Wenn man in einem Automatik-Auto an der Ampel steht und den Fuß von der Bremse nimmt, beginnt der Wagen langsam nach vorn zu rollen. Einen solchen eingebauten „Drive“ haben Staaten, wenn es um Sicherheit geht. Wenn man nicht ständig auf der Bremse steht, will der Staat „mehr Sicherheit“. Und einen Rückwärtsgang kennt er gar nicht erst.
So verhält es sich auch bei den digitalen Schutzmaßnahmen gegen das Covid-19-Virus. Hier sollen Smartphone-Apps in verschiedener Hinsicht helfen. Ein Szenario für eine Corona-App ist, dass sie via Bluetooth alle näheren Kontakte dokumentiert, die man mit Bekannten oder unbekannten Menschen hat. (Eine Funkzellenabfrage ist hierfür nicht genau genug.) Erkrankt jemand, so kann dessen Infektionskette informiert und eine Weiterverbreitung unterbunden werden. Andere Lösungen drehen sich um Datenspenden, Selbstbeobachtung, Testergebnisse, Testbescheinigungen als Eintrittskarte oder um anonyme Bewegungsprofile zur Einschätzung der allgemeinen Mobilität.
.
Bürgerrechte by design
.
Offene Fragen ergeben sich schnell:
- Wie funktioniert die Anonymisierung und wie die Benachrichtigung im Bedarfsfall?
- Gibt es einen zentralen Server, der alle Informationen sammelt?
- In welcher Form erreicht mich so eine Nachricht, die mir immerhin eine drastische Einschränkung für 14 Tage abverlangt?
- Wer erfährt noch von dieser Nachricht?
- Wie können „False-Positive“ und Trolle ausgeschlossen werden, ohne alles der Obrigkeit zu überlassen?
- Haben Menschen Nachteile, die die App nicht installieren wollen oder die kein Smartphone besitzen?
- Kann man darauf vertrauen, auch als potenzieller „Gefährder“ nicht überwacht zu werden?
- Welche Daten werden „nebenbei“ erfasst und übertragen?
- Verhalten Menschen sich unbekümmerter, wenn sie die App haben, und ist das erwünscht?
… und so weiter.
Solche Überlegungen in das Konzept einzubeziehen ist keine Bürgerrechts-Pirouette, keine Kür, sondern entscheidend für die Akzeptanz und den Erfolg einer solchen Maßnahme. Viele Menschen sind sehr diszipliniert, aber ebenso verstört über die derzeitige Einschränkung ihrer Freiheiten. Sie vertrauen bei einer verordneten Kontaktsperre darauf, dass diese natürlich kein Dauerzustand bleibt. Und sie möchten nicht, dass dies mit der Brechstange durchgesetzt wird. Das Handy in eine elektronische Fußfessel zu verwandeln, wäre natürlich unverhältnismäßig. Denn Covid-19 ist nicht Ebola und die Betroffenen sind keine Kriminellen.
Die Skepsis ist berechtigt
.
Krisenzeiten erfreuen sich bei manchen Politikern einer perfiden Beliebtheit. Denn in solchen Zeiten gibt es einen sprunghaften – und durchaus sinnvollen – Vertrauensvorschuss für den Staat und die Regierung. Diese zieht dann Pläne aus der Schublade, deren Umsetzung in normalen Zeiten keine Chance hätten. Innenminister haben so eine Wunschliste an Überwachungsmethoden, sogenannte Zombies: Immer wieder auftauchende Untote, wie die Vorratsdatenspeicherung, eine Klarnamenpflicht in sozialen Netzwerken oder die Gesichtserkennung im öffentlichen Raum. Der Ansatz, soziale Probleme mit Überwachung lösen zu wollen, gilt als eines von 12 Kriterien für Überwachungsstaaten – von denen Deutschland 6 erfüllt.
Aber auch ein wohlmeinender, ganz lösungsorientierter Politiker wird in einer solchen Lage Vorschläge machen, die Elemente von Kontrolle enthalten. Initiativen aus der Wirtschaft sind willkommen. Auch Pharma-Industrie oder Internetkonzerne profitieren ja von dem Vertrauensvorschuss, mit dem sie hilfreich agieren können, andererseits aber natürlich ihr Süppchen kochen. Wenn man sich also genauer anschaut, was sich im Falle eines Corona-Trackings zusammenbraut, dann ist Nüchternheit das Gebot der Stunde. Denn in der Vergangenheit wurde (auch in Deutschland) jedes Vertrauen in eine maßvolle digitale Sicherheitspolitik systematisch verspielt. Einmal in Krisenzeiten eingeführte Maßnahmen wurden praktisch ausnahmslos beibehalten.
.
.
Vorbild Asien?
.
Der Flirt mit dem totalitären Staat zeigt sich in dem Mythos, China hätte ja mit seinen Überwachungs- und Eingriffsmöglichkeiten den besseren Stand im Kampf gegen eine Epidemie. Wie ich kürzlich beschriebenhabe, ist das Unsinn. Südkorea und Taiwan haben weitaus besser reagiert als China. Diktaturen durchlaufen typischerweise immer dasselbe Muster, das auf Eitelkeit und Chauvinismus beruht: Erst Verleugnung, dann die Falschbehauptung alles im Griff zu haben, schließlich rücksichtslose Gegenmaßnahmen und zuletzt propagandistische Einhegung. Ob den aktuellen Zahlen aus China zu trauen ist, weiß niemand. Aber man kann davon ausgehen, dass die chinesische Regierung die dortigen Medien mindestens ebenso „im Griff“ hat, wie die Pandemie.
In China, Hongkong, Südkorea, Taiwan und Singapur kamen Apps zum Einsatz, die in Europa keinen Hauch von Zustimmung finden würden. Sie verfolgen den Standort einer Person und übermitteln ihn an die Polizei. Mit Ausnahme von Südkorea geschah dies nicht freiwillig. Ein Verlassen der Quarantäne wurde mit einer Warnung und z.T. extremen Strafen geahndet. Die offenbar breite Akzeptanz dieser Maßnahmen in Asien mag viele Ursachen haben: Ein Gefühl für die Dringlichkeit, ein anderes Verhältnis zur Individualität und Vertrauen in den Saat – aber ganz sicher nicht ein fehlender Wunsch nach Bürgerrechten.
Wenn Olaf Scholz eine solche Lösung als Vorbild nennt und nassforsch von breitester Beteiligung ausgeht (in seinem Jargon „Durchsetzung“), dann baut er auf eine Glaubwürdigkeit, die Leute seines Schlages in den vergangenen Jahren systematisch erodiert haben. Es genügt eben nicht, ein in Klammern gesetztes „natürlich unter Beachtung des Datenschutzes“ in ein Mikrofon zu sprechen. Allein, sich mit einer NSA-nahen Firma wie Palantir über die App-Entwicklung auch nur zu unterhalten ist ein unfassbar dummer Fehler. Glaubwürdigkeit, ein in Krisenzeiten kostbares Gut, genießen in diesen Sachen Privacy derzeit der CCC, Netzpolitik.org, Reporter Ohne Grenzen, Privacy International oder der Bundesdatenschutzbeauftragte, aber nicht die Bundesregierung.
.
Kriterien – und eine Lösung
Was wären also Kriterien für eine datenschutzkonforme Corona-App?
- Die Daten müssen sparsam erhoben werden – es geht um Kontakte, nicht um Geotracking.
- Sie müssen auf den Handys bleiben. Es darf keine automatische Meldung an Behörden geben.
- Es darf kein Geo-Tracking positiver Fälle geben.
- Die Software sollte Open-Source sein, auf keinen Fall darf es sich um eine Blackbox mit möglichen Hintertüren handeln.
- Einen Alarm kann man nicht einfach nach Gutdünken auslösen.
- Die Daten müssen nach einer sinnvollen Frist (Inkubationszeit) gelöscht werden.
- Und es darf selbstverständlich keine Pflicht zur Installation oder zum Bei-sich-führen eines Handys geben.
Ähnliche Kriterien ht der CCC hier veröffentlicht.)
Die meisten dieser Kriterien scheint der aktuelle europäische DP3T-Ansatz zu erfüllen, der von einer spendenfinanzierten NGO entwickelt wird eine interoperable Plattform für verschiedene Ausgestaltungen bereit stellen will. Bei entsprechender Verbreitung (ab etwa 30 %) kann er einen Beitrag leisten, den derzeitigen Shutdown zu lockern und nur noch zielgerichtet vorzugehen. Der Schutzeffekt ist also ein gesellschaftlicher: Da alle ein Interesse an einer Lockerung haben, könnte das Installieren einer durchdachten Lösung ebenso Zuspruch finden, wie die #StayAtHome Kampagne, die nicht auf eine Ausgangssperre setzt. Wir hätten es hier also mit einem freiwilligen Gegenmodell zum Obrigkeitsstaat zu tun.
Die Diskussion könnte entsprechend ein Gewinn gewesen sein: Sie hat unter dringlichen Bedingungen schnell ein Bewusstsein und klare Kriterien hervorgebracht, unter denen in Europa in Krisen operiert werden kann. Dazu braucht es keine Mediale Gehirnwäsche, wie von Verschwörungstheoretikern behauptet wird, sondern Transparenz und ein Zurücktreten von sicherheitspolitischen und wirtschaftlichen Reflexen – zugunsten des Allgemeinwohls.
All das sagt noch nichts aus über die Wirksamkeit der Apps. Sie werden nur einen relativen Beitrag leisten, wie das Tragen von Masken oder der Abstand beim Schlangestehen. Aber wir haben ja gesehen: Es geht nicht um absolute Kontrolle oder die eine Lösung, sondern um einen angemessenen Umgang mit der Pandemie, der verschiedene Aspekte des Gemeinwohls im Blick behält. Für eine relativ höhere Sicherheit in der Gesundheit ist man dann auch bereit, eine relativ geringere Sicherheit (durch Bluetooth und ein bedingtes Vertrauen) für eine Zeit in Kauf zu nehmen.
//
Anmerkung vom 19.04.2020:
Beim Erscheinen des Beitrags war statt vom DP3T-Ansatz von PEPP-PT als Hoffnungsträger die Rede – einer Plattformentwicklung die DP3T ursprünglich mit umfasste, sich aber nach derzeitigem Stand von dessen konsequenter Datenschutz-Umsetzung entfernt. Über die technischen Hintergründe kann man hier mehr lesen. Über die Motive dieser Richtungsentscheidung kann man zzt. nur spekulieren.