Gestern Abend war Frank Thelen der Gründer und Geschäftsführer des Venture Capital Unternehmens Freigeist bei Markus Lanz. Es ging dort – wie so oft in den letzten Tagen – um “Corona Apps”. Frank stellte ein europäisches Projekt in den Vordergrund: PEPP-PT.
Um Missverständnissen vorzubeugen: Wahrscheinlich unbestritten ist, dass wir eine Pandemie dauerhaft nur mit medizinischen Mitteln beenden werden. Der Fokus auf der Entwicklung therapeutischer Maßnahmen und von Impfstoffen ist ausschlaggebend. Diese Dinge werden Zeit brauchen, Experten rechnen mit mindestens 18 Monaten.
Die viel diskutierten “Corona Apps” können uns vielleicht helfen, diese Zeiträume zu überbrücken, ohne dass wir als Gesellschaft langfristig den Lockdown in seiner heutigen Form aufrechterhalten müssen. Ob das wirklich möglich ist, wissen wir derzeit nicht. Auch dieses Eingeständnis gehört zu einer ehrlichen Debatte.
Wenn ich von “Corona Apps” spreche, meine ich explizit Lösungen, bei denen es um das automatisierte Aufzeichnen von epidemiologisch relevanten Kontakten geht und die schnelle Benachrichtigung des Kontaktgraphs einer infizierten Person. Ziel ist immer: Unterbrechen der Infektionskette, “flatten the curve”. Die vom Robert Koch Institut protegierte Corona Datenspende App der Berliner mHealth Pioneers GmbH gehört nicht zu dieser Art von Apps.
Unmittelbar im Anschluß an die Veröffentlichung der Corona Datenspende App entstand in den sozialen Medien ein wichtiger und notwendiger Diskurs, aus dem PEPP-PT lernen muss. Dieser reiht sich nahtlos ein, in die von Linus Neumann (CCC) veröffentlichten Prüfsteine für die Beurteilung von Contact Tracing Apps.
Denn: Während die Corona Datenspende App erst einmal “nur” Fitnessdaten weiterleitet, werben wir bei Contact Tracing Apps um das Vertrauen und die Erlaubnis eines großen Bevölkerungsanteils zur Aufzeichnung sämtlicher Kontaktereignisse über einen mehrwöchigen Zeitraum.
Ich möchte in diesem Beitrag einige Punkte zusammenfassend adressieren, die mir in den vergangenen Tagen in persönlichen und öffentlichen Gesprächen immer wieder begegnet sind.
Zurück zu Markus Lanz und Frank Thelen. Frank, der durchaus dafür bekannt und geschätzt ist, dass er häufig ungefiltert kommuniziert, sagte bei Lanz gestern unter anderem dies:
Und die Amis machen es doch so oder so. Wir haben doch alle Google Maps. Wir haben doch alle Facebook. Wir haben alle Instagram. Was da alles an Daten […] durch die Gegend […] Kindergeburtstag!
Frank Thelen, Markus Lanz Sendung vom 07. April 2020
Ich halte das mindestens für ein schwieriges Statement. Richtig ist wohl, dass wir einen vergleichsweise unbedachten Umgang vieler Menschen mit persönlichen und personenbezogenen Daten vermuten dürfen, wenn es um populäre Apps von Google, Facebook und Co. geht.
Darum geht es aber hier nicht.
Google und Facebook sind privatwirtschaftlich organisiert. Sie haben eine Gewinnerzielungsabsicht. Sie sind darauf optimiert, Shareholder Value zu maximieren. Keine Regierung und kein medizinisches Institut empfiehlt bundesweit im öffentlichen Rundfunk und Fernsehen die Nutzung von WhatsApp.
Das Robert Koch Institut ist staatlich getragen und muss sich ganz besonders jetzt unmißverständlich auch als Interessenvertreter für Datenschutz, Datensicherheit und Privatsphäre˙verstehen.
Gelingt es dem Robert Koch Institut nicht, diese Position glaubhaft einzunehmen, taugt das “Gütesiegel” RKI nichts mehr; im Gegenteil, es läuft Gefahr sogar kontraproduktiv zu wirken.
Das Robert Koch Institut ist auch Mitglied der PEPP-PT. Gerade deshalb muss die PEPP-PT Initiative jetzt aus den Fehlern beim Launch der Corona Datenspende App lernen:
1
Unmittelbar nach der Veröffentlichung der Corona Datenspende App war die zugehörige Webseite stundenlang nicht erreichbar. Wichtige Informationen zum Technologiepartner aber auch “Häufig gestellte Fragen” somit unzugänglich. Das darf nicht passieren. Man weiß sehr gut, wie man Webseiten so betreibt, dass sie einem zu erwartenden Ansturm standhalten.
Vertrauen in das Beherrschen von vergleichsweise einfacher Infrastruktur stärkt das nicht.
2
Der Dienstleister, dessen Produkt das Robert Koch Institut unter eigener Flagge als Corona Datenspende App verbreitet, schreibt über sein Geschäftsmodell auf seiner Webseite
“One API for Millions of data”
https://thryve.health
und legt den Gedanken nahe, das eigene Geschäftsmodell könne eben genau aus dem Erkenntnisgewinn von übergreifend erhobenen Daten bestehen. Das muss nicht so sein. Wir wissen es aber schlicht nicht.
Hinzu kommt, dass das RKI etwaigen Bedenken mit Hinweis auf den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit begegnet ist. Dieser wiederum vermeldet dazu Stunden nach der Veröffentlichung der App jedoch:
Meiner Behörde liegt bis jetzt noch keine fertige Version der “Corona Datenspende”-App vor. Meine Mitarbeiterinnen und Mitarbeiter haben das Robert Koch-Institut im Vorfeld beraten. Grundsätzlich halte ich eine datenschutzkonforme Umsetzung für möglich und begrüße entsprechende Entscheidungen des RKI bei der Konzeption der App. Wir werden die Beratung fortsetzen und anschließend die Datenverarbeitung der App auch im Rahmen unserer Datenschutzaufsicht begleiten.
https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Kurzmeldung_Link/HP_Text_Kurzmeldung.html
Was denn nun?
In welchem Umfang das BfDI tatsächlich und zu welchem Zeitpunkt eingebunden war und fortlaufend sein wird, bleibt leider umkonkret. Genau genommen wissen wir nicht einmal, ob Einsicht in den Quellcode bestand, oder man sich vielleicht sogar nur auf der Ebene von Fragebögen ausgetauscht hat.
3
Kommen wir zum Quellcode.
Kein Teil des Corona Datenspende App Gesamtsystems ist als Quellcode öffentlich zugänglich. Eine unabhängige Bewertung somit unmöglich. Meines Erachtens ein Kardinalfehler.
Natürlich verstehe ich, dass es hier um das Intellectual Property eines privatwirtschaftlich organisierten Unternehmens geht. Ich verstehe auch, dass zu den Angestellten des Robert Koch Institutes keine App- und Backend-Entwickler zählen.
Trotzdem gilt, dann kann man es so leider schlicht einfach nicht machen. Denn: Es geht darum Vertrauen zu etablieren.
Sinnvoller wäre es wahrscheinlich gewesen, eines der vielen Open Source Projekte zu unterstützen die es bereits gibt und konsequent quelloffen, transparent, für jeden zugänglich “unter den Augen der Öffentlichkeit” zu entwickeln.
In Sachen Komplexität ist die Corona Datenspende App überschaubar und eine Lösung, die sich nur auf das beschränkt hätte, was das RKI tatsächlich benötigt, wäre sicher auch auf diesem Weg realisierbar gewesen.
Bedenken, die Daten könnten auf den STRATO Servern der mHealth Pioneers GmbH doch irgendwie nicht vollständig separiert sein, kämen gar nicht erst auf.
Was kann PEPP-PT daraus lernen?
Proaktive Kommunikation
Nichts befeuert Unsicherheit und Verschwörungstheorien so sehr, wie mangelnde Kommunikation. Eine Initiative die sich eine spürbare, länderübergreifende Auswirkung auf die Fahnen schreibt, muss viel und 100% transparent kommunizieren. Zum Stand der Dinge. Zu technischen Herausforderungen. Zu eventuellen Kompromissen.
Konsequent Open Source
PEPP-PT und darauf basierende Apps und Stand-alone-Tracer müssen von Anfang an durchgängig unter den Augen der Öffentlichkeit entwickelt werden.
Nur so kann eine kontinuierliche und unabhängige Einschätzung der Community erfolgen und zwar insbesondere auch von Experten, die sich gleich aus welchem Grund der Initiative selbst vielleicht nicht anschließen wollen.
Es gibt schlicht keinen Grund, dies nicht zu tun.
Die richtigen Entscheidungen für ein verteiltes Backend
Ich lese in den Medien sehr viel über Bluetooth, Smartphones und die Genauigkeit von Distanzmessungen. Viel zu wenig wird meines Erachtens der “andere Teil der Lösung” betrachtet.
Frank Thelen spricht von einem “europäischen Server”, anderenorts sagt man “diese Kontakte werden dann an das RKI gesendet”. Auch bei konkreten Protokollvorschlägen wie dem vielversprechenden DP-3T geht es zunächst einmal primär um das, was auf dem Gerät passiert.
Ein großer Teil der informationstechnologischen Herausforderung besteht aber gerade darin, dass die Apps mit einem verteilten System kommunizieren müssen, welches in sich ebenfalls konsequent den Schutz der Privatsphäre aller am System teilnehmenden Nutzer gewährleisten muss – und zwar auf allen Ebenen. Denn Teile des Systems werden vielleicht in Ländern betrieben, in denen nicht unsere gesetzlichen Rahmenbedingungen gelten.
Aus diesem Grund scheiden für mich folgende Denkansätze quasi sofort aus:
- Das Matching (Zusammenführen) von als infiziert gemeldeten Entitäten zu Kontaktgraphen findet serverseitig statt.
- Man startet zunächst einmal mit einer sehr einfachen Datenbank, “die irgendwo beim RKI steht” und schaut dann weiter.
- Auf der Seite der Server liegen zu irgendeinem Zeitpunkt sämtliche Daten des Gesamtsystems vor.
- Irgendeine (1) Autorität hält zentral Schlüssel (im Sinne von Public Key Infrastructure) vor, auf denen dann alleinig der Schutz des Gesamtsystems basiert.
Ich persönlich halte diesen Teil der Gesamtlösung länderübergreifend richtig zu machen tatsächlich für die größere Herausforderung der Aufgabenstellung. Umso schwieriger wiegt der Umstand, dass man dazu derzeit kaum etwas in Erfahrung bringen kann.
Denkt man sehr konsequent weiter, müsste sogar das Hochladen anonymisierter IDs an ein solches System so umgesetzt werden, dass nicht über eine einfache Anfrage beim Netzbetreiber und die Auflösung der IP-Adresse mit Datum/Zeitstempel zum Vertragskunden nachträglich die Pseudonymisierung umgangen werden kann.
Kein Schnellschuss
Klar wird schnell, europaweites Privacy-Preserving Proximity-Tracing kann nicht als Schnellschuss entwickelt werden.
Das Virus hält sich nicht an Zeitpläne. Auch das höre ich oft und es ist leider wahr.
Taugt diese reale Bedrohung aber als Argument für hastige Software-Releases? Meines Erachtens ist es umgekehrt. Sie verbietet sich mehr denn je.
Und noch eines sei gesagt: Man kann natürlich auch mit kleineren Lösungen starten. Man darf ausprobieren und sich iterativ verbessern. Man darf Fehler machen und dazu lernen.
Es ist, wie so oft, eine Frage von Authentizität.
Wahrscheinlich ist ein länderübergreifendes Proximity-Tracing System, dem im Fall von SARS-CoV-2 über 60% der Bevölkerung vertrauen müssen, damit es überhaupt wirksam sein kann, eine Aufgabenstellung für mehr als ein paar Wochen. Dann sollten wir darüber auch sprechen.
Denn: Es geht im Kern um Vertrauen und den offenen, ehrlichen Dialog. Es geht nicht um Technologie-Showcases. Nicht um privatwirtschaftliche Interessen. Nicht darum, dass sich die Digitalbranche ins rechte Licht setzt.
Disclaimer
Das von mir mit gegründete Unternehmen grandcentrix, jetzt ein Teil von Vodafone Deutschland, ist in Gesprächen mit PEPP-PT, mit Entwicklungs- und Beratungsleistungen ehrenamtlich zu unterstützen. Alle meine bisherigen Gespräche diesbezüglich waren angenehm, konstruktiv und ermutigend. Auch ich persönlich unterstütze jede Form und Idee, die uns helfen kann, diese Pandemie als Gesellschaft besser zu durchleben. Meinen ehrlichen und zweifelsohne auch kritischen Blick auf die Dinge, lege ich trotzdem nicht ab.
