Die gemeinsam von Google und Apple vorgestellte COVID-19-Lösung hat schon für viel Aufsehen gesorgt, einige Fragen blieben aber offen. Am 4. Mai hat Google aber weitere Einzelheiten bekannt gegeben, so ist mittlerweile über Github eine Vorversion der Exposure Notifications API verfügbar. Apples ExposureNotificationFramework ist für Apple-Entwickler als Bestandteil der Betaversion von iOS 13.5 verfügbar.
Foto: Apple, via Macrumors
Für die Nutzung der per Betriebssystem bereitgestellten Schnittstellen gelten strikte Regeln, so steht die Nutzung ausschließlich Apps von Gesundheitsbehörden zur Verfügung. Diese müssen bestimmte Anforderungen an Privatsphäre, Sicherheit und Datenschutz erfüllen – Apple und Google selbst haben etwa keinen Zugriff auf die Daten. Die Daten werden nur auf dem Gerät gesammelt und der Nutzer muss dieser Datenerfassung zustimmen.
Es wird auch betont, dass Apple das System wieder abschalten wird, wenn es nicht mehr benötigt wird – auf regionaler Basis.
Wann gilt jemand als Match?
Was bei den ersten Präsentationen nicht ganz klar wurde, ist die Definition des Matches, also wann eine Begegnung als gefährlich gelten soll. Entscheidend ist laut den aktuellen FAQ die Nähe und Dauer des Kontaktes zu einem Infizierten. Die Gesundheitsbehörden sollen dabei die Mindestdauer selbst festlegen. Um als Kontakt gespeichert zu werden, muss der Nutzer mindestens fünf Minuten in Bluetooth-Reichweite der anderen Person sein. Längere Zeiten bis zu 30 Minuten werden mit fünf Minuten Abstand erfasst. Auch die Distanz wird erfasst, dazu wird die Signalstärke der Bluetooth-Verbindung gemessen – je stärker das Signal, desto geringer die Distanz. Dass dies keine sehr exakte Entfernungsmessung ist, wird angemerkt.
Foto: Apple
Regeln für App-Entwickler
Wie bereits von Google und Apple angekündigt, darf das System nur von einer offiziellen staatlichen Gesundheitsbehörde oder für den Gebrauch einer solchen Behörde erstellt werden. Die Funktionen dürfen etwa ausschließlich zum Zweck der Bekämpfung von COVID-19 verwendet werden, wie etwa Google in einer ausführlichen Terms of Service für Entwickler festgelegt wird. Die Vorgaben von Apple sind noch nicht bekannt, werden vermutlich aber sehr ähnlich lauten.
Hoch sind die Anforderungen zum Schutz der Daten: Beim Datenschutz gibt es eine ganze Serie Einschränkungen, die Entwickler akzeptieren müssen. So ist etwa die Erfassung von Daten zur Religion, Alter, sexuellen Orientierung und anderen gesellschaftlichen Gruppierungen ausgeschlossen. Der Nutzer muss um Einwilligung gebeten werden, darf nicht nach persönlichen Daten gefragt werden. Ebenso muss aber die Deinstallation, und das Abschalten von Benachrichtigungen möglich sein.
Viele Einschränkungen gibt es beim Umgang mit den per Bluetooth erfassten Daten, die ja zum größten Teil auf dem Gerät bleiben sollen. So dürfen keine zusätzlichen Daten wie Geräte-IDs abgefragt werden, ausschließlich Daten für die Zwecke der App dürfen gesammelt werden. Dienste von Drittherstellern, etwa Analytics, dürfen etwa nicht integriert werden. Auch der Zugriff auf die vom System gesammelten Bluetooth-Daten ist strikt begrenzt, nur auf den so genannte Diagnose Key darf von der App zugegriffen werden. Verlangt wird aber auch, dass die App den Nutzer nach einem Kontakt mit einem Infizierten mit Informationen über die nächsten Schritte versorgt.
Fazit
Beim Schutz der Daten setzten Google und Apple hohe Anforderungen, die aus Sicht der Anwender einen sehr guten Eindruck machen. Allerdings müssen auch die Gesundheitsbehörden den Einschränkungen zustimmen, was noch keineswegs sicher ist. (Macwelt)