Die technikkritische Gruppe Capulco gehört zu den wenigen, die die Frage verneinen

Können wir der Corona-App vertrauen?

Capulco fordert, dass der Code und alle Doku­mente im Zusam­menhang mit den Daten für die Corona-App offen­gelegt werden. »Und nicht nur irgendeine Client-Refe­renz­im­ple­men­tierung, sondern die ganze Spe­zi­fi­kation und den ganzen Server-Code«, betonen sie. Warum können sich nicht alle Daten­schützer, unab­hängig davon, ob sie die App für unbe­denklich halten oder nicht, auf diese For­derung als ver­trau­ens­bil­dende Maß­nahme einigen? Gerade die Befür­worter könnten doch argu­men­tieren, dass dann die Akzeptanz höher wäre

Aktuell wird in der Politik und Wirt­schaft darüber dis­ku­tiert, wann der Alltag im Zeichen von Corona wieder nor­ma­li­siert wird. Während in ver­schie­denen euro­päi­schen Nach­bar­ländern kon­krete Termine genannt werden, dar­unter in Dänemark, Nor­wegen und Öster­reich, ver­meidet man in Deutschland die Nennung kon­kreter Daten. Da ist die AfD nun vor­ge­prescht und hat bei einer realen Sitzung auf eine baldige Nor­ma­li­sierung gedrängt.

Was heißt Normalisierung à la AfD und Wirtschaft?

Oft wird ver­gessen, was diese Nor­ma­li­sierung bedeutet. Es soll vor allem die Wirt­schaft wieder anlaufen, mög­lichst noch unter Zurück­stellung von umwelt­po­li­ti­schen und sozialen Richt­linien. Damit »Deutschland gestärkt aus der Krise her­vorgeht«, wie es auch Regie­rungs­po­li­tiker ständig beschwören, stehen erkämpfte soziale und umwelt­po­li­tische Regu­larien wie das Laden­öff­nungs­verbot an Sonn- und Fei­er­tagen ebenso zur Dis­po­sition wie die Länge der Wochen­ar­beitszeit.

Solche Angriffe kommen in einer Zeit gut an, wo die soziale Not­ge­mein­schaft beschworen wird und die Phrase »Wir sitzen alle in einem Boot« noch mehr als sonst stra­pa­ziert wird. Zudem können sich Betriebsräte und gewerk­schaft­liche Gremien aktuell oft nicht treffen, auch weil die Men­schen Angst nicht nur vor Anste­ckung sondern auch vor Sank­tionen haben, wenn ihnen vor­ge­worfen wird, dass sie für ein Betriebs­rats­treffen das Abstands­verbot ver­letzt haben.

Zu der Nor­ma­li­sierung, wie sie aktuell von ver­schie­denen Regie­rungen vor­be­reiten werden, gehört auch, dass die Men­schen ihrer Lohn­arbeit nach­gehen müssen, auch bestimmte Locke­rungen bei der Repro­duktion, sprich Frei­zeit­ge­staltung, sind möglich. Zudem wird natürlich die massive Durch­setzung des digi­talen Kapi­ta­lismus, der in Zeiten der Corina-Krise zwangs­ein­ge­führt wurde, nicht rück­gängig gemacht. Diese Ent­wicklung wird selbst in linken Zei­tungen recht unkri­tisch begrüßt. So schreibt Thomas Ges­terkamp in der Tages­zeitung Neues Deutschland:

Was also folgt aus Corona für die künftige Orga­ni­sation der Erwerbswelt? Was könnte sich ändern in der Zeit danach? Eine wichtige Erkenntnis lautet: Home­office geht doch. Die Beden­ken­träger sind auf dem Rückzug. Es spricht sich herum, dass sich so manche quä­lende Sitzung sehr effektiv per Video­kon­ferenz erle­digen lässt. Wenn Beschäf­tigte weniger pendeln und sel­tener Geschäfts­reisen machen müssen, ist das auch kli­ma­po­li­tisch zu begrüßen. Nicht zu ver­gessen sind die Impulse für ein gerechtes Geschlech­ter­ver­hältnis: Home­office erweitert, trotz der sich zei­genden Pro­bleme, die Mög­lich­keiten einer bes­seren Balance von Beruf und Pri­vat­leben – für Frauen wie Männer.

Thomas Ges­terkamp

Dabei wurde doch in den letzten Tagen sehr viel­fältige Bei­spiele geliefert, dass die Arbeit im Home­office für die Beschäf­tigten vor allem Nach­teile hat, für das Kapital aber Vor­teile. Zudem scheint Ges­terkamp ganz ver­gessen zu haben, dass mit Home­office auch ver­hindert wird, dass Lohn­ab­hängige an ihren Arbeits­plätzen zusam­men­kommen, sich orga­ni­sieren und viel­leicht auch für Ver­bes­se­rungen ihrer Arbeits­ver­hält­nisse zu kämpfen

Hohe Zustimmung zur Corona-App

Doch wesent­liche Grund­rechte wie das Recht auf Demons­tra­tions- und Ver­samm­lungs­freiheit sollen nach dem Vor­stel­lungen des öster­rei­chi­schen Bun­des­kanzlers Kurz, auf die sich die AfD aus­drücklich positiv bezieht, noch bis Ende Juni ein­ge­schränkt bleiben. Zudem werden mit der Nor­ma­li­sierung auch Kon­troll­mo­delle populär, die vor dem Corona-Not­stand mehr­heitlich in der Bevöl­kerung nicht durch­zu­setzen gewesen wären.

Dazu gehört auch die jetzt in der Dis­kussion ste­hende Corona-App und Bluetoth-Arm­bänder für Men­schen ohne Smart­phone. Die tech­nik­kri­tische Gruppe Capulco befasst sich in einen Text angenehm sachlich mit den Kon­se­quenzen:

Die Bun­des­re­gierung setzt für eine schritt­weise Rück­nahme der Corona-Kon­takt­be­schrän­kungen auf eine breite Akzeptanz für die nach Ostern her­un­ter­ladbare App zur nach­träg­lichen Kon­takt­re­kon­struktion Infi­zierter. Die (berech­tigte) Angst vor dem Virus wird benutzt, um einem Großteil der Bevöl­kerung »frei­willig« ein auto­ritär hoch­wirk­sames Werkzeug zu ver­ab­reichen.

Gruppe Capulco

Die Tech­nik­kri­tiker kon­sta­tieren, dass die Corona-App aktuell große Zustimmung bei der Bevöl­kerung erfährt. Nach Umfragen würden weit über 70 % der Bevöl­kerung solche Über­wa­chungs­in­stru­mente bei sich tragen. Das ist auch nicht ver­wun­derlich, wenn die Alter­native ist, dass ent­weder die mas­siven Ein­schrän­kungen des Alltags bestehen bleiben oder es Locke­rungen eben zu dem Preis gibt, diese Kon­troll­tools zu tragen. Die hohe Zustimmung ist für den Zweck der App not­wendig. Wenn Men­schen Sym­ptome zeigen, dann haben sie das Virus bereits wei­ter­ge­geben. Deshalb sollen nach einer posi­tiven Dia­gnose alle Han­dy­be­sitzer benach­richtigt werden, deren Geräte in der Nähe des Erkrankten waren. Wenn es viele ein­zelne Ansätze und Software-Lösungen gibt, die jeweils nur ein kleiner Teil der Bevöl­kerung nutzt, kann das Konzept nicht auf­gehen. Deshalb soll eine gemeinsame Grundlage ent­stehen, die mög­lichst schnell eine kri­tische Größe erreicht. Die Rede ist von einer gemein­samen Plattform: einer Cli­en­t/­Server- Refe­renz­im­ple­men­tierung, aber auch von einem Soft­ware­gerüst auf dem Smart­phone-Apps auf­setzen können. Diese Smart­phone-Apps, die Nutzer auf ihrem Telefon instal­lieren, bilden einen wesent­lichen Teil des Systems. In Deutschland arbeiten RKI und HHI an einer solchen Anwendung. Um Infek­ti­ons­ketten wirksam zu unter­brechen, streben die Forscher*innen eine Nutzer von etwa 60 Prozent der Bevöl­kerung an. In Deutschland waren das 50 Mil­lionen Men­schen.

Kritik an der App

Im Gegensatz zu vielen Daten­schützern, die in der aktu­ellen Situation keine Kritik an der App äußern, weil sie keine per­so­nen­be­zo­genen Daten spei­chert und auf Frei­wil­ligkeit beruht, äußert Capulco zwei zen­trale Kri­tik­punkte:

So wäre eine Zuordnung der Daten nicht aus­ge­schlossen, auch wenn die Benach­rich­tigung ganz ohne Ansehen der Person der Smart­phone-Nutzer erfolgt.

Capulco

Zu den tech­ni­schen Details schreiben die Capulco-Autoren:

Es genügt vielmehr ein soge­nanntes Push-Token, eine ein­zig­artige App-Geräte-Kennung, um über Apples oder Googles Push-Noti­fi­cation-Gateways eine Push-Nach­richt auf das Gerät zu schicken. Dieses Push-Token wird bei der Instal­lation der App auf dem Handy gene­riert. Zugleich hin­terlegt die App sowohl das Push-Token als auch die tem­po­rären IDs, die sie im Laufe der Zeit aus­sendet, auf einem zen­tralen Server. Auf diese Weise können die Smart­phones allein anhand von tem­po­rären IDs und Push-Tokens adres­siert werden, ohne dass die Iden­tität der Per­sonen fest­stellbar wäre, die diese Smart­phones bei sich tragen. Dazu ist es aber not­wendig, dass zu jedem Account Push-Token und alle gene­rierten aktu­ellen tem­po­rären IDs inklusive Zeits­tempel, wann sie gene­riert wurden, auf dem Server liegen. Es muss dem Server Ver­trauen ent­ge­gen­ge­bracht werden, dass er nach 21 Tagen epi­de­mio­lo­gisch irrele­vante Daten löscht – und nicht für Big-Data-Zwecke wei­terhin spei­chert. Sobald man das Push-Token mit Daten des Pro­viders ver­knüpfen würde (Push-Token-Zuordnung zu Geräte-ID, IMEI, oder Ruf­nummer), wäre eine Zuordnung leicht.

Capulco

Auch die Frage der Frei­wil­ligkeit taucht in den Über­le­gungen von Capulco auf. Was pas­siert, wenn Men­schen, die sich weigern, die Kon­troll­tools zu benutzen, im all­täg­lichen Leben dis­kri­mi­niert werden? Konkret könnten diese Men­schen dann von Zug- oder Bus­fahrten aus­ge­schlossen und ihnen das Betreten von Ein­kaufs­zentren und Restau­rants untersagt werden. Hier kommen natürlich auch die Kri­tiker der Tools in Argu­men­ta­ti­ons­pro­bleme.

Wenn man wie auch Capulco davon ausgeht, dass das Virus nicht unge­fährlich ist und vor allem ältere Men­schen und Men­schen mit Vor­er­kran­kungen bedroht, wäre der Stand­punkt, kei­nerlei Kon­troll­tools zu ver­wenden und trotzdem am gesell­schaft­lichen Leben teil­nehmen zu wollen, ego­is­tisch gerade gegenüber diesen Men­schen. Das kann jeden­falls nicht die Position von Men­schen sein, die für eine ega­litäre Gesell­schaft ein­treten. Es ist daher auch grund­sätzlich nicht abzu­lehnen, wenn auch die modernste Technik genutzt wird, um Gefahren zu mini­mieren. Trotzdem sind die Kri­tik­punkte von Capulco wichtig, weil sie eine Dis­kussion über die Frage anstoßen können, ob nicht auch solche Quell­codes und Algo­rithmen von allen Men­schen, die das wollen, über­prüft werden können und ein Miss­brauch mög­lichst mini­miert wird Capulco fordert, dass der Code und alle Doku­mente im Zusam­menhang mit den Daten für die Corona-App offen­gelegt werden. »Und nicht nur irgendeine Client-Refe­renz­im­ple­men­tierung, sondern die ganze Spe­zi­fi­kation und den ganzen Server-Code«, betonen sie. Warum können sich nicht alle Daten­schützer, unab­hängig davon, ob sie die App für unbe­denklich halten oder nicht, auf diese For­derung als ver­trau­ens­bil­dende Maß­nahme einigen? Gerade die Befür­worter könnten doch argu­men­tieren, dass dann die Akzeptanz höher wäre. (Peter Nowak)