Corona-App und Datenschutz

Prof. Dr. Rolf Schwartmann, Leiter der Kölner Forschungsstelle für Medienrecht, bewertet im Interview das Vorhaben.

Herr Prof. Schwartmann, wie soll die Corona-App funktionieren?

Schwartmann: Eine europäische Initiative (PEPP-PT) entwickelt zurzeit eine Anwendung, die auf Bluetooth basiert. Mit der Installation der App erhält jeder Nutzer eine eigene Identifikationsnummer (ID). Die Smartphones tasten über Bluetooth die nähere Umgebung nach anderen Geräten mit der App ab. Kommen sich zwei Nutzerinnen und Nutzer näher als 1,5 Meter, tauschen die Smartphones die verschlüsselte ID aus, ohne dass offenbar wird, welche Person das war und teilt das einem Treuhänder wie dem Robert-Koch-Institut das mit.

Wenn jemand positiv auf Corona getestet wird, kann er dies mitteilen. Seine verschlüsselte ID wird dann über einen zentralen Server an alle anderen Nutzer überspielt, mit denen der infizierte Nutzer der App Kontakt hatte. Diese erhalten dann einen Hinweis, der zum Beispiel lauten könnte: „Sie haben sich in Zeitraum X über 15 Minuten in einem eineinhalb Metern Abstand von einem Covid 19-Infizierten aufgehalten“. Weder der genaue Tag noch der Ort des Treffens werden preisgegeben. So ist eine Identifizierung des Infizierten nicht möglich. Ein anderer Ansatz in Zusammenarbeit von Apple und Google verfährt ähnlich, wertet die Bluetooth-Daten aber auf dem Endgerät aus, so dass kein Treuhänder eingeschaltet werden muss.

Wie beurteilen Sie diese App aus Sicht des Datenschutzes?

Schwartmann: Aus meiner Sicht liegen aktuell sehr datenschutz-freundliche Lösungen vor. Es werden keine persönlichen Daten, kein Standort, keine MAC-Adresse gespeichert oder übertragen und auch keine Funkzellen-, GPS- oder WLAN-Daten gespeichert. Zwar wird für jede Nutzerin und jeden Nutzer eine eigene verschlüsselte ID erstellt, aber dies ist die einzige Information, die weitergegeben wird und sie wird keiner Person preisgegeben. Sobald die ID mit dem zentralen Server und über diesen mit anderen Teilnehmenden geteilt wird, ist eine Rückverfolgung wegen der Pseudonymisierung nicht mehr möglich. Der Ansatz von Google und Apple hat den Vorteil, dass sich alles sogar ohne zwischengeschalteten Dienst nur zwischen den Endgeräten abspielt.

Bevor die App für alle Bürgerinnen und Bürger freigegeben wird, muss in der Programmierung geprüft werden, ob sich die Ankündigungen der Entwickler sich in den Apps wiederfinden. Daher ist es zwingend, dass der Quellcode der App offengelegt wird. Viel hängt von der Qualität des Algorithmus ab, mit dem die Daten verschlüsselt werden und von den Schutzmaßnahmen auf den Endgeräten. Die Institution, bei der die Daten zusammenfließen, trägt als Datentreuhänder erhebliche Verantwortung und braucht feste, gesetzlich vorgegebene Regeln für den Umgang mit den ihr anvertrauten Infektionsdaten. Sie müssen nach der Pandemie gelöscht oder anonymisiert werden. Wir brauchen zwingend Transparenz, Nachvollzieh- und Kontrollierbarkeit der Technik. Die App darf keine Blackbox sein. Das Problem besteht insbesondere bei dem Ansatz von Apple und Google aus meiner Sicht darin, dass die beiden Datengiganten die eingebundene Technik nicht komplett transparent machen werden.

Die App legt viel Verantwortung in die Hände der Nutzerinnen und Nutzer.

Schwartmann: Das ist richtig. Zunächst natürlich bei der Installation. Man kann nur an alle Menschen appellieren, die App zu nutzen. Wenn nur eine kleine Gruppe dies tut, wird das Projekt keinen Einfluss auf die Infektionszahlen haben können. Die nächste Eigenverantwortung tragen all diejenigen, bei denen eine Infektion nachgewiesen wurde. Trotz dieser schockierenden Diagnose müssen sie dran denken, die Erkrankung mitzuteilen, damit ihre Kontakte informiert werden können. Nicht zuletzt müssen alle, die über eine Infektion ihrer Kontakte informiert werden, ebenfalls eigenverantwortlich die Konsequenzen ziehen – etwa einen Arztbesuch mit Test oder die Heim-Quarantäne. An dieser Stelle ist die Politik gefordert: Die Wirksamkeit der App steht oder fällt mit der Möglichkeit, sich testen zu lassen. Daher müssen die Testkapazitäten in Deutschland vor der Einführung deutlich erhöht werden.