Schon in der letzten Woche hatte Herr Spahn ja prophetisch verkündet: „Wir werden viel verzeihen müssen“. Er kann dann gleich mal anfangen, um Verzeihung für das unnötige Wirrwarr um die Einführung einer App zur Nachverfolgung der Infektionsketten zu bitten. Die nachfolgende Übersicht kann da nur einen kurzen Abriss darstellen:
Nachdem sich das Tracking / Tracing von Infizierten per Auswertung der Handydaten in einigen Ländern Asiens als (angeblicher) Teil des Erfolgsrezeptes herausstellte, kam auch in Deutschland die Diskussion dazu auf, die „Infektionsketten“ mit Hilfe von Handydaten nachzuforschen und so weitere Infektionen zu unterbrechen. So weit, so gut. Was sich aus Sicht von Virologen als perfekte Technik zur Bekämpfung der Pandemie anhört, ist für Datenschützer ein Alptraum. Denn mit der systematischen Erfassung und Auswertung gerade der für diese Funktion erfassten Daten lassen sich auch ganz andere „Dienste“, als die Pandemiebekämpfung steuern – der „Große Lauschangriff“ nimmt sich dagegen wie ein amateurhaftes Mitschneiden von Telefongesprächen aus. Ach so, ist es ja auch. Das systematische Tracing einzelner Personen, Gruppen und Kontakte ist dagegen der feuchte Traum eines jeden Diktators. Aber auch in (scheinbar) demokratischen Staaten klatschten einige Beamte schon begeistert Beifall für die Idee (s. nur für die USA, hier).
Um was geht es also? „Eine COVID-19-App ist eine mobile App, die im Jahr 2020 im Rahmen der COVID-19-Pandemie entstand. Die häufigsten Anwendungen dieser Apps sind: Contact Tracing, Quarantäne-Überwachung, das Bereitstellen von Informationen und das Sammeln von Daten.“, wie Wikipedia nüchtern verkündet (hier). Der Streit geht nun vornehmlich um die Frage, ob die Systemarchitektur über einen zentralen Server oder dezentral lediglich über die einzelnen Apps gesteuert werden soll. Für Europa und auch Deutschland wird eigentlich auf die „Pan European Privacy-Protecting Proximity Tracing (Pepp-pt)“ hingearbeitet – die allerdings über einen zentralen Server laufen soll. Und hier entbrannte die Diskussion. Denn, über den Einsatz zentraler Server können Daten zentral gesammelt werden – und vielleicht auch für andere Zwecke, als die Bekämpfung der Pandemie genutzt werden (wobei sich mir als technischem Laien nicht so ganz erschließt, wieso das bei dezentralen Lösungen nicht der Fall sein soll, aber gut). Während die einen angesichts der schon nicht gerade kohärenten Datenbasis zu Corona den Sinn der ganzen App bezweifeln (hier), halten andere die Diskussion über den Datenschutz geradezu für „religiös“ (hier).
Schon bei der Verabschiedung der ersten Corona-Gesetze hatte auch der oberste Datenschützer Deutschlands Bedenken zur geplanten (zentralen) App-Lösung geäußert (hier, für eine differenzierte Sicht, s. auch hier). In der Folge scheint Herr Spahn aber gleichwohl die Einführung der zentralen Serverlösung forciert zu haben, denn laut Medien-Meldungen vom 23. April 2020 soll sich Herr Spahn für die Pepp-pt entschieden haben (hier). Und das, obwohl in der Woche zuvor schon renommierte Partner, wie etwa ein Institut der von der Regierung ansonsten sehr geschätzten Helmholtz-Gesellschaft, das Konsortium aus Protest über die fehlende Datensicherheit verlassen hatten (hier) und der renommierte Chaos Computer Club (CCC) mehrere Schwachstellen in der App offenlegte (hier). Allerdings scheint der Druck auf Herrn Spahn dann doch zu groß geworden zu sein – denn am Sonntag, den 26. April 2020 (also drei Tage nach der Entscheidung für eine zentrale App) er „wechselte (dann doch) ins dezentrale“ Lager, wie die taz passend titelte.
Ist jetzt also alles gut? Das würde ich dann doch mal bezweifeln: Zum einen wird die Einführung dieser „dezentralen App“ wohl doch eher noch Monate denn nur Wochen dauern (hier). Zum anderen trägt auch diese „dezentrale App“ ein Problem in sich: Sie wird auf einem von Google und Apple gemeinsam entwickelten Konzept beruhen. Auf die Risiken, die damit verbunden sind, weist Herr Häring in einem umfassenden Beitrag hin (hier, Danke für den Hinweis, Herr M.). Auch hat der CCC schon bezüglich der bisher verwandten und vom RKI verwalteten App zur „freiwilligen Datenspende“ explizit Bedenken geäußert (hier).
Fazit: Die zentrale Serverlösung wäre ein datenschutzrechtliches Fiasko mit Ansage geworden. Nicht umsonst verweist der der Tagesspiegel in seinen zehn Thesen diesbezüglich auf die Dystopie „Minority Report“ (hier). Die Frage ist aber, ob wir mit einer nicht-europäischen Lösung über die bekannten Datenkraken Apple und Google besser fahren werden. Und, sozusagen on top, hat Herr Spahn durch sein – eine fragwürdige Einstellung zum Datenschutz offenbarende – Festlegung auf die „Zentral-App“ und den 180-Grad-Schwenk innert 72 Stunden zu einer „dezentralen App“ erneut ein Fallbeispiel für ein erstklassiges Kommunikationsdesaster geliefert (s. auch Kommentierungen hier und hier). Ich befürchte, wir werden noch viel verzeihen müssen.