Weil möglicherweise das Recht auf Datenschutz verletzt wird, droht eine Corona-Warn-App ausgebremst zu werden. Aber durch die Informationen, die sie sammelt, könnten die Maßnahmen gelockert werden, die viel massiver in andere Grundrechte eingreifen. Was gibt es da noch abzuwägen?

Solange es keinen Impfstoff oder wenigstens wirksame Medikamente gibt, kann man die Ausbreitung des Coronavirus eigentlich nur durch Kontaktbeschränkungen eindämmen. Eine weitere Möglichkeit ist die Zurückverfolgung von Infektionsketten. Doch je weiter sich die Erkrankungen verteilen und nicht mehr überwiegend an Hotspots auftreten, umso schwieriger ist dies mit herkömmlichen Mitteln wie Befragungen zu bewerkstelligen.

Technik 23.04.20 01:20 min

Kritik an "Pepp-PT" Für dieses Corona-App-Modell entscheidet sich Spahn

Eine funktionierende Tracing-App könnte da eine große Hilfe sein. Doch gegen die vom Gesundheitsministerium favorisierte Lösung mit einem zentralen Server gibt es großen Widerstand, weil sie möglicherweise den Datenschutz der Nutzer einschränkt. Aber ist das gerechtfertigt? Schließlich könnten durch sie die aktuellen Maßnahmen gelockert werden, die massiv andere Grundrechte einschränken. Das sind die allgemeine Handlungsfreiheit, die Versammlungsfreiheit, die Freizügigkeit, die Berufsfreiheit, die Eigentumsgarantie und die Glaubensfreiheit.

"Alles kann man nicht haben"

Virologin Melanie Brinkmann vom Helmholtz-Zentrum für Infektionsforschung hat darauf im Interview mit dem "Spiegel" eine klare Antwort gegeben: "Ich denke, wir müssen für Pandemiefälle Datenschutzregeln zeitlich befristet lockern. Letztlich steht der Datenschutz in Konkurrenz zu Grundrechten, die uns im Moment genommen sind. Alles können wir nicht haben, bis die Pandemie vorüber ist."

Audio 23.04.20

Ja. Nein. Vielleicht. Corona-App: Vertrauen besser als Kontrolle?

Grundsätzlich spielt auch bei der vom Gesundheitsministerium bevorzugten Lösung der Initiative PEPP-PT der Datenschutz eine zentrale Rolle. Über Bluetooth registriert sie, wenn sich zwei Smartphones über einen bestimmten Zeitraum in kritischer Nähe befinden. In so einem Fall speichern beide Apps jeweils eine anonymisierte ID des anderen Geräts und senden sie an einen zentralen Server zur Auswertung.

Weder Standortdaten noch andere persönliche Informationen würden dabei übertragen, versichert die Initiative. Wenn ein App-Nutzer positiv getestet wurde, sollen alle Kontaktpersonen eine TAN zugeschickt bekommen. Mit dieser können sie sich dann freiwillig bei der zuständigen Gesundheitsbehörde melden. Die gespeicherten und verschlüsselten Begegnungs-Daten bleiben nur über einen Zeitraum gespeichert, der für eine mögliche Ansteckung relevant ist.

Überwachung ist möglich

So weit so gut. Tatsächlich besteht bei der vom Gesundheitsministerium favorisierten App mit einem zentralen Server zum Datenabgleich aber eher die Möglichkeit eines Missbrauchs als bei einer dezentralen Lösung, bei der die Daten auf den Smartphones bleiben. Unter anderem, weil die Daten wohl nur pseudonymisiert, aber nicht anonymisiert gespeichert werden. Das heißt, für jeden Nutzer wird eine ID angelegt, um Daten über längere Zeiträume zuordnen und interpretieren zu können.

Wissen 23.04.20

Drosten sieht zweite Welle Lockerungen kommen wahrscheinlich zu früh

Aus Misstrauen gegenüber PEPP-PT unterzeichneten rund 300 Wissenschaftler einen offenen Brief, zu denen auch wichtige ehemalige Mitstreiter des Projekts gehören. In dem Brief heißt es, man befürchte, dass "eine Form der Überwachung durch die Regierung oder den privaten Sektor" ermöglicht werde. Dies werde das Vertrauen in eine App und ihre Akzeptanz in der Gesellschaft "katastrophal beeinträchtigen".

Das sieht auch Linus Neumann vom Chaos Computer Club so. "Es gibt eine zentrale Instanz, die wissen kann, wer wann wen getroffen hat. Und das ist ein erheblicher Eingriff in die Privatsphäre und schwächt das Vertrauen, gerade weil man dem zentralen Server vertrauen muss", sagte er der "Wirtschaftswoche".

Es geht um Vertrauen

Es geht also in erster Linie um Vertrauen. Denn ein zentraler Server bedeutet ja nicht zwangsläufig, dass Daten missbraucht werden, es ist lediglich theoretisch möglich. Und das Ministerium hat sich wahrscheinlich nicht für die zentrale Lösung entschieden, um später die Bundesbürger auszuspionieren. Vielmehr geht es darum, dass so nicht nur Nutzer vor einer möglichen Infizierung gewarnt werden. Wissenschaftler können aus den gespeicherten Daten viele weitere Erkenntnisse gewinnen, die wichtig im Kampf gegen die Pandemie sind. Außerdem ist es mit zentralen Servern möglich, in Europa grenzüberschreitend zu arbeiten.

Der CDU-Digitalpolitiker Tankred Schipanski sagte dem "Handelsblatt", der Bundesdatenschutzbeauftragte Ulrich Kelber und das Bundesamt für Sicherheit in der Informationstechnologie (BSI) würden ständig auf dem Laufenden gehalten und hätten schließlich fünf Tage Zeit, die Anwendung vor der Veröffentlichung zu überprüfen. Die in Deutschland zuständigen Kontrollinstanzen wären damit involviert, Bundesbürger sollten also eigentlich keinen Grund haben, der Corona-Warn-App der Bundesregierung zu misstrauen. Es bleibt aber die zumindest sehr unglückliche Informationspolitik, die die Opposition auch scharf kritisiert. Außerdem sollten auch unabhängige Experten die Möglichkeit bekommen, die App unter die Lupe zu nehmen - laut PEPP-PT soll der Code schließlich quelloffen und damit überprüfbar sein.

Ohne Apple und Google geht gar nichts

Möglicherweise liegt die Entscheidung aber gar nicht in den Händen der Bundesregierung. Denn die gewählte Bluetooth-Lösung funktioniert nur, wenn Google und Apple mitspielen, von denen die fast ausschließlich genutzten Smartphone-Betriebssysteme stammen. Die beiden US-Unternehmen haben sich kürzlich verbündet, um ein systemübergreifendes App-Zusammenspiel via Bluetooth zu ermöglichen. Ihre Lösung sieht jedoch keine zentralen Server vor.

Ohne Apple und Google läuft indessen nichts, denn sie müssen gestatten, dass die Apps im Hintergrund ständig nach anderen Smartphones mit installierter Corona-Warn-App scannen. Solche Hintergrundaktivitäten sind sowohl in Android als auch in iOS normalerweise nicht gestattet. Google ist da allerdings nicht ganz so rigoros wie Apple, und ist laut Reuters bereit, seine Schnittstelle auch für die PEPP-PT-Lösung zu öffnen.

Der iPhone-Hersteller zieht bisher aber nicht mit. Verschiedenen Quellen nach verhandelt deshalb derzeit nicht nur die Bundesregierung oder Frankreich mit Apple, auch EU-Industriekommissar Thierry Breton hat bereits mit Konzern-Chef Tim Cook über das Thema gesprochen.

Politik muss Vertrauen rechtfertigen

Es wird also noch eine Weile dauern, bis eine Corona-Warn-App in Deutschland verfügbar sein kann, vor Ende Mai kann man wohl kaum mit ihr rechnen. Die Zeit drängt zwar und der Druck auf die Politik wächst, die Einschränkungen gegen die Ausbreitung des Coronavirus weiter zu lockern. Aber so viel Zeit muss sein, eine umfassende Kontrolle der Anwendung - auch von unabhängigen Experten - zu gewährleisten. Sonst könnte tatsächlich das Vertrauen fehlen, dass genügend Bundesbürger mitmachen.