Corona-Apps: "Niemand braucht eine personenbezogene Kontaktdatenerfassung"

Die Entwickler der Apps Luca und Recover sind sich einig, dass eine anonyme Clusterverfolgung zum Eindämmen von Infektionsherden wichtiger ist als Gästelisten.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 300 Beiträge
Luca-App Homepage

(Bild: Luca-App)

Von
  • Stefan Krempl

Die Corona-Schutzverordnungen der Länder sollten beim Besuch von Restaurants und Kultureinrichtungen sowie Events nicht länger eine Vorratsspeicherung personenbezogener Daten vorschreiben. Wichtiger sei es, Zusammenkünfte mit Ansteckungen mit Sars-Cov-2 auszumachen und die vor Ort Versammelten rasch anonym zu warnen, erklärten Datenschützer und Entwickler von Apps zum digitalen Kontaktnachverfolgen am Montag bei einer Online-Debatte der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID).

"Niemand braucht eine personenbezogene Kontaktdatenerfassung", betonte Jan Kus, Entwickler der App Recover, mit der sich die rechtlich derzeit noch geforderten Kontaktdatenlisten digital verwalten lassen. "Wir wollen keine Kontaktdaten erfassen", fügte er hinzu. Die Anwendung sei allein entstanden, "um Gastronomen Hilfe anzubieten". Sollte es nicht mehr erforderlich sein, Namen und E-Mail-Adressen oder Telefonnummern von Gästen zu erheben, wandere Recover "in die Tonne".

Ziel müsste es laut Kus schon jetzt sein, anonyme Apps zum Kontakt-Tracing einzusetzen etwa auf Basis der dezentralen Lösung CrowdNotifier zum Erkennen von Infektionsherden alias Clustern. Eine entsprechende Anwendung ist mit NotifyMe bereits seit Kurzem am Start.

"Umso weniger Daten es gibt, umso besser", ging Patrick Hennig, Gründer des hinter Luca stehenden Startups Nexenio, mit Kus prinzipiell konform. Feldcluster und "Superspreading-Events" zu finden, lasse sich mit einer Besuchshistorie "theoretisch komplett anonym machen". Auch die Initiatoren der Luca-App und des dahinterstehenden Systems wären froh, wenn gar keine persönlichen Daten erfasst werden müssten: "Wir könnten die Kontaktdaten von heute auf morgen raus lassen." Dies müsse aber die Politik entscheiden.

Im Gespräch: Karsten Neumann, Marian Magraf, Patrick Hennig ("Luca"), Jan Kus ("recover"), Moderator Dennis-Kenji Kipker, Johannes Caspar und Marit Hansen.

(Bild: Screenshot, EAID-Debatte)

Derzeit drängten die Gesundheitsämter auf eine personifizierte Nachverfolgung. Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen fände es ebenfalls besser, das Virus weitgehend anonym zu bekämpfen und die Verordnungen datensparsamer zu machen. Sie hoffe hier auf Gehör bei der Politik, die bei Corona-Anwendungen derzeit aber eher auf weniger Datenschutz schiele.

Der EAID-Vorsitzende und Ex-Bundesdatenschutzbeauftragte ergänzte, dass personenbezogene Informationen in diesem Bereich nur dort erhoben werden sollten, "wo es unbedingt erforderlich ist". Auf Basis der bestehenden rechtlichen Vorgaben debattieren Bund und Länder weiter über die Frage, ob das digitale Kontakt-Tracing über eine App wie Luca erfolgen soll oder über eine einheitliche Schnittstelle, an die verschiedene Anwendungen angedockt werden könnten. Dafür brauche es auf jeden Fall eine Ergänzung für die Corona-Warn-App (CWA) der Bundesregierung, meinte Luca-App Gründer Hennig. Die CWA ermittele anonym im Hintergrund Risikobegegnungen. Diese Funktion sollte nicht mit einer Weitergabe persönlicher Informationen vermischt werden.

Luca bewarb Hennig als datensparsame Lösung. Der Nutzer könne seine Besuchshistorie für einen speziellen Zeitraum hier mit einer TAN gegenüber dem Gesundheitsamt freigeben. Nur dieses könne die Daten mit seinem Schlüssel abrufen, die Polizei allenfalls mit dessen Hilfe.

Die Behörde sei dabei imstande, mithilfe von Metadaten genau einzugrenzen, welche Teilinformationen sie abrufen wolle, um spezifische Infektionsketten zu ermitteln. Es finde kein automatischer Datentransfer statt, da der Großteil der Kontaktinformationen dabei irrelevant wäre. Das entsprechende Kryptokonzept werde Nexenio in Bälde veröffentlichten, kündigte Hennig an.

Die Firma sei auch dabei, eine "Muster-Datenschutzfolgenabschätzung zur Verfügung zu stellen". Eigentlich wäre es nötig gewesen, eine solche Evaluation vor einem breitflächigen Einsatz des Systems vorzulegen, wie dieser aktuell etwa in Schleswig-Holstein bereits erfolgen soll. Mitte April solle die Folgenabschätzung nun kommen, versicherte der Berliner Informatikprofessor Marian Margraf, der ebenfalls bei Luca mitwirkt.

Grundzüge des komplexen Kryptokonzepts legte Margraf dar. Demnach werden die Kontaktdaten zunächst mit dem Schlüssel des Gesundheitsamts verschlüsselt und daraus eine Kennung zum Nachverfolgen (traceID) generiert. Der Betreiber etwa eines Restaurants überschlüssele diese zusätzlich mit einem eigenen Schlüssel, um zu verhindern, dass einfach erkennbar sei, wer sich über das System angemeldet habe. Nach 30 Tagen werden sämtliche Spuren gelöscht. Beim Endnutzer würden die Daten per QR-Code im Smartphone oder einem Schlüsselanhänger generiert und als "dataSecret" mit dem Verfahren ECIES verschlüsselt, authentisiert sowie im Luca-System gespeichert.

Erklärung des Luca-Systems

(Bild: Screenshot, EAID-Debatte)

Auf Seite der Behörden komme jeweils ein Tagesschlüssel zum Einsatz, den das Gesundheitsamt generiere, welches "als erstes das Büro aufmacht". Luca frage dann letztlich den Betreiber mit seiner "venueID" an, der die verschlüsselten Kontaktdaten an die berechtigte Behörde schicke. Dabei werde immer mit mindestens 128 Bit verschlüsselt, konkret etwa mit AES-128 Ctr und HMAC-Sha256.

Das von ihr geleitete Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) könne für eine solche Lösung "nicht schnell eine Unbedenklichkeitserklärung abgeben", dämpfte Hansen die Erwartungen an die Aufsicht. Sie sei sich nicht sicher, ob alle mit der Software, den Zugriffsrechten vor Ort und der Verschlüsselung "gut umgehen". Bei Gesundheitsämtern sei immer wieder etwa zu sehen, "dass Barcodes mehrfach verwendet werden".

Kus warnte davor, nur auf Luca zu setzen und so den Wettbewerb und Innovationen auszubremsen. Die Allianz Wir für Digitalisierung, die fast 50 Kontaktdaten-Erfassungssysteme vertrete, arbeite an einer einfach bedienbaren, in Köln getesteten "Datendrehscheibe", über die dezentral gespeicherte Kontaktdaten einzelner Lokalitäten auf Anfrage eines Gesundheitsamts "durchgeroutet" würden. Im Moment stelle man hier das Frontend, über das csv-Dateien aus Excel verschickt würden. Eine gängige Public-Key-Verschlüsselung sei dabei einfach implementierbar. Sollte das Nachverfolgungssystem Sormas bei mehr Gesundheitsämtern Anklang finden, könnten die Informationen – wie bei Luca – direkt integriert werden.

Der Hamburgische Datenschutzbeauftragte Johannes Caspar mahnte die Politik, zu entscheiden, ob eine anonyme Clustererkennung oder ein personenbezogenes Kontakt-Tracing gewollt sei. Der Gesetzgeber müsse darauf basierend festschreiben, welche technisch-organisatorischen Mindeststandards zu beachten seien, wie die Einwilligung durch beide Seiten erfolgen solle und wie mit parallelen Anbietern kooperiert werden könne. Da es um ein deutschlandweites System gehe, "wer wann wo zum Essen oder Einkaufen gegangen ist", sei laut Caspar zudem ein Zweckänderungsverbot unerlässlich. Sonst dürften die Begehrlichkeiten bei der Polizei nicht zu bremsen sein.

Nötig sei ein spezielles Gesetz, da die Datenschutz-Grundverordnung (DSGVO) zu breit angelegt sei. Die Datenschutzkonferenz von Bund und Ländern habe eine Arbeitsgruppe mit Abgesandten auch aus Berlin, Nordrhein-Westfalen, Rheinland-Pfalz und Mecklenburg-Vorpommern eingerichtet, die über einen Kriterienkatalog Grundsätze für digitale Dienste zum Nachverfolgen aufstellen und sich auch das Luca-Verfahren anschauen werde.

(kbe)