Berlin. Dinge und Positionen ändern sich. Ursprünglich hat an dieser Stelle ein Beitrag gestanden, der offenkundig in der Wahrnehmung die Position des Vereins in der aktuellen Debatte verzerrt und nicht adäquat darstellt. Klar ist, dass sowohl das #cnetz, aber auch andere digitalpolitische Organisationen selbst nicht in der Verantwortung sind, digitale Lösungen zu adressieren und zu entwickeln, sondern in einem politischen Diskurs Positionen und verschiedene Szenarien abgewogen werden. Dies kann, dies muss im Zweifel auch mal zu unterschiedlichen Standpunkten führen. Manchmal gibt es dabei aber weder ein richtig oder falsch, sondern die Frage ist, ob der öffentliche Diskurs bereichert wurde und die Ergebnisse besser sind, oder eben nicht. Im aktuellen Fall kann heute noch niemand sagen, ob und welche Lösung besser funktioniert, denn wir haben noch gar keine – das ist der viel kritischere Tatbestand. Ziel muss es nun sein, dass schnellstmöglich eine digitale Lösung zur Unterstützung der Pandemiebekämpfung auch in Deutschland verfügbar wird.
Zur Sachlage: Die Bekämpfung der COVID19-Pandemie auf der einen Seite und eine Gestaltung eines verantwortlichen Miteinanders im öffentlichen Raum auf der anderen Seiten macht es erforderlich, dass im Infektionsfall Kontaktketten infizierter Personen schnell und möglichst umfassend informiert werden, so dass die betroffenen Personen entsprechende Maßnahmen, wie Qurantäne und ärztliche Tests, ergreifen können. Sog. Tracing-Apps können dabei einen Beitrag leisten, derzeitige restriktive und flächendeckende Maßnahmen zu lockern.
Aus Sicht des Vereins sollte man die diskutierten App-Szenarien nicht nur aus Privacy- und IT-Sicherheitsaspekten bewerten, sondern auch hinsichtlich ihrer Funktionalität in Bezug auf die weitere Pandemie-Bekämpfung. Beide derzeit diskutierten Varianten (PEPP-PT und DP3T) sind zunächst in Relation der bisherigen Kontaktkettenverfolgung durch die Gesundheitsbehörden zu betrachten. Hierbei sieht das #cnetz zwei wesentliche Punkte: Zum einen können Apps, die Kontaktketten umfassender rekonstruieren, als es im Rahmen eines Gesprächs bspw. beim Gesundheitsamt i.d.R. möglich ist. Darüber hinaus speichern beide Ansätze deutlich weniger personenbezogene Klardaten, als dies in den klassischen Methoden der Fall ist.
Grundsätzlich dürfen solche Apps aber keinen Nutzungszwang erzeugen, sondern müssen freiwillig sein. Das #cnetz ist davon überzeugt, dass gut funktionierende, transparente und datensichere Lösung auch von der Bevölkerung angenommen werden. Nur durch die Freiwilligkeit bleibt der Nutzer in der App-Nutzung selbstbestimmt.
Dem Grundsatz der Interoperabilität folgend, gibt es auch keine zwingende Begründung warum es nur eine einzige App-Lösung geben sollte, zumal ohnehin in unterschiedlichen Staaten unterschiedliche Anwendungen entwickelt werden. Um Kontaktketten aber anwendungsübergreifend ansprechen zu können, ist eine saubere Interoperabilität höchstes Gebot. Die Interoperabilität mit Tracing-Apps und deren Backend-Servern in anderen EU-Ländern hilft darüber hinaus den Menschen, die in Grenzregionen leben oder wenn perspektivisch wieder gereist werden darf. Auch hier sind alle Lösungsansätze gefordert, diese Interoperabilität herzustellen.
Transparenz schafft Vertrauen. Diesem Credo folgend, helfen Open Source Codes die verschiedenen Ansätze zu verstehen und nachzuvollziehen. Hier gibt es scheinbar im Rahmen der PEPP-PT Initiative noch Schwachstellen bzw. eine mangelnde Bereitschaft zur Offenlegung. Schon im Eigeninteresse wäre das Konsortium gut beraten gewesen, die notwendige Transparenz herzustellen.
Auch ist für das #cnetz klar, dass jedwede App die gleichen Anforderungen an Datenschutz- und Datensicherheit erfüllen und entsprechend vom RKI (Epidemiologie), vom BSI (IT-Sicherheit) und vom BfDI (Datenschutz) zertifiziert bzw. genehmigt sein müssen.
Auf einer solchen Basis kann auch ein Wettbewerb um die beste Usability die Akzeptanz für ein Tracing-Lösung erhöhen. Wir begrüßen in diesem Kontext das Engagement der StartUp-Szene ausdrücklich.
Der netzpolitische Disput, ob Apps, bei denen im Infektionsfall die pseudonymen Kontakt-IDs der infizierten Person auf einem Server zum Abgleich der Kontakte gespeichert werden, oder Apps, bei denen im Infektionsfall die pseudonyme ID der infizierten Person auf einem Server zum Abgleich der Kontakte gespeichert werden, die jeweils bessere Alternative darstellen, geht vielfach davon aus, dass es nur eine App, die dann auch noch vom Staat entwickelt und betrieben wird, geben soll. Das war und ist nicht unsere Haltung. Wir plädieren von Anfang an für Wettbewerb. Und, hier zeigt sich die Bedeutung von Interoperabilität. Bei einem zentralen Speicheransatz entstehen mehrere verteilte Datenspeicher, die einer Datenkonzentration entgegenwirken. Die Befürchtung, der Staat könne zweck- und rechtswidrig auf Daten der Apps zu greifen, empfindet das #cnetz v.a. mit Blick auf unseren Rechtsstaat als nicht zwingend begründet, selbst wenn Einzelfälle in kleinerem Rahmen natürlich Zweifel aufkommen lassen können. Grundsätzlich, nicht nur in diesem Fall, sind etwaige Begehrlichkeiten des Staates darüber hinaus strikt abzulehnen, das ist vollkommen klar.
Zudem kann sichergestellt werden, dass die erforderlichen Infrastrukturen auf der Basis des hohen deutschen- und europäischen Rechts und der entsprechenden Datenschutz- und -sicherheitsvorgaben betrieben werden. Uns ist bewusst, dass Server kompromittiert, gehackt und/oder mit anderen Methoden angegriffen und Daten entwendet oder missbräuchlich verwendet werden können. Daher ist dem Thema IT-Sicherheit eine sehr hohe Bedeutung beizumessen, die die entsprechenden anbietenden Unternehmen bestmöglich nach höchsten Standards abbilden müssen.
Klar ist nun, dass nach einem radikalen Kurswechsel der Bundesregierung eine dezentrale Lösung gesucht wird. Bei der in Diskussion befindlichen dezentralen Lösung steht u. E. zu befürchten, dass im Vergleich zu zentral verantworteten Angeboten, sich zum einen die Komplexität und zum anderen andere Abhängigkeiten deutlich erhöhen. Die Komplexität steigt dadurch, dass Endgeräte von Kontakten infizierter Personen nicht mehr durch die App via Push-Information benachrichtigt werden, sondern in zeitlich kurzen, regelmäßigen Abständen, die angeschlossenen Server ansprechen müssen, um neue pseudonyme IDs infizierter Personen ‚zu ziehen‘ und mit den auf dem Endgerät gespeicherten pseudonymen IDs abzugleichen. In diesem Ansatz kommt derjenigen Entität, die die kryptographische Kontrolle über Ver- und Entschlüsselung der Bluetooth-Kontakt-IDs besitzt, eine maßgebliche Rolle zu.
Die vorgeschlagene Methode, die Generierung privater Identitäten für die Nutzer der APIs zu durch Apple und Google, würde aus Sicht des #cnetz einen transparenten Zugang zu diesen Identitäten ermöglichen. Der dezentrale Ansatz, mit einem auf den Schutz der Privatsphäre ausgerichtete Design, mag die Bürger vor einem Datenzugriff Dritter ggf. besser schützen, aber die zentralen Akteure mit eine gewissen Machtfunktion bleiben Google und Apple, da sie weiterhin die Möglichkeit haben, die Punkte zu verbinden und die Nutzer zu identifizieren, trotz aller Beteuerungen. Damit ist die dezentrale Lösung zwar nicht in der Abhängigkeit einer auch immer gearteten staatlichen Instanz, aber die potenzielle Abhängigkeit von US-amerikanischen Megakonzernen wächst implizit an. Das kann man a priori begrüßen oder eben auch gegen die Alternativen abwägen.
Aus Sicht des #cnetz muss vermieden werden, dass ein Unternehmen, welches in der der Lage ist, Benutzer zu identifizieren, im Wesentlichen gleichzeitig für die Anonymisierung der Benutzer auf globaler Ebene verantwortlich sein soll. Um eine Missbrauchsgefahr zu verhindern, ist hier eine klare Trennung erforderlich. Die Wahrung der Privatsphäre zwischen Bürgern und dem Staat darf dann eben nicht zu einer weiteren Datenmachtkonzentration bei proprietären Anbietern führen. Google und die anderen großen Datenkonzerne schaffen eine völlig neue Gattung des Kapitalismus, eine systemisch kohärente neue Logik der Akkumulation. Das mag in diesem konkreten Fall der Corona-Pandemie nicht zutreffen, aber das Wissen und der technologische Vorsprung, somit im Umkehrschluss Abhängigkeiten, wachsen dennoch. Umso wichtiger ist eine klare und transparente Regelung der Datennutzung sowie des Datenhoheit.
Auch dies gilt es bei der Diskussion über unterstützende Tracing-Apps zu berücksichtigen und genau diese Abwägung hat uns zu einer Position des wettbewerblichen Denkens im freiheitlichen Sinne geführt, die eben auch eine zentrale Lösung erlauben würde. Der politische Wille ist nun ein anderer und damit sind nun andere Entscheidungen getroffen. Um es klar zu sagen: Diejenigen, die nun meinen einen großen Sieg errungen zu haben sollten sich dessen gewahr bleiben, dass noch keine App in Deutschland im Einsatz ist – und das sollte uns viel mehr Sorgen bereiten, als ein tagelanger Streit. Denn darauf kommt es an, dass schnellstmöglich eine unter den gegebenen Umständen sichere und praktikable Lösung verfügbar wird. Hinterher werden wir dann alle klüger sein. Wenn wir uns mit unserer Einschätzung, dass auch eine zentrale Lösung eine gute sein kann dann geirrt haben, die App bzw. die dezentrale Lösung aber Menschenleben retten helfen kann, fällt es uns sehr leicht zuzugeben, dass unsere wahrgenommene Position nicht richtig war und andere es besser wussten. Was aber, wenn nicht? Diese Frage würden wir erst recht ungern beantworten müssen.
Zusammengefasst: In Summe führt die im Wesentlichen auf Privacy reduzierte Debatte dazu, dass ein in Teilen „Nerd-Streit“ entstanden ist, der für viele Menschen technisch und juristisch nicht mehr nachvollziehbar ist, denn die wollen funktionierende Lösungen eines drängenden Problems. Gleichzeitig wird dabei das zentrale Risiko der Pandemie in diesem Kontext nicht adäquat abgewogen, so dass neben einer Reihe individueller und kommunikativer Fehler, vor allem auch im Umfeld von PEPP-PT, aber auch mangelnde Lösungsfokussierung in der wissenschaftlichen Debatte um technische Ansätze, das Zutrauen in digitale Lösungen haben unnötig schwinden lassen. Nach Ansicht des #cnetz ist dies eine viel schlimmere Nebenwirkung und verhindert eine wirksame Bekämpfung der Pandemie mit den Verhältnissen angemessenen digitalen Mitteln.