Ein Jahr Corona-Warn-App: Die große Bevormundung durch Google und Apple
Selten ist eine Smartphone-Anwendung mit so hohen Erwartungen an den Start gegangen wie die Corona-Warn-App der Bundesregierung. Vor knapp einem Jahr, am 16. Juni 2020, kündigten gleich mehrere Minister zusammen mit den Chefs von Deutscher Telekom und SAP vollmundig "die beste Corona-App der Welt" an. Doch der Nutzen der App bei der Bekämpfung der Coronavirus-Pandemie ist sehr begrenzt gewesen. Die Einschränkungen der neuen Bluetooth-Schnittstelle von Google könnten daran einen Anteil haben. Und Versäumnisse der Bundesregierung bei gesetzlichen Regelungen.
Um es gleich vorwegzunehmen: Der Datenschutz hat zu keinem Zeitpunkt eine Nutzung der App verhindert, die mehr epidemiologisch auswertbare Daten hätte liefern können. Nicht die Politik oder die Datenschützer haben die Grundsatzfrage zwischen zentraler und dezentraler Auswertung der Risikobegegnungen entschieden. Das haben Google und Apple übernommen. Vallis Silicii locuta causa finita(öffnet im neuen Fenster) , lässt sich der Spruch über die finale Entscheidungsmacht Roms in die heutige Zeit übertragen. Eine Entscheidung, die dazu geführt haben könnte, den Kampf gegen Corona schwieriger als nötig zu gestalten.
Missbrauchspotenzial durchaus vorhanden
Zweifellos ist eine Kontaktnachverfolgung per Smartphone ein nicht ungefährliches Werkzeug, das bei unzureichendem Datenschutz missbraucht werden kann. Das wäre beispielsweise der Fall, wenn sich die Nutzer mit ihren Personendaten anmelden müssten und es auf diese Weise möglich würde, Begegnungen zwischen konkreten Personen zu verfolgen. Oder wenn die Daten über IP-Adressen deanonymisiert werden könnten. Die Missbrauchsgefahr würde noch steigen, wenn die App Standortdaten per GPS sammeln und an einen zentralen Server übermitteln würde.
Dabei spielt es überhaupt keine Rolle, wie nützlich solche Daten wären und welche Behörde diese Datenflut überhaupt auswerten könnte. In demokratischen Ländern könnten solche invasiven Konzepte zumindest daran scheitern, dass nur wenige Nutzer die Corona-Apps installieren würden. In anderen Staaten könnten sie in der Tat als Überwachungstool genutzt werden. Mit ihren zig Milliarden Dollar Unternehmensgewinnen könnten es sich Google und Apple jedoch problemlos leisten, die Corona-Warn-Apps aller Länder auf Überwachungsfunktionen zu überprüfen.
Datenschützer lehnen zentrale Konzepte nicht grundsätzlich ab
Mit ihrer Grundsatzentscheidung haben die Firmen jedoch alle Staaten weltweit über einen Kamm geschoren. Selbst unter höchsten Datenschutz- und Sicherheitsstandards ist es nicht möglich gewesen, die Bluetooth-Schnittstelle für ein zentrales System zur Generierung und Auswertung der Nutzerschlüssel aufzubauen. Dabei hat die deutsche Datenschutzkonferenz (DSK) in der Debatte um die Clustererkennung durch Apps wie Luca festgehalten: "Beide Ansätze erlauben grundsätzlich die gleiche Funktionalität, sowohl im Hinblick auf die Erfüllung der infektionsschutzrechtlichen Anforderungen (...) als auch auf die Einhaltung der datenschutzrechtlichen Vorgaben."
Weiter heißt es in der Stellungnahme (PDF)(öffnet im neuen Fenster) : " Bei Kontaktnachverfolgungssystemen, die Kontaktdaten in großem Umfang verarbeiten, ist das Risiko für die Rechte und Freiheiten natürlicher Personen durch geeignete technische und organisatorische Maßnahmen wirksam einzudämmen."
Was hilft den Epidemiologen?
Ein solches Konzept war zu Beginn der Coronavirus-Pandemie mit PEPP-PT entwickelt worden. Auch die Bundesregierung hatte zunächst das zentrale Konzept bevorzugt , schwenkte dann jedoch um, damit die Bluetooth-Schnittstelle von Google und Apple genutzt werden konnte.
Dabei hatte selbst der Chaos Computer Club (CCC) in seinen Prüfsteinen für Contact-Tracing-Apps an erster Stelle gefordert: "Grundvoraussetzung ist, dass 'Contact Tracing' tatsächlich realistisch dabei helfen kann, die Infektionszahlen signifikant und nachweisbar zu senken. Diese Beurteilung obliegt der Epidemiologie." Eine solche Einschätzung war zu Beginn der Pandemie selbst für Epidemiologen nur schwer abzugeben.
Das zentrale Konzept hätte den Gesundheitsbehörden mehr epidemiologisch auswertbare Daten liefern können.
Auch anonyme GPS-Daten hätten helfen können
Aus der durchschnittlichen Zahl der Risikokontakte eines Infizierten hätte das Robert-Koch-Institut (RKI) beispielsweise besser den Verlauf der Epidemie modellieren oder die Wirksamkeit von Kontaktbeschränkungen einschätzen können. Damit wäre es vielleicht möglich gewesen, die Epidemie effektiver zu bekämpfen und starke Grundrechtseinschränkungen wie pauschale Ausgangssperren zu vermeiden. So diente die App lediglich dazu, Nutzer nachträglich über Risikobegegnungen zu informieren und sie damit zu einem Test zu animieren.
Bei beiden Systemen wäre es denkbar gewesen, sämtliche Begegnungen per GPS zu lokalisieren und die Standortdaten lokal auf dem Smartphone zu speichern. Würden später Risikobegegnungen ermittelt, könnten die GPS-Daten dieser Begegnungen anonymisiert an die Gesundheitsbehörden gesendet werden. Diese gewännen dann einen Überblick, wo tatsächlich solche Kontakte stattfinden und könnten überprüfen, ob aus möglichen Brennpunkten Infektionen erfolgen oder die Schutzvorkehrungen ausreichend sind. Das wäre für die Politik sehr hilfreich, um gezielter Schutzvorkehrungen zu beschließen.
Bluetooth-Schnittstelle bleibt eine Black Box
So gab es im Winter in Baden-Württemberg einen lokalen Corona-Ausbruch(öffnet im neuen Fenster) , weil sich eine Wandergruppe gemeinsam in einer Hütte aufgehalten hatte. Würden die Behörden solche Orte vermehrt identifizieren, könnten sie besser vor den Gefahren solcher Treffen warnen. Aus Datenschutzgründen erlauben Google und Apple jedoch nicht den Zugriff der Corona-Warn-Apps auf die Standortdaten. Damit sind Überlegungen müßig, ob solche Daten überhaupt verwendet werden könnten und wie eine solche Verwendung technisch und datenschutzrechtlich abgesichert werden könnte.
Kurioserweise müssen für fast alle Android-Geräte die Standortdaten dennoch freigegeben werden, um Bluetooth Low Energy überhaupt nutzen zu können. Was Google mit den Standortdaten macht, ist völlig unklar. Denn die Bluetooth-Schnittstelle ist weiterhin eine Black Box, weil der Quellcode nicht offen ist. Stattdessen bevormundete man lieber alle Gesundheitsbehörden der Welt, was die Nutzung der Schnittstelle betrifft.
Pandemie arbeitete gegen die App
Natürlich muss offen bleiben, ob eine anders ausgewertete Corona-App dazu beigetragen hätte, den Verlauf der Coronapandemie besser zu verstehen und durch gezielte Maßnahmen effektiver zu bekämpfen. Denn die generellen Einschränkungen der Kontaktnachverfolgung auf Bluetooth-Basis wären auch bei einer zentralen Auswertung unverändert gewesen.
So gibt es nach einer Änderung des Algorithmus schon seit Dezember praktisch keine Warnungen mehr auf der App. Die Begegnungen mit niedrigem Risiko sind zumindest bei den App-Nutzern in der Golem.de-Redaktion völlig verschwunden. Zwar war nie so ganz klar, wie man mit diesen Begegnungen umgehen sollte, aber psychologisch hatten sie zwei positive Effekte: Man wusste immerhin, dass es da draußen mehr oder weniger viele Infizierte gab, denen man nahe gekommen war. Das steigerte die eigene Vorsicht. Und man hatte einen Grund, regelmäßig auf die App zu schauen und sie wegen ausbleibender Warnungen nicht irgendwann völlig zu ignorieren.
Ein weiteres Problem mit der Kontaktnachverfolgung hat sich erst im Verlauf der Pandemie herausgestellt. Aerosolforscher haben darauf verwiesen, dass man sich in Innenräumen auch ohne direkte Begegnung infizieren kann, wenn sich ein Infektiöser vorher in einem schlecht belüfteten Raum aufgehalten hat. Solche Risiken lassen sich per Bluetooth-Tracing aber nicht erkennen.
Darüber hinaus haben Anti-Corona-Maßnahmen wie das verpflichtende Tragen von FFP2-Masken dazu beigetragen, den Nutzen der Corona-App einzuschränken. Die Bluetooth-Technik kann nicht unterscheiden, ob eine Person durch eine FFP2-Maske geschützt ist oder nicht. Damit steigt die Wahrscheinlichkeit von Fehlalarmen, die schon von Anfang an bestanden hat. Beispielsweise dann, wenn zwei Nutzer der App durch eine Wand oder Glasscheibe getrennt waren.
Solche Effekte haben dazu beigetragen, dass der Nutzen der App für die Unterbrechung von Infektionsketten geringer wurde. Eine bessere epidemiologische Nutzung war jedoch nicht möglich. Mit Hilfe manueller Kontakttagebücher oder der Clustererkennung wurde versucht, dieses Manko auszugleichen. Dabei hat das Konzept der Corona-Warn-App bei der Clustererkennung ebenfalls erhebliche Defizite. Wer etwas anderes behauptet, macht sich selbst etwas vor.
Wie erfolgreich war denn nun die App?
Das hat das RKI im vergangenen März mit Hilfe von Nutzerbefragungen zu klären versucht. Demnach hat jede Warnung über die App im Schnitt sechs weitere Nutzer erreicht, berichtete Zeit Online (Paywall)(öffnet im neuen Fenster) unter Berufung auf die Behörde. Laut Spiegel(öffnet im neuen Fenster) waren zwei Drittel der Gewarnten von einem roten Risikonachweis überrascht. Von diesen Personen hätten sich 80 Prozent testen lassen. Davon wiederum wurden sieben Prozent positiv getestet.
Das RKI hat daraus hochgerechnet, dass fünf Prozent aller Infektionen in Deutschland durch die App entdeckt wurden. Seit Einführung der App vor einem Jahr wären das 176.000 der mehr als 3,5 Millionen Infektionen gewesen. Das ist besser als nichts. Eine wissenschaftliche Auswertung der Befragung will das RKI in den kommenden Wochen auf dem Blog der Corona-Warn-App(öffnet im neuen Fenster) veröffentlichen.
Gesetzliche Grundlage versäumt
Es hätten noch deutlich mehr sein können, wenn die Koalition von Union und SPD ihre gesetzlichen Hausaufgaben gemacht hätten. Denn von den potenziell 764.286 teilbaren Testergebnissen zwischen dem 1. September 2020 und 1. Juni 2021 wurden nur 470.003 geteilt, was einem Anteil von 61 Prozent entspricht.
"Mit einem Gesetz zur Corona-Warn-App hätte man unter anderem regeln können, dass nur noch eine Einwilligung zum Teilen eines Testergebnisses in der App notwendig ist" , sagte der Bundesdatenschutzbeauftragte Ulrich Kelber auf Anfrage von Golem.de und fügte hinzu: "Wir wissen nicht, aus welchen Gründen die Menschen ihre Testergebnisse nicht teilen, aber man hätte es ihnen an dieser Stelle einfacher machen können und so mehr Solidarität für alle erreicht."
Kelber: 40 Millionen Downloads wären möglich gewesen
Das heißt: Die Bundesregierung hat zig Millionen Euro für Entwicklung und Betrieb der App ausgegeben, aber an entscheidender Stelle versäumt, deren Nutzen erheblich zu steigern. Von Anfang an hatten Datenschützer, Netzaktivisten und die Opposition eine gesetzliche Grundlage für die Corona-Warn-App gefordert.
Darüber hinaus kritisiert Kelber die fehlende Werbung für die App: "Wenn die Kommunikation rund um die App besser gewesen wäre, dann gäbe es statt 28 vielleicht mittlerweile 40 Millionen Downloads." Wobei völlig unklar ist, wie viele Personen die App tatsächlich nutzen. Während dies im vergangenen September noch anhand der täglichen Serverabfragen ungefähr eingeschätzt werden konnte, ist das inzwischen nicht mehr möglich. Denn die Apps verbinden sich inzwischen mehrfach am Tag mit dem Server.
Meldequote bleibt niedrig
Vermutlich dürfte die damalige Nutzerquote von 80 Prozent nicht gestiegen sein, was angesichts der bislang 28,1 Millionen Downloads etwa 22,5 Millionen aktiven Geräten entspricht. Das erscheint auf den ersten Blick viel. Dennoch lag der Anteil der über die App gemeldeten Infektionen im Vergleich zu den gesamten Infektionen in den vergangenen sieben Tagen nur bei 14 Prozent. Was auch ein Resultat der niedrigen Meldequote ist.
Zudem nutzt einer aktuellen Umfrage des IT-Branchenverbands Bitkom zufolge die Hälfte der über 65-Jährigen kein Smartphone. Für diese Gruppe hat es bislang keine andere technische Lösung gegeben.
Was von Telekom-Chef Tim Höttges vor einem Jahr ebenfalls vollmundig angekündigt und nicht geschafft wurde: die Anbindung sämtlicher Testlabore an die Corona-App.
Immer noch nicht alle Labore angebunden
"Wir werden in den nächsten vier Wochen alle Testlabore und Gesundheitsämter in diesen Digitalisierungsprozess integrieren, um sie komplett von den analogen, sehr aufwendigen manuellen Prozessen zu entlasten" , hatte Höttges damals gesagt. Dazu sagt Kelber nun: "Was mich wirklich stört ist, dass immer noch nicht alle Labore angebunden sind. Das macht weiterhin den Betrieb der weniger datenschutzfreundlichen Telefonhotline notwendig."
Für Kelber war die App dennoch "in ihrer Entstehung ein Musterbeispiel für eine transparente und datenschutzfreundliche digitale Lösung für ein ganz bestimmtes Problem" . Leider sei die App dann nicht schnell und konsequent weiterentwickelt worden. Die inzwischen hinzugefügten Funktionen wie das Kontakttagebuch, das Check-in bei Veranstaltung und das Einlesen von Impfzertifikaten hätten datenschutzkonform umgesetzt werden können.
Kritik an der Datenschutz-Kritik
Als kontraproduktiv bezeichnet Kelber dabei die "ständige öffentliche Kritik von Personen ohne Sachkenntnis oder zur Ablenkung von anderen Versäumnissen" . Das habe Vertrauen gekostet und damit möglicherweise mehr Downloads verhindert.
In diesem Zusammenhang hatten Politiker von Union, SPD und Grünen beispielsweise den "Datenschutz-Fetischisten in unserem Land" vorgeworfen, einen effektiveren Einsatz der App zu verhindern. Es wurden Forderungen erhoben, die sich mit der Bluetooth-Schnittstelle technisch nicht umsetzen ließen, was aber mit einem angeblichen "Datenschutz-Kult" begründet wurde. Von Kritik an Google oder Apple war indes nie etwas zu hören.
Digitale Mittel wie Apps können das verantwortungsvolle Verhalten der Menschen nicht ersetzen. Sie könnten aber mehr Daten liefern, um die Ausbreitungsmechanismen des Virus in Verbindung mit virologischen und epidemiologischen Erkenntnissen besser zu verstehen. Das scheiterte bislang an der Bluetooth-Schnittstelle von Google und Apple, weniger am Datenschutz.
Wenn man von vornherein viele technische Möglichkeiten ausschließt, fällt es schwer, mit Hilfe von Technik nach sinnvollen Lösungen zu suchen. Die beiden Konzerne sollten sehr genau prüfen, ob sie damals die richtige Entscheidung getroffen haben.
- Anzeige Hier geht es zu den aktuellen Blitzangeboten bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.