Corona-App: 300 Wissenschaftler warnen vor zentraler Datenspeicherung

Mehr als 300 Wissenschaftler aus 26 Ländern warnen vor einer "beispiellosen Überwachung der Gesellschaft" durch nichtdatenschutzkonforme Corona-Apps. Zwar würden einige der auf Bluetooth basierenden Vorschläge die Privatsphäre der Nutzer achten, andere hingegen könnten eine Überwachung durch staatliche Akteure oder Privatunternehmen ermöglichen, die auf katastrophale Weise das Vertrauen in und die Akzeptanz für solche Anwendungen in der Gesellschaft beschädigten, heißt es in einem gemeinsamen Statement, das am 20. April 2020 veröffentlicht wurde.

Zwar nennt das Statement keine konkreten Vorschläge zur sogenannten Kontaktverfolgung (Contact Tracing). Doch dahinter steckt unverhohlene Kritik an dem Projekt PEPP-PT. Denn mehrere Unterzeichner des Papiers, wie Cas Cremers vom Helmholtz-Zentrum für Informationssicherheit (Cispa) und Marcel Salathé von der Ecole polytechnique fédérale de Lausanne (EPFL), haben inzwischen ihre Unterstützung des Projekts beendet. Die ETH Zürich ist ebenfalls ausgestiegen. Dem Projekt wird unter anderem mangelnde Transparenz vorgeworfen. So ist die Schweizer Firma AGT involviert, die noch vor wenigen Jahren für arabische Staaten Massenüberwachungssysteme aufgebaut haben soll.

Das am 1. April 2020 vorgestellte sogenannte Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) soll es ermöglichen, neue Infektionsketten in der Coronavirus-Pandemie schnell und effektiv zu unterbrechen. Dahinter steht unter anderem das Heinrich-Hertz-Institut (HHI) der Fraunhofer-Gesellschaft.

Streit über dezentrale Server

In der vergangenen Woche war bereits offensichtlich geworden, dass es einen Richtungsstreit in dem Projekt gibt. So wurden am 16. April alle Informationen über einen dezentralen Ansatz, der unter dem Namen DP-3T entwickelt wurde, von der Webseite genommen. Zuvor hatte das PEPP-PT-Konsortium auf seiner Webseite erklärt, dass es sowohl zentrale als auch dezentrale Ansätze unterstützen möchte und in einzelnen Ländern unterschiedliche Lösungen implementiert werden könnten.

Nach Ansicht der 300 Wissenschaftler ist entscheidend, dass die Bürger der Corona-App vertrauen, damit eine ausreichende Zahl die App nutzen. Daher dürfe kein Werkzeug entwickelt werden, das in großem Umfang eine Datensammlung der Bevölkerung ermögliche, weder jetzt noch später durch eine Ausweitung des ursprünglichen Verwendungszwecks (mission creep). Lösungen, die die Rekonstruktion invasiver Daten über die Bevölkerung erlaubten, müssten ohne jede Diskussion abgelehnt werden. Dazu gehörten beispielsweise Informationen, wer sich mit wem über einen längeren Zeitraum getroffen habe.

Erste Dokumentationen auf Github veröffentlicht

Hans-Christian Boos, Mitinitiator von PEPP-PT und Gründer des Frankfurter KI-Unternehmens Arago, hatte den Streit in der vergangenen Woche als "Sturm im Wasserglas" bezeichnet. Sowohl der Ansatz für eine zentralisierte als auch für eine dezentralisierte Architektur würden sich "bald" wieder auf der Webpage finden.

Inzwischen hat PEPP-PT einige Dokumente auf Github hochgeladen. Darunter befindet sich auch ein 25-seitiges Papier zum Datenschutz und zur Datensicherheit. Die Frage nach einer zentralen oder dezentralen Datenspeicherung in den einzelnen Staaten wird darin jedoch weitgehend ausgeklammert. Ein Dokument zum Operational Backbone wurde bislang nicht hochgeladen.