Die größten Risiken, die mit Kontaktnachverfolgungs-Apps (Contact Tracing) verbunden sind, ergeben sich aus dem potenziellen Missbrauch der von ihnen gesammelten Daten. Im Vergleich zu vielen anderen Anwendungen sammelt eine App zur Kontaktnachverfolgung gezwungenermaßen vertrauliche und detaillierte Informationen über Kontakte und Beziehungen zwischen einzelnen Nutzern. Dazu kommt, dass um effektiv zu sein, eine solche App von möglichst vielen Bürgern freiwillig installiert und aktiv benutzt werden muss. Daher hat eine solche App das Potenzial, erheblich mehr Informationen über Kontakte von Personen zu sammeln als jedes andere derzeit von Behörden verwendete System! Es ist daher wichtig, dass die Implementierung eines solchen Systems so gestaltet wird, dass eine effektive Kontaktnachverfolgung zwar ermöglicht wird, aber dabei die Privatheit der Nutzer so weit wie möglich gewahrt bleibt.
Zentralisierte Tracing-Modelle wie z.B. die in Singapur verwendete TraceTogether-Lösung oder die in Australien verwendete CovidSafe-Anwendung sowie das in Deutschland entwickelte PEPP-PT-Modell bieten diesbezüglich keinen angemessenen Schutz der Privatsphäre für ihre Nutzer.
Diese Systeme basieren auf einem Ansatz, bei dem ein zentrales Back-End-System jeder Benutzeranwendung eine eindeutige Kennung (ein Pseudonym) zuweist, aus der häufig wechselnde pseudonyme Kennnummern (Proximity-IDs) abgeleitet und über Bluetooth an andere Geräte in der Nähe übermittelt werden. Die Schwäche dieses Ansatzes besteht darin, dass das Backend-System alle Proximity-IDs aller Nutzer mit dem eindeutigen Pseudonym eines jeden Nutzers verknüpfen kann. Dies ermöglicht wiederum eine umfassende Überwachung aller Nutzer des Systems.
Durch das Aufzeichnen von Proximity-IDs, die von Bluetooth-Sensoren an mehreren strategisch platzierten Beobachtungspunkten in einem bestimmten Gebiet (z.B. in einer bestimmten Stadt) beobachtet werden, ist es im Prinzip möglich, die Bewegungen einzelner Nutzer zwischen diesen Beobachtungspunkten zu verfolgen und so eventuell sehr detaillierte Bewegungsprofile einzelner Personen zu erfassen.
Obwohl das System die wahren Identitäten einzelner Nutzer nicht explizit erfasst oder aufzeichnet, ermöglichen jedoch solche Bewegungsprofile, einen Großteil der Nutzer mit hoher Wahrscheinlichkeit zu identifizieren. Dies liegt daran, dass Bewegungsprofile von Person zu Person sehr einzigartig sind. Wenn man beispielsweise lediglich die Standorte des Zuhauses einer Person (Hauptaufenthaltsort während der Nacht) und des Arbeitsplatzes (Hauptaufenthaltsort tagsüber) kennt, kann man einen Großteil aller Personen eindeutig identifizieren. Auch andere Möglichkeiten zur De-Anonymisierung gibt es: beispielsweise ist es denkbar, dass man einen Bluetooth-Sensor in die Nähe einer Kamera mit der Fähigkeit zur Gesichtserkennung platziert und dadurch ermöglicht, über Bluetooth die Proximity-ID und damit das personenspezifische Pseudonym einer erkennbaren Person zuzuordnen. Somit würde die betroffene Person vollständig de-anonymisiert.
Aus den oben genannten Gründen sollten Kontaktnachverfolgungs-Apps auf ein dezentrales Kontaktnachverfolgungsmodell aufbauen. In solchen Modellen bekommt das Backend-System keine Informationen über die kurzlebigen Pseudonyme der Nutzer und kann diese daher auch nicht einzelnen identifizierbaren Personen zuordnen. Folglich hat wegen der grundsätzlichen Probleme, die mit dem zentralisierten Modell verbunden sind, die Bundesregierung vor einiger Zeit beschlossen, den von ihr ursprünglich unterstützten Ansatz des PEPP-PT-Konsortiums aufzugeben, und anstatt klar festgelegt, dass die deutsche Coronavirus-Tracing App auf einem dezentralen Ansatz zur Kontaktnachverfolgung aufbauen soll.
1 comment