Internet-Law

Onlinerecht und Bürgerrechte 2.0

31.3.20

Die Corona-Tracking-App. Eine gute Idee?

Das Thema Corona-Tracking mittels Smartphone-Apps nach dem Vorbild von Singapur oder Südkorea ist derzeit in aller Munde. Auf netzpolitik.org ist dazu unlängst ein Beitrag von Johannes Abeler, Matthias Bäcker, Ulf Buermeyer erschienen, der die Nutzung eines „datensparsamen Corona-Tracking-Systems“ nach dem „App-Konzept der Regierung von Singapur“ auch aus grundrechtlicher und datenschutzrechtlicher Sicht positiv bewertet.

in dem Beitrag von Abeler/Bäcker/Buermeyer wird die Funktionsweise der Singapur-App folgendermaßen beschrieben:

Möglichst viele Menschen installieren freiwillig eine App auf ihrem Handy. Die App generiert mit kryptographischen Mitteln alle halbe Stunde eine neue temporäre ID. Sobald ein anderes Handy mit der App in unmittelbarer Nähe ist, empfangen beide Handys die temporäre ID der jeweils anderen App-Installation und speichern sie. Diese Liste mit IDs anderer App-Installationen wird auf beiden Handys lokal und verschlüsselt gespeichert (…). Sobald bei einem der App-User eine Coronavirus-Infektion diagnostiziert wird, bittet die diagnostizierende Ärztin den Nutzer, die lokal gespeicherten Daten an den zentralen Server zu übertragen (…). Falls der Nutzer zustimmt, erfährt der zentrale Server, mit welchen anderen temporären IDs dieses Handy in Kontakt war. Der Server kann aus diesen IDs zwar nicht entschlüsseln, welche Menschen sich dahinter verbergen, er kann aber alle betroffenen Handys informieren.

Jetzt sollte allerdings zum Singapur-Modell nicht unerwähnt bleiben, dass die dortige App eben doch ein Überwachungstool ist, das der Exekutive des autoritär regierten Stadtstaats Zugriff auf die Daten und insbesondere eine Identifizierung der erfassten Nutzer ermöglicht. In einer Untersuchung, die die TraceTogether-App aus Singapur analysiert, heißt es hierzu:

However, while Singapore’s TraceTogether app protects the privacy of users from each other, it has serious privacy concerns with respect to the government’s access to the data.

Das Konzept in Singapur fußt nämlich gerade auf der Erwägung, dass der Staat Zugriff auf den zentralen Server haben muss, um diejenigen, die als Kontaktpersonen ermittelt worden sind, konsequent zu isolieren, auch mit Methoden eines autoritären Staates. Es fällt mir daher bereits schwer, das Modell grundsätzlich als Vorbild zu betrachten. Sollten wir uns wirklich an den Methoden autoritärer Staaten orientieren? Und muss man sich nicht einfach auch fragen, ob die App aus Singapur gerade deshalb als effizient gilt, weil der Staat das Geschehen steuert.

Aber selbst wenn man dasselbe Prinzip so ausgestalten will, dass der Staat keinen Zugriff auf den zentralen Server erhält, bleibt die Frage zu klären, wer diesen Server betreibt und wie und wodurch gewährleistet ist, dass ein staatlicher Zugriff unterbleibt. Aber auch dann werden sich datenschutzrechtliche Fragen stellen. Denn die Kombination einer Vielzahl von Bewegungsdaten unterschiedlicher Personen wird häufig die Möglichkeit eröffnen, Rückschlüsse auf betroffene Personen zu ziehen. Es werden eben doch personenbezogene Daten verarbeitet. An dieser Stelle wird dann versucht, mit dem Aspekt der Freiwilligkeit zu argumentieren. Das setzt voraus, dass der Nutzer in die Verarbeitung seiner Daten (wirksam) einwilligt. Allerdings wem gegenüber? Dem Betreiber des Servers? Oder doch gegenüber einer staatlichen Stelle? Wer ist der datenschutzrechtlich Verantwortliche? Und wie wird die Entwicklung sein, wenn die Akzeptanz der App auf freiwilliger Basis gering ist? Wird dann nicht der Druck steigen, der Freiwilligkeit Nachdruck zu verleihen?

Oder man wählt schlicht den gegenteiligen Ansatz, der zumindest, was die Eindämmung des Virus angeht, mehr Effektivität verspricht. Nachdem aktuell bereits die Grundrechte auf Freizügigkeit weitgehend, auf Versammlungsfreiheit vollständig und auf Berufsfreiheit teilweise eingeschränkt sind, kann man natürlich auch die Frage stellen, warum eigentlich das Grundrecht auf informationelle Selbstbestimmung bzw. Datenschutz gänzlich unbehelligt bleiben soll. Dafür müsste man im Infektionsschutzgesetz eben eine gesetzliche Grundlage schaffen. Also am Ende das Modell Singapur auf Basis einer gesetzlichen Grundlage.

Aber man sollte auch die praktischen Aspekte dieser App nicht aus dem Auge verlieren. Die App würde jeden, der in die Bluetooth-Reichweite eines Infizierten kommt, also alles in einer Entfernung bis ca. zehn Meter, als Kontaktperson flaggen. Wenn man bedenkt, dass selbst von denen, die einem Infizierten kritisch nahe kommen, also unter 1,5 – 2 Meter, sich nicht annähernd jeder ansteckt, würde diese App im Ergebnis überwiegend Ergebnisse liefern, die false positive sind. Ganz abgesehen davon, dass man damit eine Vielzahl an Menschen grundlos verängstigt, bleibt die Frage offen, wie mit den identifizierten Kontaktpersonen weiter zu verfahren ist. Die Personen sollen in diesem Stadium schließlich noch anonym und nicht in irgendeiner Form staatlich erfasst sein. Es ist derzeit allerdings nicht so, dass man einfach zum Arzt gehen kann und sich testen lassen kann. Getestet werden allenfalls Personen, die nachweisbar Kontakt zu einem Infizierten hatten und selbst Symptome zeigen. Es ist also derzeit schon so, dass keineswegs alle Kontaktpersonen getestet werden. Es ergibt also wenig Sinn, eine App zu propagieren, die noch mehr solcher Kontaktpersonen produziert, die dann wiederum nicht getestet werden. Das Konzept wird allenfalls dann Sinn ergeben, wenn sichergestellt ist, dass sämtliche Kontaktpersonen, die die App ermittelt, anschließend auch zügig getestet werden können. Aber wie soll das gewährleistet werden? Muss der Betroffene, der sich ja anonym wähnt, dazu seine Anonymität aufgeben und hat der Staat für diesen Fall die Voraussetzungen geschaffen, dass der Betroffene einen Anspruch auf den Test hat und dieser auch umgehend durchgeführt wird?

Es ist also nicht damit getan, eine solche App zu entwickeln und für ihre Installation zu werben. Sie wird vielmehr nur als Teil eines stimmigen Gesamtkonzepts funktionieren, dessen Konturen noch nicht erkennbar sind.

Update vom 17.04.2020

Nach aktuellen Medienberichten verzögert sich die Einführung der Corona-App, weil es angeblich Streit unter den Entwicklern gibt und auch die Abstimmung mit den Datenschützern (welchen?) nicht abgeschlossen sei. Interessant an der Berichterstattung ist in jedem Fall, dass man mittlerweile offenbar wieder bei dem Konzept einer Datenspeicherung auf einem zentralen Server angekommen ist, nachdem zwischenzeitlich die dezentrale schweizerische Löschung favorisiert worden war. Das wirft weiterhin die hier bereits erörterte Frage auf, wer diesen Server betreibt, wie die Daten an die Gesundheitsämter weitergegeben werden und wie der staatliche Zugriff auf diese Daten geregelt ist bzw. verhindert werden soll.

Außerdem ist es weiterhin so, dass die öffentliche Debatte zumeist an dem Punkt endet, an dem es tatsächlich relevant wird. Entscheidend ist nämlich die Frage, wie es weiter geht, wenn ein Betroffener gewarnt worden ist. Erfolgt dann über den zentralen Ansatz eine Meldung an die Gesundheitsämter, liegt ein staatlicher Eingriff vor, der einer gesetzlichen Grundlage bedarf. Freiwilligkeit hin oder her. Wird nur der Betroffene informiert, würde dies bedeuten, dass er sich selbst um den Fortgang kümmern und um einen Test bemühen muss. Nach der aktuellen Situation hat er allerdings keinen Anspruch auf einen Test. Das System wäre also nur dann effektiv, wenn man einen gesetzlichen Anspruch auf einen Test schaffen würde. Andernfalls laufen da draußen nur massenhaft Gewarnte rum, die mit überwiegender Wahrscheinlichkeit zwar negativ sind, trotzdem ein mulmiges Gefühl haben und sich möglicherweise vergeblich um einen Test bemühen. Das wäre nicht nur ineffektiv, sondern kontraproduktiv. Derzeit erscheint das App-Konzept noch nicht zu Ende gedacht. Das sollte es allerdings sein, wenn die App auf den Markt kommt.

Hinzu kommt weiterhin die Frage der Effektivität. Nach den Zahlen des statistischen Bundesamts nutzen ca. 58 Millionen Menschen in Deutschland Smartphones, das sind ca. 70 % der Bevölkerung. Wenn man jetzt die Geräte abzieht, auf denen die App aus technischen Gründen nicht lauffähig ist, wird ein Prozentsatz von 60 – 65 verbleiben, der die App tatsächlich installieren und nutzen kann. Wenn man jetzt von einer Installationsquote von 50 % ausgeht – was ich für optimistisch hoch halte – dann würde am Ende jeder Dritte die App auch tatsächlich nutzen. Grundsätzlich geht man davon aus, dass die App aber nur dann effektiv sein kann, wenn es zu einer hohen Installationsquote kommt. Der Virologe Christian Drosten hat im NDR-Coronavirus-Update von 60 % der Bevölkerung gesprochen – was allerdings einer Installationsquote von nahe 100 % entsprechen würde – während andere Einschätzungen eine Effektivität ab einer Installationsquote von 60 – 70 % annehmen. Das erscheint beides nicht übermäßig realistisch.

Auf die technischen Beschränkungen, die zudem zu bedenken sind, hat Henning Tillmann bei Zeit Online hingewiesen.

Die App, so sie denn überhaupt kommt, wird also im besten Falle eine Ergänzung unter vielen sein. Die zentrale Rolle, die ihr in den Medien und der öffentlichen Debatte beigemessen wird, wird sie aber voraussichtlich nicht einnehmen können.

posted by Thomas Stadler at 08:38  

12 Comments »

  1. Netzpolitik ist ein Propagandaklitsche.

    Comment by Jens — 31.03, 2020 @ 09:58

  2. Leider differenziert der Beitrag nicht ausreichend zwischen der konkreten App in Singapur und dem Vorschlag, den die Autoren auf netzpolitik.org machen. Die datenschutzrechtlichen Bedenken gegen die Lösung aus Singapur beruhen ja darauf, dass man sich dort mit seiner Telefonnummer anmelden muss. Die Autoren weisen aber ausdrücklich darauf hin, dass sie genau das nicht wollen. Da sollte man schon fair bleiben, wenn man diesen Vorschlag kommentiert.

    Comment by Ulli — 31.03, 2020 @ 14:10

  3. Dass der Bundesdatenschutzbeauftragte solche Projekte auch noch bedenkenlos und mit Allgemeinfloskeln fördert, zeigt, dass er seine Aufgabe NICHT verstanden hat! Warum ist ausgerechnet DER in DIESE Position gekommen? Welche Kompetenzen hat DER bitte vorzuweisen (SPD-Parteibuch zählt nicht)?

    Danke Herr Stadler, für Ihren kritischen Zeitgeist. Herr Kelber tritt schon ins zweite Fettnäpfchen und es NERVT, solche Inkompetenzbolzen in verantwortlichen Positionen zu sehen.

    Comment by Samara — 1.04, 2020 @ 13:21

  4. Grundsätzlich kann man per Bluetooth durchaus grob Entfernungen abschätzen. Wenn man den Sender genau kennt sogar recht gut, was hier aber eher nicht der Fall ist (da beliebige Handys beteiligt sind). Aber ob das eher 5m oder 1m sind, geht schon. Insofern sollten sich die potentiell erfassten kritischen Kontakte im Rahmen halten und nicht allzuviele nicht Betroffene erfasst werden. Als App-Entwickler habe ich diesbzgl. schon einige Erfahrungen gesammelt (wenn auch in völlig anderen Anwendungen)

    Das Problem derzeit ist ja, dass als infiziert erkannte Patienten im Grund nur Auskunft über die Kontakte geben können, die sie kennen. Wer im Bus auf den Weg zur Arbeit in der Zeit in der die Person ansteckend war in der Nähe saß, ist nicht ermittelbar. Die App könnte hier durchaus helfen und auch Unbekannte warnen und zu einem Test animieren, um nicht noch weitere anzustecken. D.h. helfen kann eine App durchaus.

    Aber es ist richtig, dass hier auch unbedingt ausreichend Tests für „jedermann“ verfügbar sein müssen. Und gut funktionieren wird’s auch nur, wenn viele die App nutzen.

    Was die Datenschutzbedenken angeht, ist das durchaus ein Problem. Und zwar weniger ein technisches, denn technisch kann man die App durchaus so gestalten, dass diejenigen die sich nicht anstecken, auch niemals Daten hergeben müssten, und diejenigen die sich angesteckt haben, müssten zumindest ihre Daten anonymisiert freigeben (sonst nutzt das gar nichts). Das sollte alles definitiv auch Datenschutzfreundlich machbar sein, ohne dass irgendjemand identifizierbar ist. Die eigentliche Frage ist aber, ob die beteiligten Player das auch so machen und vertrauenswürdig sind.

    So geistert derzeit mit „Palantir“ eine Firma durch die Gegend, die eine solche App für u.a. die EU und andere Staaten entwickeln wollen würde, sich aber in Vergangenheit weniger bzgl. des Datenschutzes, sonder eher als Datenstaubsauger bekannt gemacht hat. Die Chancen für diese Firma stehen vermutlich aber sogar ganz gut, da diese für Geheimdienste und Sicherheitsdienste, auch für deutsche Behörden schon Aufträge übernommen hat, und somit schon gut bekannt ist. Hier hätte ich dann schon arge Bedenken, diese App auf mein Handy zu lassen, auch wenn ich denke, dass die App eine gute Hilfe zur Kontrolle und Eindämmung der Pandemie sein kann.

    Comment by Alex — 2.04, 2020 @ 12:51

  5. Das Aufzeichnen der IDs anderer ist ein klarer Datenschutzverstoß. Es wäre die freiwillige Zustimmung derer erforderlich, deren IDs aufgezeichnet werden.

    Vgl. Auslesen des Adressbuchs, wie bei vielen Apps und Microsoft Windows üblich. Die Zustimmung des Inhaber des Adressbuchs ist nicht ausreichend, da dieser lediglich Eigentum am Adressbuch besitzt, nicht aber an den Adressen und somit persönlichen Informationen Dritter. Es ist die freiwillige Zustimmung derer erforderlich, deren persönliche Daten ausgelesen werden.

    Ob der Staat Zugriff auf einen Server erhält ist ohne Belang.
    – Der Staat kann jederzeit auf alles Zugriff erlangen und erlangt insbesondere auch Zugriff ohne dies öffentlich bekannt zu machen.
    – Der Rechtsverstoß liegt nicht in der Frage wer Zugriff auf Daten hat, sondern in der rechtswidrigen Erhebung der Daten. Das ist durch Zugriffsbeschränkung nicht heilbar.

    Anonymisierung von Daten ist eine irreführende Behauptung. Es wird NIEMALS eine Anonymisierung durchgeführt, da dadurch Daten nutzlos werden. Das ist Sinn udn Zweck einer Anonymisiserung, die Nicht-Unterscheidbarkeit herbeizuführen. Nur was nicht mehr voneinander unterschieden werden kann, mit keinen Mitteln, ist anoonym. Unterscheidbare Daten, das liegt hier vor, sind NICHT ANONYMISIERT, sondern PSEUDONYMISIERT. Signifikanter Unterschied, da ein Pseudonym nur eine andere Darstellung der Identität ist und somit keinen Schutz bietet.

    Wenn einer aaaa, einer bbbb einer cccc ist, ist das Pseudonym. Die Pseudonyme können leicht der Identität zugeordnet werden und fallen somit unter den Schutz persönlicher sdtane, was ihre AUfzeichnung ohne freiwillige Zustimmung verbietet.

    Wenn alle aaaaaaa sind, ist das anonym. Nicht jedoch, wenn der eine aaaaaaa an Position 1 ist und der andere aaaaaaa an Position 2. Dann ist der Schluss auf die Identität durch den Aufenthaltsort möglich, wodurch die Anonymität unterlaufen wird, man ist nicht Nicht-unterscheidbar, so dass die Kombination aus aaaaaaa und Aufenthaltsort nur pseudonym und somit identifizierbar ist.

    aaaaaaa fällt nicht unter den Datenschutz, ist aber zu nichts anwendbar, weil alle identisch aussehen.
    aaaaaaa + Position fällt unter den Datenschutz, weil identifizierbar.
    Pseudonyme, was alles ist, was von Staat und Telekoms als anonym bewusst fälschlich als anonym bezeichnet wird, fallen unter den Datenschutz, weil identifizierbar, Bewegungsprofile, Informationen über das gesamte Leben…

    @Ulli Datenschutzbeauftragte sind doch nicht dazu da, Daten zu schützen. Sie sollen uns ruhig stellen und hindern, uns gegen die unter ZWang stattfindende totale Erfassung unseres Lebens durch den Staat zu verteidigen.

    Comment by Rainer — 3.04, 2020 @ 17:05

  6. @Rainer
    aaaa kann sehr anonym sein, wenn ich z.B. keine Möglichkeit, aaaa einer konkreten Person zuzuordnen. Beispiel Steuernummer: das Finanzamt kann über die Steuernummer einfach meinen Namen herauskriegen, aber mein Nachbar nicht, weil er keinen Zugriff hat auf die Datenbanken des Finanzamts.
    Zweite Möglichkeit der Anonymisierung: statt einem Standort nur die Distanz zwischen Sender und Empfänger angeben, funktioniert aber nur bei belebten Plätzen, wo ich dann nur sehe, da ist jemand mit Corana, aber wer von den X Personen in meinem Umkreis ist es?
    Andererseits: beweist die ID eines Smartphones tatsächlich die Identität einer Person? Ich kann doch mein Smartphone verleihen? Und was ist mit Firmengeräten? Weshalb hat man im Straßenverkehrsrecht wohl die Halterhaftung erfunden?

    Comment by martinf — 3.04, 2020 @ 18:31

  7. Es ist ein häufiges Missverständnis, dass diese App jene schützen solle/könne, die sie nutzen. Mir scheint, dass du diesem Missverständnis auch aufliegst, weil du dagegen argumentierst, ohne den wahren Sinn der App zu würdigen:

    Tatsächlich kann die App weder jene schützen, die eine Notification auslösen (schon infiziert), noch jene die benachrichtigt werden (evtl. schon infiziert oder eben nicht).

    Die einzigen, die die App schützen kann, sind die verhinderten Kontakte durch den zweiten Hop von benachrichtigten Personen: Ich habe eine benachrichtigung bekommen und ziehe mich zurück, um potenziell keine weiteren Personen zu infizieren. Dafür braucht es keine Tests, dafür braucht es keine 100%ige Sicherheit und dafür braucht es nicht den Lockdown von Millionen von Menschen, den wir jetzt praktizieren.

    Jene Personen, die am Ende durch die App geschützt werden, brauchen die App also noch nicht einmal selbst zu nutzen.

    Zur Zeit wird dieser Prozess manuell von den Gesundheitsämtern abgebildet und ist zu langsam. Darum, und nur darum, geht es in dieser Debatte.

    Die Hoffnung ist, dass die App einen „Smart Lockdown“ ermöglichen würde. Ob das am Ende so auch funktioniert, ist eine andere Frage.

    Comment by lns — 4.04, 2020 @ 12:52

  8. @Rainer
    Die Anonymität kann durchaus garantiert werden, wenn man‘s richtig macht. Denn um zu erkennen, ob man mit einer infizierten Person Kontakt hatte, muss man ja nur deren IDs zum fraglichen Zeitpunkt kennen, nicht aber deren Namen. Wenn also auf einem Server nur diese IDs von infizierten Leuten landen, kann niemand daraus irgendwelche Daten ableiten, wer denn diese Kontakte denn sind. Auf dem Server müssen ja noch nicht mal die Zeitpunkte gespeichert sein, denn ob ein potentieller Kontakt diese infizierte Person getroffen hat, ergibt sich ja schon daraus, das die ID auf deren Telefon gespeichert war, was ja nur der Fall ist, wenn die Person zur selben Zeit am selben Ort war. Und diesen Vergleich macht die App des potentiellen Kontakts auf dem eigenen Handy. D.h. eine ID ist nur eine zufällige große Zahl, die keinerlei konkrete Daten speichert (weder Zeit, noch Ort, noch Name usw.).

    D.h. solange man sich nicht infiziert, oder von der Infizierung nichts bemerkt und nicht zum Arzt geht, bekommt eh niemand mit, ob man die App nutzt, und auch deren Daten bleiben geheim. Selbst wenn jemand an die lokal in deinem Handy gespeicherten IDs herankäme, könnte der nicht mehr machen, als die App auch so anzeigt: dir sagen ob du einer infizierten Person begegnest bist oder nicht, aber eben nicht, wer das war. Um das herauszufinden, müsstest du alle Handys aller App-Nutzer einsammeln und dann alle Daten zusammenführen, denn die Zuordnung der IDs zu den Personen bedarf der Handys der Personen, da nur dort zu erkennen ist welche ID von welchem Handy kommt.

    Man könnte nun argumentieren, dass derjenige der sich infiziert hat, ja seine gespeicherten ID-Daten auf dem Server speichern lassen muss, und so nicht mehr anonym ist. Was die Person selbst gegenüber Arzt und Familie/Freunden angeht, ist das naturgemäß richtig, denn man hat sich ja offensichtlich in ärztlich Obhut gegeben (weil sich Symptome zeigen), und informiert sein nächstes Umfeld um dieses zu schützen. Was die App-Daten angeht, bleibt alles aber weiter anonym, denn die IDs sind ja weiterhin in sich reine zufälligen Zahlen ohne Information über die Person. Alle unbekannten Kontakte können nun aber über die App ebenfalls gewarnt werden (anonym, da ja nur IDs ausgetauscht werden, keine Uhrzeiten, Orte oder sonstige Daten). Die Anonymität verliert man daher nur gegenüber den Leuten, denen man sich anvertraut.

    Comment by Alex — 4.04, 2020 @ 13:19

  9. Völlig unabhängig von allen Sicherheitsbedenken u.ä.: Apps werden nur noch für Android und iOS entwickelt. Müsste ich mir ggf. als Ersatz für mein Windows-Phone (Nokia Lumina 30)ein neues Smartphone besorgen? Wer bezahlt mir das Gerät und den ISP-Vertrag?

    Abgesehen davon: Was ist mit älteren Geräten, die mit [ur]altem Betriebssystem betrieben werden und mit denen so eine App nicht klarkommt?

    Comment by Michael — 4.04, 2020 @ 17:00

  10. Es könnte schwierig werden, auf rein freiwilliger Basis genug Bereitschaft zum Mitmachen zu erreichen. Die paar ewiggestrigen Hanseln mit Uraltgeräten wie Sie und ich sind bestimmt kein Problem für die Durchdringung. 100 % sind ohnehin nicht nötig, die Schwelle liegt irgendwo um die 70.

    Comment by Axel Berger — 5.04, 2020 @ 00:36

  11. „Müsste ich mir ggf. als Ersatz für mein Windows-Phone (Nokia Lumina 30)ein neues Smartphone besorgen? Wer bezahlt mir das Gerät und den ISP-Vertrag?“

    Niemand.

    Es geht um eine freiwillige Maßnahme zum Gesundheitsschutz, nicht darum, Mobiltelefone zu verschenken.

    Wer nicht mitmacht, ob wegen Sicherheitsbedenken, mangels technischer Fähigkeiten oder technischer Möglichkeiten, nimmt eben nicht teil.

    Wer das Geld hat, mag aber ja überlegen, ob das nicht ein Anlass wäre, sich ein neues Telefon zuzulegen. Ein aktuelles Betriebssystem mag gerade unter Sicherheitsaspekten mehr Gefahren beseitigen, als die erwogene App schaffen würde.

    Comment by Leser — 6.04, 2020 @ 13:49

  12. Leider berücksichtigt weder der Blogbeitrag noch die Ergänzung oder einer der bisherigen Kommentare das Framework von Apple/Google.
    Alle iPhone-Apps MÜSSEN das nutzen um im Hintergrund oder Sleep tracen zu können, eine 3rd-Party-App KANN das nicht alleine, weil sie im Sleep oder wenn der User eine andere App im Vordergrund hat suspendiert ist.
    Das Konzept sieht vor, dass jedes Device sich beim allerersten Start einer Tracing-App selber einen Masterkey erzeugt, der niemals das Device verlässt. Davon abgeleitet wird täglich ein neuer Daily-Key. Davon abgeleitet wird ca. alle 15 Min. ein neuer RollingProximityIdentifier (RPI). Dieser wird ca. 4mal pro Sekunde via BluetoothLowEnergy ausgestrahlt (Leuchtfeuer).
    Andere Devices speichern diese RPIs die sie empfangen, sowie die Zeitdauer über die die sichtbar waren.
    Wenn ich positiv getestet wurde, sende ich meine Daily-Keys der letzten 14 Tage an „den“ Server und begebe mich in Quarantäne.
    Alle Devices laden täglich die Liste der positiven Daily-Keys vom Server, errechnen pro Key die 96 möglichen RPIs die dessen Phone an diesem Tag ausgesendet hat, und überprüfen die gespeicherten Kontakte auf Übereinstimmung. Das Matching findet NUR auf den User-Phones statt, nicht am Server.
    Wenn Dein Device eine RPI findet, sagt Deine App Dir an welchem Tag Du in der Nähe von jemandem warst der sich nachträglich positiv gemeldet hat. Du solltest dann selber einen Test beantragen und bis zum Ergebnis selber Quarantäne halten.
    Die App schützt somit die Leute, die Du unwissentlich anstecken könntest, nicht Dich selber.
    Der Server kennt nur Daily-Keys die freiwillig hochgeladen wurden, sonst nix. Natürlich kann jeder daraus die 96 RPIs errechnen die mein Device an diesem Tag ausgestrahlt hat. Aber man kann nicht aus einem RPI den Daily zurück-berechnen (mathem. Einweg-Funktion), und aus dem Daily nicht den MasterKey oder Daily-Keys anderer Tage.
    Wer sich nicht positiv meldet, also seine Daily-Keys nicht veröffentlicht, kann nicht nachverfolgt werden, weil die ausgestrahlten RPIs ohne Kenntnis des Daily-Keys für alle anderen nur zufällige Zahlenwerte sind, die sich alle 15 Min. ändern. Ein Dritter weiß nicht ob der neue Key jetzt ein ganz anderer User ist oder derselbe wie eben mit neuem RPI.

    Das Ganze funktioniert nur wenn Leute freiwillig mitmachen und die App installieren, freiwillig ihre Dailys hochladen sobald sie positiv getestet werden, und Leute die eine Warnung bekommen dass ein Kontakt sich positiv gemeldet hat dann freiwillig ihr Verhalten ändern (sich selber isolieren bis sie ihr eigenes Testergebnis haben), um ANDERE nicht unwissend anzustecken.

    Ich sehe da wenig Grund für Bedenken.

    Comment by Marc S — 19.04, 2020 @ 09:06

RSS feed for comments on this post.

Leave a comment