Offener Brief zum Projekt PEPP-PT
Corona-Warn-Apps wegen „Überwachung“ in der Kritik
Mehrere Wissenschaftler und Forschungsinstitute haben die europäische Initiative zur Entwicklung einer gemeinsamen Basis für Corona-Warn-Apps verlassen. Zentraler Streitpunkt ist der Datenschutz.
Veröffentlicht:Neu-Isenburg. Die Hoffnungen, die in die Entwicklung multinationaler Corona-Warn-Apps zur Eindämmung der grassierenden Pandemie gesetzt wurden, waren groß, als Anfang April das paneuropäische Projekt PEPP-PT (Pan European Privacy Protecting Proximity Tracing) vorgestellt wurde. Die europäische Entwicklergruppe sollte eine Software entwickeln, deren Konzept dabei hilft, Kontaktpersonen von COVID-19-Patienten schneller ausfindig zu machen und damit Infektionsketten gezielter zu unterbrechen. PEPP-PT baut selbst keine Anwendung, soll aber das Grundgerüst liefern – auch für die deutsche Corona-Tracing-App.
Doch nun brodelt es hinter den Kulissen der multinationalen Initiative von Forschungsinstituten und Wissenschaftlern. Über 300 Wissenschaftler, darunter 50 Deutsche, aus den Bereichen der IT-Sicherheit und Privatsphäre haben am Montag in einem offenen Brief harsche Kritik an der PEPP-PT-Initiative geübt. Einige Vorschläge der Entwickler würden eine „Überwachung durch die Regierung“ ermöglichen, heißt es in dem Brief. Auch Hacker könnten die Aktivitäten der Bürger ausspionieren.
Wissenschaftler distanzieren sich
Bereits am Wochenende hat sich das deutsche Helmholtz Institut für Informationssicherheit (CISPA) aus dem PEPP-PT-Projekt zurückgezogen. Das verkündete Cas Cremers, einer der beteiligten CISPA-Wissenschaftler und Mitunterzeichner des Briefes am Samstag via Twitter. Bereits tags zuvor hatte sich der Schweizer Marcel Salathé, Professor an der Polytechnischen Universität in Lausanne, öffentlich von der europäischen Initiative distanziert. Zwar stehe er weiter hinter der Kernidee des Projekts, doch sei PEPP-PT ihm „nicht offen genug und nicht transparent genug“, wie er auf Twitter schreibt.
Hauptgrund für die wachsende Kritik ist die Frage der Datengewinnung und -speicherung. „Wir sollten versuchen, durch Datensparsamkeit und geschickte Konzepte das Risiko von Anfang an zu begrenzen“, erklärt Mit-Unterzeichner Professor Konrad Rieck, Institutsleiter Systemsicherheit, Technische Universität in Braunschweig. „Datenschutz und Privatheit sind elementare Grundrechte und dürfen nicht vergessen werden.“
In der Kritik steht insbesondere der zentrale Speicher-Ansatz der PEPP-PT-Entwickler, bei dem anonymisierte Daten an zentraler Stelle gespeichert werden. Die zentrale Datenspeicherung auf einem Server sei gefährlich und könne zu „Diskriminierung“ und „Missbrauch“ führen, warnen die Forscher in ihrem Brief. Sie plädieren für einen dezentralen Ansatz. Es sei jetzt wichtig, darauf zu achten, dass nicht im Zuge der Pandemie ein Tool eingesetzt werde, das Daten der Bevölkerung im großen Stil sammeln kann. Zu diesem Zweck müsse wahrscheinlich ein dezentraler Ansatz zur Verwaltung der Daten verfolgt werden.
Auch Cremers und Salathé sprechen sich aus Datenschutzgründen gegen die zentrale Speicherung aus. Beide wollen sich jetzt ihren Twitter-Beiträgen zufolge für eine andere Initiative engagieren: DP3T (Decentralized Privacy-Preserving Proximity Tracing). Sie basiert auf „privacy by design“ und setzt damit auf einem dezentralen Ansatz, die Kontaktermittlung könnte ohne zentral gesteuerte Datenbank auskommen. Die Entwicklergruppe will nach Angaben Salathés transparent arbeiten und Dokumente wie auch Codes öffentlich zur Verfügung stellen.
Kritiker monieren, die Entwicklergruppe des PEPP-PT-System sei nicht transparent genug. Dabei fordert aktuell sogar die Europäische Kommission in einem Papier vom 17. April, „dass die gesamte Datenspeicherung dezentralisiert erfolgt, dass für vollständige Transparenz in Bezug auf die (nicht in der EU zu verortenden) kommerziellen Interessen der Entwickler dieser Anwendungen gesorgt wird“. Weiter fordert sie darin, „dass die Kommission und die Mitgliedstaaten hinsichtlich der Funktionsweise von Apps für die Ermittlung von Kontakten uneingeschränkt transparent sind“.
Aktuelle Diskussion zweitrangig?
Mitinitiator und Frontmann der PEPP-PT-Initiative Chris Boos wehrt sich gegen die Vorwürfe. Beide Speichersysteme hätten sowohl Vor- als auch Nachteile. Man müsse von Land zu Land schauen, welcher Ansatz entsprechend angebracht sei. „Beide Ansätze wahren die Privatsphäre und beide sollten interoperabel sein. Am Ende geht es darum, die Corona-Pandemie in den Griff zu bekommen, das sollte nicht vergessen werden,“ so Boos im „Handelsblatt“. Auch der Vorwurf der Intransparenz sei haltlos, erste Konzepte seien bereits öffentlich zugänglich.
Wie sich die Querelen auf die geplante deutsche Corona-Warn-App auswirken, ist offen. Unabhängig davon hatte Gesundheitsminister Jens Spahn (CDU) bereits vergangene Woche darauf hingewiesen, dass es bis zum Start länger dauern wird, als ursprünglich angenommen. Der Start für die Corona-App für Deutschland war eigentlich rund um Ostern geplant. (mu)