Corona-App "StopCOVID" der französischen Regierung sammelt mehr Daten als gestattet

Die von der Regierung eingerichtete App beschränkt sich nicht wie angekündigt auf die Zählung von Kontakten "innerhalb eines Meters für mindestens fünfzehn Minuten", sondern sammelt Daten aller Personen, die sich "gekreuzt" haben – ob nah oder fern – ob kurz oder lang.

Die von der französischen Regierung bereitgestellte App sorgt zunehmend für Kritik. Laut den offiziellen Angaben im Vorfeld, sollte die Nutzung der App folgendermaßen vonstattengehen: Man lädt die App herunter, deklariert sich im Fall einer Ansteckung als Infiziert – anschließend werden alle Daten von Personen an einen Zentralserver übermittelt, mit denen man "innerhalb eines Meters für mindestens 15 Minuten" in Kontakt war. Natürlich müssen dafür auch die Personen, die man "gekreuzt" hat, ebenfalls diese App installiert haben.

Die "gekreuzten Personen" werden daraufhin benachrichtigt, dass sie jemanden getroffen haben, der das Virus eventuell auf sie übertragen haben könnte. In einem Dekret vom 30. Mai 2020 hatte die französische Regierung die Parameter "weniger als ein Meter für mehr als eine Viertelstunde" als rechtliche Grundlage für die App festgelegt. Doch offenbar verstößt die App genau gegen diese Grundlage.

Der digitalen Sammelwut "auf die Spur gekommen" ist Gaëtan Leurent, Forscher auf dem Gebiet der Kryptografie am Inria. Die Regierung hatte dem französisch nationalen Forschungsinstitut für Informatik (INRIA) die Leitung des StopCOVID-Projekts übertragen. Leurent ist auch mitverantwortlich für die Webseite risques-tracage.fr (auf Deutsch ungefähr "Risiko Verfolgung/Markierung"), die sehr früh unter dem Titel "Anonyme Fahndung, ein gefährliches Oxymoron" auf die Gefahren einer derartigen App hinwies. 

Besonders faszinierten den Forscher zwei miteinander verknüpfte Punkte: Wie der Abstand zwischen zwei Geräten berechnet wird und welche Informationen gesendet werden, wenn man sich für krank erklärt. Also führte Leurent ein kleines Experiment durch. Er platzierte zwei Telefone im Abstand von fünf Metern, durch eine Wand getrennt und für eine Zeitdauer von nur wenigen Sekunden. Dann erklärte er sich fälschlicherweise für infiziert. Das Ergebnis: Der Kontakt zwischen den beiden Geräten wurde, obwohl epidemiologisch uninteressant, dennoch an den zentralen Server gesendet.

Die App sammelt somit deutlich mehr Daten, als die französische Regierung angekündigt und gestattet hatte. Auf eine Anfrage des französischen Online-Mediums Mediapart bestätigte das französische Sekretariat für digitale Angelegenheiten, dass "StopCOVID auf der Proximity History eines positiv diagnostizierten Nutzers basiert: Diese Proximity History setzt sich aus den Kontakten zusammen, denen der positive Nutzer begegnet ist".

Mit anderen Worten: alle Kontakte, nicht nur die engsten. "Die Berechnung der Risikoexposition eines der Kontakte in dieser Annäherungsgeschichte erfolgt auf dem Server", so das Sekretariat weiter. Es sei der Server, der unter allen Kontakten der positiven Person diejenigen ermitteln würde, die dem Infizierten nah genug und lange genug ausgesetzt gewesen seien.

Für Leurent ein Unding. Besser für die Privatsphäre sei es, so der Forscher, dass das Telefon selbst "die Entfernung zwischen sich und jedem anderen Bluetooth-Gerät berechnet und dann an den Server sendet, falls nötig, nur diejenigen, die sich lange genug in der Nähe aufgehalten haben", erklärte er gegenüber Mediapart.

Und er ergänzte: "Schade ist nur, dass wenn man alle Kontakte sendet, es viel mehr Informationen sind, als notwendig wären. Es besteht ein Risiko für die Privatsphäre, wenn Informationen mit böswilligen Mitteln neu identifiziert oder wiederverwertet werden."

Das Online-Medium zitiert auch den Hacker und Computersicherheitsforscher Robert Baptiste, der sich ebenfalls misstrauisch zeigt. "Wir treffen jeden Tag die gleichen Leute, wir arbeiten mit den gleichen Leuten", so Baptiste. Mit der Funktionsweise der App könnten böswillige Akteure "die Daten ziemlich schnell wieder identifizieren". Er bedauere die Wahl, die von der Regierung für die App getroffen wurde. Es sei durchaus möglich, die App so einzurichten, dass sie "sortiert, was sie sendet".

Das Sekretariat für digitale Angelegenheiten widerspricht einem derartigen Szenario. Es gäbe keine Möglichkeit der Rekonstruktion des sozialen Graphen durch den Server, da er nur die Daten der exponierten Person (und nicht die der positiven Person) speichere, so das Sekretariat. Die Speicherung und Übertragung der Kurzkontakte sei dadurch gerechtfertigt, dass jedem Gerät viertelstündlich eine neue Kennung zugewiesen würde. So könnte ein Kontakt, der nur fünf Minuten dauern würde, die Fortsetzung eines 12-minütigen Kontakts sein: zwei Kontakte, die nur der Server verbinden kann, um zu verstehen, dass es sich eigentlich um einen 17-Minütigen handele.

Doch man könne das Problem auch anders lösen, als mit dem Sammeln aller Daten, so Leurent. Beispielsweise könne das Telefon die Daten filtern, um die kurzen Kontakte nur dann zu speichern, wenn sie kurz vor oder kurz nach einer ID-Änderung stattfinden. Damit wären dem Forscher zufolge bereits die Mehrzahl der kurzen Kontakte eliminiert.

Der Rechtsanwalt Vincent Brengarth geht in seiner Einschätzung der App deutlich weiter. Laut dem Juristen könnte die Sammelwut der App die Menschenrechte der Franzosen verletzen. Brengarth verwies in dem Zusammenhang auf den Paragrafen 226-16 des französischen Strafgesetzbuches, das unter anderem drei Jahre Gefängnis demjenigen androht, der "aus Nachlässigkeit, namensbezogene Informationen automatisiert verarbeitet oder verarbeiten lässt, ohne die vor ihrer Verwendung gesetzlich vorgesehenen Formalitäten einzuhalten".