Der Bund hat sich für eine zentral gesteuerte Corona-App entschieden – und damit heftige Kritik von Netzpolitikern ausgelöst. Die Plattform soll helfen, Infizierte und Ansteckungsketten nachzuverfolgen. Dabei gewährt sie dem Robert-Koch-Institut (RKI) und lokalen Gesundheitsämtern Zugang zu den anonymisierten Daten.

„Wenn wir den von der Regierung bevorzugten zentralen Ansatz verfolgen, haben wir das Problem, dass viele Bürger die App aus Datenschutzbedenken nicht nutzen werden“, kritisierte der SPD-Digitalexperte Jens Zimmermann das Vorhaben gegenüber Reuters. „Das Vorgehen der Bundesregierung ist nicht nur tödlich für die Akzeptanz einer App-Lösung, es zeugt auch von mangelndem Respekt gegenüber dem Parlament“, sagte der Grünen-Politiker Konstantin von Notz dem Handelsblatt. Die Linken-Politikerin Anke Domscheit-Berg bemängelt „mangelnde Transparenz und den undurchsichtigen, erratischen Prozess von Entscheidungsfindung und Kommunikation“.

Worüber die Entwickler streiten

Der Streit um die Architektur der App und die dahinter liegende Plattform hatte zuvor bereits die Entwicklergemeinde entzweit. Das eine Lager favorisiert eine zentral über einen Server gesteuerte Plattform. Diese Initiative nennt sich Pepp-PT. Das andere Lager namens DP-3T sieht darin die Gefahr des Datenmissbrauchs und bevorzugt deshalb eine dezentrale Lösung ohne einen Server, bei der ausschließlich die Smartphones der Nutzer miteinander Daten austauschen. Für eine solche Lösung hatte sich auch die EU stark gemacht.

Hinter beiden Gruppierungen stehen namhafte Wissenschaftler und Institutionen: das Fraunhofer Heinrich-Hertz-Institut (HHI) sowie das RKI für Pepp-PT und das Helmholtz-Zentrum für Informationssicherheit (Cispa) für DP-3T. Während das DP-3T-Lager von Anfang an auf Transparenz setzte, seinen Code öffentlich teilte und zuletzt sogar eine Demo-App ins Netz stellte, musste sich Pepp-PT Geheimniskrämerei vorwerfen lassen, reagierte etwa nur schleppend auf Anfragen von Journalisten. Inzwischen versichert auch Pepp-PT, seinen Code offenzulegen.

Beide Ansätze haben das Ziel, Nutzerinnen und Nutzer der App schneller über ein Infektionsrisiko mit dem Virus SARS-Cov-2 zu informieren als Gesundheitsbehörden das heute können, weil sie weitgehend manuell mit Telefon und Adresslisten arbeiten. Wenn die Apps eine hohe Nutzerzahl finden und die User ihre Daten teilen, könnten sie Meldeketten verkürzen und dadurch die Ausbreitung des Virus verlangsamen.

So funktioniert das Contact Tracing

Smartphones senden per Bluetooth ständig Bitfolgen – eine Art Identifikationsnummern. Diese werden von den Corona-Apps anderer Handys gespeichert, wenn die Kontakte länger als 15 Minuten dauerten und eine kritische Nähe unterschritten. Die persönlichen Schlüssel zu diesen Datenpaketen liegen bei Pepp-PT auf einem Server („Trust Center“), bei DP-3T werden sie direkt auf dem Smartphone generiert. An dieser Stelle fängt der Expertenstreit an: Es geht um kryptografische Standards und letztlich um die Frage, ob ein „Man in the Middle“, sei es der Staat oder ein Hacker, auf den Server und die dort gesammelten Identitäten der Nutzer zugreifen und diese missbrauchen kann.

Wird nun ein App-Nutzer positiv auf SARS-Cov-2 getestet, informiert das Diagnostiklabor das zuständige Gesundheitsamt, welches Kontakt mit dem Betroffenen aufnimmt – bislang geschieht das analog und künftig direkt über die Corona-App. Der Nutzer kann seine gespeicherten Datenpakete freiwillig dem Server übergeben, der eine Nachricht an die Apps der Personen sendet, mit denen der Infizierte in Kontakt war. Diese User können sich dann testen lassen, einen Arzt aufsuchen oder sich in Quarantäne begeben. Der Meldeweg von Pepp-PT soll vor Trollen schützen, die mit falschen Infektionsmeldungen Verunsicherung stiften könnten. DP-3T dagegen entzieht sich einer behördlichen Kontrolle.

Unterdessen wird der Verein „Gesund zusammen“ ungeduldig. Er repräsentiert 60 Tech-Startups aus Deutschland und hat das Ziel, eine Corona-App anzubieten. Initiator Julian Teicke, CEO und Gründer des Versicherers Wefox, sagt: „Der Streit um eine zentrale oder dezentrale Speicherung hat den Fokus genommen von dem, was wirklich wichtig ist: eine App zu entwickeln, die anonym, freiwillig und datenschutzkonform ist – und dies so schnell wie möglich“, erklärte er gegenüber Gründerszene.

Ferrari setzt Corona-App für Mitarbeiter ein

Inzwischen meldet Pepp-PT Vollzug. „Die Pepp-PT Plattform als Grund-Architektur für nationale Apps ist fertig“, erklärt eine Sprecherin auf Anfrage von Gründerszene am Mittwoch. „Auf dieser Basis können jetzt durch nationale App-Entwickler die länderspezifischen Apps gebaut werden.“ Eine App gebe es sogar bereits: Bending Spoons habe in Italien eine App für die Firma Ferrari entwickelt. Diese werde nun von den Mitarbeitern dort auf Firmenhandys genutzt und ermögliche es ihnen, nach einem Antikörper-Test wieder an die Arbeit zurückzukehren.

Auch Österreich ist einen Schritt weiter als Deutschland. Die mehr als 400.000 Mal heruntergeladene Corona-App des dortigen Roten Kreuzes und seines Dienstleisters Accenture ist seit Mitte März verfügbar. Sie wurde wegen Datenschutzproblemen anfangs stark kritisiert, wurde aber nachgebessert. 16 von 26 Mängel seien repariert worden, heißt es in einem am Mittwoch veröffentlichten Prüfbericht mehrerer Datenschutz-Unternehmen.

Vertrauen verspielt und Zeit vergeudet

Alle Beteiligten haben zu einem Transparenz- und Kommunikations-GAU beigetragen, der am Ende die Akzeptanz der dingend benötigten Corona-App schwächt. Auch wenn alle Beteiligten gute Absichten hegten, wurden am Ende viel Vertrauen verspielt und wichtige Zeit vergeudet. Und das Warten geht weiter. Gestern hieß es, die App könne in einigen Wochen starten. Man darf auf die nächsten Hiobs-Botschaften gespannt sein.

