Technik

Zentral oder dezentral? Streit unter Corona-App-Entwicklern eskaliert

Corona App.jpg

Die Unterzeichner des offenen Briefs fürchten einen Missbrauch von Tracing-Apps, wenn Daten auf einem zentralen Server gespeichert werden.

(Foto: imago images/Westend61)

In einem offenen Brief warnen rund 300 internationale Wissenschaftler vor einer möglichen Überwachung durch Corona-Warn-Apps, falls Daten auf einem zentralen Server gespeichert werden. Es ist der Höhepunkt eines Richtungsstreits, bei dem in Deutschland der Sieger angeblich schon feststeht.

Um den Datenschutz bei der Umsetzung der geplanten Corona-Warn-Apps ist ein Richtungsstreit zwischen den beteiligten Wissenschaftlern entbrannt. Rund 300 Experten unterzeichneten einen offenen Brief, in dem sie vor der Gefahr von Überwachung und Missbrauch bei einer zentralisierten Speicherung von Daten warnen. Unter ihnen sind sehr viele deutsche Wissenschaftler. Sie fordern unter anderem, dass die Entwicklung von Tracing-Apps völlig transparent laufen müsse, und dass nicht mehr Daten gesammelt werden dürften als zum Eindämmen der Pandemie erforderlich sei.

PEPP-PT nicht erwähnt, aber gemeint

In dem Brief wird PEPP-PT nicht genannt. Doch unter den Unterzeichnern sind auch Vertreter diverser Forschungseinrichtungen, die ursprünglich bei dem multinationalen Projekt mitmachten, das vor einigen Wochen noch sehr hoffnungsvoll begann. Doch damit war spätestens in dem Moment Schluss, als der Schweizer Epidemiologe Marcel Salathé am 17. April auf Twitter seinen Rückzug aus dem Projekt verkündete.

*Datenschutz

Er glaube zwar weiter an die Kernidee, eine internationale App zu entwickeln, die den Datenschutz garantiert. Er könne aber nicht hinter etwas stehen, bei dem er nicht wisse, wofür es stehe. PEPP-PT sei derzeit nicht offen und transparent genug. Er konzentriere sich jetzt auf DP3T. Dabei handelt es sich um eine Initiative der Eidgenössischen Technischen Hochschule Lausanne, an der Salathé lehrt. DP3T wurde schon vor PEPP-PT gegründet und gilt als Kern einer dezentralen App-Lösung.

Die geplanten Corona-Warn-Apps sollen über Bluetooth registrieren, wenn sich zwei Smartphones über einen bestimmten Zeitraum in kritischer Nähe befinden. In so einem Fall speichern beide Apps jeweils eine temporäre ID des anderen Geräts. Weder Standortdaten, noch andere persönliche Informationen sollen dabei übertragen werden. Die gespeicherten und verschlüsselten Begegnungs-Daten bleiben nur über einen Zeitraum gespeichert, der für eine mögliche Ansteckung relevant ist. Danach werden sie automatisch gelöscht. Wenn Nutzer positiv getestet wurden, erhalten alle Kontaktpersonen einen Code zugeschickt. Mit diesem könnten sie sich dann bei der zuständigen Gesundheitsbehörde melden.

Dezentral oder zentral?

Eine zentrale Rolle beim Datenschutz spielt dabei neben der Überprüfbarkeit des App-Codes die Frage, wo die Daten gespeichert werden. Angeblich setzt man bei PEPP-PT eher auf zentrale Server, um die Daten auszuwerten, was dem dezentralen Ansatz von DP3T entgegensteht. Dieser sieht vor, dass die Informationen auf den Smartphones bleiben, die miteinander kommunizieren. Daher begrüßen die Unterzeichner des offenen Briefs auch die Kooperation von Google und Apple, die ermöglichen soll, dass die Daten zu Begegnungen einzelner Smartphones die Geräte nicht verlassen.

Die Unterzeichner befürchten bei der Speicherung auf einem zentralen Server, dass "eine Form der Überwachung durch die Regierung oder den privaten Sektor" ermöglicht werde. Dies werde das Vertrauen in eine App und ihre Akzeptanz in der Gesellschaft "katastrophal beeinträchtigen". Befürworter einer zentralen Speicherung haben dagegen Bedenken, dass zwischen den beteiligten Smartphones ständig sensible Daten ausgetauscht werden.

Vor dem Rückzug von Marcel Salathé und anderen Verfechtern eines dezentralen Ansatzes wurden Infos zu DP3T von der PEPP-PT-Website entfernt. Chris Boos, Projekt-Sprecher und Digitalberater der Bundesregierung, sagte "Golem", dies sei geschehen, um ein Gleichgewicht bei der Diskussion zwischen zentraler und dezentraler Lösung herzustellen.

Zentrale Lösung in Deutschland vorgegeben?

"Netzpolitik.org" sagte Boos, die Erwähnung von DP3T habe gegen die gebotene Neutralität verstoßen. Für keine andere Systemkomponente sei öffentlich eine einzelne Technologie explizit genannt worden. Und: "Ein dezentraler Ansatz wurde fälschlicherweise mit DP3T gleichgesetzt." Das stimmt, die TU München hat als PEPP-PT-Mitglied ebenfalls ein dezentrales App-Design vorgestellt.

Boos sagte außerdem, er halte weiterhin viel von DP3T und hoffe, dass Salathé wieder an Bord komme. "Golem" zufolge geht er allerdings davon aus, dass es in Deutschland aufgrund gesundheitsgesetzlicher Vorgaben eine zentrale Lösung geben wird. Tatsächlich setzen die Bundesregierung und das Robert Koch-Institut bislang auf das PEPP-PT-Konzept und haben es bereits mit Bundeswehr-Soldaten testen lassen.

Quelle: ntv.de, mit dpa