Handy-Apps sollen es in der Corona-Pandemie richten. Mit ihnen soll nachvollzogen werden, mit wem Infizierte Kontakt hatten. Für den SPD-Gesundheitspolitiker Karl Lauterbach wäre eine solche App sogar Voraussetzung für weitere Lockerungen der Kontaktbeschränkungen. Die Gesundheitsämter können nämlich die Infektionsketten gar nicht alle selbst verfolgen. Apps, die zeigen, mit welchen anderen Menschen Infizierte Kontakt hatten, wären dabei extrem hilfreich.
In etlichen Ländern wird an solchen Apps gearbeitet. Die Bürger:innen sollen sie auf Smartphones installieren, wo sie kontinuierlich erfassen, wem man für längere Zeit begegnet. Sollte jemand positiv auf das neue Coronavirus getestet werden, könnten all diese Personen informiert werden. Sie könnten sich dann auch testen lassen und sich sicherheitshalber isolieren. Die Bundesregierung hat die Deutsche Telekom und die IT-Firma SAP mit der Entwicklung einer solchen App beauftragt.
Wenn der Chef-Virologe Christian Drosten von der Berliner Charité sagt, eine App zur Nachverfolgung wäre „fast so effektiv wie ein Lockdown“, kann er damit nur eine App meinen, die in der Bevölkerung breit zum Einsatz kommt. Aber so sehr ich mir das auch wünsche: Es spricht zu viel dagegen, als dass das in Deutschland passiert.
Ich habe zwei Softwarefirmen mitgegründet, die mit den Technologien zu tun hatten, um die es in den Corona-Apps geht: eine Firma für Verschlüsselungssoftware und ein mobiles Social Network, das via Bluetooth auf dem Handy anzeigt, welche Freunde gerade zufällig in der Nähe sind. 2009 haben zwei Kollegen und ich eine Technologie zum Patent angemeldet, die Begegnungen zwischen Personen mit Handys per Bluetooth trackt (oder wie es in der Patentanmeldung WO2009076943 heißt: „ein Verfahren zur Identifizierung von Begegnungen der Nutzer eines Systems“).
Ich habe also etwas Erfahrung mit der Art von Problemen, die bei solchen Apps auftreten können. Bezeichnenderweise hatte ich irgendwann aufgehört, die Verlängerungsgebühren für den Patentschutz zu bezahlen. Ich konnte mir einfach keinen sinnvollen Anwendungsfall mehr für die Technologie vorstellen. Mit diesen Erfahrungen im Rücken schreibe ich diesen Text. Ich habe leider große Zweifel an dem Erfolg solcher Apps. Aus vielen Gründen.
Ich finde es eigentlich furchtbar, das aufzuschreiben, weil ich keine bessere Idee habe. Aber ich finde, die massiven Probleme von Corona-Apps sollten bekannter sein, eben weil so große politische Hoffnungen auf ihnen ruhen.
In den Medien werden vor allem Datenschutzprobleme diskutiert. Sollen die Daten zentral gespeichert werden oder nur dezentral auf den einzelnen Smartphones? (Die Unterschiede zwischen den beiden Verfahren erklären Wissenschaftler:innen hier.) Nach einem Aufschrei von Informatiker:innen und den Beauftragten für den Datenschutz wird in Deutschland nun das dezentrale Modell favorisiert. Das dezentrale Konzept von Google und Apple ist in Sachen Datenschutz gut. Beide Unternehmen stellen die technischen Rahmenbedingungen zur Verfügung, die die Nachverfolgung ermöglichen, die sogenannten Programmierschnittstellen (APIs). Aber die Apps, die diese APIs dann nutzen, müssen separat gebaut werden. Und die technische Infrastruktur drumherum ebenso, also zum Beispiel Server für den Datenaustausch zwischen Gesundheitsämtern und der App.
Nur: Datenschutz ist nicht das einzige schwerwiegende Problem der Corona-Apps.
Nur eine stark verbreitete App ist nützlich
Extrem viele Menschen müssen die App benutzen, damit sie sinnvoll ist. Wenn Infektionsketten durchbrochen werden sollen, muss ein:e Infizierte:r möglichst viele Menschen, die potenziell angesteckt wurden, informieren können. Die brauchen dann aber auch alle die gleiche App. Hier gibt es (wie auch bei Social-Networking-Apps) eine quadratische Funktion der Nützlichkeit: Je mehr Leute die App benutzen, desto nützlicher wird sie.
Wenn die unfassbare Menge von 50 Prozent der Deutschen die App installiert hätten, könnten trotzdem nur 25 Prozent der Infektionen nachvollzogen werden, weil dazu der Ansteckende und der Angesteckte die App nutzen müssten. Es ist völlig illusorisch, dass solche Nutzungszahlen auf freiwilliger Basis zustande kommen, ohne dass brachiale Vertriebspower nachhilft.
Laut Facebook nutzen 58 Millionen Nutzer:innen in Deutschland täglich Whatsapp. Damit wären alle Smartphone-Nutzer:innen hierzulande aktiv bei Whatsapp. Das ist zwar unrealistisch, aber Whatsapp ist fraglos eine der beliebtesten Apps in Deutschland. Hinter Whatsapp steht Facebook, nicht SAP oder die Telekom. Und es hat Jahre gedauert, diese Nutzermenge zu erreichen, trotz des riesigen Marketing- und Technologiebudgets von Facebook. Wäre die Corona-App auch nur halb so erfolgreich wie Whatsapp, was vollkommen unrealistisch ist, dann hätten wir gut ein Drittel der Deutschen abgedeckt, was bedeuten würde, dass wir zwölf Prozent der Infektionen erfassen könnten. Dazu muss die App nicht nur den Nutzer:innen die Datenschutz-Sorgen nehmen. Sie muss einfach zu bedienen sein – und selbst das wird nicht reichen.
Es wird Anreize brauchen, damit die App installiert wird. Denn ihr Einsatz soll freiwillig sein. Wir wissen von Firmen wie Facebook und Linkedin, welche – teils extrem fragwürdigen – Verrenkungen die Privatwirtschaft unternimmt, um ihre Apps auf die Handys der Menschen zu kriegen. Eine staatliche App kann sich solche Tricks nicht erlauben. Und wird daher (leider) zwangsläufig nicht die Verbreitung bekommen, die sie bräuchte, um nützlich zu sein.
Die beauftragten Firmen haben nicht die nötige Erfahrung
Die App muss zudem übersichtlich und leicht verständlich gestaltet sein, damit sie möglichst viele Menschen auch wirklich bedienen können. Ich wette mit euch, dass ihr weder auf dem ersten, noch auf dem zweiten Screen eures Smartphones eine App von SAP habt. Telekom und SAP sind nicht für Apps, geschweige denn für besonders leicht zu benutzende Apps bekannt. Das Geschäftsmodell von SAP besteht sogar ausdrücklich darin, dass deren Produkte so komplex sind, dass es speziell ausgebildeter SAP-Berater bedarf, um sie einzurichten.
Die Kunden solcher Produkte sind Konzerne und große Unternehmen. Deine Oma gehört nicht zur Zielgruppe von SAP. Eine App zu bauen, die möglichst viele Menschen freiwillig benutzen – das ist weder die Kernkompetenz von SAP, noch die der Telekom. Google und Apple könnten das leisten (du hast sicherlich Apps von beiden prominent auf deinem Smartphone), aber sie tun es nicht. Sie würden nie den Segen der Bundesregierung kriegen. Dafür kommen sie aus dem falschen Land.
Die Reichweite von Bluetooth ist zu groß
Die App soll Bluetooth Low Energy (BLE) benutzen, ein Verfahren, das andere Geräte in der Nähe identifiziert. Die Reichweite von BLE ist größer als man denkt. Zwei Menschen können sich stundenlang in gegenseitiger BLE-Reichweite aufhalten, ohne sich je zu Gesicht zu kommen. Zimmerwände stoppen zwar das Coronavirus, aber die meisten halten BLE nicht auf. Das heißt, die App würde auch die Begegnung zwischen zwei Personen erfassen, die einander vermutlich gar nicht anstecken können. Diese Leute würden dann alle informiert und entsprechend verunsichert werden, falls ein:e Nutzer:in positiv auf das Virus getestet wird.
Was passiert dann? Gehen diese Nutzer:innen zum Arzt und verlangen Tests? Das können zehntausende oder gar hunderttausende Personen sein, die völlig ohne Not das Gesundheitssystem in Anspruch nehmen. Die Corona-App Österreichs versucht, dieses Problem durch „Fast-Ultraschall“ zu umgehen: Die Handys müssen einander „hören“ können, dann gilt eine Begegnung als stattgefunden. Diese Fast-Ultraschall-Lösungen haben aber wiederum etliche andere Probleme. Es gibt dafür keine anerkannten Schnittstellen oder Standards wie bei Bluetooth. Es ist eine Bastellösung.
Die Verhinderung von Falschmeldungs-Trollen schafft neue Hürden
Ein viel zu wenig diskutiertes Problem ist der Moment, in dem der Nutzer der App erfährt, dass er positiv auf das neue Coronavirus getestet wurde. Er muss diese Tatsache der App mitteilen, damit die wiederum allen Menschen, denen er lange genug begegnet ist, Bescheid sagt. Jeder, der schon mal im Internet war, weiß, dass diese Funktion, wenn sie nicht gut geschützt ist, sofort missbraucht werden würde.
Irgendwelche Knalltüten würden sich in der App als krank markieren und davon auch noch Videos machen und bei Youtube hochladen. Es gäbe genug Leute, die aus Jux und T(r)ollerei Angst und Schrecken verbreiten würden unter den Leuten, denen sie begegnet sind – einfach weil sie könnten. Das würden die App-Entwickler verhindern müssen, aber wie? Die Stelle, die dem Bürger die Diagnose mitteilt, ist das Gesundheitsamt. Oder besser eines der über vierhundert Gesundheitsämter in Deutschland. Das heißt, die Gesundheitsämter müssen diese Information in die App bekommen, die auf dem Smartphone des Infizierten läuft.
Dazu muss ein Informationsaustausch stattfinden: Angenommen, ich bekäme eine positive Diagnose. Dann könnte mir mein Gesundheitsamt einen Code mitteilen, den ich in meine App eingeben muss, um mich als infiziert zu melden. Das heißt, diese Codes müssen irgendwo generiert werden, sie dürfen nicht in die falschen Hände gelangen und idealerweise dürften sie nicht – wie zum Beispiel Rabattcodes im Onlineshopping – immer wieder und für beliebig viele Menschen funktionieren. Das heißt, man braucht ein sogenanntes „Challenge-Response“-Verfahren.
Die App könnte dem Infizierten einen Code mitteilen, den der wiederum dem Gesundheitsamt mitteilt, woraufhin ein Mitarbeiter beim Amt diesen Code in ein System eingibt. Das generiert dann einen einmal nutzbaren Antwortcode, den der Mitarbeiter dem Infizierten mitteilt, den der dann wiederum in seine App eingeben muss. Oder es läuft über einen QR-Code. Oder über eine TAN via Push-Nachricht oder SMS.
In jedem Fall müssen die Gesundheitsämter in dieses System eingebunden werden – hunderte Gesundheitsämter in einem Gesundheitssystem, das es in Jahrzehnten nicht geschafft hat, eine elektronische Gesundheitskarte einzuführen. Die schiere Tatsache, dass sich die Mitarbeiter des Gesundheitsamtes irgendwie gegenüber dem System werden autorisieren müssen, damit nicht jeder lustig Menschen für infiziert erklären kann, treibt mir den kalten Schweiß in den Nacken: Läuft das per Postident?
Man würde annehmen, dass die Konzeption der Corona-App mit der Analyse dieser strukturellen Fragen begonnen hat. Dass, wie in der professionellen Softwareentwicklung üblich, eine Stakeholder-Analyse stattgefunden hat, sich also alle in die Nutzung der App involvierten Parteien einbringen konnten. Der Verband der Ärzte im öffentlichen Gesundheitsdienst aber bemängelte noch am 2. Mai in der FAZ, dass die Gesundheitsämter in den App-Entwicklungsprozess bislang gar nicht einbezogen wurden. Erst seit letzter Woche redet das Bundesgesundheitsministerium überhaupt mit dem Landkreistag, der immerhin 294 (der über 400) Gesundheitsämter vertritt. Die Datenschutzprobleme der (noch nicht existenten) deutschen Corona-App sind Aufmacher in den Nachrichten – und die Mitarbeiter:innen der Behörden, deren Job es ist, die Kranken zu ermitteln und zu isolieren, sind bis jetzt nicht mal systematisch angehört worden? Man möchte sich an den Kopf fassen, wenn das nicht so gefährlich wäre.
Die Telekom hat auf meine Anfrage, wie ein positives Testergebnis missbrauchssicher in die App gelangen soll, mit einem Standardtext geantwortet und um Geduld gebeten.
Die Alternativen sind unappetitlich
Leider sind alle Maßnahmen, die funktionieren könnten, mit großen anderen Risiken verbunden. Würde man zum Beispiel wie in China die Nachverfolgung in Apps einbauen, die eh schon jede:r benutzt, wären dutzende Millionen Nutzer:innen dabei. Man müsste dafür die Anbieter von Apps gewinnen, die schon größtmögliche Verbreitung haben. Das sind dummerweise genau die Apps, die beim Datenschutz eben nicht besonders zimperlich sind: Facebook, Whatsapp, die ganze Bagage.
Die noch unappetitlichere Lösung beschreibe ich nur, um den Zielkonflikt der Corona-App maximal deutlich zu machen: Wenn man eine nützliche App will, die wirklich das Potenzial hat, Infektionsketten zu durchbrechen, müssen sie so viele Nutzer:innen wie möglich installieren. Das hieße eigentlich, man darf nicht um Erlaubnis fragen. (Ein Horrorszenario, wie es der Chaos Computer Club zu Recht ablehnt.) Wer sich an die Diskussion um den Bundestrojaner erinnert, weiß: Die Geheimdienste wollen seit eh und je auf unsere Handys. Die könnten eine Nachverfolgung bauen, die funktioniert. Sie würden es nur niemandem verraten. Und nicht um Erlaubnis bitten.
Es ist eine Frage des Vertriebs
Damit die Corona-Apps effektiv wären, bräuchten wir:
- deutlich mehr Digitalkompetenz in den europäischen Regierungen, damit die Digitalisierung kritischer Prozesse zum Beispiel im Gesundheitswesen nicht aus Inkompetenz oder Angst verschleppt wird
- Software-Entwickler:innen, die hauptberuflich Apps für Endverbraucher bauen und wissen, wie man sie sicher, attraktiv und leicht verständlich gestaltet – und die auch Regierungsmitgliedern sofort einfallen – nicht nur SAP und Telekom
- eigentlich den Vertrieb der Technologie huckepack über ohnehin schon verbreitete Apps, die aber eben fast alle aus den USA kommen, weil dort viel mehr Geld in solche Technologien investiert wird. Pikanterweise ist einer der Gründe für den Erfolg der US-Apps der im Vergleich zur EU wesentlich laxere Datenschutz. Die bittere Pointe der digitalen Corona-Nachverfolgung könnte sein, dass ausgerechnet der starke europäische Datenschutz ein erfolgreiches Corona-Tracing unmöglich macht. Der Standortvorteil wird zum Standortnachteil.
Jeder EU-Bürger hat im Namen des Datenschutzes in den letzten Jahren ungefähr zehntausend Cookie-Hinweise im Web weggeklickt. Aber eine Corona-Nachverfolung per App wird vermutlich scheitern. An diesen Problemen wird sich nur etwas ändern, wenn wir, siehe oben, deutlich mehr Digitalkompetenz in den europäischen Regierungen hätten.
Selbst wenn man alle Datenschutz- und sonstigen Probleme gelöst bekommt (und das ist schon schwierig genug), bleiben die Knackpunkte Vertrieb und Marketing der App. Wird die intrinsische Motivation der Deutschen groß genug sein, in ähnlichen Zahlen wie Whatsapp, die Corona-App von Telekom und SAP zu installieren? Und das innerhalb weniger Wochen? Wird man nachhelfen müssen, zum Beispiel mit Gutscheinen für Online-Händler? Oder mit kostenlosem Datenvolumen wie bei der kolumbianischen Corona-App? Wird das reichen? Der Quellcode der App soll offengelegt werden, das ist gut. So können Expert:innen die genaue Funktionsweise nachvollziehen. Aber das heißt nicht, dass es möglich oder legal wäre, die Technik in andere Apps einzubauen, um ihre Verbreitung zu beschleunigen. Wenn ich nur eine Sache tun könnte, um die Verbreitung der Nachverfolgungstechnik zu beschleunigen, würde ich genau das tun: App-Entwickler der Welt, schaut auf diese Technik – und baut sie ein!
Sind die Verantwortlichen nicht nur für die technischen, sondern für diese entscheidenden Fragen der Nutzermotivation und Verbreitung sensibilisiert? Oder glauben sie, die App würde sich schon von alleine verbreiten? (Das wird sie nicht.)
Es ist aus all diesen Gründen leider unwahrscheinlich, dass die deutsche Corona-App nützlich sein wird, in dem Sinne, dass sie eine signifikante Menge an Infektionssträngen aufdeckt. Aber vielleicht ist ja die Coronakrise der Auslöser, den es gebraucht hat, um solche Probleme zu knacken. Damit die App, haha, viral gehen kann.
Redaktion: Rico Grimm, Schlussredaktion: Susan Mücke, Bildredaktion: Martin Gommel