Wie können Apps bei der Bekämpfung des neuartigen Coronavirus‘ helfen? Und was ist mit dem Datenschutz? Apple und Google haben einen Vorschlag gemacht. In iOS 13.5 bekommt es jeder iPhone-Nutzer auf sein Smartphone. Was davon zu halten ist.
Es könnte eigentlich alles so einfach sein: Jedes Smartphone verfügt über einen GPS-Empfänger, mit dem per Satellitendaten die genaue Position des Geräts festgestellt werden kann. Hat das Gerät keinen Empfang, weil es zum Beispiel in der Hosentasche getragen wird, orientiert es sich zusätzlich an den Standorten von WLAN-Netzwerken. Würden all diese Bewegungsverläufe von Milliarden von Smartphones an zentraler Stelle zusammengetragen werden, ergäbe sich ein sehr umfassendes Bild davon, wer wann und wie lange mit wem zu tun hat. Damit ließen sich Infektionsketten wie aktuell beim Coronavirus nahezu nahtlos verfolgen.
Das beschriebene Verfahren hat nur einen Haken oder besser gesagt: einen hohen Preis. Es ist die Privatsphäre, die vollkommen verloren ginge. „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt“, heißt es in Artikel 2 des Grundgesetzes der Bundesrepublik Deutschland. Das heißt auch: Jeder hat das Recht, für sich zu sein, sich selbst zu gehören, einen Einblick durch andere auszuschließen.
Die Tracing-App gegen das Coronavirus, von der dieser Tage die Rede ist, soll beides zusammenbringen: Einerseits die Achtung der Grundrechte und des Datenschutzes, andererseits das Nutzen vorhandener Technologien, die eine große Zahl von Menschen in ihrem Alltag bei sich trägt. Die Idee: Je besser und schneller Infektionsketten bei Pandemien – wie Covid-19 – aufgeklärt werden können, desto besser kann die Reproduktionsrate gering gehalten werden. Je geringer die Zahl der Infektionen, desto weniger sind Maßnahmen nötig, die das öffentliche Leben einschränken. Warum sollte man das allgegenwärtige Smartphone nicht dabei einbeziehen?
Aber wie?
Doch ganz so einfach, wie sich das mancher vorstellt, ist das dann doch nicht. Da kommt es wie gerufen, dass die Hersteller der beiden wichtigsten Smartphone-Hersteller, Google und Apple, das Heft des Handelns frühzeitig selbst in die Hand genommen haben. Damit haben sie vorgebeugt, dass es nicht Politiker und Staatschefs sind, die in die Offensive gehen und ihnen vorschreiben, wie Lösungen auszusehen haben.
So naheliegend der Gedanke des Smartphone-Tracings ist und so sehr manche diese Möglichkeit begrüßen: Viele Nutzer empfinden bei dem Gedanken eher ein latentes oder starkes Misstrauen. Manchmal wird auch Tracking (per GPS) mit Tracing verwechselt. Vor allem aber umtreibt Menschen die Sorge, dass so eine Schnittstelle zum Staat ein Einfallstor sein könnte, die gewonnenen Daten auch anderweitig zu nutzen, etwa in der Kriminalitätsbekämpfung.
Die Hersteller der Smartphone-Betriebssysteme erscheinen nach den Nutzern als jene Interessenspartei, die von allen am wenigsten Interesse daran haben könnten, dass das passiert. Für sie steht der gute Ruf auf dem Spiel und das Vertrauen der Nutzer in die Geräte. Sie haben ein begründetes Interesse an einer Fortführung der Geschäftsbeziehungen. Und gerade Datenschutz war dabei in den letzten Jahren ein Thema, das zunehmend an Bedeutung gewonnen hat. Auch schon ohne Corona.
Zumindest im Falle Deutschlands hat das vorliegende Konzept der beiden Tech-Firmen wohl auch dazu beigetragen, von einer Idee der zentralisierten Datensammlung abzurücken.
Ohne Unterstützung von Apple und Google wäre das Tracing vermutlich sowieso erfolglos geblieben. Gerade auf der Apple-Plattform ist es Apps von Drittentwicklern nicht möglich, permanent im Hintergrund aktiv zu sein. Damit sollen die Akkulaufzeit geschont und der Arbeitsspeicher nicht zu sehr belastet werden. Besonders das Memory-Management ist aus Entwicklersicht eine Blackbox. Es hängt ab von Prozessen und Faktoren im System, die aus Sicht der einzelnen App gar nicht sichtbar ist.
Datenschutzfunktionen der vergangenen Jahre hinterfragen zudem den oftmaligen Gebrauch von Bluetooth und anderen Komponenten. Um zu funktionieren, hätte eine Tracing-App permanent im Vordergrund laufen müssen. Kaum vorstellbar, dass das jemand dauerhaft mitgemacht hätte. Bei Android ist im Hintergrund zwar mehr möglich. Allerdings wäre dann immer noch die Frage gewesen, wie sich Apple- und Android-Geräte untereinander verstehen sollen. Diese so genannte Interoperabilität bedurfte einer Lösung.
Der Zwei-Stufen-Plan
Als die beiden Techkonzerne ihre ungewöhnliche Zusammenarbeit im April bekannt gaben, legten sie gleich ein Zwei-Stufen-Konzept vor. Dieses sieht im ersten Schritt vor, eine Programmier-Schnittstelle (API) zu entwickeln, die ab Mai nutzbar sein soll. Im Netz können die Spezifikationen des „Exposure Notification“-Frameworks eingesehen werden. Es soll nur Entwicklern von Tracing-Apps der öffentlichen Hand bereitgestellt werden und einen einheitlichen Ansatz liefern, um das Tracing zu gewährleisten.
Um mitzumachen, müssten Nutzer im App bzw. Play Store eine solche App herunterladen und aktivieren, ähnlich der Datenspende-App, die das Robert-Koch-Institut vor einigen Wochen bereits bereitgestellt hat.
Das technische Tracing selbst würde freilich das Betriebssystem übernehmen. Wie das aussieht, können Betatester bereits in iOS 13.5 sehen. Es gibt einen neuen Wahlschalter in den Einstellungen, mit dem das Tracing aktiviert werden kann. Die öffentliche App kommt ins Spiel, wenn es um die weiteren Schritte geht. Unklar ist noch, wie sehr sie auch schon beim Datenabgleich mit den Verdachtsfällen eine Rolle spielt.
Der zweite Schritt, der erst Monate später folgen soll, ist tiefergehender: Dann soll das Tracing gänzlich im Betriebssystem verankert werden. Der Vorteil: Das Herunterladen einer Extra-App als Hemmschwelle entfällt. Damit Tracing gut funktioniert, müssen möglichst viele mitmachen.
So funktioniert das Tracing
Das Verfahren, das Apple und Google für die „Exposure Notification“ erdacht haben, ist komplex, soll dadurch aber in punkto Datenschutz sicher sein. Statt per GPS-Ortung soll über den Nahbereichsfunk Bluetooth ermittelt werden, wer sich nahe kommt und damit ein Infektionsrisiko hat, wenn das Gegenüber infiziert wurde. Möglichst viel soll auf den Geräten der Nutzer stattfinden, möglichst wenig nach außen dringen.
Konkret wird beim Tracing jedes teilnehmende Smartphone zum Sender und Empfänger von Zeichenketten. Jeden Tag wird vom Gerät ein Tagesschlüssel erzeugt, der Temporary Exposure Key, und im Smartphone hinterlegt. Alle 10 bis 20 Minuten wird daraus ein Rolling Proximity Identifier abgeleitet. Diese Nummern alleine sollen keine Rückschlüsse auf die Personen oder ihre Geräte zulassen.
Die im Viertelstunden-Takt erzeugte Nummer wird von jedem teilnehmenden Smartphone per Bluetooth an Geräte im Umkreis ausgestrahlt. Diese Geräte „sammeln“ diese Nummern ein und speichern sie sicher. Dafür müssen sich Nutzer mindestens fünf Minuten nahe gewesen sein.
Per Signalstärke soll bemessen werden, ob sich die Nutzer überhaupt so nahe sind, dass ein Infektionsrisiko besteht. Wenn dem so ist, werden diese Nummern für einen bestimmten Zeitraum auf dem Gerät aufbewahrt.
Wird nun bei einem Nutzer der Tracing-App eine Infektion mit Covid-19 festgestellt, kann er freiwillig zustimmen, dass andere Tracing-Nutzer gewarnt werden, denen er nahe gekommen ist.
Dazu werden die Tagesschlüssel des Infizierten von offizieller Stelle auf einem Server bereitgestellt, von dem alle Tracing-Geräte täglich Daten abrufen. Im jeweiligen Gerät läuft dann ein Abgleich der neuen Tagesschlüssel mit den eingesammelten Momentschlüsseln. Gibt es einen Treffer, bekommt der Nutzer eine Benachrichtigung, dass er sich angesteckt haben könnte. Außerdem soll dazu ermuntert werden, eine offizielle App der Gesundheitsbehörden herunterzuladen, um die nächsten Schritte abzustimmen.
Offene Fragen
Aus Expertensicht ist noch unklar, inwieweit das Bluetooth-Protokoll eine verlässliche Messung der Nähe zulässt. Dieses aus Signalstärken zu berechnen, halten einige für gewagt. Auch Apple und Google weisen darauf hin.
Bei Google stellt sich zusätzlich die Frage, wie im zweiten Schritt eine möglichst hohe Verbreitung des Betriebssystem-Updates schnell erreicht werden soll. Anders als bei Apple sind noch die Hersteller der Smartphones zwischengeschaltet, die Updates oft erst mit Verzögerung weitergeben – wenn überhaupt.
Pro Datenschutz
Eine deutliche Absage erteilen Apple und Google all jenen, die sich genaueren Aufschluss über die Nutzer erhoffen oder gar einen Zwang zur Nutzung fordern. Entsprechendes war jüngst aus Kreisen von deutschen Kommunen laut geworden. Außerhalb behalten sich beide Hersteller ausdrücklich das Recht vor, die Tracing-Funktionen regional jederzeit wieder abzustellen, wenn sie nicht länger benötigt werden.
Das Thema behandeln wir auch in Apfelfunk 221:
Klicken Sie auf den unteren Button, um den Inhalt von w.soundcloud.com zu laden.