Vom Autor*innen-Kollektiv capulcu*. Erschienen in DISS-Journal (39) 2020
Es ist zu befürchten, dass wir noch sehr viel länger an den Folgen des pandemischen Ausnahmezustands knabbern werden, der sich dadurch auszeichnet, dass partielle Grundrechte zunächst temporär außer Kraft gesetzt oder in bedingte Zugeständnisse verwandelt werden. Der Terror bedingte Ausnahmezustand hat seine zeitliche Begrenzung schon lange überwunden. Der war-on-terror hat es geschafft, eine Ereignis bezogene Angst in dauerhafte gesellschaftliche Verunsicherung zu überführen. Damit war es möglich, über die Konstruktion des Gefährders die Beschneidung von wesentlichen Grundrechten zumindest personenbezogen durchzusetzen.
Auch dem pandemischen Ausnahmezustand droht durch die (berechtigte) Befürchtung neuer Corona-Wellen bzw. neuer Virenstämme die Verstetigung. Ein etwaiger war-on-virus verfügt über eine ungleich größere Kapazität gesellschaftlicher Umgestaltung. Der Imperativ der „sozialen Distanzierung“ ermöglicht den Eingriff in das soziale Leben einer beliebig großen Gruppe von viralen Gefährdern bis hin zur Isolation im Sinne des Gemeinwohls – mit der Coronakrise sind alle zu Gefährdern geworden.
Während aktuell noch Beschränkungen per „Allgemeinverfügung“ regional bzw. landesweit für alle gleich geregelt sind, ist der Diskurs um eine Ungleichbehandlung samt zugehörigem Instrumentarium angestoßen: Tracing-Apps und digitale Immunitätsnachweise ringen derzeit um Akzeptanz. Das „digitalisierende Virus“ gibt einer entsolidarisierenden Transformation des Gesundheitswesens neuen Schub.
Die deutsche Bundesregierung setzt für eine schrittweise Rücknahme der Corona-Kontaktbeschränkungen auf eine breite Akzeptanz der für Mitte Juni geplanten App zur nachträglichen Kontaktrekonstruktion Infizierter. Die (berechtigte) Angst vor dem Virus wird benutzt, um einem Großteil der Bevölkerung „freiwillig“ ein autoritär hochwirksames Werkzeug zu verabreichen.
Obwohl sich die deutsche Bundesregierung nun für die dezentrale Variante entschieden hat, kritisieren wir in diesem Artikel sowohl die technische Konstruktion und Infrastruktur der Apps, als auch ihre sozial-technokratischen Konsequenzen. Selbst wenn das Protokollieren von Kontakten vollständig pseudonym erfolgen würde, müssen wir dringend vor dieser App warnen. In dem Moment, wo (sogar anonyme) Verhaltensdaten flächendeckend anfallen, sind die Vorhersagemodelle, die damit trainiert werden, dazu in der Lage, ganze Populationen in Risikogruppen einzuteilen und algorithmisch zu verwalten. Egal welche Variante der Corona-App sich langfristig durchsetzt: Es ist eine Überwachungsinfrastruktur, die da ausgerollt wird. Deshalb halten wir den Applaus einiger kritischer Datenschutzschützer*innen für unangemessen – ja sogar für fahrlässig.
Die zentrale Variante: PEPP-PT
Im März wurde bekannt, dass ein internationales Team, bestehend aus rund 130 Wissenschaftler*innen, IT-Entwickler*innen, Datenschutzbeauftragten und Soldat*innen, derzeit in einem Projekt mit dem Namen Pan European Privacy-Protecting Proximity Tracing (PEPP-PT) an einer Software arbeitet, welche die SARS-CoV-2-Virusverbreitung einschränken soll. Beteiligt sind aus Deutschland unter anderem das Robert-Koch-Institut (RKI), das Heinrich-Hertz-Institut (HHI) und das Bundesamt für Sicherheit in der Informationstechnik. Auch der Bundesdatenschutzbeauftragte begleitet die Entwicklung und Soldat*innen der Bundeswehr helfen bei den Tests. Bis auf das RKI sind sie auf der Website des Projekts nicht gelistet. Das HHI ist unter Fraunhofer subsumiert. Bislang sind Forscher*innen und Institute aus acht Ländern an der Entwicklung beteiligt: Belgien, Dänemark, Deutschland, Frankreich, Italien, Österreich, Spanien und die Schweiz.
Um die Ausbreitung einzudämmen, sollen Kontaktpersonen von Infizierten frühzeitig gewarnt werden. Wenn Menschen Symptome zeigen, dann haben sie das Virus bereits weitergegeben. Deshalb sollen nach einer positiven Diagnose alle Smartphone-Besitzer benachrichtigt werden, deren Geräte in der Nähe des Erkrankten waren. Wenn es viele einzelne Ansätze und Software-Lösungen gibt, die jeweils nur ein kleiner Teil der Bevölkerung nutzt, kann das Konzept nicht aufgehen. Deshalb soll eine gemeinsame Grundlage entstehen, die möglichst schnell eine kritische Nutzer*innenzahl erreicht. Die Rede ist von einer gemeinsamen Plattform: einer Client/Server-Referenzimplementierung, aber auch von einem Softwaregerüst, auf dem Smartphone-Apps aufsetzen können. Diese Smartphone-Apps, die Nutzer*innen auf ihrem Telefon installieren, bilden einen wesentlichen Teil des Systems.
In Deutschland arbeiten RKI und HHI an einer solchen Anwendung. Um Infektionsketten wirksam zu unterbrechen, streben die Forscher*innen eine Nutzer*innen-Basis von etwa 60 Prozent der Bevölkerung an. In Deutschland wären das 50 Millionen Menschen. Bislang gibt es in Deutschland keine App, die nicht auf Smartphones vorinstalliert ist und bewusst heruntergeladen werden muss, die so viele Nutzer*innen hat. Allerdings könnte auch ein geringerer Anteil helfen, die Ausbreitung zumindest zu verlangsamen. Laut Bitkom besitzen 81 Prozent aller Menschen in Deutschland über 14 Jahren ein Smartphone. Normale Handys und ältere Geräte unterstützen den nötigen Bluetooth-Standard noch nicht. Insbesondere Senior*innen, für die das Virus besonders gefährlich ist, können nur zum Teil gewarnt werden. Deshalb denken die Forscher darüber nach, künftig auch Bluetooth-Armbänder oder andere Wearables zu verteilen. Einer repräsentativen Umfrage (Stand: 31.03.2020) zufolge würden mehr als 70 Prozent der Befragten so eine App auf jeden Fall oder wahrscheinlich nutzen. Die Mehrheit gibt an, den Aufforderungen der App nachkommen zu wollen und sich in Quarantäne zu begeben, sollten sie mit einer infizierten Person in Kontakt gekommen sein. Umfragen zufolge wäre ein Großteil der Bevölkerung in Deutschland bereit, einen Teil ihrer Privatsphäre aufzugeben, um das Virus zu stoppen.
Vorbild ist TraceTogether, ein zunächst von Singapur entwickeltes Verfahren zur Kontaktverfolgung, das auf die Funktechnik Bluetooth Low Energy setzt. Das System soll als Gegenentwurf zu den repressiven und invasiven Ansätzen anderer Länder (wie China oder Südkorea) verstanden werden. Anstatt massenhaft sensible Standortdaten zu sammeln, Nutzer*innen zu überwachen oder Infizierte an einen digitalen Corona-Pranger zu stellen, soll PEPP-PT komplett freiwillig und datenschutzfreundlich sein. Die Betreiber versprechen, die Privatsphäre von Nutzer*innen der Software zu schützen. Die Identität der Nutzer*innen bleibt zu jedem Zeitpunkt geschützt heißt es: Weder Ärzt*innen noch die Betreiber der Plattform können Einzelpersonen identifizieren. Für gute PR sorgen Zeitungen, die sogar von einer anonymen Nutzung schreiben, obwohl es sich um eine Pseudonymisierung handelt. Das PEPP-PT-Modell scheint auch nicht zu 100 Prozent Privacy-by-Design zu erfordern. Die Spezifikationen und den Quellcode gibt es laut der bisher sehr informationsarmen Webseite aktuell allerdings nur als Mitglied des Konsortiums.
Unsere Forderung: Code und alle Dokumente offenlegen, sonst glauben wir gar nichts. Und nicht nur irgendeine Client-Referenzimplementierung, sondern die ganze Spezifikation und den ganzen Server-Code.
Aber selbst wenn der Server-Code open-source ist, kann man nicht sicher sein, dass die Behörden diesen Code auch unverändert verwenden. Weiter kann man nicht sicher sein, dass die Daten nicht doch aus der Datenbank kopiert werden oder länger gespeichert werden.
Die PEPP-PT-App ist nicht zu verwechseln mit der Corona-Datenspende-App des RKI. Während der Debatte um die Corona-App und derartige Anwendungen veröffentlichte das RKI am 7. April 2020 eine Corona-Datenspende-App für Android und iOS zur freiwilligen Weitergabe von Fitnesstracker-Daten an das RKI. Zweck dieser von der Bundesregierung beworbenen und vom Bundesgesundheitsministerium unterstützten App ist „eine bessere Vorhersage des bundesweiten Erkrankungsverlaufs mit Covid-19 und damit eine verbesserte Steuerung von Eindämmungsmaßnahmen gegen die Corona-Pandemie“. Innerhalb einer Woche wurde diese im Auftrag des RKI von der mHealth Pioneers GmbH entwickelte und betriebene App von bereits mehr als 400.000 Freiwilligen heruntergeladen und mit einem Fitnesstracker verknüpft. Die Zahlen stagnierten bei 500.000 Nutzer*innen. Wahrscheinlicher Grund war die einige Tage später veröffentlichte Analyse der Software des Chaos Computer Clubs (CCC). Neben unzureichendem Schutz der Zugangsdaten und organisatorischen Defiziten sind eine Cloud-Anbindung und die mangelhafte Pseudonymisierung bemerkenswert. So holt sich das RKI die Daten der meisten Nutzer*innen wider Erwarten nicht vom Smartphone, sondern direkt von den Anbietern der Fitnesstracker. Damit hat das RKI über einen Zugangscode potenziell Zugriff sowohl auf Klarnamen der Spender als auch deren Fitnessdaten. Bei einer einfachen Deinstallation der App bleibt dieser Zugriff auch weiterhin bestehen. Entgegen der Darstellungen werden die hochsensiblen Gesundheitsdaten der meisten Nutzer*innen nicht schon auf dem Smartphone pseudonymisiert, sondern vollständig und teils mitsamt Klarnamen der Datenspender abgerufen. Eine Pseudonymisierung findet (wenn überhaupt) erst auf Seiten des RKI statt und kann durch die Nutzer*innen nicht kontrolliert oder verifiziert werden. Bemerkenswert ist auch, dass hier Datenschutz und IT-Sicherheit grob missachtet wurden, obwohl mit dem CCC und Datenschützer*innen bei der PEPP-PT-App zusammengearbeitet wurde.
Die zentrale Variante: DP3T
Zwischen den Wissenschaftler*innen, die an der Entwicklung einer Technologie für die Covid-19-Kontaktrückverfolgung beteiligt sind, wird öffentlich ein Konflikt ausgetragen. Im Wesentlichen geht es um die Frage, ob die verschlüsselten IDs der einzelnen App-Nutzer*innen zentral auf einem Server gespeichert werden sollen oder auf dem jeweiligen Gerät verbleiben. Die Forscher*innen teilen unsere am 5. April 2020 veröffentlichte Kritik ((https://capulcu.blackblogs.org/wp-content/uploads/sites/54/2020/04/Corona-App-final.pdf)), dass das zentrale Verfahren das Risiko einer (schleichenden) Ausweitung der Zweckbestimmung birgt. Dass sich nun (vermutlich) das dezentrale Modell durchgesetzt hat, hat unterschiedliche Gründe: Zum einen der Druck der Öffentlichkeit und zum anderen die Abhängigkeit von Apple und Google bei der Anbindung der Apps an ihre Smartphone-Betriebssysteme.
Während der Debatte zentral vs. dezentral offenbarte sich, dass das Konsortium rund um das RKI durchaus zwei Ziele verfolgte: Sowohl das öffentlich bekanntgegebene Tracing potentiell Infizierter als auch eine Big-Data-Analyse der (epidemiologischen) Daten – angeblich nur um die Infektionsausbreitung zu erfassen.
Das was „Proximity-tracing“ genannt wird, ist ein Ausforschen des „Social-Graphs“, das soziale Geflecht also, in dem sich eine Person bewegt, welche trifft sich mit wem, wann, wie lange und häufig. Zugestanden: Proximity-tracing erfasst auch die „Kontakte“ z. B. im Supermarkt, also mehr als die sozialen Kontakte. Diese sind aber als Untermenge vollständig enthalten und rekonstruierbar. Dass Polizei und Verfassungsschutz an solchen Social-Graphs brennend interessiert sind, ist vielfach belegt. Aber auch „nicht-kriminelle“ Verhaltensweisen (wie etwa Affären oder Nebenjobs) lassen sich damit erkennen. Im Grunde handelt es sich hierbei um das Metadaten-Problem, welches schon lange Thema der netzpolitischen Debatte ist. Jetzt werden die Daten aber nicht aus anderen Daten (Telefonate, e-Mail etc.) extrahiert, sondern direkt erfasst – und das auch, wenn ansonsten keine digitale Kommunikation stattfindet. Diese Überwachungsinfrastruktur ist wesensgleich mit der Vorratsdatendatenspeicherung. Daten werden erhoben und gespeichert, mit der Argumentation einer zukünftigen „sinnvollen“ Verwendung. Es wird erstmal der Heuhaufen aufgehäuft, bevor die Nadel gesucht wird (frei nach K. Alexander, Ex-Chef der NSA ((Der ehemalige NSA-Direktor General Keith Alexander rechtfertigte die Massenüberwachung: „Du brauchst den ganzen Heuhaufen, um die Nadel zu finden.“ Vgl. Ellen Nakashima und Joby Warrick: For NSA chief, terrorist threat drives passion to ‘collect it all’, in: The Washington Post v. 14.07.2013 (https://www.washingtonpost.com/world/national-security/for-nsa-chief-terrorist-threat-drives-passion-to-collect-it-all/2013/07/14/3d26ef80-ea49-11e2-a301-ea5a8116d211_story.html) ))
Als Alternative zu einem zentralen Server steht eine dezentrale Architektur für die Nachverfolgung von Kontakten zur Verwendung. In einem solchen Modell verbleibt die Liste der IDs von Kontaktpersonen auf dem jeweiligen Endgerät. Infizierte schicken nach wie vor die Liste der IDs, die sie getroffen haben, an einen zentralen Server. Aber anstatt, dass der Server betroffene Personen benachrichtigt, erfragen die Apps in regelmäßigen Abständen, ob eine ID publiziert wurde, die sie in letzter Zeit getroffen haben. Die beiden Modelle zur digitalen Kontaktverfolgung unterscheiden sich also sehr grundsätzlich im Hinblick auf die Kontrolle über die anfallenden Daten, den Datenschutz und nicht zuletzt hinsichtlich der Missbrauchsmöglichkeiten. Aber auch der dezentrale Ansatz bietet keine absolute Sicherheit. Auch er funktioniert in den meisten Ausprägungen nicht „anonym“, selbst wenn das manche behaupten. Auch hier gibt es kryptographische Probleme, die gelöst werden müssen: DP3T hat mittlerweile die Linkability (Verbindbarkeit) zwischen einzelnen Pseudonymen als Problem erkannt und in ihrem aktualisierten Whitepaper einen Non-linkable-Ansatz eingebaut.
Der dezentrale Ansatz kommt ohne die Voraussetzung aus, einer zentralen (staatlichen) Instanz vertrauen zu müssen, dass diese die Daten exakt so verwendet wie versprochen und dies morgen auch noch so tun wird. Zwar wissen die zentralen Stellen, welche Pseudonyme die Infizierten in der Vergangenheit verwendet haben, und können beim Upload der IDs auch dem Pseudonym eine IP-Adresse zuordnen, ((Allerdings kann das durch Verwendung von Proxies, VPNs oder Tor verhindert werden.)) sie können jedoch die individuellen Kontaktnetzwerke nicht rekonstruieren. Es entstehen also keine zentral gespeicherten Informationen über das soziale Umfeld der App-Nutzenden. Der Server der Gesundheitsbehörden kann keine Abbildung des sozialen Umfelds ableiten und erfährt von Verdachtsfällen nur, wenn die Nutzenden sich nach einer Aufforderung der App beim Gesundheitsamt beziehungsweise einem Arzt melden. Verglichen mit dem zentralen Ansatz bewahren die Nutzenden der App ein erhebliches Maß an Privatsphäre und Autonomie gegenüber staatlichen Stellen und deren Infrastruktur.
Kritik an zivilgesellschaftlichen Akteuren
In der Auseinandersetzung um eine möglichst schnell verfügbare Corona-App war oft zu lesen, Datenschützer*innen sollten pragmatisch und nicht so kleinlich sein. Doch Vertrauen lässt sich nicht verordnen. Vertrauen erwirbt man durch Transparenz, zuverlässige Kommunikation und durch Institutionen, denen viele Menschen vertrauen. Hunderte Wissenschaftler*innen und diverse zivilgesellschaftliche Organisationen warnen inzwischen vor der zentralen Variante.
Wenn man von einer idealen Umsetzung ausgehen könnte und die gesellschaftlichen Folgen ausblenden würde, dann wäre die dezentrale Variante eventuell für diesen Zweck ein hinnehmbares System. Aber das Konzept wird nicht ideal umgesetzt und es wird gesellschaftliche Folgen haben. Die App könnte wie ein Dammbruch fungieren. Deshalb ist es notwendig, Kritik am CCC und anderen zivilgesellschaftliche Akteuren zu üben. Sie bringen sich zwar kritisch ein ((Zu nennen sind hier beispielsweise eine gemeinsame Erklärung zivilgesellschaftlicher Organisationen, in der es heißt: „Staaten müssen beim Einsatz digitaler Überwachungstechnologien zur Bekämpfung von Pandemien die Menschenrechte achten“. Dort fordern sie „Regierungen nachdrücklich auf, bei der Bekämpfung der Pandemie sicherzustellen, dass der Einsatz digitaler Technologien zur Verfolgung und Überwachung von Einzelpersonen und Bevölkerungsgruppen streng im Einklang mit den Menschenrechten erfolgt.“ Weiter sind die zehn-Prüfsteine für die Beurteilung von „Contact Tracing“-Apps des CCC zu nennen. Gefordert wird: „Sämtliche Konzepte [sind] strikt abzulehnen, die die Privatsphäre verletzen oder auch nur gefährden. Die auch bei konzeptionell und technisch sinnvollen Konzepten verbleibenden Restrisiken müssen fortlaufend beobachtet, offen debattiert und so weit wie möglich minimiert werden.“ Das Forum InformatikerInnen für Frieden und Gesellschaftliche Verantworung (FIfF) veröffentlichte eine Datenschutz-Folgenabschätzung (DSFA) für die Corona-App. Dort heißt es: „Wirksamkeit und Folgen entsprechender Apps sind noch nicht absehbar und es ist davon auszugehen, dass innerhalb der EU verschiedene Varianten erprobt und evaluiert werden. Die datenschutz- und somit grundrechtsrelevanten Folgen dieses Unterfangens betreffen potenziell nicht nur Einzelpersonen, sondern die Gesellschaft als Ganze.“ )), aber ihre Forderungen und Warnungen gehen nicht weit genug. Sie haben ein Klima der Akzeptanz für diese Apps geschaffen. Letztendlich ist es unerheblich, ob das PEPP-PT-Framework, die dezentrale DP3T-Implementation oder eine andere technische Umsetzung gewählt wird. Entscheidend ist die Akzeptanzbeschaffung, freiwillig eine App für das vermeintliche Gemeinwohl zu installieren. Der soziale Druck wird ausgeblendet.
Daten, von denen versprochen wird, dass sie vertraulich behandelt werden, werden immer wieder anderweitig verwendet. Es wird nicht lange dauern, bis die Diskussion beginnt, diese Daten zur Strafverfolgung zu nutzen, und die Debatte wird erst aufhören, wenn die Nutzung freigegeben wurde. Wo ein Trog ist, kommen die Schweine. Beispiele, wo es sich genauso zugetragen hat (wie etwa die Kennzeichenerfassung der elektronischen Maut), gibt es viele. Dazu kommt die behördliche Weigerung bei Löschung einst erhobener Daten.
Beim zentralen Modell müssen Personen aktiv die Daten ihrer Annäherungsgeschichte freigeben. Aber mit einem Software-Update ist es leicht zu beheben, derart dass immer alle Kontakte hochgeladen werden. So entsteht ein riesiger Heuhaufen, der für Big-Data-Zwecke nutzbar ist. Wenn immer alle Kontakt-IDs übermittelt werden (also nicht mehr nur freiwillig, wenn eine Person infiziert ist), kann der Server auch Traces bilden und Verbindungen herstellen, wer wie oft wen trifft. In Zusammenarbeit mit den Telekommunikationsanbietern zur Auflösung von IP-Adressen könnten Strafverfolgungsbehörden dann auflösen, wer sich hinter den IDs verbirgt.Selbst beim dezentralen Modell besteht die Gefahr, dass die IDs nicht mit anderen Merkmalen oder sogar dem Google- oder Apple-Konto verknüpft werden. Denn noch ist denkbar, dass wir in Zukunft Malware sehen, die genutzt wird, um diese Daten zusammenzutragen.
Die Rolle von Google und Apple
Tracing-Apps sind womöglich keine temporäre Erscheinung, die wieder verschwindet, sobald die Pandemie unter Kontrolle gebracht ist. Tracing-Apps könnten sich als Instrument der Gesundheitspolitik oder in anderen Bereichen verstetigen. Wenn einmal ein großer Teil der Smartphone-Nutzenden eine solche App installiert hat und ihr Betrieb zum Normalfall geworden ist, ergeben sich womöglich weitere Anwendungsmöglichkeiten, die jetzt noch abwegig erscheinen. Das Verfolgen der jährlichen Influenza-Welle wäre nur ein erster Schritt. Wenn eine solche Funktionalität einmal zur Verfügung steht, könnten weitere Apps folgen, um daraus Nutzen zu ziehen. Google und Apple haben selbst ebenfalls Interesse an Social-Graphs. Sie arbeiten gemeinsam an Contact-Tracing-Software ((Siehe dazu: Apple and Google partner on COVID-19 contact tracing technology, https://blog.google/inside-google/company-an-nouncements/apple-and-google-partner-covid-19-contact-tracingtechnology, und https://netzpolitik.org/2020/apple-und-google-schaffen-globalen-standard/)). Beide haben angekündigt, das dezentrale Modell der Kontaktverfolgung zu unterstützen, indem sie entsprechende Funktionen in ihre Smartphone-Betriebssysteme einbauen. Auf diese Weise kann die ständige Suche nach neuen Kontakten kontinuierlich im Hintergrund der Smartphones ablaufen, ohne den Akku zu sehr zu strapazieren. Die Kooperation wird bald auf den meisten Smartphones der Welt Apps verfügbar machen, die ihre Nutzer informieren, ob sie sich in der Nähe von möglichen Corona-Infizierten aufgehalten haben. Die außergewöhnliche Zusammenarbeit der zwei konkurrierenden Technologiekonzerne schafft einen globalen Standard für Contact-Tracing. Denn anders, als vielfach öffentlich kommuniziert, sind sowohl der zentrale als auch der dezentrale Ansatz auf eine Unterstützung durch die Betriebssysteme von Google und Apple angewiesen. Die Schnittstelle im Betriebssystem der Smartphones soll dazu dienen, die notwendigen Daten lokal zu erheben und diese dann mit dem Server der Gesundheitsbehörden auszutauschen. Offen bleibt die Frage, wie die geplanten Erweiterungen der Smartphone-Betriebssysteme genau umgesetzt werden; insbesondere, ob diese nicht vielleicht doch Informationen an die Konzerne übermitteln können. Es ist daher essenziell, dass Google und Apple den Quellcode für ihre Erweiterungen offenlegen und damit unabhängigen Sicherheitsforschern die Möglichkeit einräumen zu überprüfen, dass keine zusätzlichen Funktionen eingebaut wurden.
Sowohl Apple als auch Google sind eigenständige Akteure auf dem Gesundheitssektor. Sie versuchen mit Hochdruck erweiterte Gesundheitsdienste in ihre Softwareumgebungen zu integrieren und legen eigene Gesundheitsdatenbanken an. Aus diesem Grund war die Unterstützung der dezentralen Variante eine wichtige strategische Entscheidung, die zum einen der Imagepflege als „Hüter der Privatsphäre“ dient. Zum andern macht es sie aber vor allem zur unausweichlichen Instanz: Sie sind die einzigen, die grundsätzlich Zugriff auf den gesamten (zusammengesetzten) Datensatz haben. Staatliche Akteure müssen mit ihnen verhandeln, wenn sie Zugriff auf diese Daten erlangen wollen.
Wie weit die faktische Macht der beiden dominanten Smartphone-Betriebssystem-Anbieter geht, lässt sich am Rückzieher der australischen Regierung mit ihrer zentralen Corona-App ablesen ((https://www.heise.de/mac-and-i/meldung/Australien-Corona-App-funktioniert-ohne-Apple-API-nicht-richtig-auf-iPhones-4716013.html)): Die bereits gut fünf Millionen Mal heruntergeladene Corona-App „Covidsafe“ läuft auf iPhones nicht, da Bluetooth im Hintergrund nur eingeschränkt funktioniert. Daher musste die australische Regierung im Mai auf die Vorgabe von Apples und Googles geplanter Schnittstelle für Corona-Warn-Apps umsatteln.
Sicherheitslücke Bluetooth
Heutzutage ist Bluetooth ein integraler Bestandteil von mobilen Geräten. Laptops und Smartphones lassen sich mit Smartwatches und drahtlosen Kopfhörern verbinden. Standardmäßig sind die meisten Geräte so konfiguriert, dass sie Bluetooth-Verbindungen von jedem nicht authentifiziertem Gerät in der Nähe zulassen. Bluetooth-Pakete werden durch den Bluetooth-Chip verarbeitet und dann an den Host (Android, Linux usw.) weitergeleitet. Sowohl die Firmware auf dem Chip als auch das Bluetooth-Subsystem des Hosts sind mögliches Ziel für sogenannte Remote-Code-Execution-Angriffe (RCE).
Bluetooth hat eine 20 Jahre alte Geschichte der Unsicherheit. Alle paar Jahre gibt es einen neuen Angriff auf Bluetooths Pairing-Protokoll oder die verwendete Verschlüsselung. Auch aktuell gibt es eine Sicherheitslücke (CVE-2020-0022 ((https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0022)) ) und einen Exploit, der diese ausnutzt (Bluetooth zero-click short-distance RCE exploit against Android 8/9 [bei Android 10 keine RCE aber DoS]). Mit dieser Lücke und dem Exploit lässt sich ein Wurm schreiben, der sich ohne User-Interaktion über Bluetooth weiterverbreitet und auf den Geräten Schadcode in einem privilegierten Prozess ausführen kann ((Für Angriffe auf BLE siehe beispielsweise https://www.andrea-fortuna.org/2020/02/18/sweyntooth-bluetooth-vulnerabilities-expose-many-ble-devices-to-attacks/ oder https://asset-group.github.io/disclosures/sweyntooth/)). Wer jemandem zu nahe kommt, kann sich nicht nur selbst infizieren, sondern mit einem CVE-2020-0022-Wurm – dank der Corona-App – auch sein Smartphone, welches den Wurm dann munter weitergibt. Dis Sicherheitslücke ist in einem Security-Patch des Android Open Source Project (AOSP) vom Februar 2020 geschlossen worden. Aber viele Android-Versionen werden diesen Patch niemals erhalten.
Auch anonym trainieren wir KI
Die für Deutschland geplante Corona-App soll nicht auf personenbezogene Daten des einzelnen Individuums zugreifen. Doch die Gefahren entstehen nicht nur bei der digitalen Aus-leuchtung Einzelner, sondern dadurch, dass eine entstehende Datensammlung in Verknüpfung mit anderen Datenbanken algorithmische Verfahren zur Bevölkerungsverwaltung ermöglicht.
Im konkreten Fall der dezentralen Corona-App, welche die deutsche Bundesregierung nun favorisiert, gibt ein Zusatz zu denken: Es solle die Möglichkeit integriert werden, freiwillig in pseudonymisierter Form die Daten zur epidemiologischen Forschung und Qualitätssicherung an das RKI zu übermitteln. ((Vgl. TAZ v. 26.4.20: https://taz.de/Debatte-um-die-Corona-App/!5681031)) Ein unbedeutend klingender „Zusatz“, der die Dezentralität der Corona-App freiwillig aushebelt. Sollten Hunderttausende diese Option wählen (bzw. nicht abwählen), ließe sich aus den Zeitangaben der pseudonymen Tracing-Daten in der Verknüpfung z. B. mit einer Datenbank, wann, wo, welche Großevents stattgefunden haben, erahnen, wo sich vermeintlich unverantwortlich verhalten wurde. So lassen sich über zeitlich korrelierte Häufungen Regionen ausmachen, die eine etwaige Sonderbehandlung „rechtfertigen“. Spätestens, wenn sich die freiwilligen Meldungen vermeintlich Infizierter bei Gesundheitsämtern zeitlich in Verbindung bringen lassen, könnte (mit Einschränkungen) eine „Gefährder“-Karte erstellt werden.
Pseudonymisierte Massendaten dienen zum Training künstlicher Intelligenzen (KI) z. B. im Kontext vorhersagender Analysen. In dem Moment, wo Verhaltensdaten fast flächendeckend anfallen und (sei es auch anonymisiert) erhoben werden, sind die prädiktiven Modelle, die damit trainiert werden, dazu in der Lage, ganze Populationen in Risikogruppen einzuteilen und algorithmisch zu verwalten. Datenbasierte Algorithmen können die Gesellschaft dann in unsichtbare soziale Klassen einteilen, zum Beispiel in Bezug darauf, wer aufgrund seiner Bewegungsmuster vermeintlich ein besonderes Sicherheits- oder Gesundheitsrisiko darstellt, weil das Bewegungsprofil erkennen lässt, dass jemand das Virus in besonderem Maße verbreitet hat oder wer prioritären Zugang zu knappen medizinischen Ressourcen wie Beatmungsplätzen verdient. Dies ist möglich, ohne die Ortsdaten einzelner Individuen aufgezeichnet zu haben.
Algorithmische Scoring- und Entscheidungsverfahren beruhen auf einem anonymen Abgleich mit den Daten viele anderer Individuen.
Daher kann mensch durch Weitergabe der eigenen (selbst anonymisierten oder pseudonymisierten) Daten potenziell anderen Individuen und Gruppen schaden und umgekehrt durch die Datenweitergabe anderer potenziell selbst betroffen sein. Diese Gefahr wird in der verkürzten Debatte um die Corona-App und auch schon bei der Weitergabe anonymisierter Telekom-Daten oder anonymisierter Google-Positionsdaten ausgeblendet. Sie ist auch nicht Gegenstand wirksamer datenschutzrechtlicher Bemühungen. So schützt auch die Datenschutzgrundverordnung DSGVO nicht vor der Verwendung anonymisierter Daten für prädiktive algorithmische Entscheidungen, Risikoklassifizierung (Scoring) und verhaltensbasierte Ungleichbehandlung von Individuen oder Gruppen. In diesem Sinne trägt jeder, der die Corona-App nutzt, zu solch einer Ungleichbehandlung bei.
Hier ist die Unterscheidung von anonymen und personenbezogenen Daten überholt, weil irrelevant!
Freiwilligkeit und Immunitätsnachweis
„Bitte haben Sie Verständnis dafür, dass wir zu ihrer eigenen Sicherheit und zur Sicherheit unserer Mitarbeiter*innen nur nachweislich nicht-infizierte Personen befördern können.“
So könnte die Erklärung der Deutschen Bahn an allen Automaten und Ticket-Schaltern lauten, die ihre Dienstleistung „bis zum Ende der Corona-Krise“ nur Fahrgästen mit einer ungefährlichen Kontakt-Tracing-Historie, wahlweise in Verbindung mit einem kürzlich durchgeführten Corona-Test (PCR oder Antikörper) oder einem „Immunitätsnachweis“ anbietet.
Eine freiwillige Corona-App (egal ob zentral oder dezentral), die binnen der letzten zwei Wochen keinen Alarm geschlagen hat, ist eine Möglichkeit, diesen „Nachweis“ zu erbringen. Das entspräche dem Status „grün“ der (zentralen) chinesischen App wahlweise bei der Fahrkartenkontrolle oder beim Betreten des Bahnhofs. Die zweite Möglichkeit des Nachweises ist der geplante, ebenso freiwillige „digitale Immunitätsausweis“ ((https://ubirch.de/fileadmin/user_upload/2020-04-16_digital_corona_health_certificate.pdf)). Die Notwendigkeit, einen der beiden freiwilligen Nachweise erbringen zu müssen, stellt die soziale Unfreiwilligkeit der Konstruktion dar.
Die Bundesregierung plant als Imitation der Idee von Bill Gates die Möglichkeit, Menschen bescheinigen zu lassen, dass sie eine Infektion mit dem Coronavirus überstanden haben – für den Fall, dass es gesicherte Erkenntnisse darüber gibt, dass eine überstandene Infektion für eine gewisse Zeit Immunität bedeutet. Derzeit gehen einige Wissenschaftler*innen (mit einer hohen Fehlerquote) von drei Monaten aus. Deutliche Kritik an diesem Vorhaben hat Gesundheitsminister Spahn Anfang Mai zunächst zum Rückzug des geplanten Gesetzentwurfes gezwungen.
Nun soll ein solcher Ausweis in Nordrhein-Westfalen zunächst nur erprobt werden. An diesem Projekt arbeiten derzeit die Bundesdruckerei, die Lufthansa, die Unternehmen Digital-Health Germany, m.Doc und GovDigital sowie die Uniklinik und das Gesundheitsamt der Stadt Köln. Testpatienten*innen sollen mithilfe einer App ihr Corona-Testergebnis verschlüsselt in einer Datenbank abspeichern. Flughäfen, Infrastrukturunternehmen und Behörden sollen so auf das Coronavirus-Testergebnis zugreifen können! In Erweiterung der seit Mai geltenden Praxis an den Flughäfen Frankfurt und Wien, per selbst zu zahlendem Corona-Schnelltest vor Ort die zweiwöchige Einreise-Quarantäne umgehen zu können, würde dann die „fälschungssicher“ nachgewiesene Immunität ebenfalls Bewegungsfreiheit garantieren. Eine Regelung mit der fatalen Nebenwirkung vieler sich bereitwillig Ansteckender, die zur Wahrung ihrer Beweglichkeit das Gesundheitssystem an einem kritischen Punkt zusätzlich belasten könnten.
Die Konsequenz wäre eine gesellschaftlich spaltende Endsolidarisierung, die Corona bedingte Einschränkung der Bewegungsfreiheit nur für diejenigen zu lockern, die sich zumindest einem der beiden Programme unterwerfen. Als am 10. April der CSU-Digitalpolitiker Hansjörg Durz vorschlug, nach dem Lockdown Druck auf potenzielle App-Verweigerer auszuüben, haben die meisten diese Option als unrealistisch abgewunken. Tatsächlich schlug er vor, was Spahn zwei Wochen später mit seinem Immunitätsausweis probierte: „So könnten Grundrechte wie die Bewegungsfreiheit denen wieder gewährt werden, die die App installiert haben“, sagte der Vize-Vorsitzende des Digitalausschusses im Bundestag dem Handelsblatt. „Wer sich gegen die Nutzung der Corona-App entscheidet, müsste im Gegenzug größere Einschränkungen anderer Grundrechte in Kauf nehmen.“ Es ist keineswegs zynisch, das Vorhaben mit einer elektronischen Fußfessel zu vergleichen – Freigänger müssen sie tragen oder zurück in den geschlossenen Vollzug.
Die „freiwillige“ Corona-App und der „freiwillige“ Immunitätsnachweis sollen damit zu Unterscheidungs-Werkzeugen für individuelle soziale Teilhabe werden. Wer Bahn fahren oder fliegen will, bräuchte dann entweder die App- oder den Immunitätsnachweis. Der Staat „verordnet“ diese App nicht, er stellt sie lediglich zur Verfügung. Wirtschaftliche Akteure – in unserem Beispiel die Deutsche Bahn – würden ihre Dienstleistung nur denen anbieten, die in diese algorithmischen Filter einwilligen. Regierung und Dienstleister würden dabei ganz im Sinne einer übergeordneten Verantwortung für das Gemeinwohl handeln. Wer will da noch meckern – wo doch nun alles so „datensparsam“ dezentral gelöst ist. Der Applaus einiger verengt blickenden Datenschützer*innen ist ihnen leider gewiss.
Auf dieser Form von „Freiwilligkeit“ basieren viele der derzeit erprobten Social-Scoring-Modelle in China. Wer nicht mitmacht oder die erforderliche Eigenschaft nicht erfüllt, kann ohne Verbotsverfügung „freiwillig“ vom öffentlichen Leben ausgeschlossen werden: Die Corona-App und der Immunitätspass als Einübung individueller Einschluss- / Ausschluss-Mechanismen zukünftiger Soziale-Punkte-Systeme auch in Deutschland – ganz ohne Zwang auszuüben.
*Capulcu ist eine Gruppe von technologie-kritischen Aktivist*innen und Hacktivist*innen. Die ungekürzte Fassung dieses Artikel findet sich in der aktuellen Broschüre „DIVERGE!- Abweichendes vom rückschrittlichen Fortschritt“ auf capulcu.blackblogs.org