Quelloffene Software, transparente Kommunikation und öffentlich-private Kooperation mit großen wie kleinen Unternehmen: Die Entwicklung der deutschen Contact-Tracing-App könnte ein Vorbild für staatliche IT-Projekte sein.
Ich habe es getan. Ich habe mir, wie Millionen von Deutschen, die Corona-Warn-App auf mein Smartphone heruntergeladen und installiert. Und ich habe bisher nichts Wesentliches daran auszusetzen.
In meinem Fall ist das sehr ungewöhnlich. Ich beschäftige mich seit mehr als 15 Jahren mit Datenschutz im digitalen Zeitalter. Ich habe Unternehmen verklagt, um an meine Daten zu kommen, und ich streite täglich für Grund- und Menschenrechte. Dennoch habe ich mich bewusst dafür entschieden, diese App, die meine Daten sammelt, zu installieren und zu nutzen. Die dezentrale Architektur stellt sicher, dass mein Smartphone mit denen anderer Nutzer kommunizieren kann, ohne dass meine persönlichen Informationen mein Gerät verlassen. Die App läuft geräuschlos im Hintergrund. Selbst die anfängliche Sorge, dass ihr Einsatz zu Lasten der Akkudauer gehen würde, hat sich nicht bestätigt. Mit weit über dreizehn Millionen Downloads (Stand 26.6.2020) in den App-Stores und bisher keinen nennenswerten bekannten Sicherheitslücken ist die deutsche App ein echter Hit.
Mit ihrem Open-Source-Produkt haben SAP und Deutsche Telekom gezeigt, dass hoher Datenschutz, ordentliche IT-Sicherheit und quelloffene Software nicht im Widerspruch zu Nutzerfreundlichkeit stehen müssen. Zugleich kann der Prozess, in dem die App entwickelt wurde, als Vorbild für viele künftige staatliche IT-Projekte dienen.
Pragmatische Entscheidung für dezentrale Datenverarbeitung
Dass es zu diesem Erfolg kommen würde, war nicht ausgemacht. Die Bundesregierung fuhr im März und April zunächst einen Zick-Zack-Kurs. Zuerst wollte sie Funkzellendaten auswerten, um Infektionsverläufe aufzudecken. Nachdem das am öffentlichen Widerstand und massiven Zweifeln am Nutzen dieser Daten gescheitert war, setzte sie auf einen Ansatz mit Bluetooth-basiertem Contact-Tracing mit zentraler Datenspeicherung und -auswertung.
Das Umschwenken auf den jetzigen Ansatz, bei dem das Infektionsrisiko lokal auf den Endgeräten berechnet wird, war eine pragmatische Entscheidung: Nachdem Apple und Google als Hersteller der marktdominierenden mobilen Betriebssysteme angekündigt hatten, eine neue Bluetooth-Schnittstelle nur für Apps zur Verfügung zu stellen, die die Daten dezentral verteilen und speichern, wurde klar, dass eine App ohne diese Schnittstelle (die so genannte API) deutlich eingeschränkt wäre. Ohne den durch die API ermöglichten Zugriff könnte ein Datenaustausch nur stattfinden, wenn die App dauerhaft im Vordergrund geöffnet bliebe. Das aber würde die Akkulaufzeit mobiler Geräte extrem verringern, und nach jedem Neustart des Geräts müsste der Nutzer die App wieder öffnen. In Ländern wie Frankreich, das sich für zentralisierte Systeme entschieden hat, wird sich zeigen, ob eine Tracing-App auch ohne die Schnittstelle funktionieren kann. Aber die bisherigen Zahlen sind ernüchternd, die Downloadzahlen sind sehr gering.
Dass die Bundesregierung sich für den dezentralen Ansatz und damit Kompatibilität mit der neuen API entschied, war die richtige Entscheidung. Und sobald diese Entscheidung Ende April gefallen war, ging es richtig los mit der Umsetzung. Kanzleramt und Bundesgesundheitsministerium verpflichteten die Unternehmen auf konsequente Offenheit und Transparenz – und ernteten damit Lob von Datenschützern und das Vertrauen der Bevölkerung. Die Veröffentlichung des Source Code war ein Durchbruch, denn quelloffene Software ist bei staatlichen IT-Projekten eine Seltenheit.
Start-ups wurden einbezogen
Mit SAP und Deutscher Telekom wurden die beiden größten deutschen Unternehmen in diesem Bereich beauftragt. Dass hier eher mit der Champions League, als mit der Kreisklasse gespielt wurde, spiegelt sich auch im Preis der App wider: Sie kostet 68 Millionen Euro über zwei Jahre. Aber – und auch das ist ein Novum – die Großunternehmen bezogen ein Netzwerk von Startups, die sich unter dem Motto „Gesundzusammen“ verbündet haben, in die Entwicklung ein. Die Startups konnten ihre Erfahrungen im direkten Kundenkontakt nutzen, um die Nutzerfreundlichkeit der App zu erhöhen. Der Geschäfts-Software-Hersteller SAP ist normalerweise nicht im Endkundengeschäft aktiv und die Deutsche Telekom ist in Deutschland nicht für hohe Kundenzufriedenheit bekannt.
Die Lektionen aus drei Monaten Diskussion, Ausprobieren, und jetzt auch Anwenden, sind:
1. Transparenz schafft Vertrauen
Der verwirrende Expertenstreit über einen zentralen oder dezentralen Ansatz hatte anfangs zu großer Skepsis in der Öffentlichkeit geführt. Dazu kommt, dass der Staat in Deutschland generell kein Vertrauen in der Bevölkerung genießt, wenn es um IT-Projekte geht. Milliardenschwere Großprojekte wie die elektronische Patientenakte kommen nicht voran und den Mehrwert, den der elektronische Personalausweis bringen sollte, erschließt sich den meisten Bürger*innen nicht. Hinzu kommt, dass Deutschland zwar Datenschutz und IT-Sicherheit predigt, diese Werte aber zugleich mit einer grundrechtswidrigen Sicherheitspolitik torpediert. Jüngstes Beispiel hierfür ist der Vorschlag für staatliches Hacking für die Nachrichtendienste im Inland.
Mit dem Gegenbeispiel der Corona-Warn-App setzt die Bundesregierung auf maximale Transparenz, Datenschutz und IT-Sicherheit, und der bisherige Erfolg beweist: Es zahlt sich aus. Durch die Einbindung von Zivilgesellschaft und Experten wurde ein ernsthafter Dialog ermöglicht. Die Verpflichtung der Unternehmen auf einen quelloffenen Code war die richtige Entscheidung und muss Vorbild für alle künftigen staatlichen IT-Projekte sein. Die Entscheidung, die nach der DSGVO verpflichtende Datenschutzfolgenabschätzung nicht nur intern zu erstellen, sondern auch vollumfassend öffentlich zugänglich zu machen, sollte sich ebenso als Standard etablieren. Nur so können interessierte Nutzer sich eine eigene Meinung zu technischen Lösungen bilden.
Ein Zusammenspiel von Großunternehmen und Startups schafft Synergien und erhöht die Nutzerfreundlichkeit, denn institutionalisierte Erfahrung und innovativer Mut ergänzen sich optimal. Hinzu kam die verantwortungsvolle Haltung eines Großteils der beteiligten Akteure, sowohl auf Seiten der Entwickler, aber auch seitens der parlamentarischen Opposition oder der digitalen Zivilgesellschaft. Es gibt eine kritische Begleitung, aber keine Kritik um der Kritik willen.
2. Globale Krisen erfordern einheitliche Lösungen
Eine weitere wichtige Erkenntnis – und diese ist zwiespältiger – ist die, dass Krisen vom Ausmaß der Covid-19-Epidemie grenzüberschreitende Lösungen erfordern. Apps auf Basis der Apple/Google Schnittstelle legen die Grundlage für einen einheitlichen Ansatz, allerdings auf Kosten der demokratischen Legitimation.
Der US-Rechtswissenschaftler Lawrence Lessig schrieb schon vor 20 Jahren: „Code is Law“. Die einseitige Entscheidung der Unternehmen, die Erweiterung der Schnittstelle nur für Apps mit dezentraler Datenverarbeitung zuzulassen, erschwert es alternativen Ansätzen, die technischen Möglichkeiten von Bluetooth Low Energy umfassend und nutzerfreundlich einzusetzen. Dass internationale Konzerne so einseitig technologische Normen setzen, war kurzfristig hilfreich, aber birgt langfristig ein Legitimationsproblem.
Demokratien sollten Standardsetzung nicht alleine Konzernen überlassen
Die Entwicklung der Corona-Warn-App illustrierte die Rolle großer Technologiekonzerne als Gatekeeper. Der dezentrale Ansatz war der kleinste gemeinsame Nenner, und die Unternehmen begründeten ihre vorsichtige Wahl mit der Absicherung gegen den Staat. Denn Staaten, die einen zentralen Ansatz bei der Datenspeicherung verfolgen, könnten diese Daten auch für andere Zwecke missbrauchen.
Die Rolle von Apple und Google bei der Standardsetzung sollte ein Thema für künftige Debatten sein, zumal zahlreiche demokratische Staaten – wie Frankreich, aber auch zu Beginn Großbritannien – für die Öffnung der Schnittstelle für zentrale Ansätze plädiert hatten. Bei der jetzigen Ausgestaltung müssen die Nutzer*innen und App-Entwickler*innen Google und Apple blind vertrauen. Es ist nicht überblickbar, in welchem Umfang die Konzerne im Zweifel Zugriff auf die Daten haben könnten.
Die Entscheidungshoheit über Technikgestaltung in globalen Krisen ganz allein den Unternehmen zu überlassen, wäre falsch. Ebenso dürfen aber auch Staaten nicht ihre Wünsche einfach so in den Programmcode diktieren. Hier braucht es mindestens einen ernsthaften Dialogprozess, wenn nicht weitreichende völkerrechtliche Vereinbarungen für die Zukunft.
Eines aber ist sicher: Wirksame Pandemiebekämpfung funktioniert nur mit einer einheitlichen Lösung. Durch die vielen nationalen Alleingänge bei den Corona-Tracing-Apps, gerade auch in Europa, bleibt es unklar, ob es eine wirksame pan-europäische Kontaktnachverfolgung geben wird. Die Europäische Kommission unterstützt, zumindest für Apps, die auf dem dezentralen Ansatz basieren, einen grenzüberschreitenden Austausch der Infizierten-Meldungen. Dies ist gerade jetzt wichtig, bevor in den Ferienmonaten vermutlich Millionen Menschen quer durch Europa reisen werden.
Klar ist aber auch: Apps mit unterschiedlichen Konzepten, insbesondere für dezentrale versus zentrale Datenverarbeitung, können auch in Zukunft nicht miteinander kommunizieren. Wenn das Virus nicht aus den Sommerferien mit nach Hause kommen soll, brauchen wir pan-europäische Lösungen.
Dieser Artikel erschien ursprünglich auf Englisch im Dossier Tech and Covid-19 auf der Webseite unseres Büros in Washington und Brüssel.
Malte Spitz, ist Aktivist, Autor, Datenschützer und Generalsekretär der Gesellschaft für Freiheitsrechte (GFF). Er engagiert sich seit über 15 Jahren für Grund- und Menschenrechte im digitalen Zeitalter und hat dazu bereits zwei Bücher veröffentlicht und hält regelmäßig national und international Vorträge zu diesem Thema.
