„Wie hältst du's mit der Corona-Warn-App?“ Eine moderne Gretchenfrage
Update Januar 2021: Inzwischen ist eine von Freiwilligen entwickelte Variante der Corona-Warn-App veröffentlicht werden. Sie heißt Corona Contact Tracing Germany, funktioniert ohne installierte Google-Play-Dienste und ist kompatibel mit der offiziellen App des Robert-Koch-Instituts. Verfügbar ist sie ausschließlich für Android über den freien App-Store F-Droid. Unsere Kritik bezüglich der fehlenden Reproduzierbarkeit und Zugänglichkeit trifft auf diese inoffizielle App nicht oder nur teilweise zu. Außerdem funktioniert sie bereits ab Android 5.0.
Da haben wir uns vor 14 Tagen ein unerwartet dickes Ei gelegt. Nachdem wir uns die Corona-Warn-App genauer angesehen hatten, haben wir in einem Artikel nicht dazu geraten, diese zu installieren, und mussten dafür viel Kritik und leider auch einiges an Beschimpfungen einstecken. Dabei stehen wir mit unserer Bewertung gar nicht so allein da. Auch die Digitale Gesellschaft e.V., die Humanistische Union und ganz aktuell gerade (29.6.) das FIfF haben verschiedene Kritikpunkte in den öffentlichen Diskurs eingebracht. Aber wir müssen anerkennen: Wir haben offenbar den Ton nicht getroffen, der uns eigentlich wichtig war. Und weil es für uns ein Teil einer Artikelserie war, in der wir die sich entwickelnde App-Diskussion begleitet haben, ist zum Beispiel unser Lob für die App in diesem einen Text zu kurz ausgefallen. Da manche Kritiker.innen den Artikel als abschließende Bewertung, nicht als Diskursbeitrag verstanden haben, kam das in den falschen Hals. Das haben wir nicht bedacht.
Der Diskurs geht weiter, sowohl in der Gesellschaft, technisch, sozial und politisch, als auch bei uns im Digitalcourage-Team. Einige von uns haben die App installiert, andere hätten gerne, konnten es aber aus technischen Gründen nicht, andere verweigern sie völlig. Das sind gut begründete individuelle Entscheidungen, und das finden wir richtig so.
Als die App auf den Markt kam, wurde uns oft die Frage gestellt „Soll ich die Corona-Warn-App installieren?“ Was wir sagen wollten, war: „Wir finden sie nicht gut genug, um das zu empfehlen.“ Das ist eine andere Aussage als „Wir raten davon ab, sie zu installieren“. So sind wir aber leider verstanden worden. (Auch von unseren eigenen Leuten, die z.B. die passenden Trööts und Tweets entsprechend falsch formulierten.)
Eine platte Empfehlung, die App nicht zu installieren, wäre für diese schwierige Frage in der Tat ein wenig zu plump gewesen. Das wird auch unserem eigenen Anspruch an die Vermittlung von digitaler Mündigkeit durch unsere Technik-Tipps nicht gerecht. Letztlich kann es jede Person nur selbst entscheiden, ob sie die App installieren möchte. Es gibt sehr starke Gründe, die dafür sprechen. Aber es gibt eben auch sehr gute Gründe, die dagegen sprechen. Diese zu benennen ist wichtiger Teil des Diskurses, durch den wir gesellschaftlich wachsen und zu dem wir beitragen möchten.
So leid es uns tut: Wir können nicht über die vielen Probleme hinwegsehen, nur weil einiges mit der App durchaus richtig gelaufen ist. Deswegen wagen wir hiermit einen weiteren Versuch, die Corona-Warn-App konstruktiv einzuordnen.
Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.
Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!
Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.
Artikelreihe zu Corona‑Kontakt-Tracing
• 08.04.2020: Einordung zur geplanten „Corona-Kontakt-Tracing-App“ des RKI – Positives, Zweifel und Forderungen, aufgestellt während der Entwicklung
• 22.04.2020: Corona-Apps: Was heißt hier anonym? – über Anonymisierung, Pseudonymisierung, Möglichkeiten der De-Anonymisierung
• 30.04.2020 Corona-Apps: Was heißt hier freiwillig? – über die DSGVO-Anforderung der informierten Einwilligung und deren Grenzen bei einer Corona-Tracing-App
• 15.06.2020: Soll ich die Corona-Warn-App installieren? – ergänzt durch den folgenden Artikel
• 02.07.2020: „Wie hältst du's mit der Corona-Warn-App?“ Eine moderne Gretchenfrage – Abwägung von Vor- und Nachteilen, gesellschaftlich und technisch, offenes Fazit
Was ist gut an der Corona-Warn-App?
Solidarität
Der Hauptgrund, der für die App spricht, ist die ihr zugrundeliegende Idee von gesamtgesellschaftlicher Solidarität. Die App schützt nicht die direkten Nutzerinnen und Nutzer, sondern macht indirekt Infektionscluster sichtbar und kann die Entdeckung infizierter Menschen beschleunigen, bevor sie weiter andere anstecken konnten. Deshalb ist sie etwas, das alle Menschen tun können, um das Virus einzudämmen. Im Ausland wird Deutschland schon als leuchtendes Positivbeispiel gefeiert. In schwierigen Zeiten ist die App nicht zuletzt ein Zeichen von Zusammenhalt. Allein das ist für manche von uns Grund genug, die App trotz aller Bedenken zu installieren. (Wir werden allerdings den komischen Geschmack auf der Zunge nicht los, dass hier eine unwillkürliche Instrumentalisierung von Solidarität stattfindet, die wir nun gar nicht gutheißen wollen. Das Gefühl, unsolidarisch zu sein, wenn man die App nicht nutzt, darf nicht entstehen, da wir es sonst mit einem faktischen App-Zwang durch Konformitätsdruck zu tun bekommen.)
IT gestalten
Erstmals hat die Bundesregierung ein IT-Projekt dieses Kalibers gestartet, bei dem auch tatsächlich in äußerst kurzer Zeit ein gesellschaftlich relevantes Ergebnis herausgekommen ist. Allein das ist ein bislang nie erreichter Meilenstein. Während sich die IT-Strategie der Bundesregierung seit der Jahrtausendwende eigentlich nur auf die zwei Themen „Breitbandausbau“ (der nie kommt) und Überwachung (die uns gefährdet) reduziert hat, handelt es sich bei diesem App-Projekt um einen gestalterischen Akt. Wir wünschen uns schon seit Jahrzehnten, dass die Bundesregierung ihre Verantwortung wahrnimmt und stärker kompetent gestalterisch tätig wird.
Freie Software
Was viele bereits gelobt haben, finden auch wir natürlich hervorragend: Dass die Corona-Warn-App als Freie Software (quelloffen) erstellt wurde, ist eine Revolution im besten Sinne. Bisher wurde der große Wert von offenem Quellcode höchstens auf regionaler Ebene erkannt. Durch den freien Ansatz kann die App auch ins Ausland überführt werden, sodass internationale Kompatibilität zumindest möglich ist und freie Community-Projekte daran weiter arbeiten können. Wir sind der Ansicht, dass jede Software, die von Steuergeldern finanziert wird, Freie Software sein sollte (siehe public money public code). Wenn alle Menschen sie bezahlen, soll sie auch allen Menschen gehören.
Unsere Arbeit lebt von Ihrer Unterstützung
Wir freuen uns über Spenden und neue Mitglieder.
Entlastung der Gesundheitsämter
Die App – so sie denn funktioniert – könnte die Gesundheitsämter entlasten. Jede Infektion, die über die App verfolgt wird, muss nicht mehr vom Gesundheitsamt ausschließlich händisch bearbeitet werden, was bedeuten würde, dass sie auch dann nützlich ist, wenn sie nur selten anspringt. Denn die Alternative, unsere Daten zur Kontaktverfolgung jetzt in Restaurants und an anderen öffentlichen Orten abgeben zu müssen, gefällt uns nur mäßig gut.
Expert.innen aus der Zivilgesellschaft wurden einbezogen
Was wir bisher auch noch nie so gesehen haben ist, dass die Regierung auf Menschen zugeht, die sich damit auskennen, anstatt ein völlig realitätsfernes Konzept zu erstellen und entgegen jeglicher Experteneinschätzung dann nach Kopf-durch-die-Wand-Prinzip durchzuziehen. So lief es beim elektronischen Personalausweis, der eGK oder De-Mail. Dieses Mal wurde vorab sogar auf den CCC gehört, und die von ihm vorgeschlagenen zehn Prüfsteine wurden in die weiteren Konzeptionen aufgenommen. Das lag allerdings wohl auch daran, dass Apple und Google mit Schnittstellen, die sie fix in ihre Betriebssysteme einbauten, letztlich Tatsachen geschaffen haben, denen sich nicht mehr viel entgegenstellen ließ.
Datenschutz by Design
Die App zeigt: Datenschutz by design ist möglich. Am eigentlichen technischen Konzept lässt sich weniger meckern, als es sonst bei staatlichen Projekten üblich ist. Bei der Entwicklung der Corona-Warn-App wurde von Anfang an die Frage gestellt: Wie kann sie so gestaltet sein, dass sie ihre Funktion erfüllt und dennoch ‚datenschutzfreundlich‘ genutzt werden kann? Und siehe da: Es gibt eine Antwort auf diese Frage, die von vornherein sichtbar macht, dass der Datenschutz mitgedacht wurde. Damit setzt Deutschland international Standards, und wir können nur hoffen, dass sich diese Erkenntnis dadurch möglichst weit verbreitet: Wenn man Datenschutz von Anfang an mitdenkt, ist er kein Hindernis, sondern sogar ein Vorteil.
Was ist schlecht an der Corona-Warn-App?
Die App ist zu wenigen Menschen zugänglich
Sie läuft nur auf neueren Smartphones, die das energiesparende ‚Bluetooth Low Energy‘ unterstützen. Sie läuft weder auf alten Smartphones noch auf googlefreien Android-Geräten. Und viele haben gar kein Smartphone. Wie man es dreht und wendet: Man muss die AGB einer US-Firma (Google oder Apple) akzeptieren, wenn man die App nutzen möchte. Einen anderen Weg gibt es nicht. Das ist für manche Menschen ein gut begründeter Ausschlussfaktor. Und, ja, warum muss die Community-Variante, die vielleicht eines Tages auch ohne Google nutzbar sein wird, ehrenamtlich erstellt werden, wenn doch so viel Geld dafür da war?
Bluetooth muss für die App immer eingeschaltet sein
Wir sagen immer wieder: Schalten Sie Ihr Bluetooth aus, wenn Sie es gerade nicht benötigen. Denn Bluetooth ist ein unsicheres Protokoll und bietet Angriffsflächen. Ladenketten versuchen via WLAN und Bluetooth ihre Kund.innen zu tracken und wiederzuerkennen. Ein klarer Grund, beides auszuschalten. Die Corona-Warn-App aber kann nur funktionieren, wenn die Nutzer.innen ihr Bluetooth immer eingeschaltet lassen. Das ist ein Dauer-Risikofaktor, ohne den die App aber nicht sinnvoll betrieben werden kann. Wollen Sie herausfinden, wieviele Nutzerinnen und Nutzer der App sich gerade in Ihrer Umgebung befinden? Mit einem Bluetooth-Scanner soll das sehr einfach möglich sein, schreibt das Online-Magazin Connect.
Ein Begleitgesetz zur App fehlt
Es gibt viele Gründe, die App nicht zu installieren. Manche entscheiden sich dagegen, andere können sie nicht installieren, und viele Menschen haben gar kein Smartphone. Um Diskriminierung zu verhindern, muss gesetzlich geregelt sein, dass diesen Menschen kein Nachteil droht – z.B. weil sie nicht in ein Restaurant gelassen werden oder weil der Arbeitgeber die App vorschreibt. Es gibt noch mehr kluge Argumente für ein Begleitgesetz. Zum Beispiel ist gar nicht geregelt, dass ich, wenn ich nach einer Warnung in freiwillige Quarantäne gehe, meinen Job behalten kann. Und zwar mit Lohnfortzahlung. Denn eine solidarische Vorsichtsmaßnahme ist ja keine Krankschreibung.
Die App ist zu teuer
Menschen, die an ‚die App glauben‘, halten sie auch bei geringen Installationszahlen für nützlich. Ob das jedoch in einem angemessenen Verhältnis zu den Kosten der App steht, darf bezweifelt werden. Das ARD-Magazin Kontraste hat ausrechnen lassen, dass die Entwicklerhonorare der App 10-40-fach überhöht sind.
Die App bedient Technikgläubigkeit
Wir treffen immer wieder Menschen, die sagen „Dank App können wir nun wieder risikolos ins Büro gehen und Party feiern. Wenn was ist, sagt die App ja Bescheid. Und dann kann man sich eine Penicillin-Spritze geben lassen...“ Hoppla nein, so einfach wie bei manchen Geschlechtskrankheiten geht das eben nicht. Zu bedenken ist auch: Ob die App mal Alarm schlägt, ist von sehr vielen Zufällen abhängig. Und sie warnt ja auch immer erst im Nachhinein, wenn man Kontakt mit einem infizierten Menschen hatte. Nach wie vor ist das wirtschafts- und soziallebenfeindliche Abstandhalten und Kontakte-vermeiden leider die allererste Wahl der Pandemieeindämmung. Mit Verweis auf die App aber wurden die harten Regeln aufgeweicht und es gelten mancherorts nur noch ‚Empfehlungen‘. Das süße Gift vermeintlicher Freiheit sickert in die Entscheidungsfindungen ein. Nicht mehr lange, und wir sitzen wieder ohne Plexiglasschutz im Restaurant oder am Arbeitsplatz wieder direkt nebeneinander ... „weil wir ja die App haben“.
Die App beschert Google und Apple fragwürdigen Applaus
Wir verstehen, dass ‚Techies‘ gerne helfen wollen, die Folgen der Pandemie abzumildern. Und da ist es natürlich nicht leicht auszuhalten, dass eine so gut gemeinte Initiative wohl doch eher genau das ist: gut gemeint. Uns graut immer noch bei dem Gedanken, dass Google und Apple unter Applaus nun eine zusätzliche Funktion, die (wenn auch mit dem 'guten Zweck' begründet) der Überwachung dient, einbauen durften. Zur Klarstellung: Es stört weniger, dass Google und Apple richtigerweise den dezentralereren Ansatz durchgesetzt haben, sondern uns stört die große Zustimmung, die sie dafür bekommen, dass sie ihre Stellung als Großkonzerne ausnutzen. Nur weil Google und Apple auch sonst schon Geräte voller Überwachungstechnik vertreiben, brauchen wir sie nicht auch noch abzufeiern, wenn sie nun weitere Sensoren einbauen. Im Gegenteil: Wir müssen aufpassen. Zumal, da der Quellcode von Apples und Googles Schnittellen nicht offen gelegt ist. Dabei verrichten diese den größten Teil des Contact-Tracings.
Menschlicher Faktor hebelt die App aus
Man schützt mit der App nicht sich selbst, sondern primär andere. Und zwar die Kontakte meiner Kontakte. Werden Menschen wirklich in der App angeben, wenn sie positiv getestet wurden? Oder die App löschen, wenn der Hype erst nachgelassen hat und sie keinen Nutzen mehr erwarten? Und werden die, die gewarnt werden, dann wirklich zum Arzt gehen? Oder den Kopf lieber in den Sand stecken, weil sie Angst vor den Folgen bekommen?
Fehlalarme der App ermüden
Nach wie vor ist die Frage, wie Menschen reagieren, wenn sie zum zweiten, dritten, vierten Mal benachrichtigt wurden, sich aber kein Virenbefall diagnostizieren lässt (und zwar unabhängig davon, ob man zwar einen kritischen Kontakt hatte, sich aber nicht angesteckt hatte). Geht man beim fünften Mal noch mal in freiwillige Quarantäne und zum Arzt? Oder ignoriert man das genauso wie die Alarmanlage des Nachbarn, die ab und an nachts einfach für 30 Sekunden Lärm macht?
Der App fehlt (noch) die Reproduzierbarkeit
Die mit der Entwicklung der App beauftragten Konzerne SAP und Telekom haben den Quellcode der App auf GitHub veröffentlicht. Für unabhängige Dritte ist es aber kaum nachprüfbar, ob die über die App-Stores von Google und Apple vertriebene Corona-Warn-App aus diesem Quellcode gebaut wurde. Der CCC und wir haben darum gefordert, die Transparenz-Technologie „Reproducible Builds“ einzusetzen. Diese ist Stand der Technik, wenn besonders schützenswerte Daten wie Gesundheitsdaten verarbeitet werden. Die Programmierenden der schweizerischen Corona-Tracing-App haben gezeigt, dass es machbar ist. Durch „Reproducible Builds“ wird das Ergebnis des Kompilierens der App deterministisch, und dadurch lässt sich eine selbst aus dem öffentlichen Quellcode kompilierte App direkt mit der aus dem App-Store vergleichen. Die Entwickler.innen der deutschen App arbeiten daran, dieses Transparenzniveau in zukünftigen Versionen der App nachzuliefern. Erst dann kann das in den Quellcode gesetzte Vertrauen auf die über App-Stores ausgelieferten Apps übertragen werden.
Die Corona-Warn-App ist ein Aufmerksamkeitstroll
Last not least: Die App kostet wertvolle Aufmerksamkeit. Für Menschen, die nicht an die Sinnhaftigkeit der App glauben, ist jeder Diskurs zu der App verschwendete Lebensenergie, die woanders besser investiert wäre.
Fazit
Auch wenn bei der Corona-Warn-App viele Dinge richtig gemacht worden sind, ist sie aus unserer Sicht nicht gut genug, damit wir sie guten Gewissens empfehlen wollen. Wägen Sie die Argumente ab, prüfen Sie Ihr persönliches Sicherheitsbedürfnis und treffen Sie eine mündige Entscheidung, ob Sie sie nutzen wollen oder nicht.