Corona-Tracking-Apps mit PEPP-PT: "Entscheidend ist für uns, dass der Datenschutz gewährleistet wird"
PEPP-PT, die Referenzimplementierung für Corona-Warn-Apps, soll sich laut Projekt-Mitgründer Chris Boos in der finalen Projektphase befinden.
(Bild: iko / Shutterstock.com)
Auf Basis des Projekts PEPP-PT (Pan European Privacy Protecting Proximity Tracing) soll es ab Mitte April eine oder mehrere Apps in Deutschland geben, mit denen Nutzer mittels Bluetooth-Technik feststellen können, ob sie sich in der Nähe einer erwiesenermaßen positiv getesteten Corona-infizierten Person aufgehalten haben, die ebenfalls das System nutzt. PEPP-PT liefert eine Referenzimplementierung, auf deren Basis dann verschiedene Apps rasch aufgebaut werden können. Der Quellcode der Lösung soll unter der Open-Source-Lizenz der Mozilla Foundation veröffentlicht werden.
Mehrere Apps auf Basis von PEPP-PT
Ursprünglich wollte die Projektgruppe ihre Plattform Anfang der Woche der Presse im Detail vorstellen. Doch der Termin wurde erst einmal verschoben, weil zuvor noch die laufenden Penetrationstests abgeschlossen werden sollen, teilte Chris Boos heise online mit. Er ist Mitinitiator von PEPP-PT und Gründer des Frankfurter Unternehmens Aarago. In Grundzügen ist das Projekt inzwischen bekannt, doch noch sind zahlreiche Details ungeklärt.
Heise online konnte jedoch vorab mit Boos einige Fragen klären. Boos geht demnach davon aus, dass es in Deutschland mehrere Apps geben wird: "Eine wird vom Robert-Koch-Institut kommen, ein andere von der Initiative 'gemeinsam gesund', es könnten aber auch noch andere hinzukommen." Boos geht dennoch davon aus, dass es in Deutschland eine zentrale Lösung geben wird, weil die gesetzlichen Vorgaben die Koordinierung über eine zentrale Stelle vorsehen. Jede App muss sich von dem PEPP-PT-Konsortium zertifizieren lassen.
Die Corona-Warn-Apps auf Basis der PEPP-PT-Plattform können je nach Land verschiedene Funktionalitäten enthalten, wie etwa einen Kontakt zu den Gesundheitsämtern. "Wie das ausgestaltet werden wird, wird jedes Land entsprechend seiner gesetzlichen Regelungen für sich entscheiden", erklärt Boos. Entscheidend sei, dass ohne die freiwillige Einwilligung der Nutzer keinerlei Daten übertragen werden. Er weist jedoch auch darauf hin, dass es sich in Deutschland bei Covid-19 um eine meldepflichtige Erkrankung handelt. Die Betroffenen sind also verpflichtet, sich persönlich bei ihrem Gesundheitsamt zu melden. "Dies kann möglicherweise über eine App abgebildet werden", sagt Boos.
Wechselnde ID-Nummern
Die Distanzdaten werden auf Bluetooth-Basis erfasst und lokal auf dem Gerät ausgewertet. Diese Daten werden nicht auf einem Server gespeichert, aber mit der ID-Nummer des Nutzers verknüpft. Die ID-Nummer wird nicht mit weiteren Daten wie etwa der E-Mail-Adresse oder der Handynummer verbunden. "Es handelt sich um eine Anonymisierung, nicht um eine Pseudonymisierung der Daten", betont Boos. Die ID-Nummer, die in den Handys gespeichert wird, wird im Moment vom System mindestens alle 30 Minuten ausgetauscht. Der Handybesitzer kann also mit dieser Information seine Infektionskette nicht nachverfolgen und andere identifizieren. Mit den erfassten Distanzdaten können im Falle eines positiven Tests andere Nutzer über ihre ID-Nummer informiert werden.
Wie dieser Informationsprozess erfolgt, ist noch nicht klar, unterschiedliche Lösungswege sind denkbar. Beispielsweise könnte die Information über mehrere Schritte durch das Gesundheitsamt erfolgen, wobei die Anonymisierung erhalten bleibt. "Applikationen, die die PEPP-PT Plattform nutzen, können nicht direkt mit dem Benutzer in Kontakt treten, sondern quasi für den Benutzer Nachrichten hinterlegen, die dieser dann abrufen kann", stellt Boos klar. Damit bleibe die Anonymität gewahrt. Diese Mitteilungen laufen über die PEPP-Plattform, wobei niemals bekannt ist, wer hinter der ID-Nummer steckt.
