Seit Mitte Juni kann die deutsche Corona-Warn-App auf das Smartphone geladen werden: rund 13 Millionen Mal war dies bis zum Ende des Monats bereits geschehen. Die kontroverse Debatte im Vorfeld der Veröffentlichung dient auch als Positivbeispiel für die Bedeutung zivilgesellschaftlicher Allianzen. Ohne diesen breiten Protest hätte es mit hoher Wahrscheinlichkeit keinen dezentralen Open-Source-Ansatz gegeben. Ob dann die ersten Download-Zahlen auch so hoch gewesen wären, ist zumindest zweifelhaft. Doch trotz der datenschutzrechtlichen Kehrtwende der Bundesregierung war die Verunsicherung der Bevölkerung gegenüber der App im Mai noch groß. Der Hauptgrund: unzureichende Kommunikation von offizieller Seite.
Auf der Contact-Tracing-App ruhen viele Hoffnungen: sie soll dabei helfen, eine zweite Corona-Welle zu verhindern und den Weg zurück in eine neue Normalität ebnen. Wird sie im Zusammenspiel mit weiteren Maßnahmen eingesetzt – Maskenpflicht, Obergrenzen für Veranstaltungen, etc. – dann reichen laut einer Simulation der Universität Oxford bereits 15 Prozent Nutzende aus, um Infektionsketten zu unterbrechen. Werden keine weiteren Schutzmaßnahmen getroffen, braucht es eine Durchdringungsrate von 60-70 Prozent, damit die Reproduktionszahl dauerhaft unter eins gedrückt werden kann. Die Zahl 13 Millionen Downloads stellt damit eine kritische Grenze dar, denn sie entspricht ca. 15 Prozent der deutschen Bevölkerung, obwohl bedacht werden muss, dass Downloads nicht Nutzende bedeuten. Doch auch, wenn manche die Warn-App auf mehreren Geräten nutzen und sie bei einigen eventuell schon wieder deinstalliert ist: die Startposition der Anwendung ist günstig. Je mehr Menschen sie installiert haben, desto höher ist die statistische Wahrscheinlichkeit, in der häufig anonymen Welt des Alltags anderen zu begegnen, die sie auch verwenden.
Ohne Vertrauen läuft es nicht
Vertrauen ist der entscheidende Faktor für eine weitere Steigerung der Nutzungszahlen. Dieses Vertrauen steht und fällt mit der Überzeugung, umfassend und transparent über alle Aspekte des digitalen Contact Tracing informiert zu werden. Genau hier gibt es aber anscheinend große Defizite: In einer Umfrage des Meinungsforschungsunternehmens Civey im Auftrag von pressrelations Anfang Mai fühlten sich 54,9 Prozent der Befragten von der Bundesregierung nicht ausreichend über die Corona-Warn-App informiert – 31,9 Prozent sahen sich zufriedenstellend aufgeklärt. Diese Unsicherheit spiegelt sich auch in der Diskussion in den sozialen Medien wieder.
Von der App zur Impfpflicht
Eine Analyse der Resultate in der pressrelations-Datenbank für Online- und Social-Media-Content, dem SearchPool, zeigt, dass im April und Mai sechs Themen-Dimensionen im Fokus des Interesses im Social Web standen (siehe Grafik). Um die Angst vor stärkerer staatlicher Überwachung durch die “Hintertür” des Contact Tracing geht es in einem Drittel der Beiträge (33 Prozent). Sichtlich weniger Posts – etwa ein Fünftel – beschäftigen sich mit Fragen des medizinischen Nutzens (20 Prozent) und des Datenschutzes (17 Prozent). Viele der Beiträge, in denen sich eine grundsätzliche Angst vor Überwachung ausdrückt, ziehen auch Parallelen zu einer möglicherweise drohenden Nutzungspflicht für die App und einer Impfpflicht im Falle der Verfügbarkeit eines entsprechenden Mittels.
Nutzungspflicht durch die Hintertür?
Dabei wurde die auf Bundesebene rechtlich kaum durchsetzbare Nutzungspflicht von der Politik mit diversen Vorschlägen einer Art Bonussystems indirekt selbst ins Spiel gebracht. Axel Voss (CDU), der rechtspolitische Sprecher der EVP-Fraktion im EU-Parlament – und ehemals Kandidat für den Vorsitz der EU Kommission – schlug vor, Anreize gezielt zu setzen, also Menschen, die die App nutzen, zuerst wieder ins Kino, Theater oder Freibad gehen zu lassen. Trotz Kritik, aktuell auch aus den eigenen Reihen, u.a. von Horst Seehofer (CSU) und Jens Spahn (CDU), vom Koalitionspartner SPD und der Opposition, hat dieser Vorschlag dem Misstrauen Vorschub geleistet.
Keine zentrale Datenspeicherung
Voss hätte auch eine zentrale Datenspeicherung auf EU-Ebene vorgezogen. Deutschland ist allerdings dann doch einen anderen Weg gegangen als beispielsweise Frankreich. Die aktuelle Corona-Warn-App speichert über eine von Google und Apple zur Verfügung gestellte Schnittstelle Daten nur dezentral, das heißt lokal auf dem eigenen Smartphone. Die Abkehr von der noch im April von der Regierung präferierten zentralen Datenspeicherung war auch die Reaktion auf massive Kritik seitens Unternehmen, Wissenschaft und Netzaktivismus. Institute wie das Helmholtz Center for Information Security (CISPA) waren zuvor unter Protest aus dem paneuropäischen Projekt Pepp-PT ausgetreten.
In Frankreich zumindest ist die Variante der digitalen Kontaktverfolgung mit zentraler Datenspeicherung bereits kurz nach ihrem Start gescheitert: nur 1,8 Millionen Mal war die App Anfang Juni heruntergeladen worden, 460.000 Mal wurde sie seitdem bereits wieder deinstalliert. Der französische Sonderweg wurde zusätzlich von der negativen Wahrnehmung des Umgangs der Regierung Macron mit der Pandemie belastet.
Chaos Computer Club pusht das Thema Datenschutz
In Deutschland hat die Regierung in dieser Hinsicht gute Umfragewerte – und so ist auch die Debatte um die Warn-App im Netz trotz Kritik und diverser Befürchtungen zum großen Teil konstruktiv. Der Blick auf den SearchPool zeigt, von wem die zentralen Themen-Dimensionen in den sozialen Netzwerken vorangetrieben wurden (siehe Grafik). Von den Institutionen bzw. Vereinen mit Fach-Expertise positioniert sich der Chaos Computer Club (CCC) mit Abstand am stärksten; in der Politik führt Anke Domscheit-Berg (DIE LINKE) das Feld an, bei den Medien ist es das Handelsblatt. Die Top-Stakeholder posten am häufigsten zum Thema Datenschutz. Unter die Top 5 der Meinungstragenden im Social Web schaffen es auch das Gesundheitsministerium und Minister Jens Spahn und der Datenschutzbeauftragte der Regierung Ulrich Kelber (SPD).
Digitalstaatsministerin nicht unter Top-Stakeholdern
Digitalstaatsministerin Dorothee Bär (CSU) äußert sich dagegen im Beobachtungszeitraum in keinem ihrer Posts zur Corona-Warn-App. Vor einigen Tagen gab es dafür von ihr auf Twitter einen Seitenhieb auf den CCC: “blöd gelaufen” sei es für sie, da sie an der App nichts auszusetzen hätten. Allerdings: die Fachleute im Auftrag von Regierung und RKI haben sich bei der Entwicklung auch an den vom CCC im April postulierten Vorschlägen für eine sichere App orientiert. Ebenfalls keine Social-Media-Beiträge zur Thematik gibt es bis Mitte Mai von den mit der Entwicklung der dezentralen App betrauten Firmen SAP und T-Systems.
Informationsdefizit von offizieller Seite
Die Social-Media-Analyse macht offenbar, dass es von zahlreichen relevanten Stakeholdern keine oder nur spärliche Informationen zur Corona-Warn-App gibt. Allerdings wird dieses Informationsdefizit nicht immer dazu genutzt, die digitale Kontaktverfolgung als solche komplett abzulehnen und zu dämonisieren. Der CCC hat sich insbesondere für eine dezentrale Datenspeicherung stark gemacht und Anke Domscheit-Berg, die auch Mitglied im Digitalausschuss des Bundestages ist, hat auf Twitter mehrfach betont, dass T-Systems und SAP mit der Veröffentlichung der Funktionsweise und des Codes der App auf der Open-Source-Plattform Github einen guten Weg eingeschlagen haben. Auf Github haben andere Unternehmen zum Beispiel die Möglichkeit, auf Schwachstellen der App aufmerksam zu machen. Das u.a. von Voss ins Spiel gebrachte Anreizsystem bzw. die mittelbare Nutzungspflicht dienen dagegen der digitalpolitischen Sprecherin der AfD, Joana Cotar, dazu, das Contact Tracing als Einfallstor für einen Abbau von Grundrechten und Teil eines staatlichen Überwachungssystems anzuprangern.
Technologische Hürden für die Nutzung
Die in sozialen Medien verbreitete Angst vor Überwachung speist sich auch aus dem Mangel an umfassender Aufklärung darüber, was die App alles leisten kann und was nicht, wie lange sie in Gebrauch sein wird und ob der Zugang zu bestimmten Orten de facto nur denjenigen erlaubt sein wird, die die App heruntergeladen haben und nutzen. Aus den Reihen der Opposition haben u.a. die Grünen ein Gesetz gefordert, das für genau diese und weitere Punkte einen Rahmen setzt. Allerdings sieht es momentan nicht so aus, als würde die Regierungskoalition eine entsprechende Regelung in Erwägung ziehen. Auch aus technologischer Sicht ist das letzte Wort noch nicht gesprochen. Viele Labore verfügen nicht über die technischen Schnittstellen, um die QR-Codes zu senden, mit denen eine Infektion gemeldet werden kann, das heißt, es muss dann eine Telefon-TAN genutzt werden – damit ist aber die Anonymität dahin.
Nutzende brauchen auch mindestens Android 6.0 – letzteres führt nicht zuletzt dazu, dass zahlreiche Regierungsbeamte die App auf ihren Diensthandys nicht installieren können. Zudem gibt es einige irritierende Bugs, die größtenteils auf Probleme mit der Google- und Apple-Bluetooth-API zurückzuführen sind: z.B. Kommunikationsfehler oder der Hinweis, dass Daten für eine bestimmte Region möglicherweise nicht zur Verfügung gestellt werden können. Auch dass die Schnittstelle ausgerechnet von Google und Apple zur Verfügung gestellt wurde, stößt vielen sauer auf.
Zweifel an Effizienz von Bluetooth
Schon vor einigen Monaten hat der Kryptograph Bruce Schneier, Erfinder der PGP-Verschlüsselung, darauf hingewiesen, dass die Distanzmessung über Bluetooth nicht akkurat genug ist, um jeden Kontakt korrekt zu erfassen. So erkennt Bluetooth nicht, ob Menschen durch eine Wand voneinander getrennt sind. Nutzende bekommen dann potenziell eine Warnung, obwohl es keinen physischen Kontakt gab.
Darüber hinaus könnten Fehler in den Standort- oder Proximity-Systemen dazu führen, dass Infektionen nicht erkannt werden. Und nicht alle Infizierten nutzen notwendigerweise die App bzw. es kann jemand auch schlicht sein Handy zu Hause vergessen haben. Außerdem könnte in einem möglichen Anreizsystem die App ausgetrickst werden, denn die Aktivitätsanzeige funktioniert auch, wenn z.B. bei Android-Geräten die Standortdaten nicht aktiviert sind.
Wenn solche Unsicherheitsfaktoren von offizieller Seite nicht transparent angesprochen und Bugs nicht zeitnah behoben werden, kann die Stimmung sehr schnell kippen. So kursiert seit einigen Tagen ein Facebook-Post, in dem behauptet wird, dass die gespeicherten Kontakte der Nutzenden zur Identifizierung und zum Tracking genutzt werden. Das ist nachweislich falsch, da alles über anonymisierte Schlüssel läuft – das RKI vergibt aus Sicherheitsgründen zusätzlich jeden Tag überzählige Schlüssel, um ein Hacken zu erschweren.
Was stimmt: ein Forschungsteam der Technischen Universität Darmstadt, der Universität Marburg und der Universität Würzburg hat kürzlich gezeigt, dass unter ganz spezifischen Bedingungen externe Angreifer Bewegungsprofile erstellen und so Menschen potenziell identifizieren können. Selbst wenn die Wahrscheinlichkeit gering ist: solche Nachrichten tragen in Kombination mit zweifelhaften Clickbait-Posts im Social Web zur Verunsicherung bei. Findet jetzt keine transparente Debatte statt und werden keine Maßnahmen zur Behebung schwerwiegender Fehlerquellen getroffen, ist der Vertrauensvorschuss verspielt und der Nutzen der App dahin.
