Seit Mitternacht schweigen nun an einer Front die Waffen: Die Bundesregierung kapituliert bedingungslos vor dem Aufschrei einiger Datenschutztechnikexperten und entscheidet sich für eine dezentrale Architektur zur Kontaktverfolgung. Nur dies schaffe das nötige Vertrauen, lässt sich Kanzleramtsminister Braun zitieren. Inwieweit sich damit die Anforderungen der Praxis erfüllen lassen, bleibt unterdessen unklar, denn mit solchen Fragen hat sich offenbar niemand beschäftigt. Die Regierung hat sich in Sachen Digitalisierung wieder einmal aufs Glatteis führen lassen. Das Projekt Corona-App wird voraussichtlich die Misserfolgsgeschichten der Gesundheitstelematik, des elektronischen Personalausweises und der Blockchain-Strategie fortsetzen. Das liegt nicht an der Technik, sondern an mangelnder Kompetenz in der Technikgestaltung.
Begonnen hatte alles vor einigen Wochen mit den öffentlichen Auftritten von DP-3T und PEPP-PT, anfangs noch in einer Allianz und scheinbar am gleichen Strang ziehend. Damit begann eine von Anfang an verzerrte Debatte über „die Corona-App“. Zum einen stand unvermittelt ein spezifischer Ansatz im Raum, nämlich die automatisierte Kontaktverfolgung und Benachrichtigung von Kontaktpersonen. Sinnhaftigkeit, Erfolgsaussichten und Erfolgsbedingungen dieses Ansatzes sowie andere Wege der digitalen Seuchenbekämpfung wurden kaum diskutiert; alle wollten an unsere wundersame Rettung durch Technomagie glauben. Nur ein Kritikpunkt ließ sich nicht umschiffen: Die automatisierte Kontaktverfolgung würde nur funktionieren, wenn fast alle mitmachten. Ausgerechnet Datenschützer mit ihrem Faible für Selbstbestimmung wiesen früh darauf hin, dass dies bei freiwilliger Nutzung unrealistisch sei, ohne deswegen freilich einen Zwang zu fordern. Ein kleinerer Zweig der Debatte dreht sich daher um die Frage der Freiwilligkeit.
Den Schwerpunkt hingegen setzte PEPP-PT selbst: In Voraussicht auf typisch deutsche Technikkritik und den Hang einiger Akteure, die Verarbeitung personenbezogener Daten für eine Risikotechnologie mit nuklearem Gefahrenpotenzial zu erklären, rückte man statt des Anwendungsentwurfs den technischen Datenschutz in den Mittelpunkt seiner Selbstdarstellung. Wie und wie gut der eigene Ansatz funktionieren würde, wusste man bestenfalls ungefähr, was ist in frühen Phasen der Entwicklung auch völlig normal und unvermeidlich ist. Jedoch werde die eigene Lösung auf jeden Fall perfekte technische Datenschutzvorkehrungen umfassen, denn nur so sei bei den Bürgerinnen und Bürgern das nötige Vertrauen zu gewinnen. Dass Kanzleramtsminister Braun dem Projekt PEPP-PT später mit genau diesen Worten den Todesstoß versetzen würde, war da noch nicht absehbar – dass jemand auf dem Holzweg war, hingegen schon. Im weiteren Verlauf der Entwicklungsarbeit, die immer auch ein Lernprozess ist, musste man sich anscheinend von diesem anfänglichen Extremismus verabschieden, auch dies nicht ungewöhnlich.
Unterwegs gingen zwei Dinge schief. Erstens hatte man sich den Weg zu einer offenen Anforderungsanalyse verbaut, denn alles musste sich nun dem Datenschutz-Ideal unterordnen. Mit den Gesundheitsämtern vor Ort zum Beispiel redete – anders die Entwickler von TraceTogether in Singapur oder vermutlich auch jene der südkoreanischen Lösung – anscheinend niemand und so macht der Deutsche Landkreistag seine Vorstellungen in einem Brief an den Gesundheitsminister und das Kanzleramt geltend (paywalled). Statt einem Weg, anonyme und folgenlose Nachrichten in den Cyberspace zu rufen, hätte man dort gerne Namen und Orte. Ob das es am Ende so umgesetzt werden sollte, sei dahingestellt; auf jeden Fall stecken hinter solchen Forderungen Bedürfnisse, die ein Entwicklungsprojekt erfassen und berücksichtigen muss. Vermutlich hat PEPP-PT so etwas sogar versucht oder einfach unterwegs das Problem besser verstanden, doch von dem öffentlich eingeschlagenen Pflock „perfekter technischer Datenschutz“ kam man nicht mehr los.
Zweitens verselbständigte sich die Datenschutzdiskussion und wandelte sich schnell zu einer Glaubensfrage. Zwar lagen zumindest der Öffentlichkeit weiter nur vage Ideen einer App zur Kontaktverfolgung vor, die irgendwo vom Himmel gefallen waren, doch statt über grundlegende konzeptionelle Fragen zu reden, positionierten sich alsbald allerlei Personen und Einrichtungen in einem der Lager „zentral“ oder „dezentral“. Teils handelte es sich um ehrliche, aber überfokussierte Eiferer wie den CCC, teils waren wohl auch handfeste Interessen im Spiel wie bei den Professoren, die sich nach der Abkehr vom Forschungsprototypen DP-3T ihrer Bedeutung beraubt sahen. Obendrein mischten sich auch noch Google und Apple, trotz interessanter technischer Ansätze als Plattformanbieter Inbegriffe der Zentralisierung, mit eigenen Angeboten ein und weckten teils Vertrauen in ihre Fähigkeiten, teils aber auch antiamerikanische Instinkte.
Schnell schoss sich die Szene medienöffentlich auf die Forderung nach einem dezentralen Ansatz ein, während dagegen sprechende Anforderungen nur langsam zu Tage treten. Unterdessen hielt die Bundesregierung ihre Füße still und ließ der Debatte freien Lauf, ohne selbst etwas beizutragen. Sie zweifelte nie an der unbelegten These von der Vertrauen durch Datenschutztechnik und verzichtet bis heute darauf, öffentlich die rechtlichen und organisatorischen Rahmenbedingungen für den Einsatz einer Corona-App zu klären. Dabei ist die kritiklos übernommenen Ursprungsidee nicht einmal plausibel, denn zum einen versteht kaum jemand die technischen Details, zum anderen zeigen die (wahrscheinlich zu Recht) ungehört verhallenden Mahnungen der Datenschützer vor massenhaft genutzten Diensten wie Google, Facebook, WhatsApp oder aktuell Zoom, dass Vertrauen gerade nicht durch den Segen von Datenschützern und Aktivisten entsteht.
Statt das Ihre zur Vertrauensbildung zu tun, ergibt sich die Bundesregierung nun einer überschaubaren öffentlichen Erregung und schließt sich der Forderung nach (scheinbar) perfektem Datenschutz an, während eine Debatte über Anforderungen und Anwendungsentwürfe weiter unterbleibt. Damit tritt das Projekt Corona-App in die Fußstapfen wenig erfolgreicher Vorgänger. Die Gesundheitstelematik – ihr Konzept inzwischen so altbacken wie die Bezeichnung – sollte das Gesundheitswesen vernetzen und dabei Gesundheitsdaten perfekt kryptografisch vor unbefugtem Zugriff schützen. Nach fünfzehn Jahren Entwicklungszeit ist kaum mehr herausgekommen als ein VPN sowie ein Stammdatendienst. Wenig später sollte der elektronische Personalausweis allen Bürgerinnen und Bürgern einen Identitätsnachweis fürs Internet verschaffen. Seine Datenschutzmechanismen sind nahezu perfekt, doch da man Anwenderbedürfnisse ignoriert und das Konzept über die vergangenen zehn Jahre auch kaum weiterentwickelt hat, benutzt fast niemand die eID-Funktion. Bei der Blockchain schließlich ging es zwar nicht um Datenschutz doch auch hier stand eine Technik im Mittelpunkt, von der man Wunderbares erwartete. Diesen Glauben ließ man sich in Berlin nicht von geringer Plausibilität der Anwendungsideen erschüttern. Darüber hinaus brachten die Blockchain-Evangelisten das Schlagwort „dezentral“ ins Spiel und verkauften es unbegründet als Qualitätsmerkmal. Sollte hier die wahre Wurzel der Entscheidung liegen?
Am Beispiel der Corona-App zur Kontaktverfolgung zeigt Deutschland erneut, wie es an politisch belasteten Digitalprojekten scheitert. Mit Ruhm bekleckert hat sich keiner der Beteiligten. An entscheidenden Stellen mangelt es an Kompetenz, hinzu kommen Meme aus der EDV-Steinzeit, die sich niemand zu beerdigen traut. So wird das nichts. Dass es wieder etwas länger dauern wird, steht schon mal fest.
PS: Ich frage mich auch, ob eine Projektstruktur tragfähig ist, in der technische Entscheidungen nach politischer Wetterlage von Ministern getroffen werden, wobei der Gesundheitsminister hü sagt und das Kanzleramt wenig später hott. Ich frage mich außerdem, wieso die Gematik als Projektgesellschaft für die Digitalisierung des Gesundheitswesens in der ganzen Diskussion nicht einmal vorkommt. Eigentlich sollte sie prädestiniert sein, ein Vorhaben wie die Corona-App voranzutreiben und umzusetzen. Tatsächlich ist sie es wohl nicht.
PS (2020-04-28): Seit heute gibt es zumindest eine Projektstruktur, von deren Tragfähigkeit allerdings nicht alle restlos überzeugt sind.
Sicher ist sicher? 
Was mich in diesem Zusammenhang interessiert – vielleicht habe ich es nur übersehen, aber vielleicht wurde es auch nicht prominent thematisiert: Würde es sich eigentlich quantifizieren lassen, ob zwischen dezentralem und zentralem Ansatz ein nennenswerter Unterschied in der technisch möglichen Nutzerbasis besteht? Will sagen: Stellen die Architekturen unterschiedliche Anforderungen an die Hardware? Irgendwelche Nahfunk-Techniken wie Bluetooth werden sie (vermute ich als Laie) alle nutzen müssen, aber bei welcher ist es einfacher, sie auf möglichst vielen auch älteren Geräten einzusetzen?
PS (1):
Hier erklärt jemand in einigen Tweets, wie der Ansatz von Apple und Google funktioniert: https://twitter.com/henningtillmann/status/1254370941846597638 und dort rechnet er vor, welche Datenmenge dabei pro Gerät und Tag anfällt: https://twitter.com/henningtillmann/status/1254746611110105089. Das scheint kein großes Problem zu sein.
PS (2):
Dass ältere Geräte rausfallen, kann gut sein, aber ich weiß nicht, wie viele das betrifft. Zum einen habe ich ab und zu von Bluetooth Low Energy gelesen, das wohl nur neuere Geräte unterstützen. Zum anderen wird die Unterstützung alter Plattformen und Betriebssystemversionen früher oder später eingestellt. Ich habe zum Beispiel bis vor einem halben Jahr noch mein olles Lumia mit Windows Phone benutzt. Das hat so weit funktioniert, aber entwickelt hat dafür schon länger niemand mehr und zum Schluss war Microsoft gerade im Begriff, den Appstore abzuschalten. Der Vorgänger des Lumie musste weichen, als ein für mich wichtiger E-Mail-Server ältere Versionen des TLS-Protokolls nicht mehr anbot, während das E-Mail-Programm des Geräts die neueren nicht unterstützte.
Ich habe noch etwas gefunden. Ars Technica schreibt: “2 billion phones cannot use Google and Apple contact-tracing tech” (https://arstechnica.com/tech-policy/2020/04/2-billion-phones-cannot-use-google-and-apple-contract-tracing-tech/). Sie ziehen die Altersgrenze, bis zu der Geräte die nötigen Bluetooth-Funktionen unterstützen, bei ungefähr fünf Jahren. Die zwei Milliarden Geräte, bei denen es nicht funktioniert, sind auf der Welt ungleich verteilt, in reichen Industrieländern ist der Anteil geringer und in Entwicklungsländern größer. Für UK zitiert der Artikel Schätzungen, nach denen zwischen zwei Dritteln und 88% der eingesetzten Geräte die technischen Voraussetzungen für das Tracing per Bluetooth bieten.
Das ist eine gute Frage. Nach meinem Verständnis wird in beiden Fällen dieselbe Sensorik auf dieselbe Weise verwendet und die Unterschiede liegen vor allem in der weiteren Verarbeitung der gewonnenen Daten. Insofern sollte die Entscheidung an dieser Stelle keinen großen Unterschied machen. Mittelbar können aber alle möglichen Faktoren hineinspielen und die Situation verändern. Einer davon ist die Ankündigung von Apple und Google, die Kontaktverfolgung in ihren Mobilplattformen zu unterstützen. Wenn sie das gut machen, kann es einfacher sein und am Ende auch verlässlicher funktionieren, wenn man sich darauf stützt, statt selbst eine Alternative zu entwickeln. Ein anderer Faktor könnte der Ressourcenbedarf sein, da nicht jedes Smartphone üppig mit Speicherplatz und Datentarif ausgestattet und regelmäßig an einer LTE-Station oder einem WLAN vorbeikommt. Ob dieser Punkt wirklich eine Rolle spielt, kann ich spontan allerdings nicht einschätzen, dazu habe ich mich zu wenig mit den technischen Einzelheiten beschäftigt.
Danke für die ergänzenden Links. Ich dachte eben auch in eigener Sache an ältere Geräte, weil die hier auch teils sehr weit über die „Haltbarkeit“ ihrer OS-Version hinaus genutzt werden.
Zu Nach meinem Verständnis wird in beiden Fällen dieselbe Sensorik auf dieselbe Weise verwendet …:
Genau deswegen finde ich es verwirrend, wenn es z.B. im oben verlinkten Golem-Artikel heißt: „Vor allem an der Blockade Apples drohte der zentrale Ansatz zu scheitern. Denn bislang lässt sich die Bluetooth-Technik bei iOS nicht nutzen, wenn das iPhone nicht entsperrt ist.“ Was kann das mit zentral/dezentral zu tun haben? (Die Frage ist nicht unbedingt an dich gerichtet – aber als nicht-Techie fühlt man sich in dieser Angelegenheit wieder mal ausgesprochen viertelinformiert.)
Das ist, so weit ich es verstanden habe, auch ein sehr indirekter und etwas willkürlicher Zusammenhang:
(1) Eine App zur Kontaktverfolgung muss fortlaufend Bluetooth verwenden und damit die Umgebung scannen.
(2) iOS schränkt offenbar die Bluetooth-Nutzung durch Apps ein, die nicht aktiv im Vordergrund laufen, sei es aus Sicherheitsgründen oder um Strom zu sparen oder mit einer anderen Motivation.
Das betrifft nach meinem Verständnis alle Apps, die etwas mit Bluetooth machen, stört aber vor allem bei der Kontakterfassung.
(3) Nach aktuellem Stand macht Apple nur für die eigene Lösung eine Ausnahme. Diese Apple-Google-Lösung folgt bei der Datenspeicherung dem dezentralen Ansatz.
Tatsächlich verläuft diese Trennlinie also wohl zwischen unabhängigen Apps und Plattformerweiterungen.
Das alles unter Vorbehalt, mit Smartphone-Betriebssystemen kenne ich mich nicht besonders gut aus und ich habe jetzt auch nicht noch einmal recherchiert.
Ich frage mich übrigens, ob die Nachricht hinter der Nachricht vom Wochenende nicht einfach lautet: „Wir machen’s mit Google und Apple statt selbst.“
An ungefähr so etwas habe ich gedacht bei der Ausgangsfrage. – Dann müsste man sich überraschen lassen, welche Mobil-OSe überhaupt die entsprechenden Updates bekommen.
Ich frage mich übrigens, ob die Nachricht hinter der Nachricht vom Wochenende nicht einfach lautet: „Wir machen’s mit Google und Apple statt selbst.“
Das wäre dann aber ein klassischer Pyrrhussieg für die Datenschutzfraktion 😉
Zu Apple und Google noch dieses schöne Zitat:
„Man kann den Smartphone-Duopolisten abnehmen, dass sie alle Identifikations- und Verfolgungsmöglichkeiten unterbinden und auch den eigenen Datenhunger zügeln wollen. So kann niemand die Corona-App missbrauchen – selbst für einen vermeintlich guten Zweck nicht. Und wir können sie getrost installieren, wenn sie denn in einigen Wochen fertig ist.“ – https://www.tagesspiegel.de/politik/notbremsung-bei-der-corona-app-gerade-noch-die-kurve-gekriegt/25776960.html
Lustig – im selben Artikel aber auch der Verweis, dass das Smartphone in Asien elektronische Fußfessel ist. Das kann dann aber, laut statcounter, maximal auf 1,07 Prozent aller Geräte zutreffen:
Mobile Operating System Market Share in Asia – March 2020
Android: 83.66%
iOS: 15.27%