Kommentar zur Corona-AppVieles doch noch richtig gemacht

Der Beweis, dass die Corona-Warn-App einen relevanten Beitrag zur Bekämpfung der Pandemie leisten kann, steht noch aus. Klar ist aber schon: Die Bundesregierung hat in der Umsetzung vieles richtig gemacht. Bitte jetzt nicht vermasseln! Ein Kommentar.

Handybildschirm mit Coronavirus
Nicht von jeder Firma will man eine Nachricht erhalten. – Gemeinfrei-ähnlich freigegeben durch unsplash.com CDC / Szabo Viktor | Bearbeitung: netzpolitik.org

Morgen will die Bundesregierung die „Corona-Warn-App“ zur Nachvollziehbarkeit von möglichen Infektionsketten präsentieren. Es hat länger gedauert, auch weil man zuerst mit Pepp-PT auf ein anderes System mit zentraler Datenspeicherung gesetzt hatte. Aber für ein IT-Projekt unter Beteiligung der Bundesregierung lief es dann doch recht schnell.

Vor allem hat sich die Debatte gelohnt. Denn mit dem nun umgesetzten dezentralen DP-3T-Ansatz hat man sich für das bessere System entschieden. Dieser Ansatz verhindert, dass zentral gespeicherte Daten zweckentfremdet und für Überwachung genutzt werden können. Und das ist wichtig, um Vertrauen aufzubauen.

Die größten Datenschutzbedenken sollte man zur generellen Nutzung von Smartphones haben, die für die Nutzung der App gebraucht werden und durch deren Nutzung Datenspuren anfallen. Kleiner Vergleich: Wer Whatsapp auf dem eigenen Smartphone installiert hat, schenkt Facebook (und wahrscheinlich der NSA) im Gegenzug für die Nutzung viel detailliertere Daten über die eigenen sozialen Verbindungen als es diese App jemals könnte.

Was viele Jahre gefordert und fast nie umgesetzt wurde, ging auf einmal doch: Die App und das ganze System drumherum stehen als Open-Source-Software auf Github. Der Code ist einsehbar und wird auch fleißig analysiert, potenzielle Fehler werden kommuniziert und Lösungen eingearbeitet. Kurzum: Es findet eine Kommunikation mit einer interessierten Community statt. Das könnte und sollte zukünftig der Standard werden, bitte nicht nur hier als einmalige Ausnahme.

Offene Fragen bleiben

Aber offene Fragen bleiben auch zum Launch.

Wie schaut es mit Interoperabilität zu den Lösungen in anderen Staaten aus, etwa zu Frankreich und seiner zentralen Lösung? Was ist mit Personen, die im Grenzbereich verkehren? Funktionieren die Schnittstellen zu Laboren und Gesundheitsämtern, die in diese Prozesse eingebunden sind und verfügen die über einfache Möglichkeiten zum Einlesen von QR-Codes?

Funktionieren die Bluetooth-Schnittstellen und wie verhindern die eingebauten Algorithmen, dass nicht die Nachbarn in die eigenen Kontaktlisten kommen, die man zwar noch nie gesehen hat, die aber direkt auf dem Sofa hinter der Wand sitzen? Vielleicht klappt das, die App muss es aber noch unter Beweis stellen. Zumindest ist Bluetooth Low Energy das kleinste Übel bei der Umsetzung. Und alles ist besser als ein Überwachungsstaat, wie Südkorea ihn für diesen Zweck hochgezogen hat.

Es bleibt die Frage ungelöst, was genau freiwillig ist. Die Bundesregierung argumentiert damit, dass niemand gezwungen wird, die App herunterzuladen und zu nutzen. Aber stimmt das auch in Zeiten einer Pandemie, in der sozialer Druck herrscht, etwas tun zu müssen, damit es zu keiner zweiten Welle kommt? Wird es Arbeitgeber:innen geben, die ihren Angestellten vorschreiben, die App zu nutzen, vielleicht auch um Zettelwirtschaft und Excel-Listen zu vermeiden? Wie wird verhindert, dass nicht im Herbst bei einer möglichen neuen Welle auf einmal eine Verpflichtung kommen könnte?

Eine Lösung für diese Fragen kann ein Begleitgesetz geben, das die Rechtsgrundlage liefert und zukünftige Zweckentfremdungen ausschließt. Solch ein Gesetz ist bislang nicht geplant.

Und überhaupt: Funktioniert die Wette der Epidemiolog:innen und Virolog:innen darauf, dass eine solche App zur Kontaktverfolgung und Eindämmung ein wichtiger Baustein sein könnte? Die bisherigen App-Versuche aus anderen Staaten sind eher ernüchternd, aber auch schwer zu vergleichen. Da gab es in der Regel die Google- und Apple-Schnittstellenverbesserungen noch nicht.

Auch die beste App ist kein Wundermittel

Sollte man die App installieren? Wir geben keine Empfehlung dafür ab, das sollten unsere Leser:innen selbst entscheiden. Aber wenn man sich die bisherigen analogen Prozesse zur Kontaktverfolgung von Infektionsketten mit Telefonlisten in Gesundheitsämtern anschaut, dann könnte eine App-Lösung besser skalieren. Oder erinnerst Du Dich, wen Du vor 5 bis 7 Tagen für mindestens 15 Minuten in einem Raum angetroffen hast? Und wie die Personen hießen und wie ihre Telefonnummern waren? Und falls ja: Möchtest Du diese Namen einer fremden Person am Telefon nennen?

Auch die beste Corona-App ist kein Wundermittel im Umgang mit dieser Pandemie, wie es einem manchmal in der Debatte vorkommt. Sie ist nur ein Bestandteil von vielen Maßnahmen. Mindestabstand halten, weniger Kontakte und Maske tragen sind dafür viel relevanter. Aber solange wir keinen Impfstoff haben, stehen wir als Gesellschaft vor der Herausforderung, Lösungen gegen eine unkontrollierte Ausbreitung des Virus zu finden.

Dazu kann diese App beitragen, aber vielleicht finden wir auch heraus, dass der Beitrag viel kleiner ist als viele hoffen.

Forschende der Universität Oxford haben berechnet, dass 60 Prozent der Bevölkerung eine solche App nutzen müssten, um eine Pandemie komplett unter Kontrolle zu bekommen. Die Forscher:innen haben vergangene Woche nochmal erklärt, dass auch weniger Durchdringung einen effektiven Beitrag und damit Wirkung liefern kann. 60 Prozent wären auch sportlich: Das hat bisher nur Whatsapp geschafft, trotz der oben angemerkten Nebenwirkungen.

Fazit: Bei dieser App wurde bei einem sensiblen Thema und einem IT-Großprojekt mit Beteiligung der Bundesregierung (im Vergleich zu vielen, vielen anderen) ausnahmsweise vieles richtig gemacht. Es wurde zugehört, man hat auch nach Debatte und Kritik den Mut gehabt, das System rechtzeitig zu wechseln. Der Datenschutz wurde mitgedacht, auch dank vieler kritischer Forscher:innen, die mit DP-3T eine bessere Alternative vorgelegt haben.

Dieser Prozess kann eine Blaupause für zukünftige IT-Projekte der Bundesregierung werden. Auch wenn es derzeit danach aussieht, dass der eingeschlagene Weg gut ist: Liebe Bundesregierung, vermasselt es nicht und setzt das derzeit bestehende Vorvertrauen nicht aufs Spiel, indem die App verpflichtend wird. Eine App ist schneller wieder deinstalliert als heruntergeladen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

  1. Guter Kommentar! Ein schwieriger Punkt wird aber aus meiner Sicht nicht genug beachtet:
    Die App hat ja auch eine Schutzwirkung für die Teilnehmenden, sie wissen bestenfalls früher, dass sie angesteckt worden sein könnten – und können dementsprechend schneller ihre Umgebung schützen und selbst frühzeitig bei Symptomen in ärztliche Behandlung.
    Von dieser Schutzwirkung sind aber tendenziell die Risikogruppen (Senior:innen, Menschen in Armut, Obdachlose, …) ausgeschlossen, da sie kein Smartphone haben oder nicht gut bedienen können. Die Schutzwirkung geht also an den schutzbedürftigen Gruppen vorbei. Das lässt sich nicht ohne weiteres ändern und spricht nicht gegen den Einsatz der App – aber man sollte es zumindest zur Kenntnis nehmen und mal über Alternativen nachdenken.

    1. Das stimmt nicht ganz. Wie du bereits erwaehnt hast, schuetzt man durch die vorzeitige Erkennung auch sein Umfeld, also durchaus seine Eltern/Grosseltern und 2. Hand Smartphones bekommt man durchaus schon recht Kostenguenstig, teilweise kostenlos. Ob der App-Ansatz wirklich gut funktioniert, muss sich allerdings noch herrausstellen, aber es kann durchaus ein Baustein von vielen sein, um sich gegenseitig besser zu schuetzen. Und durch geziehlteres Testen, kann dann die freigewordene Kapazitaet durchaus fuer regelmaessige Tests der Risikogruppen verwendet werden, zumindest wenn dies politisch gewollt ist.

      1. Wie bekannt wurde, übertragen auch infizierte Katzen den Virus (neben einigen anderen Säugern und Vögeln)… Die meisten Tiere sind nicht in Isolation.
        Und der Virus hält sich länger als gedacht auf festen Untergrund, was die Zeitdauer des möglichen Kontaktes zu anderen Personen/Tieren auf Tage erweitert.
        Zu guter Letzt sind die Tests nicht sicher.
        Nach bisherigen Kenntnisstand ist diese App aus medizinischer Sicht ein netter, aber unüberlegter/unausgereifter Versuch zur Eindämmung einer Epidemie /Pandemie.

  2. > ganze System drumherum stehen als Open-Source-Software auf Github

    Verzeihung, aber dies ist schlichtweg falsch.

    Lediglich der Quellcode der zwei Apps und des Backends sind offengelegt. Jedoch ist die Kernfunktionalität eben nicht in den Apps implementiert, sondern in der Exposure Notification API von Apple bzw. Google. Der Code dieser Schnittstellen ist jedoch nicht frei, sondern als proprietäre Komponente in iOS bzw. Googles Play Services vorhanden. Überspitzt gesagt sind die Apps nichts anderes als hübsche UIs um diese API.

    Es lässt sich also nicht das gesamte System testen. Ferner sind die Schnittstellen nicht für jede:n verfügbar, da es dafür besondere Berechtigungen von Seiten Apples oder Googles benötigt. Diese werden jedoch, wie im Framework FAQ beschrieben, nur an die Gesundheitsbehörden der Länder rausgegeben. Folglich lässt sich die Kernfunktionalität der Apps als dritte Person gar nicht testen. Tolles „Open Source“ was sie da haben.

  3. Dummerweise braucht die App iOS 13. Ich finde so eine App sollte mindesten noch iOS 12 unterstützen. Hier sind Statistiken dazu:

    Version Nutzer
    13.X 92.5%
    12.X 5.1%
    11.X 0.7%
    10.X 0.7%

  4. Ohne Google auf dem Android Handy keine Corona App.
    Ich habe Lineage OS und ein komplett google freies Handy, deshalb funktioniert die App bei mir nicht.
    Open Source ist anders

    1. Sehe ich genauso. Auf meinen /e/ Handy geht das aktuell nicht. Die App kann man zwar über den Aurora Store installieren, aber sie läuft natürlich – Stand heute – nicht.

  5. Zumindest unter Android ist die Geschichte mit „Standortinformation“ noch nicht zu Ende erzählt.

  6. Die BNN haben mit Thorsten Strufe gesprochen. Er ist Professor für IT-Sicherheit am KIT und hat sich die Corona-Warn-App angeschaut.

    Strufe: … Mich stört aber, dass lange bekannte Sicherheitslücken in der Öffentlichkeit totgeschwiegen werden.

    BNN: Was meinen Sie damit?

    Strufe: Die Anonymisierung ist nicht sicher. Ich kann mit einer zweiten App meinem Handy beibringen, die anonymen Kontakte abzuspeichern und sich gleich auch noch zu merken, wann ich die Person getroffen habe. Kommt dann die Meldung, dass jemand, mit dem ich zusammen gekommen bin, Corona-Positiv ist, ist der Kontakt selbst zwar weiter anonym. Ich weiß aber, wann er stattfand und kann in meinem Kalender nachschauen, wen ich zu diesem Zeitpunkt getroffen habe.

    Quelle: https://bnn.de/lokales/karlsruhe/it-experte-zu-corona-warn-app-die-sicherheit-ist-lueckenhaft

  7. Gibt es denn eine Möglichkeit an die App zu kommen ohne sich im Google Play Store anmelden zu müssen?

  8. Im Wesentlichen alles richtig gemacht?

    Ein klares Jein.

    Die App wurde als Open Source Projekt umgesetzt, sammelt keine Daten auf zentralen Servern und erfüllt Datenschutzanforderungen.

    Jedoch werden Grenzen von den Smartphone-Herstellern gezogen. Diese erhalten personenbezoge Daten auch durch die Nutzung der App und wie sie diese verwenden steht ihnen weitestgehend frei.

    Zum Beispiel: Auf Android-Smartphones erhält Google meine Standortdaten, wenn ich die App nutzen will. Das widerspricht dem kommunizierten Datensparsamkeitsprinzip, und wird von Google (technisch) erzwungen. Die Bluetooth-Kontaktdaten werden ebenso auf Android-Systemebene verarbeitet und sind damit auch den Google Nutzungs- und Datenschutzbedingungen unterworfen.

    So steht es auch in der im Play Store verlinkten Datenschutzerklärung der App:
    „… Wir weisen Sie darauf hin, dass diese Kontaktaufzeichnungs-Funktionen kein Bestandteil der App, sondern ein integraler Bestandteil des Betriebssystems Ihres Smartphones sind. Die Kontaktaufzeichnungs-Funktion wird Ihnen daher von Apple (iPhones) bzw. Google (Android-Smartphones) bereitgestellt und unterliegt dementsprechend den Datenschutzbestimmungen dieser Unternehmen. Die betriebssystemseitige Datenverarbeitungim Rahmen der Kontaktaufzeichnungs-Funktion liegt außerhalb des Einflussbereichs des RKI.“
    Quelle: https://play.google.com/store/apps/details?id=de.rki.coronawarnapp

    Zur Standortermittlung schreibt Google:
    „Bei Android-Geräten muss die Standortermittlung aktiviert sein, damit Bluetooth-Geräte in deiner Nähe gefunden werden können. Für COVID-19-Benachrichtigungen wird der Gerätestandort jedoch nicht ermittelt und eine Standortbestimmung ist zusätzlich explizit durch die Nutzungsbedingungen mit dem App-Anbieter ausgeschlossen. Android-Nutzer können jederzeit unter Einstellungen > Standort > App-Berechtigung einsehen und entscheiden, welche Apps auf den Standort zugreifen dürfen“

    Quelle. https://support.google.com/android/answer/9888358?hl=de

    1. Das hat den Hintergrund, dass Bluetooth alleine schon zur Standortbestimmung verwendet werden kann.

      Deshalb muss der User den Standort erlauben, wenn Bluetooth angeschaltet wird.

      Ansonsten würde man dem User falsche Tatsachen vorgaukeln.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.