Sehr geehrter Herr Bundesminister Spahn, sehr geehrter Herr Kanzleramtsminister Braun,
wie Medienberichten zu entnehmen ist, plant das Bundesgesundheitsministerium nun mit einer Corona-Tracing-App auf Basis des Softwaregerüsts der Initiative PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) mit zentralem Matching. Diese Entscheidung stößt bei uns zwischenzeitlich auf großes Unverständnis, da gerade dies der problematischste unter den vorliegenden Entwürfen ist. Nachdem PEPP-PT nicht in der Lage war, schnell eine halbwegs funktionierende und datenschutzfreundliche Lösung zu liefern, sollte nun den technisch ausgereiften und datenschutzrechtlich gebotenen Ansätzen unbedingt der Vorzug gegeben werden. In der derzeitigen politischen Diskussion werden Erwartungen für eine Corona-Tracing- App geschürt, die möglicherweise nicht eingehalten werden können. Inwiefern sie die Pandemie-Bekämpfung unterstützen kann, wird erst in Monaten zu beurteilen sein. Wir bitten aus diesen Gründen darum, eine Neubewertung der verschiedenen Optionen zu vollziehen und dabei die Argumente und Vorbehalte vieler Expertinnen und Experten stärker zu berücksichtigen sowie ausschließlich auf Lösungen zu setzen, die – im Gegensatz zu dem vorliegenden Vorschlag – technisch von den Betriebssystem- Anbietern auch umsetzbar sind.
Eine Corona-Tracing-App sollte, wenn überhaupt, nur auf Basis eines dezentralen Ansatzes – wie beispielsweise das Konzept DP- 3T (Decentralized Privacy Preserving Proximity Tracing) – aufgebaut und programmiert werden. Andernfalls steht zu befürchten, dass der geringe Datenschutz eines zentralen Ansatzes und das Fehlen technischer Beschränkungen gegen Zweckentfremdung dazu führen wird, das Vertrauen in die Verwendung einer solchen App auszuhöhlen und damit die Akzeptanz für spätere digitale Lösungen leichtfertig zu unterminieren.
In der Tat können digitale Lösungen in vielen Fällen maßgeblich dabei helfen, Probleme zu identifizieren und zu lösen – auch bei der Bekämpfung der Pandemie haben digitale Lösungen durchaus ihren Platz. Das haben zivilgesellschaftliche Projekte wie der #WirVsVirus-Hackathon gezeigt. Doch die am Mittwoch veröffentlichten Pläne des Bundesgesundheitsministeriums sind nur eine scheinbar sinnvolle Verwendung digitaler Lösungen im Kampf gegen die Ausbreitung des Corona-Virus. In Wahrheit sind sie für unsere freiheitlich-demokratische Gesellschaft hochproblematisch und ignorieren die Fachdebatte.
Rund 300 internationale Wissenschaftlerinnen und Wissenschaftler haben diese Woche einen offenen Brief unterzeichnet, in dem sie das Datenschutzkonzept von PEPP-PT aufgrund des zentralen Datenspeicherungsansatzes deutlich kritisieren und davon abraten. Zwar wird die zentrale Speicherung unter Datenschutzaspekten damit verteidigt, dass die Daten pseudonymisiert werden. Eine Zurückverfolgung und De-Anonymisierung etwa von infizierten Personen ist bei der Datenerhebung jedoch mit deutlich geringerem Aufwand als bei einem dezentralen Ansatz möglich, wenn die versendeten IDs auf Personen zurückführbar sind. Jedem Ansatz eines möglichen Missbrauchs von Gesundheitsdaten muss entschieden entgegengetreten werden.
Die Europäische Union hat derzeit weltweit ein Alleinstellungsmerkmal mit hohen Datenschutzanforderungen und der auch international wegweisenden Datenschutzgrundverordnung (DSGVO). Durch Forderungen – unter anderem der deutschen Regierung –, Datenschutzanliegen im Angesicht der Pandemie hintanzustellen, werden Glaubwürdigkeit und Gestaltungswirkung für die Zukunft verspielt. Zudem ist ein gemeinschaftlicher europäischer Ansatz bei der Bekämpfung des Virus und für die Kontaktnachverfolgung im gemeinsamen europäischen Binnenmarkt essentiell.
Uns besorgen zudem die immer lauter werdenden Rufe nach einer „Pflicht zur App“ für gewisse Bereiche des Lebens. Die gemeinsame Bekämpfung der Pandemie benötigt Vertrauen und die Kooperation aller. Die Bereitschaft dazu wird mit einer Pflicht ohne Not verspielt. Eine allgemeine Bürgerpflicht, die jede Bürgerin und jeden Bürger zur Preisgabe sensibler Informationen verpflichtet, ist mit einem freiheitlichen Staat nicht zu vereinbaren. Auch die Einführung einer indirekten App-Pflicht, die das Betreten bestimmter Orte von ihrer Verwendung abhängig machen würde, lehnen wir ausdrücklich ab.
Dass es auch anders geht, zeigen die Schweiz und Österreich. Dort wurden Empfehlungen von Expert*innengruppen berücksichtigt, und die Regierungen setzen auf dezentrale und transparente Konzepte. Dabei handelt es sich um exakt den Ansatz, für den sich die beiden Marktführer für Smartphone-Betriebssysteme, Google und Apple, bereits zur Kooperation bereit erklärt haben. Dies ist eine Bedingung, die für den Erfolg einer App immanent ist, denn ohne die Zusammenarbeit mit den beiden Unternehmen, die fast 100 Prozent des Smartphone-Marktes abdecken, ist ein Scheitern der Tracing-App vorhersehbar. Denn der hier gewünschte Einsatzzweck der Bluetooth-Technologie ist neu und in diesem Ausmaß gänzlich unerprobt. Ob die Technologie verlässliche Ergebnisse liefern kann, ist umstritten. Es ist daher unabdingbar, die Betriebssystemhersteller mit einzubeziehen, um eine realistische Chance für einen neuen Einsatzzweck der Technologie zu ermöglichen.
Eine App, die zumindest eine Aussicht auf Erfolg haben soll, muss ein transparentes Konzept verfolgen, quelloffen programmiert werden, auf zentrale Datenspeicherung verzichten und die Anonymität der Nutzerinnen und Nutzer so weitgehend wie möglich schützen. Diese Anforderungen erfüllt der nun eingeschlagene Weg nicht.
Sehr geehrter Herr Bundesminister Spahn, sehr geehrter Herr Kanzleramtsminister Braun, als Unterzeichnende bitten wir Sie deshalb, die Forderungen aus der Wissenschaft und die Bedenken der IT-Expertinnen und -Experten ernstzunehmen und nicht auf einen Weg zu bauen, der von vornherein absehbar zu deutlichen Akzeptanzproblemen führen wird. Das von Ihnen präferierte Konzept für die App ist nicht der richtige Weg. So wird der Gedanke einer digitalen Lösung zur Bruchlandung – und das kann sich in der Bekämpfung der Pandemie niemand leisten.
Unterzeichnende:
· D64 – Zentrum für digitalen Fortschritt e.V
· Chaos Computer Club e.V. (CCC)
· LOAD e.V. – Verein für liberale Netzpolitik
· Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.
· Gesellschaft für Informatik (GI) e.V.
· Stiftung Datenschutz