Das Thema Corona-Tracking mittels Smartphone-Apps nach dem Vorbild von Singapur oder Südkorea ist derzeit in aller Munde. Auf netzpolitik.org ist dazu unlängst ein Beitrag von Johannes Abeler, Matthias Bäcker, Ulf Buermeyer erschienen, der die Nutzung eines „datensparsamen Corona-Tracking-Systems“ nach dem „App-Konzept der Regierung von Singapur“ auch aus grundrechtlicher und datenschutzrechtlicher Sicht positiv bewertet.

in dem Beitrag von Abeler/Bäcker/Buermeyer wird die Funktionsweise der Singapur-App folgendermaßen beschrieben:

Möglichst viele Menschen installieren freiwillig eine App auf ihrem Handy. Die App generiert mit kryptographischen Mitteln alle halbe Stunde eine neue temporäre ID. Sobald ein anderes Handy mit der App in unmittelbarer Nähe ist, empfangen beide Handys die temporäre ID der jeweils anderen App-Installation und speichern sie. Diese Liste mit IDs anderer App-Installationen wird auf beiden Handys lokal und verschlüsselt gespeichert (…). Sobald bei einem der App-User eine Coronavirus-Infektion diagnostiziert wird, bittet die diagnostizierende Ärztin den Nutzer, die lokal gespeicherten Daten an den zentralen Server zu übertragen (…). Falls der Nutzer zustimmt, erfährt der zentrale Server, mit welchen anderen temporären IDs dieses Handy in Kontakt war. Der Server kann aus diesen IDs zwar nicht entschlüsseln, welche Menschen sich dahinter verbergen, er kann aber alle betroffenen Handys informieren.

Jetzt sollte allerdings zum Singapur-Modell nicht unerwähnt bleiben, dass die dortige App eben doch ein Überwachungstool ist, das der Exekutive des autoritär regierten Stadtstaats Zugriff auf die Daten und insbesondere eine Identifizierung der erfassten Nutzer ermöglicht. In einer Untersuchung, die die TraceTogether-App aus Singapur analysiert, heißt es hierzu:

However, while Singapore’s TraceTogether app protects the privacy of users from each other, it has serious privacy concerns with respect to the government’s access to the data.

Das Konzept in Singapur fußt nämlich gerade auf der Erwägung, dass der Staat Zugriff auf den zentralen Server haben muss, um diejenigen, die als Kontaktpersonen ermittelt worden sind, konsequent zu isolieren, auch mit Methoden eines autoritären Staates. Es fällt mir daher bereits schwer, das Modell grundsätzlich als Vorbild zu betrachten. Sollten wir uns wirklich an den Methoden autoritärer Staaten orientieren? Und muss man sich nicht einfach auch fragen, ob die App aus Singapur gerade deshalb als effizient gilt, weil der Staat das Geschehen steuert.

Aber selbst wenn man dasselbe Prinzip so ausgestalten will, dass der Staat keinen Zugriff auf den zentralen Server erhält, bleibt die Frage zu klären, wer diesen Server betreibt und wie und wodurch gewährleistet ist, dass ein staatlicher Zugriff unterbleibt. Aber auch dann werden sich datenschutzrechtliche Fragen stellen. Denn die Kombination einer Vielzahl von Bewegungsdaten unterschiedlicher Personen wird häufig die Möglichkeit eröffnen, Rückschlüsse auf betroffene Personen zu ziehen. Es werden eben doch personenbezogene Daten verarbeitet. An dieser Stelle wird dann versucht, mit dem Aspekt der Freiwilligkeit zu argumentieren. Das setzt voraus, dass der Nutzer in die Verarbeitung seiner Daten (wirksam) einwilligt. Allerdings wem gegenüber? Dem Betreiber des Servers? Oder doch gegenüber einer staatlichen Stelle? Wer ist der datenschutzrechtlich Verantwortliche? Und wie wird die Entwicklung sein, wenn die Akzeptanz der App auf freiwilliger Basis gering ist? Wird dann nicht der Druck steigen, der Freiwilligkeit Nachdruck zu verleihen?

Oder man wählt schlicht den gegenteiligen Ansatz, der zumindest, was die Eindämmung des Virus angeht, mehr Effektivität verspricht. Nachdem aktuell bereits die Grundrechte auf Freizügigkeit weitgehend, auf Versammlungsfreiheit vollständig und auf Berufsfreiheit teilweise eingeschränkt sind, kann man natürlich auch die Frage stellen, warum eigentlich das Grundrecht auf informationelle Selbstbestimmung bzw. Datenschutz gänzlich unbehelligt bleiben soll. Dafür müsste man im Infektionsschutzgesetz eben eine gesetzliche Grundlage schaffen. Also am Ende das Modell Singapur auf Basis einer gesetzlichen Grundlage.

Aber man sollte auch die praktischen Aspekte dieser App nicht aus dem Auge verlieren. Die App würde jeden, der in die Bluetooth-Reichweite eines Infizierten kommt, also alles in einer Entfernung bis ca. zehn Meter, als Kontaktperson flaggen. Wenn man bedenkt, dass selbst von denen, die einem Infizierten kritisch nahe kommen, also unter 1,5 – 2 Meter, sich nicht annähernd jeder ansteckt, würde diese App im Ergebnis überwiegend Ergebnisse liefern, die false positive sind. Ganz abgesehen davon, dass man damit eine Vielzahl an Menschen grundlos verängstigt, bleibt die Frage offen, wie mit den identifizierten Kontaktpersonen weiter zu verfahren ist. Die Personen sollen in diesem Stadium schließlich noch anonym und nicht in irgendeiner Form staatlich erfasst sein. Es ist derzeit allerdings nicht so, dass man einfach zum Arzt gehen kann und sich testen lassen kann. Getestet werden allenfalls Personen, die nachweisbar Kontakt zu einem Infizierten hatten und selbst Symptome zeigen. Es ist also derzeit schon so, dass keineswegs alle Kontaktpersonen getestet werden. Es ergibt also wenig Sinn, eine App zu propagieren, die noch mehr solcher Kontaktpersonen produziert, die dann wiederum nicht getestet werden. Das Konzept wird allenfalls dann Sinn ergeben, wenn sichergestellt ist, dass sämtliche Kontaktpersonen, die die App ermittelt, anschließend auch zügig getestet werden können. Aber wie soll das gewährleistet werden? Muss der Betroffene, der sich ja anonym wähnt, dazu seine Anonymität aufgeben und hat der Staat für diesen Fall die Voraussetzungen geschaffen, dass der Betroffene einen Anspruch auf den Test hat und dieser auch umgehend durchgeführt wird?

Es ist also nicht damit getan, eine solche App zu entwickeln und für ihre Installation zu werben. Sie wird vielmehr nur als Teil eines stimmigen Gesamtkonzepts funktionieren, dessen Konturen noch nicht erkennbar sind.

Update vom 17.04.2020

Nach aktuellen Medienberichten verzögert sich die Einführung der Corona-App, weil es angeblich Streit unter den Entwicklern gibt und auch die Abstimmung mit den Datenschützern (welchen?) nicht abgeschlossen sei. Interessant an der Berichterstattung ist in jedem Fall, dass man mittlerweile offenbar wieder bei dem Konzept einer Datenspeicherung auf einem zentralen Server angekommen ist, nachdem zwischenzeitlich die dezentrale schweizerische Löschung favorisiert worden war. Das wirft weiterhin die hier bereits erörterte Frage auf, wer diesen Server betreibt, wie die Daten an die Gesundheitsämter weitergegeben werden und wie der staatliche Zugriff auf diese Daten geregelt ist bzw. verhindert werden soll.

Außerdem ist es weiterhin so, dass die öffentliche Debatte zumeist an dem Punkt endet, an dem es tatsächlich relevant wird. Entscheidend ist nämlich die Frage, wie es weiter geht, wenn ein Betroffener gewarnt worden ist. Erfolgt dann über den zentralen Ansatz eine Meldung an die Gesundheitsämter, liegt ein staatlicher Eingriff vor, der einer gesetzlichen Grundlage bedarf. Freiwilligkeit hin oder her. Wird nur der Betroffene informiert, würde dies bedeuten, dass er sich selbst um den Fortgang kümmern und um einen Test bemühen muss. Nach der aktuellen Situation hat er allerdings keinen Anspruch auf einen Test. Das System wäre also nur dann effektiv, wenn man einen gesetzlichen Anspruch auf einen Test schaffen würde. Andernfalls laufen da draußen nur massenhaft Gewarnte rum, die mit überwiegender Wahrscheinlichkeit zwar negativ sind, trotzdem ein mulmiges Gefühl haben und sich möglicherweise vergeblich um einen Test bemühen. Das wäre nicht nur ineffektiv, sondern kontraproduktiv. Derzeit erscheint das App-Konzept noch nicht zu Ende gedacht. Das sollte es allerdings sein, wenn die App auf den Markt kommt.

Hinzu kommt weiterhin die Frage der Effektivität. Nach den Zahlen des statistischen Bundesamts nutzen ca. 58 Millionen Menschen in Deutschland Smartphones, das sind ca. 70 % der Bevölkerung. Wenn man jetzt die Geräte abzieht, auf denen die App aus technischen Gründen nicht lauffähig ist, wird ein Prozentsatz von 60 – 65 verbleiben, der die App tatsächlich installieren und nutzen kann. Wenn man jetzt von einer Installationsquote von 50 % ausgeht – was ich für optimistisch hoch halte – dann würde am Ende jeder Dritte die App auch tatsächlich nutzen. Grundsätzlich geht man davon aus, dass die App aber nur dann effektiv sein kann, wenn es zu einer hohen Installationsquote kommt. Der Virologe Christian Drosten hat im NDR-Coronavirus-Update von 60 % der Bevölkerung gesprochen – was allerdings einer Installationsquote von nahe 100 % entsprechen würde – während andere Einschätzungen eine Effektivität ab einer Installationsquote von 60 – 70 % annehmen. Das erscheint beides nicht übermäßig realistisch.

Auf die technischen Beschränkungen, die zudem zu bedenken sind, hat Henning Tillmann bei Zeit Online hingewiesen.

Die App, so sie denn überhaupt kommt, wird also im besten Falle eine Ergänzung unter vielen sein. Die zentrale Rolle, die ihr in den Medien und der öffentlichen Debatte beigemessen wird, wird sie aber voraussichtlich nicht einnehmen können.