Corona-Warn-App: Stört der Datenschutz?

Gestern sagte der medial hofierte bayrische Ministerpräsident bei der Talksendung Anne Will: „Die Corona-Warn-App könnte eine größere Wirkung entfalten, [… ] aber sie scheitert im Grunde genommen an einer sehr hohen Hürde des Datenschutzes“. Er sagte dies nicht zum ersten Mal. Erneut blieben Nachfragen oder Widerspruch aus. Doch was ist dran: Muss man den Datenschutzstandard senken, damit die App besser wird?

Zunächst muss man wissen, wie die Corona-Warn-App funktioniert. Die deutsche App basiert auf dem Exposure Notification Framework von Apple und Google. Die beiden US-Unternehmen haben im Frühjahr dieses Grundgerüst entwickelt, auf das die nationalen Corona-Apps aufsetzen können. Dieses Framework ermöglicht die Hauptfunktionalität des Schlüsselaustauschs über Bluetooth, die eigentlichen Apps bieten technisch gesehen nur wenig Mehrwert. Wie das genau funktioniert, habe ich in diesem Twitter-Thread erklärt.

Wer den Datenschutz zum Sündenbock macht hat wenig Technikverständnis

Ohne das Framework scheitern die Corona-Apps. Frankreich und Australien sind da die bekanntesten Beispiele. Auf dem iPhone musste die App beispielsweise permanent im Vordergrund laufen. Wer also das Haus verlässt, musste die App öffnen. Wer unterwegs mal eben eine Nachricht an einen Freund schreiben wollte, musste direkt danach wieder zur Corona-App wechseln. Dass das äußerst unpraktisch ist, liegt auf der Hand. Hinzu kommt eine große Gefahr der Datensicherheit: Da die App im Vordergrund laufen musste, durfte das Gerät auch nicht gesperrt werden. Verliert ein Nutzer sein Smartphone, hätte der Finder Vollzugriff. Die französische App wurde auch deshalb nicht einmal drei Millionen mal heruntergeladen und inzwischen eingestampft.

Wenn also ein verlässliches Tracing per App möglich sein soll, muss das per Betriebssystem und nicht per App funktionieren. Genau dies ist in Deutschland und mittlerweile fast allen westlichen Ländern, die eine solche App verwenden, der Fall.

Apple und Google haben bei der Entwicklung ihres Frameworks auf Datenschutz und Datensicherheit geachtet. Das verwendete Verfahren ist clever konzipiert und dennoch simpel in seiner Nutzung. Wenn man Apple und Google nun für das Hochhalten des Datenschutzes kritisieren möchte, entbehrt das nicht einer gewissen Komik. Aber auch wenn man dies ernsthaft tut: das verwendete Modell setzt auf einen dezentralen Ansatz und kann schon allein von der Infrastruktur nicht mal eben gegen einen zentralen Ansatz, den sich anscheinend Söder und Co wünschen, getauscht werden. Bliebe also nur die Entwicklung eines eigenen Systems in einer App. Das würde lange dauern und vor allem würde es scheitern, so wie in Frankreich und Australien.

Das verwendete, dezentrale Modell – wenn man es nicht komplett ad absurdum führt – ermöglicht keine Mehrerfassung von Daten Dritter. Zu sagen, die App scheitere am Datenschutz, ist zu vergleichen mit der Aussage, dass man mit Flugzeugen keine langen Stecken fahren kann. Zum Fahren sind sie nicht gebaut, sondern zum Fliegen. Wieso die pauschale Aussage, dass weniger Datenschutz zur besseren Bekämpfung der Pandemie führt, Unsinn ist, hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, sehr ausführlich erklärt.

Aber machen die asiatischen Länder nicht viel mehr per App? Auch das ist meist eine luftleere Forderung, da hier Äpfel mit Birnen verglichen werden. Manche Länder wie China verwenden GPS-bezogenes Tracking (im Endeffekt eine virtuelle Fußfessel) und auch andere Länder beziehen Kreditkartenabbuchungen oder andere höchstsensible Informationen ein. Will Markus Söder das?

Die verwendeten technischen Maßnahmen, die meist nichts, aber auch gar nichts mit dem Tracing der Corona-Warn-App zu tun haben, werden auch von vielen Expertinnen und Experten kritisiert.

Die Corona-Warn-App hat dennoch Luft nach oben

In einem Punkt hat er recht: Die App sollte mehr können. Der Datenschutz hat damit aber nichts zu tun. So könnte die Corona-Warn-App in Zusammenarbeit mit Apple und Google eine automatische Cluster-Erkennung anbieten. Auch ein manuelles und freiwilliges Kontakttagebuch könnte innerhalb weniger Tage implementiert werden. Wie all dies gehen kann, habe ich bereits im Spätsommer mit Karl Lauterbach aufgeschrieben. Die Corona-Warn-App krankt somit nicht am Datenschutz, sondern an einem völlig überforderten Bundesgesundheitsministerium und Robert-Koch-Institut. Da sollte Söder seinem Parteifreund Jens Spahn also mal etwas Feuer unter dem Hintern machen.

Statt im Sommer mit Expertinnen und Experten zu überlegen, wie die App ausgebaut werden kann, wurde die App augenscheinlich in der Schublade vergessen. Die beiden für die Umsetzung zuständigen deutschen Unternehmen, die Deutsche Telekom und SAP, glänzten ebenfalls nicht durch gute Kommunikationspolitik. Sondern vor allem dadurch, dass sie sehr viel Geld für wenig Leistung verlangen.