Corona-App: Netzexpertin Riedel: Es darf bei Corona-App keinen "Man in the Middle" geben

Haben bald auch Länder wie Ungarn oder Polen Zugriff auf sensible Gesundheitsdaten aus Deutschland? Davor warnt Ann Cathrin Riedel, Vorsitzende von LOAD ev Verein für liberale Netzpolitik. Bei der Entwicklung einer Corona-Warn-App dürfe es keinen "Man in the Middle" geben, also keinen zentralen Server, auf dem sensible Daten gespeichert werden. Das favorisiere der Pepp-PT-Ansatz. Den lässt die Regierung aktuell vom Fraunhofer-Institut auf Machbarkeit prüfen.

Frau Riedel, wie bewerten Sie den Ansatz, die Corona-Warn-App möglicherweise auf Basis der Pepp-PT-Technologie zu entwickeln?

Ann Cathrin Riedel: Da wir eigentlich eine einheitliche Lösung für ganz Europa, wenn nicht sogar für die Welt brauchen, fände ich das keine gute Entscheidung. In der Europäischen Union sind Länder wie Polen oder Ungarn, die es mit der Rechtsstaatlichkeit und der liberalen Demokratie nicht so wichtig nehmen. Daher wäre ein dezentraler Ansatz deutlich besser, bei dem wir keinen so genannten „Man in the middle“ haben – also einen Server, auf dem der Datenabgleich zwischen privaten Smartphones passiert. Bei der dezentralen Lösung erfolgt der Austausch nur auf den jeweiligen Smartphones der Nutzerinnen und Nutzer, die sich länger als 15 Minuten näher als zwei Meter nahe waren. Und das ist im Hinblick auf Europa oder die Welt deutlich vorzuziehen.

Sie haben Sorge, dass Länder wie Polen und Ungarn an die Daten der Deutschen kämen und diese für ihre Zwecke nutzen könnten?

Riedel: Jein. Es ist wichtig zu wissen, dass auch bei einer zentralen Lösung nicht irgendwelche Daten einfach so gesammelt werden. Auch dort werden die Daten anonymisiert. Es kann in der Regel eigentlich keine Rückverfolgung stattfinden. Dennoch ist die Gefahr, dass man irgendwelche Ableitungen macht, bei einer zentralen Lösung deutlich größer. Dieses Risiko möchte ich ausschließen können – gerade im Hinblick auf Länder wie Ungarn oder Polen.

Wieso hat die Bundesregierung denn dann den zentralen Ansatz im Blick?

Riedel: Da gibt es mehrere Spekulationen. Chris Boos ist einer der Mitinitiatoren von Pepp-PT und gleichzeitig Mitglied im Digitalrat der Bundesregierung. Ich weiß nicht, was es da für Absprachen gibt. Es ist auch schwierig zu spekulieren. Es sind natürlich auch Institutionen wie das Fraunhofer-Institut involviert – eine vom Bund besonders geförderte Einrichtung mit gutem Ruf. Zudem hört man von Jens Spahn, was er mit einer zentralen Lösung alles ablesen möchte. Auch wenn es anonym ist, kann ich schon sehen, wie viele Matches ich hatte. Ich finde das keinen verwerflichen Wunsch. Aber das hätte von Beginn an kommuniziert werden müssen. Plötzlich, gegen Ende einer Debatte, zu sagen: Ach ja, das möchte ich auch noch als Feature haben, das ist problematisch. Da kommen wir dann irgendwann in eine Richtung Überwachung, die abzulehnen ist.

Linken-Bundestagsabgeordnete und Netzaktivistin Anke Domscheit-Berg hat diese Woche im Gespräch mit unserer Redaktion kritisiert, dass die Befürworter des Pepp-PT-Ansatzes den Quellcode nicht vorher veröffentlichen. Sie sprach sich dafür aus, dass unabhängige Experten vor Inbetriebnahme der App nachschauen können, wie unbedenklich die Anwendung tatsächlich ist. Teilen Sie die Kritik?

Riedel: Auf jeden Fall. Die Pepp-PT-Gruppe hat Transparenz versprochen und daran hat es bislang doch erheblich gehapert. Das hat mein Vertrauen sehr erschüttert. Auch das ist ein Grund, wegen dem ich eher zu der dezentralen Lösung tendiere. Interessanterweise ist der dezentrale Ansatz auch jener, den Google und Apple unterstützen. Die müssen wir dringend ins Boot holen, weil die die Betriebssysteme für nahezu alle Smartphones der Welt zur Verfügung stellen und es da gewisse Schnittstellen braucht, um eine technisch optimale Lösung zu finden.

Andere Experten sehen das Engagement von Google und Apple kritisch. Sie fürchten, dass die jetzige Entwicklungsallianz staatlicher Überwachung Tür und Tor öffnet…

Riedel: Apple und Google haben beide gesagt, dass sie nur zertifizierten Institutionen aus dem Gesundheitsbereich Zugang zu dieser Schnittstelle geben möchten. Auch da muss man natürlich schauen: Wie können wir das sichern, welche Kriterien legen diese Institutionen an? Das bedarf erheblicher Kontrolle. Da sind die Regierung, insbesondere aber auch die Zivilgesellschaft gefragt. Das ist übrigens nicht nur auf die jetzige Entwicklung der Corona-Warn-App beschränkt. Wir müssen grundsätzlich viel mehr prüfen, was diese großen Konzerne mit unseren Daten machen, die sie in so wahnsinnig großem Ausmaß sammeln. Google und Apple muss man zugute halten: Sie wollen technisch ausschließen, Rückschlüsse auf Corona-Infizierte zu bekommen.

Solche Themen würde doch auch Bundesdatenschutzbeauftragter Ulrich Kelber ansprechen, oder? Er ist ja eng eingebunden in die Entwicklung der Corona-Warn-App…

Riedel: Ja – und ich finde es wirklich gut, dass er sich so aktiv und auch kritisch zu Wort meldet. Aber er sagt ja selber: Er ist keine Institution, die Zertifikate oder Ähnliches ausstellen kann. Deshalb bin ich mir mittlerweile wirklich unschlüssig, wie die Akzeptanz dieser App wird. Ich hoffe, sie wird gut. Denn prinzipiell begrüße ich solch eine App. Ich erwarte aber auch von der Bundesregierung, dass sie die App in ein Gesamtkonzept einbettet. Menschen müssen wissen, was passiert, wenn sie eine Meldung bekommen, dass sie möglicherweise infiziert sind. Es muss da Prozess geben, es braucht deutlich mehr Personal in den Gesundheitsämtern. Das Wichtige ist: Diese App wird uns nicht schützen vor Corona. Diese App kann retrospektiv anzeigen, wer sich wann bei einer Person infiziert haben könnte. Nicht mehr und nicht weniger.

Wir wollen wissen, was Sie denken: Die Augsburger Allgemeine arbeitet daher mit dem Meinungsforschungsinstitut Civey zusammen. Was es mit den repräsentativen Umfragen auf sich hat und warum Sie sich registrieren sollten, lesen Sie hier.