Bei der API von Apple und Google handelt es sich um keine Tracking-API, sondern und eine Tracing-API! Der Magazin-Artikel verwendet den falschen Begriff.
Was ist der Unterschied zwichen Tracking und Tracing?
Beim Tracking wird live und ansatzlos mitverfolgt, Tracing hingegen erlaubt eine Rückverfolgung im Bedarfsfall. Das ist ein datenschutzrelevanter Unterschied.
Warum ist eine einheitliche API sinnvoll?
Wenn jedes Land eine eigene App einsetzt, endet deren Nutzen auch an der Landesgrenze. Es gibt aber auch zu Zeiten von Reisebeschränkungen noch Menschen, die sich recht weit bewegen. Abgesehen davon kann man die Reisebeschränkungen kaum zwei Jahre aufrecht erhalten. Zwei Jahre werden durchaus als realistisch angesehen, die uns SARS-CoV-2 begleitet, gefährdet und einschränkt. Es ist daher durchaus sinnvoll, wenn sich die Systemhersteller auf eine einheitliche API einigen, auf der unterschiedliche Anwendungen aufsetzen können.
Wie funktioniert die API?
Die hier beschriebene API setzt auf einen dezentralen Ansatz. Das bedeutet, nur unsere Endgeräte speichern eine Liste mit den von unserem Gerät generierten IDs. Diese Liste enthält keine Standortdaten und keinen Klartextnamen.
Gleichzeitig speichern unsere Endgeräte alle IDs, die sie empfangen. Auch hier gibt es keinen Standortbezug und keine Personenbezug.
Als drittes holen sich unsere Geräte von einem Server eine Liste aller IDs, die als infiziert gemeldet wurden.
Wird bei mir eine Infektion mit SARS-CoV-2 festgestellt, trage ich das in eine App ein und die überträgt die Liste der IDs, die mein Gerät erzeugt hat an einen Server (beispielsweise einen Server beim Gesundheitsamt)
Somit kann jedes Gerät für sich feststellen, ob man mit einer infizierten in Kontakt gekommen ist und uns das mitteilen. Wir können dann handeln und uns in Selbst-Quarantäne begeben oder uns testen lassen. Niemand weiß aber, welche Personen infiziert sind und wo der Kontakt stattgefunden hat.
Diese Listen werden natürlich regelmäßig bereinigt. Beispielsweise ist die Inkubationszeit typischerweise in der Größenordnung von 14 Tagen. Da das nur ein Mittelwert ist, kann man beispielsweise IDs älter als vier oder sechs Wochen löschen. Man mag anmerken, dass die als infiziert gekennzeichneten IDs nicht automatisch gelöscht werden dürfen. Ich halte das für möglich, denn wenn ich infiziert bin, muss ich in Quarantäne und die Einhaltung kann aufgrund des Seuchenschutzgesetzes sogar mit Zwang durchgesetzt werden. Aus der Quarantäne komme ich erst, wenn kein Virus mehr nachgewiesen wird und kann damit auch keinen undokumentierten Kontakt haben.
Backup der Listen
Das Problem eines dezentralen Ansatzes sind Datenverluste (beispielsweise durch einen Werksreset oder Umstieg auf ein neues Gerät). Die Listen der eigenen IDs und der Kontakt-IDs müssen also in ein Geräte-Backup aufgenommen werden. Das liegt typischerweise beim Hersteller des Systems (also Apple oder Google). Somit hat der Hersteller des Systems theoretisch Zugriff auf weitere persönliche Daten. Deshalb muss das Backup in einer Form verschlüsselt sein, die es selbst Apple und Google nicht ermöglicht, die zu entschlüsseln.
Das ist ein schwieriger Punkt, aber mathematisch machbar und man darf beruhigt davon ausgehen, dass sowohl Apple als auch Google das nötige Know-How haben. Die meisten von uns werden sich darauf verlassen müssen, aber es gibt auch unter uns Leute, die das prüfen können. Das können sie aber nur, wenn so eine App Open Source ist.
Wer führt die Listen der infizierten IDs?
Die infizierten IDs müssen immer zentral gespeichert werden. Das geht nicht anders. Wenn das die Gesundheitsämter sind (davon gibt es ja schon innerhalb Deutschlands viele), müssen diese die Daten zeitnah untereinander austauschen. Wenn es das RKI ist, könnten die Gesundheitsämter dorthin melden, aber dann wäre das immernoch nur eine nationale Datenbank. Vielleicht wäre die WHO eine Lösung, weil sie keiner nationalen Regierung untersteht, sondern der Weltgemeinschaft.
Rückverfolgung von Infektionsketten
Mit dieser API lassen sich Infektionsketten nicht wirklich gut rückverfolgen. Infektionsherde lassen sich damit auch nicht feststellen, Das möchten aber die Virologen. Deren Begründung: schnellere Reaktion möglich und damit weniger starkes Wiederaufflammen der Infiziertenanzahl.
Die ID-Liste mit Kontakten müsste also zusätzlich die Geo-Daten speichern, an dem der Kontakt stattgefunden hat. Außerdem müsste das Gesundheitsamt Zugriff auf diese Liste bekommen. Notfalls mit Zwang.
Zentraler Ansatz
Deshalb wird von vielen ein zentraler Ansatz bevorzugt. Dann haben die nötigen Stellen schneller Zugriff auf diese Daten und können ihre Auswertungen fahren. Allerdings wird uns damit ein enorm größeres Zugeständnis beim Datenschutz abgefordert. Denn das Datenschutzrecht erlaubt grundsätzlich alles, zu dem wir zustimmen. Und dass wir bei den Smart Devices ungelesen vielem zustimmen, dem wir in anderen Lebensbereichen nicht zustimmen würden, zeigt sich an zahllosen Beispielen.
Man darf auch nicht vergessen, dass bei SARS-CoV-2 ein nationaler Alleingang früher oder später zum Scheitern verurteilt sein muss. Das Virus kennt keine Staatsgrenzen. Somit landen dann unsere Daten ganz schnell in aller Herren Länder.Das betrifft dann nicht nur die Daten der Infizierten, deren Persönlichkeitsrecht ohnehin der Gesundheit nachstehen muss, sondern alle unsere Bewegungsdaten und unsere Kontakte. Daraus lassen sich aufgrund der Aufenthaltsdauer und der Standortdaten sogar soziale Rückschlüsse ziehen.
Wenn sich für Corona die Überwachung als zielführend erwiesen hat oder mindestens als Königsweg definiert wird, obwohl keine belastbaren Beweise vorliegen, kann das unsere Privatsphäre nachhaltig für die Nach-Corona-Zeit schwächen. Es muss also gut überlegt sein, welche Lösung es geben soll.
Aktuell halte ich die API von Apple und Google nicht für die schlechteste Lösung! Selbst, wenn man diesen Konzernen kritisch gegenübersteht.
Zum Stromverbrauch:
Die API nutzt zwar Bluetooth aber der Stromverbrauch ist nicht vergleichbar mit dem bei gekoppelten Geräten. Es werden sogenannte Beacons ausgesendet, ohne dass sich Geräte koppeln müssen. Das Verfahren gleicht dem FM-Rundfunk. Der Sendet auch ständig. Auch wenn wir kein Radio anschalten. Und wenn wir das Radio anschalten, fängt es die Funksinale auf und baut keine Verbindung zur Sendeanstalt auf (anders als beim Internet-Radio)
www.tagesschau.de
