Internationales Zentrum für Ethik in den Wissenschaften (IZEW)

Dezentrale Tracing-Apps: Der einzig gangbare Weg – und trotzdem kein Allheilmittel

von Andreas Baur

30.04.2020 · Wenn deutsche „Datenschutzmusterland“-Politiker*innen bei den US-Konzernen Google und Apple vorstellig werden, um für die Unterstützung einer zentral organisierten Covid19-Tracing-Lösung zu werben, macht das zunächst stutzig. Letzte Woche hat die Diskussion um das Für und Wider einer zentralen oder dezentralen Datenspeicherung bei Covid19-Tracing-Apps ordentlich Fahrt aufgenommen: Es gab Zerwürfnisse in den Entwicklungskonsortien, offene Briefe und die Bundesregierung legte eine doppelte Wende hin: am Ende zu einer dezentralen Lösung. Warum wir „gerade nochmal Glück gehabt haben“ und eine zentrale Lösung weder in Deutschland noch woanders eingesetzt werden sollte, soll im Folgenden dargestellt werden. Aber auch auf der Entscheidung für eine dezentrale Lösung können wir uns nicht ausruhen, denn sie ist weder ein Allheilmittel noch unproblematisch.  

Corona-Tracing-Apps sollen helfen, potenziell Infizierte frühzeitig zu warnen, sodass sie sich selbst isolieren und testen lassen können. Smartphones tauschen dazu mit anderen, sich im Umkreis befindenden Smartphones kleine Datenpakete aus. Sollte Besitzer*innen eines Smartphones nachweislich corona-infiziert sein, können Kontaktpersonen gewarnt werden, wenn sie eine kompatible App installiert haben und lange genug in der Nähe der Person waren. Neben vielen technischen, politischen und anderen Streitigkeiten um die Technologie der Apps dreht sich die Debatte viel um die Frage der Zentralität des Systems – eine Kernfrage der IT-Sicherheit. Großer Streitpunkt ist, ob die Speicherung und der Abgleich der gesammelten Datenpakete mit Informationen über Infizierte dezentral, also nur auf dem Gerät, oder zentral auf (staatlichen) Servern erfolgen soll.

Deutschland hatte sich letzte Woche noch betont für eine zentrale Variante eingesetzt, ist dann aber – überraschend – doch zurückgerudert und forciert nun eine dezentrale Speicherung. Auch andere Länder wie Österreich, die Schweiz und Estland setzen nun auf dezentrale Lösungen, wie auch Google und Apple. Es gibt bei beiden Ansätzen Vor- und Nachteile. Bei allen Diskussionen und vielleicht noch aufkommenden neuen Wendungen: Wir sollten uns dafür einsetzen, dass der zentrale Ansatz weder hier noch woanders verfolgt wird. Und wir sollten die Probleme des dezentralen Ansatzes analysieren, angehen und offen begleiten, ob diese Lösung hilfreich und verhältnismäßig ist.
 

Menschen tragen Verantwortung – ob mit oder ohne App

Wir dürfen unsere Verantwortung nicht an eine App abgegeben – aus technikethischer Sicht grundsätzlich nicht, aber in diesem speziellen Fall wissen wir noch nicht einmal, wie gut sie funktioniert.

Die App wird häufig wie ein Heilsversprechen propagiert und damit in ihrer Wirkung überschätzt: Wenn wir die App haben, können wir uns wieder normaler (oder vielleicht sogar ganz wie vorher?) bewegen. Sollte man herausfinden, dass man an Covid19 erkrankt ist, werden die Nutzer*innen mit nahem Kontakt benachrichtigt und können sich auch testen lassen oder isolieren.

Das erste Problem hierbei liegt in der Funktionsfähigkeit und Zuverlässigkeit dieser Apps: Wie viele und welche Personengruppen nutzen sie? Was geschieht mit Bluetooth-Kontakten, mit denen man lange Kontakt hatte, aber die hinter Plexiglas waren, oder die einfach in der Nachbarwohnung hinter einer Wand leben? Für die App ganz nah, aber de facto gibt es in diesen Fällen kein Ansteckungsrisiko. Wie geht man mit falschen Meldungen um?

Das zweite ist die Bewertung des Effekts. Südkorea gilt häufig als Vorbild bei der Eindämmung des Virus. Auch dort wurde eine App eingesetzt und man hofft, den dortigen Erfolg kopieren zu können. Es ist jedoch schwer zu sagen, welchen Anteil die App selbst hat (die übrigens genaue Daten über Menschen zentral speicherte und für alle anderen Nutzer*innen sichtbar vor diesen infizierten Menschen warnt – mit Angabe zu Nationalität, Geschlecht, Alter und Bewegungsverlauf). Südkorea testet aber vor allem massiv und schnell – der wahrscheinlich größere Faktor im erfolgreichen Kampf gegen das Virus. 

Im Grunde sollen die Apps die Arbeit der überlasteten Gesundheitsämter unterstützen (und eine frühe Eigenisolation ermöglichen): das Nachverfolgen der Kontaktketten, die Übermittlung der Informationen und ggf. die Analyse der Ansteckungsformen. Die Gefahr ist, dass die Menschen ihre Verantwortung an die App abgeben und der Hoffnung folgen, man könnte mit ihr wieder „sorgenlos“ Kontakte pflegen und die Technik wird es schon richten. Pandemien sind komplexe soziale Phänomene und um diesen ausreichend entgegentreten zu können, ist es notwendig, dass sich jede einzelne Person darüber bewusst wird, dass sie letztendlich doch selbst die Verantwortung für ihre Kontakte trägt und keine App ihr das abnehmen kann.
 

Zentrales Contact-Tracing ist unverhältnismäßig

Die Entwicklung einer solchen App ist alles andere als trivial, und es gibt eine Vielzahl von Vorschlägen, wie die App aussehen könnte. Die Niederlande hatten einen Wettbewerb ausgerufen und alle sieben Kandidaten fielen durch. Österreich setzte zuerst auf eine privat entwickelte App von Accenture mit zentralem Ansatz und schwenkte dann auf den quelloffenen dezentralen Vorschlag einiger Wissenschaftler*innen um, der sich DP-3T nennt. In Europa hatte sich schnell eine Gruppe gebildet, die einen Rahmen für zentrale und dezentrale Ansätze schaffen wollte, PEPP-PT. Nachdem Hinweise auf dezentrale Implementierungen von der Website gestrichen wurden, haben sich ca. 300 Expert*innen in einem offenen Brief dagegen gewandt und für eine dezentrale Lösung geworben. Auch Google und Apple wollen die Basis für dezentrale Apps in ihre Systeme integrieren (sie speichern keine Daten und entwickeln selbst keine Apps), nichtsdestotrotz hatte sich Deutschland zwischendurch für eine zentrale Variante eingesetzt.

Häufig wird argumentiert, dass man nur mit einem zentralen Matching nachvollziehen kann, ob die informierten Kontakte sich auch wirklich später angesteckt haben. Dadurch soll man ein besseres Verständnis der gesamten Pandemie-Entwicklung über lange Zeit bekommen und auch die Sensitivität der Benachrichtigung über die Zeit anpassen können.

In der ethischen Bewertung solcher Technologien geht es dabei immer um die Verhältnismäßigkeit. Fragen zu dieser Verhältnismäßigkeitsbewertung sind zum Beispiel: Ist das Ziel der Maßnahme legitim? Hilft das (technische) Mittel überhaupt, das Ziel zu erreichen? Gibt es andere Mittel, die besser sind oder weniger Nachteile haben? Wie sind die Nachteile dieser Maßnahme zu bewerten und sind sie akzeptabel im Lichte der erwarteten Vorteile? Eine Vielzahl von technischen Maßnahmen hat positive wie negative Auswirkungen, häufig sind sie jedoch ungleich auf verschiedene Menschengruppen verteilt. 

Das Ziel des Pandemie-Eindämmens und -verstehens ist legitim und das Mittel wahrscheinlich grundsätzlich geeignet. Jedoch gibt es durchaus auch andere Mittel für die Zielerreichung, wie z.B. die traditionelle Arbeit der Gesundheitsämter, natürlich mit entsprechender Ausstattung.

Der letzte Aspekt der Bewertung wirkt jedoch aber am schwersten: Ist es wirklich verhältnismäßig, die Kontakte, das soziale Bewegungsverhalten einer Bevölkerung zu erfassen, zentral zu protokollieren und vorzuhalten? Aus gutem Grund wurde die Vorratsdatenspeicherung immer wieder von Gerichten verboten. Eine anlasslose Protokollierung der Bevölkerung ist nicht zu rechtfertigen. Missbrauchsgefahren und Einschüchterungsfolgen sind zu groß, Begehrlichkeiten, die Daten für andere (Überwachungs-)Zwecke zu verwenden, werden geweckt. Auch Metadaten erlauben viele Rückschlüsse auf Menschen. Darüber hinaus zeigen Studien: Auch pseudonymisierte Daten, sogar anonymisierte Daten, können durch die Kombination mit anderen Datensätzen je nach Kontext aufgehoben werden. Im Endeffekt muss man also davon ausgehen, dass die Daten potenziell zuordenbar sind. Die Einführung der Maßnahmen geschieht mitunter schnell, die Rücknahme dieser und der Nebenwirkungen gestaltet sich jedoch häufig schwierig.

Auch wenn ein Nutzen erwartbar und Risiken bei dezentralen Apps geringer sind, ist eine dezentrale Lösung nicht per se verhältnismäßig, sondern muss in ihrer Ausgestaltung nach diesem Kriterium bewertet und in ihrer Entwicklung begleitet werden. Verknüpfungen z.B. mit Seuchenpässen oder Quarantänekontrollen, wie sie teilweise schon angedacht wurden, sind problematisch.
 

Zentralität in der Technik ist problematisch

Das schwerwiegendste Argument ist jedoch die zentrale Vorhaltung und Bearbeitung an sich. „Daten sind Macht“ und „Wo Tröge sind, kommen die Schweine“. Wir wissen aus vielen Jahren Forschungsarbeit der Sicherheitsethik, dass Datenerhebungen und technische Möglichkeiten häufig erst mit einer Zweckbindung eingeführt werden, aber später in der Nutzung erweitert werden. Außerdem ist die Missbrauchsgefahr bei zentralen, dazu noch staatlichen Datenansammlungen hoch, ebenso wie die Attraktivität für Angreifer. Kein System ist sicher, aber wenn man in ein zentrales System einbricht, ist der Schaden immens.

Datenschutz ist angewandter Kampf gegen Machtasymmetrien. Mit Datenschutz werden nicht die Daten geschützt, sondern diejenigen, denen man mit der Auswertung und Vorhaltung ihrer persönlichen Daten Schaden zufügen kann. Das ist zuallererst – wie bei den meisten Abwehrrechten der Bürgerrechte – der Staat, aber natürlich auch private Akteure. In diesem Fall sind die Folgen eines potenziellen Missbrauchs, einer Ausweitung der Nutzungsmöglichkeiten oder einfach nur der Fall eines Cybercrime-Attacke auf ein zentrales System mit solch sensiblen Daten enorm.  

Natürlich haben auch dezentrale Systeme ihre Probleme. Die schnellen und einsehbaren Reaktionen des Konsortiums für eine dezentrale Lösung DP-3T auf formulierte Schwachstellen zeigt aber, was für jedes Techniksystem gilt: Wenn die Entwicklung öffentlich ist, schafft das Vertrauen. Schwachstellen werden gesucht und angegangen. Und der große Vorteil ist: Diese Nachteile lassen sich meist lösen.

Dies ist jedoch beim zentralen System schwieriger. Seine Grundeigenschaft, die Datenakkumulation, deren Missbrauchsgefahr und alle Gefahren, die daraus entstehen, lassen sich weder technisch noch organisatorisch ausreichend beseitigen. Gegen eine Machtkonzentration durch Zentralität gibt es keine Lösung, zumindest keine technische. In Rechtsstaaten vertrauen wir zwar den sozialen und politischen Einrichtungen, aber nur in einem begrenzten Maße. Besser ist daher, Potenziale für Machtmissbrauch gar nicht erst entstehen zu lassen. Aus diesem Grund gibt es in Demokratien das Gebot der Verhältnismäßigkeit, Gewaltenteilung und andere Einschränkungen. Weil man einzelnen Institutionen nicht absolut vertrauen kann und weil Menschen vor einem Missbrauch geschützt werden müssen.

Deswegen sollten europäische Staaten Technikanbieter wie Google und Apple nicht dazu zwingen wollen, zentrale Lösungen zu unterstützen – wie letzte Woche geschehen. Selbst wenn Deutschland nun doch glücklicherweise auf eine dezentrale Lösung setzt, würde eine Unterstützung zentraler Varianten die Missbrauchsgefahr in anderen Ländern erhöhen.

Sollten aber in der weiteren Entwicklung einer dezentralen Variante Expert*innen nach Abwägung der Vor- und Nachteile der Meinung sein, dass man auch dort grundsätzliche und schwerwiegende Nachteile im dezentralen System technisch und organisatorisch nicht lösen kann, sollten wir diese Technik nicht verfolgen.

Wenn wir es technisch nicht schaffen, die dezentrale Lösung gut zu machen, sollten wir sie verwerfen und in andere Maßnahmen investieren. Eine zentrale Lösung sollte nicht vorangetrieben werden.

Kurz-Link zum Teilen: https://uni-tuebingen.de/de/177096

________________________________________

Dieser Beitrag ist auch in einer gekürzten Version im Blog Corona-Tracing des Forum Privatheit, einem vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekt, in dem das IZEW Mitglied ist, erschienen: https://corona.forum-privatheit.de/2020/04/30/dezentrale-tracing-apps-der-einzig-gangbare-weg-und-trotzdem-kein-allheilmittel/.