Contact-Tracing: Wir brauchen eine dezentrale, transparente Datenerfassung

Feministischer Zwischenruf

Nur wenige technische Debatten entpuppen sich als echtes Politikum, aber der Diskurs um Contact-Tracing-Apps hat es geschafft. Denn die Entscheidung, welche Softwarearchitektur für Contact-Tracing-Apps in Deutschland und Europa verwendet werden soll, ist auch eine Entscheidung über die Zukunft, in der wir uns post-COVID bewegen wollen.

Railway station from above with people

Diese Zukunft wird definitiv digitaler sein als sie vorher war, und wir als Gesellschaft müssen endlich digital mündiger werden als wir es bisher waren. Ein großes Problem der Digitalisierung in Deutschland (und anderen Ländern) ist bis heute die mangelnde Aufklärung und fehlende Kompetenz in vielen grundlegenden Themenbereichen und den daraus folgenden Problemstellungen. Mal sind es zu große Skepsis und Berührungsängste in Sachen Technologie, die der persönlichen Ermächtigung oder der Modernisierung ganzer Industrien im Weg steht. Mal ist es Naivität und Unwissenheit, die zu einem unbekümmerten Umgang mit Technologie führt und mögliche negative Folgen außer Acht lässt.

Wir müssen in der Lage sein Vor- und Nachteile gegeneinander abzuwägen. Doch auf dem Weg zum Pro und Contra verabschieden sich die allermeisten bereits. Das betrifft alle Altersgruppen und soziale Hintergründe, auch Politiker*innen und andere Entscheidungsträger*innen. Wer sich jedoch nicht auskennt, dem wird leicht etwas auf's Auge gedrückt oder von Lobbyist*innen untergejubelt.

Daten als Kerngeschäft im Überwachungskapitalismus

Auf diesem Weg beginnt der Neoliberalismus schon früh mit dem Ausverkauf unserer Privatsphäre und Daten als neuen Gütern. Gänzlich ungehindert monopolisiert sich die digitale Macht in einer Hand voll Großkonzerne und nimmt ungeahnte Ausmaße an. Gesetzgeber*innen sind selbst noch lange nicht im digitalen Zeitalter angekommen und versuchen meist erst im Nachhinein die Rechte von Bürger*innen zu schützen. Ein Beispiel dafür ist die DSGVO: Der Versuch der EU persönliche Daten in einem Wirtschaftssystem zu verteidigen, das Fachleute inzwischen Überwachungskapitalismus nennen. Ein System, welches das massenhafte Sammeln ebendieser Daten und den daraus erstellten Profilen und Mustern als Kern seiner Wertschöpfungskette betrachtet.

Gesundheit und Privatsphäre sind möglich

Daten sammeln und Muster erkennen? Das kennen wir gerade auch aus den aktuellen Berichterstattungen in der Corona-Pandemie. Mehr Daten bedeuten genauere Modelle, bessere Vorhersagen, besserer Schutz der Menschen. Mehr Daten bedeuten auch größerer Verlust von Privatsphäre für die Einzelnen und mehr Macht in den Händen derjenigen, die diese Daten besitzen oder verwalten. Auch hier müssen wir Vor- und Nachteile abwägen, und der Grat bei dieser Wanderung ist sehr schmal. 

Aber Technologie wird von Menschen gemacht und kann nach den Wünschen der Menschen gestaltet werden. Wir müssen nur entscheiden, was wir wollen. Wir können sagen, wir wollen beides, Daten für die Pandemiemodelle ohne Verlust von Privatsphäre. Schutz von Menschen ohne Macht vor falschen Händen.

In Bezug auf Softwarearchitektur ruft das sofort ein Konzept auf den Plan: Dezentralität. Ein Netz aus vielen Knotenpunkten, die sich miteinander austauschen können, ohne dass sich Daten bei einem zentralen Punkt ansammeln. In Sachen Contact-Tracing wurde früh nach einer dezentralen Lösung gefragt [1] und früh eine mögliche Lösung namens DP-3T [2] entworfen. Die grundlegende Idee ist, dass jedes Smartphone einen Knoten im Netzwerk darstellt und mit anderen Smartphones via Bluetooth direkt kommuniziert. Die Informationen bleiben nur auf den jeweiligen Geräten gespeichert. Erst im Falle eines COVID-Ausbruchs werden Informationen über einen Server geschickt, der dann die Kontakte benachrichtigt [3].

Das DP-3T Protokoll, also das Regelwerk dieses Vorschlags, löst auch andere Herausforderungen des Contact-Tracing auf Privatsphären-freundliche Art. Andere Konzepte bauen darauf auf und beschreiben Ansätze, wie sogar die Anonymität von Betroffenen vor Gesundheitsbehörden gewährleistet werden könnte [4].

Bekannt wurde die Arbeit am DP-3T Protokoll durch das zuständige EU-Konsortium PEPP-PT. Das PEPP-PT soll verschiedene Ansätze des COVID-Trackings überprüfen und Empfehlungen für die Implementationen geben, damit die verschiedenen Apps der EU-Staaten möglichst kompatibel sind. DP-3T ist ein vielversprechender, dezentraler Ansatz, den das PEPP-PT neben anderen zentralisierten und teils von anderen EU-Staaten bereits eingesetzten Apps vom PEPP-PT begutachtet. Die Bundesregierung kündigte bereits an, sich der Empfehlung des PEPP-PT anzuschließen.

Das Interesse der Techgiganten

Mit dem DP-3T-Protokoll wären die Anforderungen aller Stakeholder erfüllt. Aller Stakeholder? Nein, denn im Überwachungskapitalismus werden ohne Daten keine Profile generiert. Vermutlich wurden nicht wenige stutzig als Google und Apple ankündigten, sie wollen nicht nur mit Regierungen, sondern auch miteinander kooperieren, um den vom PEPP-PT empfohlenen Contact-Tracing-Standard umzusetzen [5.1, 5.2]. Die beiden Techgiganten teilen mit ihren Smartphonebetriebssystemen iOS und Android den Markt unter sich auf. Eine per Software-Update installierte App würde auf Millionen Geräten landen, ohne dass die Nutzer*innen die Möglichkeit hätten, sich ein- oder auszuloggen. Womöglich wäre das noch in Ordnung, da diese App ja datenschutzkonform ist, auf einem dezentralen Protokoll basiert und von der EU abgesegnet wurde. Oder nicht?

Nur einen Tag später schreibt einer der Köpfe hinter dem DP-3T Protokoll erzürnt auf Twitter, dass der dezentrale Ansatz des DP-3T von der Website der zuständigen EU-Konsortiums PEPP-PT gelöscht worden sei [6]. Es gab also Unstimmigkeiten zwischen dem Team hinter DP-3T und dem PEPP-PT [7.1, 7.2], die daraufhin mehr oder weniger öffentlich ausgetragen wurden.

Nachdem es einige Tage lang so aussah, als ob die Bundesregierung sich für die zentralisierte, bis dahin noch geschlossene, Lösung des PEPP-PT entscheidet, nehmen Kritik und der öffentliche Druck zu. Nach widersprüchlichen Verlautbarungen der Ministerien, lenkt die Regierung dann überraschend ein und entscheidet sich für DP-3T [8].

Fazit: Der dezentrale Ansatz setzt sich dank der Unterstützung der Zivilgesellschaft durch. Das ist ein Erfolg. Doch leider sind wir noch nicht am Ende der Aushandlung. Mit der Architektur wurde zwar eine wichtige, grundlegende Entscheidung zugunsten des Datenschutzes gefällt, doch bis zur fertigen App braucht es noch ein bisschen mehr. 

Vom Standard zur fertigen App

Angedacht sind verschiedene Apps, institutionelle sowie privatwirtschaftliche, die durch den beschlossenen Standard untereinander kompatibel sein werden. Jede App könnte aber dann wiederum selbst entscheiden, welche Daten sie zusätzlich, neben des privatsphäre-freundlichen Kommunikationsstandards, erfassen und speichern will. Die Möglichkeit, trotzdem Nutzer*innendaten zu sammeln, bleibt aber und zwar sowohl auf Ebene der App als auch für die darunter liegenden Betriebssysteme. 

Daher darf der öffentliche Druck nun nicht nachlassen. Rigoros muss eingefordert werden, dass alle Contact-Tracing-Apps und deren Infrastruktur quelloffen sein müssen und die Datenerhebung zweckmäßig sein muss. Nur so kann die Handhabung der sensitiven Daten transparent und nachvollziehbar gestaltet und zukünftiger Missbrauch verhindert werden.

Die Gefahr besteht weiterhin, dass wir, durch mangelndes technisches Verständnis und fehlende Digitalkompetenzen auf Seiten der Entscheidungstragenden einerseits, und einer großen Techlobby andererseits, trotzdem mit geschlossener Software und dem Ausverkauf unserer Daten enden. 

Wir stehen vor weiteren wichtigen Entscheidung und Entwicklungen unserer digitalen Zukunft: dezentrale Infrastrukturen, offene und transparente Technologien, Nutzer*innen-orientiert und vertrauensbildend – oder geschlossene, zentralisierte Systeme, irgendwo zwischen Überwachungsstaat und Überwachungskapitalismus.

 

Aktualisiert am 28.04.20.