Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung
Digitale Werkzeuge, wie Apps zur Kontaktnachverfolgung, können einen unterstützenden Beitrag zur Bewältigung einer Pandemie leisten. Um ihr Potential voll entfalten zu können, müssen solche Werkzeuge zielgerichtet in eine Gesamtstrategie eingebettet werden und das Vertrauen der Bevölkerung genießen. Wenn durch ihre Einführung auch neue Risiken für Bürger:innen und Gesellschaftsgruppen entstehen, muss ihr Nutzen gegen diese Risiken abgewogen werden.
Vor einem Jahr haben mehr als 600 internationale Wissenschaftler:innen in einem offenen Brief an ihre Regierungen appelliert, Technologien zur digitalen Kontaktverfolgung verantwortungsbewusst und zielgerichtet zu entwickeln und einzusetzen. Dabei wurde die Einhaltung grundlegender Entwicklungsprinzipien gefordert, die in Deutschland mit der Corona-Warn-App größtenteils vorbildlich umgesetzt wurden:
- Zweckbindung: Das einzige Ziel muss die Pandemiebekämpfung sein. Eine Verknüpfung mit anderen Geschäftsmodellen, Anwendungsmöglichkeiten und Profitinteressen muss ausgeschlossen, idealerweise technisch unmöglich sein.
- Offenheit und Transparenz: Fachleuten, IT-Sicherheits- und Datenschutzexpert:innen muss frühzeitig die Möglichkeit gegeben werden, sich konstruktiv am Entwicklungsprozess zu beteiligen oder diesen unabhängig zu begutachten.
- Freiwilligkeit: Die Nutzung bestimmter Werkzeuge zur digitalen Kontaktverfolgung muss freiwillig sein. Bürger:innen, die das Werkzeug nicht benutzen möchten, dürfen nicht von sozialen Aktivitäten, dem Zutritt zu öffentlichen Gebäuden, Geschäften, usw. ausgeschlossen werden.
- Risikoabwägung: Die Beurteilung des Nutzens und der Risiken einer solchen Lösung muss im Vorfeld unabhängig und öffentlich geprüft werden können. Dies gilt ganz besonders dann, wenn der Effekt der technischen Lösung in wesentlichem Umfang auf dem Vertrauen der Bürger:innen basiert.
Der aktuell viel diskutierte Ansatz, digitale Hilfsmittel zur Kontaktnachverfolgung in öffentlichen Räumen und für Veranstaltungen einzubeziehen, erscheint sinnvoll. Richtig eingesetzt könnten sie Infektionsketten schneller unterbrechen und die Gesundheitsämter entlasten.
Konkrete funktionale Anforderungen für solch eine digitale Kontaktnachverfolgung wurden durch die verantwortlichen Behörden bislang nicht transparent und klar kommuniziert. Doch nur so ist es möglich effektive Lösungen zu entwickeln, welche einen sinnvollen Beitrag zur Eindämmung der Pandemie leisten können und dabei personenbezogene Daten nur in einem Umfang erheben, der auf das dafür notwendige Maß beschränkt ist.
LUCA
Das bereits in vielen Bundesländern eingesetzte LUCA-System erfüllt keine dieser Prinzipien. Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf LUCA diskutiert [1]. Damit entsteht eine Abhängigkeit von einem einzelnen Privatunternehmen mit Gewinnerzielungsabsicht als Betreiber des Systems. Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden. Wird die App Voraussetzung, um am öffentlichen Leben teilnehmen zu können oder gar von Corona-Schutzverordnungen vorgegeben [2], ist die Freiwilligkeit nicht gegeben, da ein de facto Nutzungszwang entsteht.
Der Nutzen des LUCA-Systems bleibt zweifelhaft, da sich die aktuelle Umsetzung im Wesentlichen auf die Automatisierung der manuellen Erfassung von Papierlisten beschränkt, die Auswertung jedoch weiter manuell durch die Gesundheitsämter erfolgt. Da mit LUCA falsche oder gar manipulierte Anmeldungen und Check-Ins leicht und in großer Zahl erzeugt werden können, entsteht zudem die Gefahr, dass die Belastung der Gesundheitsämter bei abnehmender Datenqualität zunimmt [3].
Gleichzeitig erfasst das LUCA-System in großem Umfang Bewegungs- und Kontaktdaten: wer war wo, mit welchen Personen am selben Ort, und wie lange. Die Daten werden zentralisiert und auf Vorrat bei einem Privatunternehmen gesammelt und gespeichert. Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer:innen allein aufgrund der anfallenden Metadaten erstellen lassen. Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotential und das Risiko von gravierenden Datenleaks [4].
Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele. Selbst große Unternehmen sind nicht in der Lage, solche Systeme vollständig zu sichern. Es ist nicht zu erwarten, dass dies einem Start-Up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendem Verständnis von fundamentalen Sicherheitsprinzipien [5] aufgefallen ist, besser gelingen sollte.
Fazit
Für den Erfolg von digitalen Hilfsmitteln zur Kontaktverfolgung ist eine breite Unterstützung der Bevölkerung essentiell. Das gilt insbesondere, wenn diese tief in die Privatsphäre der Bürger:innen eingreifen und in umfassender Weise vertrauliche Daten erheben. Das hierfür notwendige Vertrauen kann nur durch Transparenz und Privacy-by-Design, zum Beispiel durch echte Dezentralisierung, geschaffen werden. Sicherheit und Datenschutz sind elementare Voraussetzungen für die Akzeptanz und damit den erhofften Nutzen eines solchen Systems.
Es gibt bereits Systeme, die in diesem Sinne die Risiken für Bürger:innen auf ein Minimum reduzieren und dabei eine schnellere Benachrichtigung garantieren. Dies sind dezentrale Lösungen, wie sie in der Corona-Warn-App, NotifyMe (Schweiz), NHS COVID-19 (Großbritannien) und NZ COVID Tracer (Neuseeland) umgesetzt und bereits genutzt werden. Die mit dem LUCA System verbundenen Risiken erscheinen völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.
Wir empfehlen eindringlich die Rückbesinnung auf die oben genannten Prinzipien und deren Anwendung bei der Entwicklung digitaler Werkzeuge zur Kontaktnachverfolgung. Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt.
Falls es konkrete Anforderungen gibt, die von bestehenden dezentralen Systemen noch nicht erreicht werden, dann müssen diese klar formuliert werden, so dass zielgerichtet entsprechende Erweiterungen entwickelt werden können. Auch in einem dezentralen und datensparsamen System können notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.
ZUR STELLUNGNAHME UND DER LISTE DER UNTERZEICHNENDEN
Referenzen
[1] Bereits am 25. März 2021 gaben Ticket i/O und die Entwickler des LUCA-Systems ihre Zusammenarbeit bekannt. Bisher geht es dabei um die Verifizierung von Schnelltests. Interne Dokumente weisen jedoch auf eine Ausweitung der Kooperation hin.
[2] Aus der Coronaverordnung des Landes Mecklenburg-Vorpommern: "Die verpflichtende Dokumentation zur Kontaktnachverfolgung soll in elektronischer Form landeseinheitlich mittels LUCA-App erfolgen".
[3] Dass ein Check-In von beliebigen Orten aus möglich ist, wurde bereits in der Praxis demonstriert.
[4] Eine ausführliche Analyse der Risiken des LUCA-Systems wurde bereits am 23. März 2021 als Preprint veröffentlicht. Darauf wurde auch in einer Stellungnahme des BfDI hingewiesen.
[5] Eine umfassende Übersicht über die festgestellten Mängel im grundsätzlichen Systementwurf sowie bei der Umsetzung gibt eine Stellungnahme des CCC.