Kontakt-Tracing vs. Corona: Aderlass beim Pilotprojekt PEPP-PT geht weiter
Nach Schweizer Forschungseinrichtungen haben sich jetzt auch ein Helmholtz-Institut und weitere Wissenschaftszentren vom PEPP-PT-Konsortium zurückgezogen.
(Bild: creativeneko/carballo/Shutterstock.com)
Um die verbliebenen Hauptakteure beim geplanten europäischen Vorzeigeprojekt PEPP-PT als Blaupause für eine App zum Nachverfolgen von Corona-Infektionsketten lichten sich die Reihen weiter. Das Pan-European Privacy-Preserving Proximity Tracing wird maßgeblich von Hans-Christian Boos von der KI-Firma Arago und Thomas Wiegand vom Heinrich-Hertz-Institut der Fraunhofer-Gesellschaft vorangetrieben. Übers Wochenende kündigten nun unter anderem das Helmholtz-Institut für Informationssicherheit (CISPA), die Turiner Forschungsstiftung ISI (Istituto per l'Interscambio Scientifico) und die Katholische Universität Leuven an, die Initiative nicht mehr zu unterstützen.
Öffentliche Debatte angeleiert – und verloren?
Die Absetzbewegungen eingeleitet hatten am Freitag PEPP-PT-Mitgründer Marcel Salathé, Professor an der Eidgenössischen Technischen Hochschule Lausanne (EPFL), sowie die ETH Zürich. Sie setzten auf das offene Protokoll DP3T (Decentralized Privacy-Preserving Proximity Tracing), das anfangs unter dem Dach von PEPP-PT verankert werden sollte, inzwischen auf der Projektwebseite aber nicht mehr erwähnt wird.
Am Samstag twitterte der Informatik-Professor Cas Cremers dann, dass sich CISPA ebenfalls zurückgezogen habe. Man werde aber weiter an DP3T und damit an einem Rahmenwerk mit "Privacy by Design" arbeiten. Ciro Cattuto vom ISI erklärte am Sonntag auf Twitter, PEPP-PT habe zwar die öffentliche Debatte über Contact-Tracing maßgeblich geprägt. Unklarheiten rund um die Steuerung und die Kommunikation hätten aber Bedenken hervorgebracht. In der laufenden Gesundheitskrise seien "höchste Standards für Offenheit und Transparenz" entscheidend.
Insgesamt hat sich die Zahl der Mitglieder des Konsortiums, die auf dessen Webseite gelistet sind, bereits deutlich verringert. Früher war von 130 Institutionen und Individuen die Rede, was sich nun nur noch schwer nachvollziehen lässt. Der französische Kryptologe Nadim Kobeissi warf am Freitag sogar die Frage auf, ob es sich bei PEPP-PT um einen Betrugsversuch handle. Das Vorhaben sei offenbar hauptsächlich ein Baby von Boos, der als Mitglied des Digitalrats der Bundesregierung sein Fähnlein oft um aktuelle technische "Buzzwords" in den Wind hänge.
Zentral oder dezentral
Im Zentrum des Richtungsstreits steht die Frage, ob ein zentrales oder dezentrales Architekturkonzept bei PEPP-PT gefahren werden soll. Die eine Seite plädiert dafür, die anonymisierten, über Bluetooth ausgetauschten Kennungen einzelner App-Nutzer auf einem Server, also zentral zu speichern. Diesen könnte dann der Staat oder ein Datentreuhänder betreiben. Die andere Seite will, dass alle IDs von Kontaktpersonen völlig dezentral zwischen den jeweiligen Smartphones ausgetauscht und verwaltet werden.
PEPP-PT werde weiterhin beide Ansätze unterstützen, versicherte Boos wiederholt in den vergangenen Tagen. Dabei nur DP3T zu erwähnen, verstoße aber gegen das "Neutralitätsgebot". Ein weiterer dezentraler Lösungsvorschlag kommt vom Partner TU München mit dem Konzept Digital Contact Tracing Service (DCTS). Zugleich ließ Boos in einem Interview aber durchblicken: "Für Deutschland stelle ich mir eine Server-Lösung vor."
Inzwischen haben die PEPP-PT-Macher, auf deren Erfolg hierzulande der Bund und die Länder setzen, zumindest eine Dokumentation ihrer Pläne auf Github veröffentlicht und damit auf die zunehmende Kritik an Intransparenz reagiert. Enthalten sind auch Hinweise zum Datenschutz und zur IT-Sicherheit der geplanten Architektur "am Beispiel der deutschen Implementierung". Diese orientiert sich demnach sehr eng am französischen Modell Robert ("Robust and privacy-preserving proximity tracing protocol") des Institut national de recherche en informatique et en automatique (Inria).
Zentral aber anonym
Das deutsche und das französische Vorhaben verfolgen demnach einen zentralen Speicheransatz. Dabei kommt es laut den einschlägigen Dokumentationen darauf an, dass die dahinter stehende Institution nicht imstande ist, Informationen über die Identitäten und Aufenthaltsorte der freiwilligen Teilnehmer zu erhalten, um die Anonymität zu gewährleisten. Zugleich ist die Rede davon, dass es sich dabei um eine "ehrliche", wenn auch "neugierige" Instanz handeln müsse, die von sich aus auf Überwachungsmethoden und "Spionagegeräte" verzichte.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Der Krypto-Experte Kobeissi spricht von einem "in sich widersprüchlichen Design". Dabei hänge so viel von dem Vertrauen ab, das die Nutzer in die Institution im Zentrum legen müssten, dass von einer "starken oder zumindest ernsthaften und realistischen Herangehensweise an die Privatsphäre" der Teilnehmer wohl kaum eine Rede mehr sein könne.
Nicht ganz so skeptisch beäugt Ulf Buermeyer, Vorsitzender der Gesellschaft der Freiheitsrechte (GFF), die zwei Alternativen. "Beide Modelle haben sowohl aus technischer Sicht als auch aus Sicht des Datenschutzes Vor- und Nachteile", erläutert er in der aktuellen Ausgabe seines Podcasts zur "Lage der Nation". Dass an einem zentralen Ort Daten abgegriffen werden könnten, höre sich zwar zunächst beunruhigend an. Wenn alle Geräte ständig miteinander kommunizieren müssten, würden dabei aber ständig IDs etwa über potenziell Infizierte ausgetauscht, was ebenfalls eine Datenschutzlücke darstellen könnte.
"Sturm im Wasserglas"
"Ob der zentrale oder dezentrale Ansatz gewählt wird, ist nicht so wichtig", betonte Paul Lukowicz, Wissenschaftlicher Direktor für Embedded Intelligence am Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI), gegenüber dem Tagesspiegel. "Das ist eher ein philosophischer Streit wie die Frage nach Linux oder Windows." Er hoffe, es handle sich um einen Sturm im Wasserglas, der sich bald lege. Letztlich sei die Debatte kontraproduktiv. Andere offene Punkte wie die Garantie, dass Apps und Geräte wirklich miteinander kommunizieren könnten, hält Lukowicz für maßgeblicher.
Bei der "kopflosen Diskussion um die Corona-App des Bundes" würden jeden Tag andere Umsetzungsmodalitäten ins Spiel gebracht, beklagt der grüne Fraktionsvize Konstantin von Notz. So gehe "viel Zeit verloren". Die Bundesregierung müsse daher "endlich klare und verbindliche Ansagen machen, damit die Menschen sich darauf verlassen können, dass diese App höchsten Datenschutz- und IT-Sicherheitsstandards entspricht". Die Grünen setzten sich weiter für die Anonymisierung und den Verbleib der Daten bei den Usern sowie eine gesetzliche Regel ein, die Nachteile für Nicht-Nutzer "und einen Zugriff auf die Daten durch Dritte ausschließt".
Der SPD-Digitalexperte Jens Zimmermann warnte vor einem Scheitern von PEPP-PT. Eine Corona-App könne nur erfolgreich sein, wenn sie das Vertrauen der Bürger gewinne. Mit dem Streit "wird das definitiv nix", argwöhnte der Parlamentarier. Bundesgesundheitsminister Jens Spahn (CDU) geht mittlerweile davon aus, dass die für April geplante Lösung erst im Laufe des Mais bereitsteht. Diese müsse gerade beim Datenschutz "möglichst perfekt sein, bevor wir starten". (mho)
