschutzfreundlichste Möglichkeit, Informationen über Kontakte infizierter Personen zu sammeln. Wie genau eine deutsche Pepp-PT-App funktionieren soll, ist noch nicht öffentlich bekannt. Ob die Technologie auch unter dem Aspekt des Schutzes journalistischer Quellen als sicher eingestuft werden kann, lässt sich daher noch nicht abschließend bewerten.
Unabhängig von technischen Details unterstrich der Bundesbeauftragte für den Datenschutz Ulrich Kelber die Bedeutung einer auf Freiwilligkeit basierenden Lösung für öffentliches Vertrauen und damit für die Akzeptanz und Wirksamkeit einer solchen App. Selbst die freiwillige Zustimmung zur Nutzung einer solchen App unterliegt in Krisenzeiten erheblichem sozialen Druck und sollte die gesellschaftliche Verantwortung für die Wahrung von Privatsphäre und dem Schutz persönlichster Daten nicht auf einzelne Bürgerinnen und Bürger abwälzen.
Im Folgenden stellt Reporter ohne Grenzen einige mögliche Risiken und Mindestanforderungen der derzeit diskutierten Lösungen vor:
Singapur: Vorbild mit Einschränkungen
Bei allen derzeit diskutierten Vorschlägen sind es die Details, die maßgeblich entscheiden, ob eine App den Quellenschutz gefährdet oder nicht. Allen Vorschlägen ist gemeinsam, dass Nutzerinnen und Nutzer eine App auf ihrem Smartphone installieren. Die App erzeugt regelmäßig temporäre IDs und sendet diese über Bluetooth an benachbarte Smartphones. Empfängt die App eine temporäre ID, wird sie lokal auf dem Telefon verschlüsselt gespeichert. Erst wenn eine Person als infiziert bestätigt ist, kann sie freiwillig die Liste der gesammelten temporären IDs auf einen zentralen Server hochladen.
Die Ansätze unterscheiden sich darin, was im Infektionsfall im Detail geschieht, sowie in der Handhabung der temporären IDs. Die TraceTogether-App aus Singapur verwendet zum Beispiel das BlueTrace-Protokoll. In diesem Protokoll ist das Gesundheitsministerium von Singapur in der Lage die von Geräten ausgesendeten temporären IDs zu entschlüsseln und eindeutig einem Smartphone zuzuordnen. Dass sich Nutzerinnen und Nutzer in Singapur für TraceTogether mit ihrer Telefonnummer registrieren, schafft weitreichende Überwachungsmöglichkeiten, sofern der Zugriff auf den privaten Schlüssel des Gesundheitsministeriums nicht umfassend zum Beispiel gegenüber Strafverfolgungsbehörden geschützt ist.
Auf die Registrierung mit einer Telefonnummer soll in der europäischen Variante verzichtet werden. Stattdessen würde auf einem zentralen Server ein sogenannter Push Token für jede Installation der App vorgehalten. Mithilfe des Push Tokens können betroffene Kontaktpersonen informiert werden, ohne auf eine Telefonnummer zurückgreifen zu müssen.
Wie anonym sind temporäre IDs?
Der zentrale Server muss für die Benachrichtigung von Kontaktpersonen jedoch in der Lage sein, aus den temporären IDs die dazugehörigen Push Token zu bestimmen. Der Vorschlag von Ulf Buermeyer, Matthias Bäcker und Johannes Abeler sieht dafür vor, dass die Geräte von Nutzerinnen und Nutzer ihre eigenen temporären IDs regelmäßig zu dem zentralen Server senden. So weiß der Server, welche temporäre ID zu welchem Push Token gehört.
Das könnte sich als Schwachpunkt erweisen: Wird einmal der Bezug einer temporären ID zu einer Person bekannt, so mutieren die anonymen Push Tokens zu einem eindeutig identifizierenden Merkmal. Ein Bezug kann zum Beispiel über die IP-Adresse hergestellt werden, die sich mit dem Server verbindet. Ein Bezug ergibt sich aber auch durch ein persönliches Treffen. Wollte jemand gezielt einen Kontakt zwischen zwei Personen - zum Beispiel zwischen einer Journalistin und ihrem mutmaßlichen Informanten - nachweisen, könnte die App dabei also hilfreich sein.
Unterschiedliche Gruppen arbeiten zurzeit an Lösungsvorschlägen für dieses Problem, zum Beispiel im Rahmen des Wir vs. Virus-Hackaton. Ob eine dieser Lösungen den Quellenschutz gefährdet oder nicht, hängt maßgeblich von den Details der Implementierung ab. Diese müssen frühzeitig durch die Veröffentlichung des Quellcodes transparent dokumentiert werden.
Mindestanforderungen im Detail
Bei Entwicklung unter Zeitdruck sind Sicherheitslücken oft vorprogrammiert. Aktuell wird dies an der Corona-App der deutschen Telekom deutlich, die es Hackern trotz Verschlüsselung erlaubt, die von einer Ärztin oder einem Arzt übermittelten Corona-Testergebnisse mitzulesen oder gar zu verfälschen. Umso wichtiger ist es, dass so wenige Daten wie möglich und nur so viele wie unbedingt nötig gespeichert werden.
Um eine unabhängige Prüfung zu ermöglichen und das notwendige öffentliche Vertrauen zu stärken, muss die Implementierung von Beginn an als Open-Source-Software veröffentlicht werden. Dies trifft genau so auf Änderungen an der App durch Software-Updates zu. Nur so lässt sich eine Bewertung und Diskussion durch unabhängige Expertinnen und Experten gewährleisten.
Ebenso müssen die gesammelten Daten strikt vor jeder anderen Nutzung durch Geheimdienste, andere Behörden oder Unternehmen geschützt werden. Klar benannte Löschfristen müssen essenzieller Bestandteil der Lösung sein. Dass auch sie keinen allumfassenden Schutz von Daten garantieren zeigte beispielsweise der Umgang der Berliner Polizei mit Daten aus ihrer zentralen Datenbank. Deshalb sollte die Einhaltung der festzulegenden Löschfristen und die tatsächliche Löschung der Daten durch eine unabhängige Stelle wie den Bundesdatenschutzbeauftragten überwacht werden.
Ebenso fordert Reporter ohne Grenzen ein Verbot der Nutzung der durch Corona-Apps ausgestrahlten IDs zu anderen Zwecken als zur Aufklärung von Infektionsketten. Anbieter mit kommerziellen Interessen verwenden schon heute Tracking-Geräte um anhand von Bluetooth und/oder WLAN-Signalen die Bewegungen von Kundinnen und Kunden in Geschäften und in der Öffentlichkeit zu verfolgen. Der Aufbau von privaten Datenbanken mit temporären IDs ist ein Sicherheitsrisiko und muss in jedem Fall verhindert werden.
Auch denkbare Erweiterungen einer App, zum Beispiel zur Kontrolle oder Überprüfung von Ausgangs- und Kontaktbeschränkungen, müssen kategorisch ausgeschlossen sein.
Unabhängig davon, wie Pepp-PT-basierte Apps am Ende im Detail funktionieren, ist davon auszugehen, dass sie mit Sicherheitsrisiken verbunden sein werden. Diese Risiken müssen sorgfältig und transparent mit dem Nutzen der App abgewogen werden. Schon alleine das Aktivieren von Bluetooth stellt ein Sicherheitsrisiko dar; so gab es in den vergangenen Jahren mehrere Sicherheitslücken in Bezug auf Bluetooth wie zum Beispiel die BlueFrag-Sicherheitslücke aus diesem Jahr. Durch diese Sicherheitslücke konnten Angreifer Telefone unbemerkt auslesen oder Malware installieren. Ob Schutzmaßnahmen wie die Verwendung eines zweiten Telefons nur für die Tracking-App geeignet sind, diese Risiken zu reduzieren, wird sich erst beurteilen lassen, wenn Details veröffentlicht sind.
Deutschland steht auf Platz 13 von 180 Ländern auf der Rangliste der Pressefreiheit.
Quelle und Kontaktadresse:
Reporter ohne Grenzen e.V. (ROG)
Pressestelle
Friedrichstr. 231, 10969 Berlin
Telefon: (030) 609 895 33 - 0, Fax: (030) 202 15 10 - 29