Tracing-App Pepp-PT: Europäische Corona-App kommt nach Ostern

Letzte Woche hatte die europäische Initiative Pepp-PT das Konzept für eine Tracing-App vorgestellt, um Kontakte von Covid-19-Infizierten nachvollziehen zu können. Nun steht der Termin für den Start: In der Woche nach Ostern sollen erste Apps basierend auf der Pepp-PT-Technologie verfügbar sein.

„Ich gehe davon aus, dass wir zwischen 15. und 19. April die erste App tatsächlich live haben“, sagt Arago-Gründer Chris Boos von der Initiative Pepp-PT laut einem Bericht der Tagesschau. Bei Pepp-PT sind mehr als 130 Mitglieder aus ganz Europa beteiligt, darunter verschiedene Unternehmen sowie wissenschaftliche Einrichtungen wie das Fraunhofer Heinrich-Hertz-Institut und das Robert Koch-Institut (RKI).

Vertreter der Bundesregierung erhoffen sich einen baldigen und erfolgreichen Start der App. Das digitale Verfolgen von Covid-19-Infektionsketten ist einer der Ansätze, um die Ausbreitung des Virus zu stoppen, ohne dass weitgehende Quarantäne-Maßnahmen wie die aktuellen Ausgangsbeschränkungen nötig sind.

Tracing-App misst nur Nähe, aber keine Orte

Pepp-PT steht für Pan-European Privacy-Preserving Proximity Tracing. Der Konzept besagt: Wenn die App installiert ist, wird der Kontakt zu anderen Geräten mittels Bluetooth erfasst. Auf dem Telefon werden dann die Kontakte als anonyme ID-Nummer für 21 Tage gespeichert. Dabei soll es sich aber ausschließlich um eine Kontakt-ID handeln, die sich nicht zurückverfolgen lässt. Der Nutzer selbst hat keinen Zugriff auf die Daten. Wo und wie vielen Personen man begegnet ist, lässt sich also nicht auslesen.

Ist nun ein Nutzer offiziell mit Covid-19 infiziert, erhält er vom Gesundheitsamt einen TAN-Code. Damit lassen sich die ID-Nummern, die bis dahin nur auf dem jeweiligen Telefon gespeichert sind, auf einen zentralen Server hochladen. Über diesen werden dann die ID-Kontakte informiert. Das System bleibt dabei anonym – wer sich infiziert hat und wo es zum Kontakt kam, erfährt man nicht.

Um Infektionsketten nachverfolgen zu können, wird also die kritische Nähe zu anderen Personen bestimmt – deswegen Tracing als datensparsameres und die Privatsphäre schützendes Verfahren, wie Vertreter der Initiative betonen. Um eine Tracking-App handelt es sich nicht, da keine Ortsdaten erfasst werden.

Bluetooth-Abstandsmessung als Herausforderung

Herausfordernd bei der technischen Umsetzung ist vor allem, die Bluetooth-Sensorik (Bluetooth Low Energy) so zu kalibrieren, dass der Abstand präzise über einen bestimmten Zeitraum gemessen wird. So spiele es etwa eine Rolle, ob Personen einen Meter oder drei Meter voneinander entfernt sind. Pepp-PT arbeitet dafür etwa mit der Bundeswehr sowie Vodafone zusammen. Der Netzbetreiber führt Hardware-Tests in den eigenen Zertifizierungs- und Testlaboren in Düsseldorf durch und testet das System mit den gängigsten Smartphone-Modellen. Denn die Bluetooth-Messung kann sich laut Vodafone je nach Gerät unterscheiden. Ausschlaggebend sind dabei etwa die Antennen-Technik oder das Gehäuse des Telefons.

Was die Forscher entwickeln, ist indes keine eigenständige App. Vielmehr handelt es sich um eine Referenzimplementierung. Andere Anbieter aus verschiedenen Ländern können eigenständig Apps entwickeln, basierend auf derselben Plattform, die länderübergreifend funktioniert. Pepp-PT verfolgt dabei einen Open-Source-Ansatz, die Forscher wollen demnächst den Quellcode offenlegen.

Das Konzept beruht auf Freiwilligkeit. Niemand ist also verpflichtet, eine entsprechende Pepp-PT-App zu installieren. Umfragen deuten aber darauf hin, dass ein Großteil der Bevölkerung dazu bereit wäre.

Datenschutzbedenken: 10 Prüfsteine vom Chaos Computer Club

Nichtsdestotrotz bestehen Datenschutzbedenken, immerhin werden Kontaktdaten innerhalb eines heiklen Umfelds umfasst. Der Chaos Computer Club (CCC) hat daher eine Liste mit 10 Prüfsteinen veröffentlicht, die Tracing-Apps wie Pepp-PT erfüllen sollte. Der zentrale Punkt: „Contact Tracing“ müsse tatsächlich funktionieren und die Daten dürfen ausschließlich für das Bekämpfen der Covid-19-Infektionen verwendet werden. Wichtig wären zudem „Freiwilligkeit und Diskriminierungsfreiheit“: Eine Pflicht zur App-Installation dürfe es nicht geben, ebenso wenig dürften diejenigen benachteiligt werden, die auf so eine App verzichten.

Technisch fordert der CCC einen Privacy-by-Design-Ansatz. Anonymisierung und Verschlüsselung müssten bei der Entwicklung eine zentrale Rolle spielen. Ebenso sollten die Informationen dezentral verarbeitet werden. „Es ist technisch nicht notwendig, alleine auf Vertrauenswürdigkeit und Kompetenz des Betreibers von zentraler Infrastruktur zu vertrauen, die Privatsphäre der Nutzer schon ausreichend zu schützen“, heißt es in der Stellungnahme.

Von den anonymisierten Kontaktdaten dürften indes keine weiteren Informationen wie persönliche Daten oder Standortdaten erfasst werden – so soll bereits im Keim erstickt werden, dass am Ende etwa Bewegungsprofile entstehen oder Daten an Dritte weitergegeben werden. Wollen Forscher aber weitere Daten zum Zweck der epidemiologischen Forschung erheben, muss das mit einer expliziten und separaten Einwilligung erfolgen.

Was der CCC explizit nicht abgibt, ist eine Empfehlung für konkrete Apps. Stattdessen sieht sich der Hacker-Verein als beratende und kontrollierende Instanz. Diese Prüfsteine für Corona-Apps sind daher so etwas wie Mindestanforderungen ohne Anspruch auf Vollständigkeit, so der CCC.