Mit der App sollen bei einer Infektion Kontaktpersonen gefunden werden.
Foto: Christine Klose/dpa

BerlinDas Robert-Koch-Institut (RKI) entwickelt eine Applikation, um die Corona-Pandemie einzudämmen. Dafür sollen die Daten von Handynutzern verwendet werden, um bei einer Infektion Kontaktpersonen finden zu können. Das haben andere Länder bereits vorgemacht, etwa Taiwan oder Südkorea. Allerdings pflegen andere Länder auch einen anderen Umgang mit den Daten ihrer Bürger.

In Deutschland soll die Überwachung der Ausbreitung mit dem Datenschutz in Einklang stehen, wie Christof Stein, Sprecher des Bundesdatenschutzbeauftragten, erklärt. Die Behörde arbeitet mit dem Robert-Koch-Institut zusammen, um die App zu entwickeln, die strengen Kriterien gerecht wird. Das ist nicht ganz einfach. Denn damit Infizierte und vor allem deren Kontaktpersonen nachverfolgbar sind, ist es nötig, die Daten der Menschen zu erfassen. Dazu müssen die Kontaktpersonen des Handynutzers identifizierbar sein, beispielsweise über Bluetooth. So könnte die Corona-App mit anderen Nutzern dieser App im Hintergrund Daten austauschen.

Würde ein Nutzer erkranken, könnte festgestellt werden, mit wem er in Kontakt stand. Diese Personen könnten dann informiert werden und sich in Quarantäne begeben. Wie genau das aber funktionieren soll, ist noch nicht klar.

Drei Prinzipien entscheidend

Gesundheitsminister Jens Spahn (CDU) wollte bereits per Änderung des Infektionsschutzgesetzes eine zentralisierte Handyortung einführen. Doch bislang konnte er sich nicht durchsetzen. Entscheidend für die Datenschützer sind drei Prinzipien: „Die Einwilligung muss freiwillig, informiert und konkret erfolgen“, sagt Christof Stein von der Bundesdatenschutzbehörde. Es wäre dann nicht gestattet, Bedingungen an die Verwendung der App zu knüpfen. Sie dürfte also nicht eingesetzt werden, um zu überwachen, ob jemand in Quarantäne bleibt.

Als „informiert“ würde eine Einwilligung dann gelten, wenn Nutzer darüber belehrt würden, wie sie beispielsweise ihre Zustimmung widerrufen können oder wie die Daten wieder gelöscht werden. Zudem müssen die Nutzer – das meint das Wort „konkret“ – darüber informiert werden, zu welchem Zweck die Daten verwendet werden.

Singapur als Vorbild

Die Berliner Zeitung versucht seit anderthalb Wochen, beim Robert-Koch-Institut detaillierte Informationen zur Entwicklung der App zu bekommen – etwa darüber, welche Daten ausgewertet werden, wie lange die Daten gespeichert werden, ob die Daten zur Identifikation von Personen genutzt und wem sie zur Verfügung gestellt werden. Das RKI weigerte sich bislang, auf diese Fragen zu antworten – obwohl es als Bundesbehörde zur Auskunft verpflichtet ist. Es verwies auf das Heinrich-Hertz-Institut der Fraunhofer Gesellschaft, das federführend sei. Doch auch dieses antwortete – auch auf mehrere Nachfragen hin – nicht.

Während Linke und Sozialdemokraten die Handyortung ablehnen, ist sie bei der Union nicht vom Tisch. Wirtschaftsminister Peter Altmaier (CDU) sagte am Sonntag: „In einer bestimmten Notsituation kann ich mir schon vorstellen, dass Strategien, die in Südkorea Erfolge gebracht haben, auch bei uns helfen könnten.“ In Südkorea führen Regierungsbehörden verschiedene Daten zusammen: Bilder von Überwachungskameras, Standortdaten von Smartphones und Kreditkartendaten. Die New York Times warnte daher vor einer Überwachungsarchitektur.

Der Datenschutzrechtler Ulf Buermeyer plädiert mit anderen in einem Gastbeitrag bei Netzpolitik.org. dafür, dass die Daten einer Corona-App nur lokal auf dem Handy gespeichert werden. Sie nennen als Vorbild eine App aus Singapur. Das System komme ohne sensible Standortdaten aus. Auf jedem Handy werde lokal eine Liste der Handys gespeichert, die sich für mindestens 15 Minuten in weniger als zwei Metern Entfernung aufgehalten haben. Bei einer Infektion würden die Personen benachrichtigt. Die Identifikation der Handys erfolge nur temporär per Bluetooth und verschlüsselt. Das begrüßt die Datenschutzexpertin der Linken, Anke Domscheit-Berg. Die App aus Singapur sei hilfreich, „da sie über Bluetooth zufallsgenerierte, häufig wechselnde IDs zwischen Geräten in der Nähe austauscht“.

Singapur hat angekündigt, den Quellcode der staatlichen Tracking-App zur Verfügung zu stellen. Das Land hat jahrelange Erfahrung mit der Identifikation von Gesundheitsrisiken. Nach dem Sars-Ausbruch 2003 führte es das Früherkennungssystem „Risk Assessment and Horizon Scanning“ ein. Beraten hatte die Regierung dabei der US-Admiral John Poindexter. Der Nuklearphysiker hatte nach den Anschlägen vom 11. September 2001 für die US-Militärforschungsbehörde Darpa das Programm „Total Information Awareness“ (TIA) aufgesetzt, das Singapur als Vorbild nahm. TIA diente der Massenüberwachung der Bürger und musste wegen Protesten nach einem Jahr wieder eingestellt werden. Tatsächlich setzte die NSA das Programm heimlich fort. Eines der Nachfolgeprogramme – „Prism“ – machte 2013 der ehemalige NSA-Contractor Edward Snowden publik.