10 Prüfsteine für die Beurteilung von "Contact Tracing"-Apps
Als Möglichkeit zur Eindämmung der SARS-CoV-2-Epidemie sind "Corona-Apps" in aller Munde. Der CCC veröffentlicht 10 Prüfsteine zu deren Beurteilung aus technischer und gesellschaftlicher Perspektive.
Politik und Epidemiologie ziehen aktuell gestütztes "Contact Tracing" als Maßnahme in Erwägung, systematisch einer Ausbreitung von SARS-CoV-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung sollen Kontakte von Infizierten schneller alarmiert werden und sich dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen weitere Infektionen ihrerseits verhindert werden. Eine "Corona-App" soll also weder uns selbst, noch unsere Kontakte schützen: Sie soll Infektionsketten unterbrechen, indem die Kontakte unserer Kontakte geschützt werden.
"Contact Tracing" als Risikotechnologie
Für die technische Implementierung dieses Konzepts gibt es eine Reihe an Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der konkreten Person.
Grundsätzlich wohnt dem Konzept einer "Corona App" aufgrund der möglicherweise erfassten Kontakt- und Gesundheitsdaten ein enormes Risiko inne. Gleichzeitig gibt es breite Anwendungsmöglichkeiten für "Privacy-by-Design"-Konzepte und -Technologien, die in den letzten Jahrzehnten von der Crypto- und Privacy-Community entwickelt wurden. Mit Hilfe dieser Technologien ist es möglich, die Potenziale des "Contact Tracing" zu entfalten, ohne eine Privatsphäre-Katastrophe zu schaffen. Allein deshalb sind sämtliche Konzepte strikt abzulehnen, die die Privatsphäre verletzen oder auch nur gefährden. Die auch bei konzeptionell und technisch sinnvollen Konzepten verbleibenden Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit wie möglich minimiert werden.
Im Folgenden skizzieren wir gesellschaftliche und technische Minimalanforderungen für die Wahrung der Privatsphäre bei der Implementierung derartiger Technologien. Der CCC sieht sich in dieser Debatte in beratender und kontrollierender Rolle. Wir werden aus grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren empfehlen. Wir raten jedoch von Apps ab, die diese Anforderungen nicht erfüllen.
I. Gesellschaftliche Anforderungen
1. Epidemiologischer Sinn & Zweckgebundenheit
Grundvoraussetzung ist, dass "Contact Tracing" tatsächlich realistisch dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu senken. Diese Beurteilung obliegt der Epidemiologie. Sollte sich herausstellen, dass "Contact Tracing" per App nicht sinnvoll und zielführend ist, muss das Experiment beendet werden.
Die App selbst und jegliche gesammelten Daten dürfen ausschließlich zur Bekämpfung von SARS-Cov-2-Infektionsketten genutzt werden. Jede andere Nutzung muss technisch so weit wie möglich verhindert und rechtlich unterbunden werden.
2. Freiwilligkeit & Diskriminierungsfreiheit
Für eine epidemiologisch signifikante Wirksamkeit setzt eine "Contact Tracing"-App einen hohen Verbreitungsgrad in der Gesellschaft voraus – also Installationen auf den Smartphones möglichst vieler Menschen. Diese weite Verbreitung darf nicht durch Zwang erreicht werden, sondern kann nur durch ein vertrauenswürdiges, privatsphären-achtendes System erzielt werden. Vor diesem Hintergrund verbietet sich das Erheben von Gebühren für die Nutzung ebenso wie die Inzentivierung durch finanzielle Anreize.
Menschen, die sich der Nutzung verweigern, dürfen keine negativen Konsequenzen erfahren. Dies sicherzustellen, ist auch eine Aufgabe von Politik und Gesetzgebung.
Die App muss von sich aus regelmäßig auf ihren Betrieb hinweisen, einfach temporär zu deaktivieren und dauerhaft zu de-installieren sein. Die Implementierung restriktiver Maßnahmen, bspw. die Funktion "elektronischer Fußfesseln" zur Kontrolle von Ausgangs- und Kontaktbeschränkungen, halten wir für inakzeptabel.
3. Grundlegende Privatsphäre
Nur mit einem überzeugenden Konzept, das auf dem Grundsatz der Wahrung der Privatsphäre beruht, kann überhaupt eine gesellschaftliche Akzeptanz erreicht werden.
Dabei sollen belegbare technische Maßnahmen wie Kryptografie und Anonymisierung die Privatsphäre der Nutzer zwingend sicherstellen. Es reicht nicht, sich auf organisatorische Maßnahmen, Versprechen und "Vertrauen" zu verlassen. Organisatorische oder rechtliche Hürden gegen einen Datenabfluss sind im derzeitigen gesellschaftlichen Klima von Notstands-Denken und möglichen weitgehenden Grundrechtsausnahmen durch das Infektionsschutzgesetz nicht hinreichend.
Die Beteiligung von Unternehmen, die Überwachungstechnologien entwickeln, lehnen wir als "Covid-Washing" grundsätzlich ab. Grundsätzlich gilt: Die Nutzerinnen sollten keiner Person oder Institution mit Ihren Daten "vertrauen" müssen, sondern dokumentierte und geprüfte technische Sicherheit genießen.
4. Transparenz und Prüfbarkeit
Der vollständige Quelltext für App und Infrastruktur muss frei und ohne Zugangsbeschränkungen verfügbar sein, um Audits durch alle Interessierten zu ermöglichen. Durch Reproducible-Build-Techniken ist sicherzustellen, dass Nutzer überprüfen können, dass die App, die sie herunterladen aus dem auditierten Quelltext gebaut wurde.
II. Technische Anforderungen
5. Keine zentrale Entität, der vertraut werden muss
Ein vollständig anonymes "Contact Tracing" ohne allwissende zentrale Server ist technisch möglich. Es ist technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen. Darauf beruhende Konzepte lehnen wir daher von vornherein als fragwürdig ab.
Hinzu kommt, dass die Sicherheit und Vertrauenswürdigkeit zentralisierter Systeme – etwa gegen die Verknüpfung von IP-Adressen mit anonymen Nutzer-IDs – für die Anwender nicht effektiv überprüfbar ist. Die Sicherheit und Vertraulichkeit des Verfahrens muss daher ausschließlich durch das Verschlüsselungs- und Anonymisierungskonzept und die Verifizierbarkeit des Quellcode gewährleistet werden können.
6. Datensparsamkeit
Es dürfen nur minimale und für den Anwendungszweck notwendige Daten und Metadaten gespeichert werden. Diese Anforderung verbietet die Erfassung sämtlicher Daten, die über einen Kontakt zwischen Menschen und dessen Dauer hinausgehen, wie zum Beispiel Lokationsdaten.
Sofern lokal auf den Telefonen Daten wie Aufenthaltsorte erfasst werden, dürfen Nutzerinnen nicht gezwungen oder verleitet werden, diese Daten an Dritte weiterzugeben oder gar zu veröffentlichen. Daten, die nicht mehr benötigt werden, sind zu löschen. Auch lokal auf dem Telefon müssen sensible Daten sicher verschlüsselt werden.
Für freiwillige, über den eigentlichen Zweck des Contact Tracing hinausgehende Datenerhebungen zum Zweck der epidemiologischen Forschung muss in der Oberfläche der App eine klare, separate Einwilligung explizitit eingeholt und jederzeit widerrufen werden können. Diese Einwilligung darf nicht Voraussetzung für die Nutzung sein.
7. Anonymität
Die Daten, die jedes Gerät über andere Geräte sammelt, dürfen zur Deanonymisierung ihrer Nutzer nicht geeignet sein. Die Daten, die jede Person ggf. über sich weitergibt, dürfen nicht zur Deanonymisierung der Person selbst geeignet sein. Daher muss die Nutzung des Systems möglich sein, ohne dass persönliche Daten jedweder Art erfasst werden oder abgeleitet werden können. Diese Anforderung verbietet eindeutige Nutzerkennungen.
IDs für "Contact Tracing" über Drahtlostechnik (z. B. Bluetooth oder Ultraschall) dürfen nicht auf Personen zurückführbar sein und müssen häufig wechseln. Aus diesem Grund verbietet sich auch eine Verbindung mit oder Ableitung von IDs aus Kommunikationsbegleitdaten wie Push-Tokens, Telefonnummern, verwendeten IP-Adressen, Gerätekennungen etc.
8. Kein Aufbau von zentralen Bewegungs- und Kontaktprofilen
Das System muss so beschaffen sein, dass weder absichtlich noch unabsichtlich Bewegungsprofile (Standortverfolgung) oder Kontakt-Profile (auf konkrete Menschen zurückführbare Muster von häufigen Kontakten) aufgebaut werden können. Methoden wie zentrales GPS/Location-Logging oder eine Verknüpfung der Daten mit Telefonnummern, Social-Media-Accounts u. ä. sind daher grundsätzlich abzulehnen.
9. Unverkettbarkeit
Das Design der ID-Generierung muss so gestaltet sein, dass diese ohne den Besitz des privaten Schlüssels nicht verkettbar sind. Sie dürfen also nicht aus anderweitigen Daten abgeleitet werden. Egal auf welchem Weg IDs im Infektionsfall kommuniziert werden, muss ausgeschlossen sein, dass die gesammelten "Contact Tracing"-Daten über längere Zeiträume verketten werden können.
10. Unbeobachtbarkeit der Kommunikation
Auch wenn die Übermittlung einer Nachricht im System beobachtet wird (z. B. über die Metadaten der Kommunikation), darf daraus nicht geschlossen werden können, dass eine Person selbst infiziert ist oder Kontakt zu Infizierten hatte. Dies ist sowohl gegenüber anderen Nutzern als auch gegenüber Infrastruktur- und Netzbetreibern oder Angreifern, die Einblick in diese Systeme erlangen, sicherzustellen.
Rolle und Selbstverständnis des CCC
Seit weit über 30 Jahren engagiert sich der CCC ehrenamtlich im Spannungsfeld zwischen Technologie und Gesellschaft. Unsere ethischen Prinzipien stehen für Privatsphäre, Dezentralisierung und Datensparsamkeit – und gegen jede Form von Überwachung und Zwang.
Ohne Anspruch auf Vollständigkeit benennen wir in diesem Beitrag Mindestanforderungen, denen eine "Corona App" entsprechen muss, um gesellschaftlich und technisch überhaupt tolerabel zu sein. Der CCC wird aus grundsätzlichen Erwägungen unter keinen Umständen jemals eine konkrete Implementierung mit Zustimmung, Empfehlung oder gar einem Zertifikat oder Prüfsiegel versehen.
Es obliegt den Entwicklern von "Contact Tracing"-Systemen, die Erfüllung dieser Anforderungen zu belegen, oder von unabhängigen Dritten belegen zu lassen.