In einem Artikel auf spektrum.de wird es erklärt:
'Die Bluetooth-Herangehensweise funktioniert zusammengefasst folgendermaßen: Über die Stärke des Bluetooth-Signals und andere Sensor-Informationen können Algorithmen grob den Abstand zweier Smartphones einschätzen – und damit, ob sich deren Besitzer in einem im Sinne der Epidemiologie zu nahen Abstand zueinander befanden, einem Abstand also, in dem sich das Virus wahrscheinlich übertragen lässt. So soll erkannt werden, wen wir in einem Abstand von unter zwei Metern und länger als 15 Minuten lang treffen.
Wird also ein App-Nutzer positiv getestet, kann mittels verschiedener sicherer, kryptografischer Verfahren zugeordnet werden, wem er in den letzten Tagen in diesem epidemiologischen Sinne begegnet ist. Diese Personen werden dann gewarnt, idealerweise getestet oder isolieren sich zumindest eigenverantwortlich.
Zentral oder dezentral: Was ist der Unterschied?
Prinzipiell gibt es zwei verschiedene Ansätze, über die debattiert wurde und wird. Das zentrale Konzept sieht vor, dass der Infizierte all seine »Kontakte« (anonyme, regelmäßig wechselnde Zeichenfolgen, die sein Smartphone von anderen empfangen hat, so genannte pseudonymisierte ID-Nummern) auf einen zentralen Server hochlädt, wo dann die Auswertung stattfindet. Von dort aus werden schließlich jene Menschen informiert, die sich möglicherweise angesteckt haben.
Das dezentrale Konzept sendet hingegen lediglich die eigenen pseudonymisierten ID-Nummern an einen Server. Über regelmäßige Updates der App fragen die Smartphones diese Daten ab und bekommen dabei auch die Information, ob eine bestimmte ID-Nummer »infiziert« ist. Die Geräte berechnen dann selbst, ob sie den dazugehörigen App-Nutzer im epidemiologischen Sinn getroffen haben. Deutschland, die Schweiz, Österreich, Italien und Estland haben sich nun für diese dezentrale Variante ausgesprochen. Frankreich und Großbritannien verfolgen anscheinend nach wie vor den zentralen Ansatz.
Beide Konzepte haben Schwächen
Erfolgt die Verarbeitung auf einem zentralen Server beispielsweise der Regierung, sammeln sich dort über die Zeit sehr viele Daten über menschliche Kontakte, die noch dazu deanonymisiert werden, um die Betroffenen benachrichtigen zu können. Über die Zeit hat diese zentrale Stelle also ein recht genaues Bild davon, wer wen getroffen hat. Und das ist eine zentrale Funktion von Überwachung, die ausgenutzt werden kann. »Deanonymisierung ist Teil der Funktion des zentralisierten Designs, und das ist gefährlich«, warnt Gürses und weiter: »Die zentrale Überwachung ist für uns absolut nicht akzeptabel, da das Ausspionieren durch Telefone mit Contact-Tracing über Apps nicht vermeidbar ist.«
Die dezentrale Lösung hingegen verhindert die Deanonymisierung ebenso wie die Aufzeichnung von Kontakt-Netzwerken. Allerdings gibt es hier ebenfalls Missbrauchspotenzial: Denn auch Daten auf den Smartphones selbst sind angreifbar. Das ist sowohl beim zentralen als auch beim dezentralen Ansatz der Fall. Hacker könnten einzelne Nutzer ausspionieren, Geheimdienste, die Polizei, Arbeitgeber oder gewalttätige Partner könnten die Herausgabe von Telefonen fordern und die Daten der App auslesen.
Daher müssten beide Varianten entsprechend abgesichert werden. Nur: »Schutzmaßnahmen gegen Regierungen haben sich in der Vergangenheit als wenig erfolgreich herausgestellt.« Mit der so genannten dezentralen Variante der Bluetooth-Kontaktverfolgung sei zumindest diese Art der »Big-Brother-Überwachung« ausgeschlossen, so Gürses. Andere argumentieren ähnlich, gebe es doch selbst in Europa Regierungen, die derzeit demokratische Grundsätze vermissen ließen.
Ein Hauptargument für den zentralen Ansatz von PEPP-PT war der Zeitfaktor: Das zentrale Konzept sei einfach schon weiter entwickelt. An erster Stelle stehe schließlich »der schnelle Kampf gegen die Pandemie«, teilte eine Sprecherin auf Anfrage per E‑Mail mit. Insbesondere die Deanonymisierung von persönlichen Daten sehen die DP-3T-Foscher jedoch als großes Problem der zentralen Variante. Darüber hinaus sei es möglich, gefakte »Krankmeldungen« etwa von berühmten Persönlichkeiten in das System zu laden. Noch dazu funktioniere das zentrale System nur dann, wenn die App im Vordergrund laufe. Das liegt daran, dass Apple und Google den App-Entwicklern bestimmte Beschränkungen auferlegt haben, um die Privatsphäre zu schonen. Daher müssten Nutzer das Smartphone also ungesperrt und mit der geöffneten App mit sich herumtragen.
Google und Apple schaffen Fakten – an der Demokratie vorbei
Das dezentrale Konzept wollen Google und Apple dagegen unterstützen und in die entsprechende Infrastruktur in ihr Betriebssystem einbauen. Sie wollen sicherstellen, dass die Bluetooth-IDs anderer Nutzer und die Kontaktdaten das Telefon nicht verlassen, sondern lediglich anzeigen, wenn es Übereinstimmungen gibt.
Gürses ist trotzdem wenig begeistert: »Wir sind von Google und Apple abhängig: Es gibt keine Möglichkeit, diese Apps zu entwickeln, ohne an der Infrastruktur und der von diesen Unternehmen angehäuften Macht beteiligt zu sein.« Denn die beiden Technikkonzerne müssen die Funktionsweise ihrer Telefone ändern, damit die Apps zur Kontaktverfolgung mittels Bluetooth überhaupt funktionieren.
Zudem könne diese Funktion später für Überwachung genutzt werden ebenso wie für alle Arten von exakterem Tracking, von Menschen zu Werbezwecken beispielsweise. »Die Möglichkeit, einen Abgleich unter Wahrung der Privatsphäre über Bluetooth durchzuführen und die Tatsache, dass mehr Menschen ihr Bluetooth einschalten werden, kann ausgenutzt werden.« Mit der Technologie lassen sich zum Beispiel Menschen in Supermärkten genau verfolgen: An welchem Regal bleiben sie stehen? Welche Produkte interessieren sie? Gürses kann sich gut vorstellen, dass Google auch ein finanzielles Interesse an dieser Technologie hat.
Außerdem haben Google und Apple angekündigt, das Protokoll für die Ermittlung von Kontaktpersonen im Betriebssystem zu implementieren. »Dies bedeutet, dass künftig alle Telefone mit einer Funktion für die Ermittlung von Kontaktpersonen ausgestattet sind – es ist vermutlich nicht notwendig, eine App zu installieren.« Die US-Unternehmen hätten die Macht, das einfach zu entscheiden, obwohl solche Vorgehensweisen eigentlich gesamtgesellschaftlich entschieden werden sollten: »Diese Unternehmen können demokratische Prozesse damit umgehen, einfach dadurch, dass Menschen Telefone in der Hand haben und diese Contact-Tracing in ihre Funktion integriert haben.«
Insgesamt sei es wichtig, trotz der aktuellen Situation eines nicht aus dem Blick zu verlieren: »Wir entwickeln hier Überwachungstechnologien weiter: Mit GPS kann man auch überwachen, wer beispielsweise auf einer Demonstration war«, sagt Seda Gürses, »aber Bluetooth ist noch viel genauer. Man kann exakt verfolgen, wer wen getroffen hat.« Das ist für Behörden durchaus attraktiv. »Und jetzt arbeiten wir auch noch daran, das Tracking via Bluetooth noch exakter zu machen.« Sie teilt daher eine zentrale Sorge mit vielen Kollegen: »Selbst wenn wir uns für die dezentrale App entscheiden, verbessern wir die Bedingungen für die Überwachung – und das wird bleiben, auch wenn Covid19 wieder weg ist.«'