Die NGO EFF analysiert die von Apple und Google vorgeschlagenen App-Technologien, findet neben Positivem aber auch Kritikpunkte.
Apple und Google dominieren als Entwickler von iOS und Android die Smartphone-Welt, die von ihnen vorgeschlagenen Tracking-APIs könnten bei der Bekämpfung der Corona-Epidemie wohl einen entscheidenden Beitrag leisten. Wie die EFF ( Electronic Frontier Foundation ) jetzt in einem längeren Artikel erläutert, hat der Ansatz allerdings neben vielen Stärken auch einige Problemfelder. Die technischen Hintergründe haben wir bereits in einem ausführlichen Artikel vorgestellt , im Prinzip handelt es sich bei dem Konzept um eine auf Bluetooth basierende Tracking-App für alle. Im Hintergrund werden alle längeren Kontakte mit anderen Menschen erfasst und per Bluetooth der Kontakt beim anderen Smartphone vermerkt. Erkrankt eine dieser Personen, werden alle Betroffenen per Server automatisch informiert – auch Matching genannt, allerdings hier ein unerfreuliches. Begrüßenswert findet die für Grundrechte einstehende NGO etwa, dass dieses Matching nicht auf einem zentralen Server stattfindet. Auf diesem Server wird also – anders als bei den Konzepten PEPP-PT der EU und ROBERT – keine Liste an „Verdächtigen“ auf dem Server erstellt. Bei der Lösung der beiden Konzerne würde nur der Betroffene informiert.
Einige technische Probleme
Bei der Bewertung des Systems ist wohl das erste Problem, dass man bei den APIs komplett auf moderne Smartphones setzt: Viele ältere Anwender und Geringverdiener besitzen aber gar kein Smartphone oder nur ein altes Handy. Das Gerät muss außerdem aktiv sein, darf etwa nicht ausgeschaltet oder im Flugmodus sein. Nicht ideal findet die NGO außerdem, dass per Bluetooth auch die Intensität des Kontakts erkannt werden muss. Dafür sei Bluetooth aber nicht ausgelegt und es gibt viele Quellen, die den Empfang stören könnten. Nur alle fünf Minuten soll ein Tracking-Signal ausgesandt werden, kürzere Kontakte werden nicht erkannt.
Grundsätzlich muss die App außerdem von möglichst vielen Menschen verwendet werden, wozu Apple und Google noch die besten Voraussetzungen hätten. Allerdings wird die Verbreitung langsam sein und nie komplett.
Privatsphäre
Ein Problem sieht die auf Schutz der Privatsphäre bedachte EFF auch in der öffentlichen Verbreitung der sogenannten Diagnose-Keys. Diese an alle Nutzer der App versandten Dateien werden über einen zentralen Server veröffentlicht und identifizieren Erkrankte. Befürchtet wird, Informierte könnten über ihre Kontaktdaten ableiten, wer sie angesteckt hat. Die Daten könnten außerdem für die Erstellung von Bewegungsprofilen verwendet werden. Anhand der Daten könnte man dann trotz Anonymisierung Erkrankte an ihren typischen Bewegungsprofilen identifizieren – beispielsweise anhand der Route von Wohnort zum Arbeitsplatz. Die alternativen Lösungen wie PEPP-PT der EU und ROBERT von Deutschland werden aber noch kritischer gesehen, da hier ein zentraler Server das sogenannte „Matching“ übernimmt. Auch Strafverfolgungsbehörden könnten sich schließlich für die gesammelten Daten interessieren, wären diese doch sehr nützlich um die Kontakte von Verdächtigen aufzuspüren. Das ist allerdings ein grundsätzliches Problem aller Ortungs-Apps. Unbekannt ist außerdem die Anfälligkeit gegen sogenannte „Trolle“, etwa wenn ein böswilliger Hacker Keys Erkrankter auffängt und absichtlich an möglichst viele Menschen versendet. Das könnte die Akzeptanz stark beeinträchtigen.
Problem Entwickler
Da Apple und Google nur die APIs veröffentlicht haben, stehen den Entwickler der entsprechenden Apps viele Freiheiten offen. Das hat auch Nachteile: So könnten Entwickler Funktionen zum Schutz der Privatsphäre aushebeln, oder die App als Trojaner missbrauchen. Hier können viele Fehler geschehen, etwa dass eine Anmeldepflicht ergänzt wird, Ads und Analytics integriert werden und der Nutzer so das Vertrauen in die App verliert. Die EFF empfiehlt deshalb, dass Apple und Google bei der Nutzung der APIs mehr Vorgaben machen sollten, etwa wenn es um den Zugriff auf Funktionen geht, mit denen man einen Nutzer identifizieren kann. Was ebenfalls noch fehlt, ist die Planung des Ausstiegs: Nach dem Ende der Pandemie muss es eine Möglichkeit geben, die Überwachung auch wieder zu beenden. Die Gefahr wäre sonst groß, dass die Funktion für neue Anwendungen genutzt wird, etwa die Bekämpfung der Grippe-Epidemie oder andere Zwecke. Abschließend sieht die EFF die beiden Konzerne in der Pflicht, auf die Privatsphäre der Nutzer zu achten. Damit das Konzept funktioniert, müssen schließlich das Vertrauen der Öffentlichkeit erhalten bleiben.
Unsere Meinung: Eine Organisation wie die EFF, die sich um den Schutz der Privatsphäre kümmert, hat es mit Corona-Apps nicht leicht. Das Argument hat aber etwa für sich, dass Datenschutz und Schutz vor dem Ausspähen hier kein Selbstzweck sind: Damit die Apps von breiten Kreisen der Bevölkerung akzeptiert werden, sollten sie möglich vertrauenswürdig sein.