Neue Perspektive für die Corona-Warn-App

Datenschutz - endlich schleifen!

SigismundRuestig | Community

Bei diesem Beitrag handelt es sich um ein Blog aus der Freitag-Community.
Ihre Freitag-Redaktion

Die Entwicklung der Corona-Warn-App verfolge ich von Anfang an. Also seit März 2020. Die dabei gewonnen Erkenntnisse habe ich regelmäßig und zeitnah in entsprechenden Kommentaren dokumentiert. Diese Kommentare lassen anhand der folgenden Headlines eine generelle Richtung erkennen:

- Ein Musterbeispiel für digitalen Dilettantismus in unserer Regierung!
- Keiner plant, ein Versager zu sein, aber Viele versagen bei der Planung!
- Wo dilettiert wird, fallen Spä(h)ne!
- Corona App - eine Lehrstück über Fehler und Versäumnisse bei der Entwicklung öffentlicher IT-Systeme in Corona-Zeiten!
- Corona-Warn-App: was für ein Rohrkrepierer!
- Spahn setzte auf das falsche Pferd!

Auf eine Wiederholung der dort genannten Kritikpunkte verzichte ich hier.

In Anbetracht der sich schon frühzeitig abzeichnenden Malaise mit der Corona-Warn-App habe ich prognostiziert, dass der Zeitpunkt kommen wird, wo seitens der Politik Schuldige gesucht und gefunden werden - für Fehler und Versäumnisse, Irrungen und Wirrungen sowie Termin- und Kostenüberschreitungen bei Entwicklung und Einsatz der Corona-App: die angeblich überbordenden Datenschutzanforderungen!

Praktisch, da diese sich ja nicht wehren können! Aber teuflisch, da damit wieder einmal Bürgerrechte konterkariert und Datenschutzgesetze in Misskredit gebracht werden. Demnächst bieten sich noch die als Bedenkenträger verunglimpften, der „kryptographischen Schönheit“ verfallenen App-Kritiker als Schuldige an. Mit „kryptographischer Schönheit“ hatte der Digitalrat der Bundesregierung einst berechtigte Datenschutz-Anforderungen geschmäht.

Nachdem in der Zeitleiste der Entwicklung der Corona-App eine derartige Kritik regelmäßig immer wieder einmal hochpoppte, scheint jetzt diese Kritik, nachdem auch der bayerische Ministerpräsident die App - ich meine zu recht - mit einem zahnlosen Tiger verglichen hatte, in Politik und Medien zu kulminieren in der - von mir vorhergesagten - Forderung: der Datenschutz muß jetzt mal zurückstecken, Leben und Gesundheit haben Vorrang.

Ein besonders gelungenes Beispiel für diese Art von Berichterstattung gelang Andrian Kreye mit seinem Meinungsartikel Corona - "Nutzlose App" - in der Süddeutschen Zeitung vom 30. November 2020.

Ich möchte diesem Artikel in 5 Punkten widersprechen. Die erforderlichen Nachweise für meine Behauptungen können unter https://www.freitag.de/autoren/sigismundruestig/die-corona-krise-2

insbesondere in Kapitel VIII nachgelesen werden.

1. Der Autor behauptet, die Corona-Warn-App wäre nach Datenschutz-Kriterien vorbildlich. Diese Behauptung ist aber falsch, selbst wenn sie nicht nur von der Bundesregierung, sondern auch von vielen sogenannten IT-Experten einschließlich dem Chaos Computer Club (CCC - Tiefpunkt seiner Geschichte!) so oder ähnlich formuliert wird.
Nachdem diese Behauptung u.a. von der irischen Studiengruppe um Leith und Farell widerlegt wurde und selbst der von der Bundesregierung mit der Prüfung der Corona-App auf Datenschutzkonformität beauftragte TÜV offenbart hatte, dass diese Prüfung explizit die von Apple und Google gelieferte App-Infrastruktur ausgeschlossen hatte, schränkt die Bundesregierung ihre Behauptung der Datenschutzkonformität mittlerweile nur noch auf den von SAP/TELEKOM entwickelten Teil der Corona-Warn-App ein - was eben nur ein Teil des Gesamtsystems darstellt. Das wäre in etwa so, als wenn Porsche bei Versagen von Bremskomponenten seines Fahrzeugs, die z.B. von den Zulieferern Textar bzw. Jurid zugeliefert werden, dennoch behaupten würde, der Porsche funktioniere richtig.

2. Wenn also die Corona-Warn-App gar nicht der europäischen DSGVO (Datenschutzgrundverordnung) entspricht, kann deren mangelhafte Funktionsfähigkeit auch wohl kaum mit überzogenen Datenschutzanforderungen begründet werden. Also müssen es andere Gründe sein, weshalb die Corona-Warn-App so schlecht ist wie sie nun mal ist. Es sind genügend Schwächen und Fehlfunktionen bekannt sind, die mit Datenschutz überhaupt nichts zu tun haben. Hier eine kleine Auswahl:
- es gibt keine Evidenz dafür, dass die App in Bussen und Bahnen korrekt funktioniert.
- die App behindert mehr die Arbeit der Gesundheitsämter als dass sie diese unterstützt, d.h. sie ist gar nicht auf deren Arbeitsprozesse ausgerichtet.

- die Kommunikation zwischen Laboren, Gesundheitsämtern und App-Nutzern ist steinzeitlich organisiert.

Auf die vielen Klagen über Fehler in der Nutzung der App gehe ich erst gar nicht ein.

Diese schlechte Performance ist eher darauf zurückzuführen, dass die Digitalisierung in Deutschland, obwohl mittlerweile aus der Politik als Forderung nicht mehr wegzudenken, immer noch stiefmütterlich behandelt wird. Kein Wunder also, dass Deutschland bei e-Government in Europa auf Platz 21 - von 28 - gelistet wird. Andere, die Bekämpfung der Corona-Pandemie maßgeblich behindernde aktuelle digitale Schandflecke kann man in Zeiten der Corona-Pandemie wie durch ein Brennglas in Schulen und Gesundheitsämtern besichtigen. Sollen diese Defizite jetzt auch dem angeblich überbordenden Datenschutz in die Schuhe geschoben werden?

3. Die Argumentation, dass die Corona-Warn-App-Funktionalität zwangsweise auf den zugrundeliegenden App-Infrastrukturen von Apple und Google aufsetzen muß, ist falsch. Mittlerweile gibt es Expertenvorschläge, wie dies umgangen werden kann.

4. Insofern läuft die fadenscheinige Argumentation, dass die Bürger ihre Grundrechte der informationellen Selbstbestimmung ja in Anbetracht der Nutzung sozialer Medien und anderer nützlicher Smartphone-Funktionen längst aufgegeben haben, und dementsprechend die Nutzung der offensichtlich unsicheren App-Infrastrukturen von Apple resp. Google ja damit keine Akzeptanz-Hürde mehr darstellt, ins Leere. Sie kann demnach nicht mehr dafür herhalten, dass jetzt, worauf der SZ-Artikel hinausläuft, der Datenschutz mal temporär ausgesetzt werden muss. Zudem haben die Nutzer der sonstigen Dienste von Apple und Google nicht ihre Grundrechte - wie der Autor behauptet - „freiwillig“ aufgegeben, sondern weil sie von den entsprechenden Internet-Giganten quasi dazu gezwungen werden und unsere Regierung hier bisher keinen effektiven Riegel vorgeschoben hat (vgl. hierzu ausführlich: „Es war einmal eine Suchmaschine ...“:

https://www.freitag.de/autoren/sigismundruestig/die-eroberung-der-digitalen-welt ).

Die entsprechende Untätigkeit unserer Regierung mag auch daran liegen, dass auch unser Staat offensichtlich ein großes Interesse am - häufig noch dazu unbemerkten - Sammeln unserer Daten hat.

Zwei aktuelle Beispiele machen letzteres überdeutlich und konterkarieren die aktuellen Forderungen nach - temporärer - Aussetzung des Datenschutzes:

- Im Rahmen der Corona-bedingten Registrierung von Gästen in einem Restaurant wurden analoge Registrierungsdaten - entgegen anderslautender Versicherungen der Regierungen und Behörden - doch, z.B. von Polizeidienststellen, für andere Zwecke abgefragt! Wie glaubwürdig ist das denn? Der CSU-Innenminister Herrmann wehrte Kritik an diesem Vorgehen als „falsch verstandenen Datenschutz“ ab. Hätte er sich doch für ein richtig verstandenes Begleitgesetz dieser Corona-Verordnung eingesetzt.

Kein Wunder, dass viele Gäste falsche Angaben gemacht haben.

- Am 5.11.2020 hat der Bundestag auf Vorschlag der Großen Koalition weitgehend unbemerkt, hastig und ohne nennenswerte Evaluation für die Entfristung von bisher - aus guten Gründen - befristeten Sicherheitsgesetzen, gestimmt, die seinerzeit im Zusammenhang mit dem 9/11-Terroranschlag erlassen wurden. Zahlreiche vergleichbare Ereignisse nach Zusicherungen des Schutzes neu zu erhebender Daten lassen sich leicht finden.

Mit anderen Worten, eine als nur temporär deklarierte Aussetzung des Datenschutzes ist unglaubwürdig.

Etwas derartiges - auch nur ansatzweise - vorzuschlagen, ist in mehrfacher Hinsicht leichtgläubig, töricht, befremdlich, ja skandalös.

5. Zu seinem Rundumschlag holt der Autor aus, wenn er jetzt gezielt sein eigentliches Anliegen - die temporäre Aussetzung des Datenschutzes, also eines Grundrechts - begründen will. Nach einem kurzen Seuchen-Geraune, in dem der Autor geheimnisvoll auf deutsche Digitalforscher verweist, die ihrerseits kritisieren, dass Deutschland und Europa digitale Technologien nicht ausreichend für die Seuchenbekämpfung nutzen, läßt er dann die Katze aus dem Sack: es könnten doch viele Transaktionen des öffentlichen Lebens nutzbringend digitalisiert werden - von Ticketsystemen bis zu Corona-Apps.

Den Vogel schießt der Autor ab, wenn er die Deutschen wegen ihrer Nazi- und DDR-Überwachungsstaat-Vergangenheit besonders prädestiniert sieht, den Datenschutz für die Seuchenbekämpfung auszusetzen, um anschließend - mit leuchtenden - Augen darauf hinzuweisen, dass der digitale Markt für Gesundheitsdatensysteme derzeit besonders umkämpft ist. Er vergisst selbst nicht, die künstliche Intelligenz als Heilsbringer zu bemühen, die ja besonders viele Daten benötigt („Erfolg läßt sich kaum aufhalten“). Das nennt der Autor dann - was für eine Logik? - einen Schritt zur Rettung der Bürgerrechte!

Also, wenn die ganzen Digitalkonzerne Tatsachen geschaffen haben, dann wäre ja noch Zeit, um Rechte und Regeln für die digitale Welt zu ordnen.

Was wird hier nicht alles auf den Kopf gestellt? Was wird hier nicht alles unvollständig, wenn nicht gar falsch berichtet? Diesen Standard bin ich von der SZ nicht gewohnt.

Wie wäre es, einfach mal die zunächst überfälligen Rechte und Regeln für die digitale Welt einschließlich der notwendigen Weiterentwicklung der DSGVO zu erstellen? Für die Entwicklung von IT-Systemen das Design-to-Privacy-Prinzip verbindlich vorzuschreiben? Den Handel und Besitz von fremden persönlichen Daten - ähnlich wie den Sklavenhandel - zu verbieten? Das wäre schon mal ein Anfang!

Bleibt nur noch die Frage: wer macht diesen Anfang?