Ute Welty: Die Pandemie beherrschen - gelingen soll das mit Contact Tracing per App, also mit der Nachverfolgung von Kontakten. "Corona-Datenspende" heißt die App, die am Robert Koch-Institut (RKI) entwickelt worden ist, und das RKI hat immer wieder betont: Die Sache mit dem Datenschutz haben wir im Griff. Jetzt aber stellt der Chaos Computer Club fest: Das RKI verstößt gegen die eigene Datenschutzerklärung. Martin Tschiersich gehört zu den Autoren dieser Studie: Worin besteht dieser Verstoß genau?

Martin Tschirsich: Wir haben uns diese App angeschaut und wir konnten sie nicht ganz transparent analysieren, denn das ist der erste, ich sage mal, Verstoß gegen die Prinzipien einer offenen und vertrauenswürdigen Kommunikation, dass diese App nicht offengelegt ist.

Wir haben aber dennoch herausgefunden, dass diese App entgegen der Erklärung des RKI beziehungsweise der Datenschutzerklärung die Fitnessdaten, die über diese App gespendet werden und ans Robert Koch-Institut weitergegeben werden, nicht lokal auf dem Gerät, also auf meinem Smartphone oder Telefon pseudonymisiert werden, der Personenbezug zu meiner Person also nicht lokal entfernt wird, sondern diese Daten im Hintergrund vom Robert Koch-Institut direkt von den Anbietern dieser Fitnesstracker abgerufen werden und erst anschließend im Robert Koch-Institut pseudonymisiert werden.

Welty: Das heißt, es gibt durchaus dann einen Zeitpunkt, wo man noch persönliche Daten nachverfolgen kann?

Tschirsich: Richtig. Und das bedeutet auch, dass das Robert Koch-Institut sich von dieser App, das heißt, von meinem Smartphone, gar nicht die Daten schicken lässt, also die Fitnessdaten, sondern einen Zugangscode, und mit diesem Zugangscode dann im Hintergrund direkt zwischen Robert Koch-Institut und dem Anbieter dieses Fitnesstrackers kommuniziert wird, und dort diese Daten mit diesem Zugangscode abholt. Das bedeutet, dass ich als Nutzer quasi außen vor bin und gar nicht mehr die Kontrolle darüber habe, welche Daten dort genau abgerufen werden können. Und dieser Zugangscode erlaubt auch den Zugriff auf den vollen Namen des Nutzers.

Welty: Grundsätzlich gibt es zwei Möglichkeiten, beziehungsweise Sie beschreiben gerade ja auch noch eine dritte: Entweder bleiben die Daten auf dem eigenen Smartphone, oder die Daten werden zentral gesammelt. Das eine klingt nach Datenschutz, das andere nach Effektivität. Geht das eine nicht ohne das andere?

Tschirsich: In diesem Fall der Datenspende, kommt man nicht umhin, dass man die Daten irgendwo zentral sammelt und auswertet. Es ist ja das Ziel, dass man daraus dann Vorhersagen treffen möchte über die Ausbreitung des Virus. Aber wir können überlegen oder das aktuelle System verbessern, indem wir sagen: Wir sammeln wirklich nur die Daten, die notwendig sind. Und wir erheben auch nur die Daten, die notwendig sind, und senden auch nur diese an das Robert Koch-Institut, und geben ihnen sozusagen nicht den Zentralschlüssel zu unseren Daten. Das heißt, wir vorverarbeiten diese Daten dezentral auf unserem Gerät, pseudonymisieren sie unter Kontrolle des Nutzers auf unserem Gerät und schicken dann erst diese Daten, die keinen Personenbezug mehr zu uns haben, an das Robert Koch-Institut.

Welty: Aber kann es dann nicht passieren, dass ich wichtige Daten ausspare, die das RKI vielleicht gerade braucht?

Tschirsich: Das Robert Koch-Institut sagt selber, dass sie diese Daten, die sie nicht brauchen, sowieso auf ihrer Seite aussortieren. Da bleiben eh nur die Daten übrig, die sie brauchen, und das sind beispielsweise Angaben zum Alter und Gewicht, die dann auf fünf Jahre gerundet sind. Das ist nicht der Name des Spenders, das ist auch nicht die genaue Adresse, sondern nur die Postleitzahl. Und da das Robert Koch-Institut auch nur diese Daten später für die wissenschaftliche Auswertung nutzt, kann man diese Filterung beziehungsweise diese Pseudonymisierung auch schon lokal durchführen.

Welty: Daten wecken immer auch Begehrlichkeiten. Kann sich eine Institution wie das RKI ernsthaft wehren, wenn andere staatliche Stellen Zugriff auf gesammelte Informationen haben wollen?

Tschirsich: Nun ja, da gibt es diesen Vorwurf, dass jemand, der einen Fitnesstracker bei Google Fit oder woanders verknüpft oder nutzt, sowieso nicht so viel Wert auf den Datenschutz legen kann, da er seine Daten ja schon veröffentlicht. Es gibt allerdings auch andere Anbieter von Fitnesstrackern, die mehr Wert auf Privatsphäre legen. Und das Robert Koch-Institut würde sich hier aber auch einer sehr großen Gefahr aussetzen mit einer so großen Sammlung von diesen Zugangsdaten und Zugangstoken zu diesen einzelnen Anbietern.

Inzwischen haben wir über 400.000 User, das heißt, bald eine halbe Million. Eine so große Datensammlung, die weckt auch oder insbesondere beim Robert Koch-Institut Begehrlichkeiten. Das heißt, wir sollten nicht nur darauf verweisen, dass andere Staaten hier angreifen könnten, es würde schon ausreichen, wenn es einen, ich sage mal, einfachen Hackerangriff gibt, der vielleicht auch wirtschaftlich motiviert ist, um das Image des Robert Koch-Instituts und auch die Akzeptanz für eine derartige Datenspende massiv zu gefährden.

Welty: Sollte ich positiv getestet werden, wie bekommen die Menschen das dann mit, mit denen ich Kontakt hatte?

Tschirsich: Wenn wir jetzt von Kontakt-Tracing-Apps sprechen, sind das zwei unterschiedliche Apps. Da muss man unterscheiden: Das eine ist die Datenspende zum Robert Koch-Institut. Das andere ist eine Kontakt-Tracing-App, die nachvollziehen möchte, mit wem ich Kontakt habe. Dort kann ich mich informieren, ob ich mit einer Person Kontakt hatte, die positiv getestet wurde. Die Datenspende-App des RKI, die sich jetzt auch der CCC angeschaut hat, gibt allerdings keine Rückmeldung an den einzelnen Datenspender, ob er nun Symptome zeigt oder nicht, die sich eventuell aus seiner Aktivität und seiner Temperatur ableiten lassen.

Welty: Was passiert, wenn jemand freiwillig teilnimmt, aber versucht, zu manipulieren, sowohl in dem einen, wie auch in dem anderen Fall?

Tschirsich: Im Bereich der Datenspende haben wir das Problem, dass – und das sagt auch unser Bundesgesundheitsminister Herr Spahn – daraus abgeleitet werden soll, ob und welche Maßnahmen getroffen werden. Das heißt, Maßnahmen zur Eindämmung der Epidemie. Und wenn eine Manipulation hier so einfach ist, und das ist sie in der Tat, dann können dadurch Maßnahmen fehlgesteuert werden. Es können dort auch Maßnahmen bewusst in die falsche Richtung gelenkt werden.

Und das ist gerade in der Steuerung bei sehr knappen Ressourcen im Umgang mit dieser Epidemie natürlich fatal. Das Contact Tracing dagegen, wo es darum geht, nachzuvollziehen, wer mit wem Kontakt hatte, lässt sich deutlich besser in den Griff bekommen. Hier kann ich durch die Gesundheitsämter beispielsweise einen Filter einziehen und sagen, jemand, der infiziert ist und das durch das Gesundheitsamt bestätigt bekommen hat, kann diese Warnung an andere veranlassen, die dann informiert werden, dass sie mit dieser Person in Kontakt standen und sich doch bitte auch testen lassen oder entsprechend selbst in Quarantäne gehen.

Welty: Es gibt auch andere Apps, die entwickelt werden oder gerade entwickelt worden sind. Je mehr desto besser, oder kommen sich am Ende alle in die Quere?

Tschirsich: Das große Problem dabei ist, dass alle diese Apps unter dem Namen "Corona-App" veröffentlicht werden - beziehungsweise wir in der Öffentlichkeit dieses Bild haben. Es gibt halt eben die "Corona-App" und vieles, was gut gemeint, aber schlecht gemacht ist, ist dann ganz fatal. Denn wenn es bei einer dieser Apps zu einem Problem kommt, und mit Problem meine ich, es gibt einen Sicherheitsvorfall, dann ist das ganz gefährlich. Das bedroht die Akzeptanz und dieses Grundvertrauen, welches wir generell haben in solche nutzstiftenden, App-gestützten Maßnahmen, die wir uns ja wünschen.

Gerade beim Contact Tracing, also der App, die jetzt demnächst kommen soll, brauchen wir mindestens 60 Prozent aller Bürger, die teilnehmen, damit das einen Sinn ergibt, sagen Studien. Und da sind wir sozusagen bei in Deutschland gerade einmal 60 Prozent Smartphone-Usern darauf angewiesen, dass eigentlich jeder mitmacht. Und wenn dann die Restmenge derjenigen, die Zweifel haben an dieser Sicherheit oder an der Vertrauenswürdigkeit einer solchen App, nicht mitmachen, dann kann das den Erfolg einer solchen Maßnahme gefährden.