Am 22.4.2020 tagte zum ersten Mal in der Geschichte des Bundestages ein Ausschuss komplett digital, das war nicht so ganz einfach, denn der dafür von der Bundestags-IT beschaffte Dienst WebEx von Cisco funktionierte leider null. Aber in diesem Blogpost soll es nicht um die teils absurden, teils lustigen Kinderkrankheiten eines sich mit der Brechstange digitalisierenden Bundestages gehen (im ADA sind wir dafür gern und mit guter Laune Versuchskaninchen gewesen – wer, wenn nicht wir, kann da voran gehen?), sondern um die Contact Tracing App / Corona-App, die unser Hauptthema im Ausschuss war.
Leider haben sowohl Dorothee Bär als auch Helge Braun und Jens Spahn von Seiten der Bundesregierung ihre Teilnahme nicht ermöglichen können, uns berichtete daher der Unterabteilungsleiter Digitales des Bundesgesundheitsministeriums, in einer außerordentlichen Ausschusssitzung (wieder digital) wird uns Dorothee Bär dann zum gleichen Thema Rede und Antwort stehen.
Die CoronaApp macht gerade Schlagzeilen, denn es gibt eine immer heftiger ausgetragene Auseinandersetzung zwischen Vertreter*innen der sogenannten zentralen und dezentralen Varianten einer möglichen Umsetzung. Das zentral und dezentral bezieht sich dabei auf den Ort des Datenabgleichs zwischen der temporären ID einer nachgewiesen infizierten Person und den temporären IDs von Handys, deren Träger*innen im relevanten Zeitraum einen längeren Kontakt in einem kurzen räumlichen Abstand zu dieser Person hatten. Dieser Datenabgleich kann entweder auf einem zentralen Server oder dezentral auf den Endgeräten der Nutzer*innen stattfinden.
Für den zentralen Ansatz steht das PEPP-PT Konsortium (Paneuropean Privacy Preserving Proximity Tracing) mit 130 Wissenschaftler*innen und IT-Expert*innen aus acht europäischen Staaten. Beteiligt sind sowohl Hochschulen als auch Unternehmen. Noch vor kurzem verfolgte das Konsortium beide Ansätze, auch den dezentralen, aber dann gab es Differenzen, viele Wissenschaftler*innen und Institute erklärten öffentlich, dass sie sich distanzieren von der Initiative und unterstützen nun separat das Projekt DP-3T (Decentralized Privacy-Preserving Proximity Tracing), das ausschließlich auf den dezentralen Ansatz setzt.
Vor diesem Hintergrund hatte ich in einer schriftlichen Frage die Bundesregierung gefragt, welches Modell sie verfolgt und am Tag vor dem Ausschuss die Antwort erhalten, dass man 3 verschiedene Varianten prüft, darunter auch das dezentrale und zentrale Modell (siehe meinen vorhergehenden Beitrag dazu).
Wie bezeichnet man höflich, dass man verarscht wird?
Der Brief war datiert mit 20.04.2020, am 22.04.2020 – 48 Stunden später – erklärt der Vertreter des BMG im Ausschuss, dass man sich längst (also doch!) entschieden hat, und dass die Umsetzung einer App nach der zentralen Variante bereits beauftragt sei – das Fraunhofer Heinrich-Hertz-Institut arbeite daran, auch die Serverinfrastruktur werde gerade aufgebaut, ein Datenschutzfolgekonzept werde gerade erarbeitet existiere (wo ist es veröffentlicht?) und auch die IT-Sicherheitsprüfung des BSI fand findet für diese Variante schon statt (wo sind die Ergebnisse?).* Als Abgeordnete des Bundestages fühlte ich mich in diesem Moment gelinde gesagt an der Nase herumgeführt (ich könnte auch „verarscht“ oder „angelogen“ sagen). Konfrontiert mit diesem Widerspruch klang es so, als könne das BMG die Zeitformen von Gegenwart und Vergangenheit nicht auseinanderhalten, die Antwort an mich sei ja nicht falsch gewesen, man „hätte ja drei Varianten untersucht“. Allerdings stand im Brief der Bundesregierung, dass man „derzeit“ drei Varianten prüft und das ist offensichtlich schlicht nicht der Fall.
Die Bundesregierung will eine zentrale Lösung
Also ist klar, die Bundesregierung will die zentrale Lösung. Ihre Hauptargumente:
- Das RKI muss nachsteuern können (was genau, ist mir nicht ganz klar geworden).
- Die App muss interoperabel sein zu anderen europäischen Apps und da Frankreich und Italien auf den zentralen Ansatz setzen, müsse man das auch tun, denn zwischen dezentralen und zentralen Apps gäbe es keine Möglichkeit der Interoperabilität.
Ich habe den Vertreter des BMG mit der Information konfrontiert, dass eine innereuropäische Interoperabilität kaum möglich ist, wenn man die Beschlüsse der EU Kommission und des Europäischen Parlamentes pro dezentrale Lösung ignoriert und auch den Umstand, dass es europäische Länder wie die Niederlande und die Schweiz gibt (inzwischen ist Österreich dazu gekommen) die ebenfalls eine dezentrale Lösung umsetzen. Warum ist Interoperabilität mit Frankreich und Italien relevanter als mit den Niederlanden, Österreich und der Schweiz?
Zum Argument des „Nachsteuerns“ – sollte es um Kriterien wie Inkubationszeit, Kontaktdauer und Abstand zwischen Personen gehen – diese Daten ließen sich auch über ein App-Update nachsteuern. Mich hat das nicht überzeugt.
Die zentrale Lösung kommt trotzdem nicht
Dennoch – die zentrale Lösung wird nicht kommen. Auch das wurde mir gestern klar. Denn der BMG-Vertreter erzählt noch von einem großen Haken: Die App sei bisher nicht kompatibel mit iOS-Geräten (Apple). Das Kanzleramt sei gerade im Gespräch mit Apple und man hoffe darauf, dass Apple in den Tiefen seines Betriebssystems Anpassungen und Ausnahmen für die Contact Tracing App nach zentralem Vorbild einbaut, aber ich bin mir sicher, das wird nicht passieren.
Uns wurde erklärt, dass man die App leider komplett einstampfen müsse, wenn sich Apple verweigert. Und Apple wird sich verweigern, denn das Unternehmen hat sich klar und deutlich für den dezentralen Ansatz ausgesprochen. Die gewünschte Änderung wäre ein Präzedenzfall und würde Grundprinzipien des Betriebssystems widersprechen. Ich kann mir schlicht nicht vorstellen, dass das passieren wird. Und was wenn Apple nicht einlenkt? „Dann müssen wir die App einstampfen und eine neue App von vorn entwickeln, nach dem dezentralen Ansatz,“ meinte dazu der Vertreter des BMG. Vermutlich wird es so kommen, und dann sind wieder wertvolle Ressourcen verschwendet und vor allem wochenlang Zeit verloren worden. Auch im BMG ahnt man vielleicht, dass man sich von der bevorzugten zentralen Variante verabschieden muss, kann sich damit aber nur so halb anfreunden, das hört sich dann so an: „Vielleicht gibt es dann am Ende eine Mittelvariante, denn dann muss die dezentrale Variante auch noch ein bisschen zentraler werden…“
Wenn ich dann auch noch von einer Virologin des Helmholz-Zentrums* im Spiegel lesen muss, dass man sich zwischen Datenschutz (einem Grundrecht) und Bekämpfung der Pandemie entscheiden muss, dass Datenschützer sich einer Contact Tracing App in den Weg stellen würden und dass man Datenschutzregeln in einer Pandemie halt einfach lockern müsste, dann krieg ich schon Puls, denn auch das ist schlichtweg falsch. Es gibt datenschutzkonforme Lösungen, die man umsetzen könnte, gegen die sich kein*e Datenschützer*in stellen würde, aber dafür müssen sie datensparsam und dezentral sein und transparent entwickelt werden. Auch mit solchen Lösungen kann man effektiver Infektionsketten unterbrechen, aber vor allem würde man keine Zeit verlieren mit Ansätzen, die unnötig Grundrechte gegeneinander ausspielen und deshalb potenziell an die Wand fahren. Das ist kreuzgefährlich und kann am Ende sogar Menschenleben kosten
Aber immerhin, Open Source soll sie werden…
Im Ausschuss haben wir Abgeordneten einhellig die mangelnde Transparenz und den undurchsichtigen, erratischen Prozess von Entscheidungsfindung und Kommunikation kritisiert. Man versprach, transparenter zu werden, kündigte eine Stellungnahme des Fraunhofer Heinrich-Hertz-Institutes an mit näheren Erklärungen (seit heute, 23.4. ist sie online hier zu finden), und entschuldigte sich mit Verweis auf die extreme Arbeitsbelastung und die ungewöhnlichen Rahmenbedingungen durch die Pandemie. Das ist sicher alles richtig, aber Transparenz und Nachvollziehbarkeit sind so extrem wichtig für den Erfolg einer gut gemachten Contact Tracing App, dass es mir völlig unerklärlich ist, wie man das so wenig erkennen und priorisieren kann.
Gerade die Vertreter*innen der zentralen Variante, im PEPP-PT, arbeiten obskur, wogegen die dezentrale Variante in einem Prozess entsteht, der transparent und nachvollziehbar ist und auch alles öffentlich macht, bis hin zum Source Code. Auch das Europäische Datenschutz-Board forderte in seinen gestern, 22.4.2020 veröffentlichten Guidelines, dass sowohl App als auch Backend Open Source sein sollten. Immerhin da gab es interessante Neuigkeiten, das BMG versprach die App als Open Source zu veröffentlichen, leider aber erst NACH Bereitstellung durch das Robert Koch-Institut und das ist eigentlich zu spät, wenn man möchte, dass die kompetente Community da mal drauf schaut und eventuelle Pferdefüße findet, bevor sie per App auf viele Geräte verbreitet sind, potenziellen Schaden anrichten und das Vertrauen in die App unterminieren.
Keine Tracing-App ohne Daumen hoch des BfDI
Gespannt bin ich auf die Stellungnahme und Entscheidung des Bundesbeauftragten für den Datenschutz (BfDI), Ulrich Kelber, denn nach Aussage des BMG-Vertreters wird es die Contact Tracing App nur dann geben, wenn nicht nur das BSI für IT-Sicherheit, sondern auch der BfDI sein okay dafür gegeben haben.
Good News: Quarantäne App ist keine elektronische Fußfessel
Klarheit und gute Nachrichten gab es zur von Gesundheitsminister Jens Spahn vor wenigen Tagen in den Heute Nachrichten des ZDF erwähnten „Quarantäne-App“, die unpassenderweise von BMG-Kreisen auch als „Surveillance“-Maßnahme bezeichnet wurde, was natürlich Assoziationen hervorruft, die gruselig sind und den Apps gleichen, die in anderen – weniger demokratischen Ländern – bereits angewendet werden. Zum Beispiel Apps, wo man mehrmals täglich ein Selfie in der eigenen Wohnung machen und an Behörden schicken muss, um zu beweisen, dass man brav in den eigenen vier Wänden sitzt. Nein, so eine App wird die deutsche Quarantäne-App nicht sein. Sie soll die Arbeit der Gesundheitsämter auf eine andere, harmlosere Weise entlasten. Bisher müssen Gesundheitsämter zwei mal täglich bei Menschen in Covid19-Quarantäne anrufen und deren Symptome erfragen und erfassen, das bindet sehr viel Personal.
Mit der geplanten Quarantäne-App sollen Betroffene einfach eine Art Quarantäne-Tagebuch für ihre Symptome führen können, wo sie statt am Telefon bei Mitarbeiter*innen des Gesundheitsamtes elektronisch ihre Symptome erfassen und an das Gesundheitsamt weitergeben. Natürlich ist auch das nicht ohne datenschutzrechtliche Herausforderungen, immerhin geht es um höchst sensible Gesundheitsdaten, die da elektronisch von A nach B wandern sollen, und die sind keineswegs trivial, aber immerhin ist es kein so gravierender Eingriff in die Grundrechte, wie eine App, die als elektronische Fußfessel daher kommt.
Aber der Datenschutz wird dennoch eine Herausforderung
Ich hatte dazu auf Twitter den Bundesdatenschutzbeauftragten gefragt, ob er einbezogen wurde, das hat er öffentlich verneint. Im Ausschuss fragte ich das BMG, warum das so ist. Die Antwort war etwas überraschend: Man entwickele zwar die Quarantäne-App zentral auf Bundesebene, aber man stelle sie ja den Gesundheitsämtern nur zur Verfügung, weil die ja eigentlich zuständig sind, und weil die zuständig sind und nicht der Bund, wäre das eine Sache der Landesdatenschutzbehörden und die müssten dann die Gesundheitsämter einbeziehen. Äh, ja. Äh, nein. So läuft das sicher nicht, jedenfalls nicht sinnvoll. Das fand wohl auch Ulrich Kelber, denn der Vertreter des BMG erzählte, dass sich der BfDI an das BMG gewendet hätte und nun doch einbezogen würde.
Nein! Und ich kann mir eine solche App in Deutschland auch nicht vorstellen
— Ulrich Kelber (@UlrichKelber) 20. April 2020
Also auch hier erst mal ein Totalversagen beim Aufbau von Vertrauen durch Transparenz. Dabei ist das so elementar wichtig, denn selbst die datenschutzfreundlichste Variante einer Contact Tracing App wird an Akzeptanz leiden, wenn das BMG mit einer problematischen Variante einer Quarantäne-App Schlagzeilen machen sollte. Vertrauen ist schnell verloren und langsam wieder aufgebaut – für Vertrauen langsam wieder Aufbauen haben wir in einer Pandemie aber keine Zeit. Wir müssen es gleich richtig machen! Es ist schlimm genug, dass die Datenspende-App des RKI (die kein BMG-Projekt ist) gerade Negativschlagzeilen macht, mehr darf es dazu nicht geben, sonst ist die Chance vertan, mit einer 100% datenschutzfreundlichen App viele Infektionsketten früher zu unterbrechen und zur Eindämmung der Pandemie beizutragen.
Weitere Informationen zur Contact Tracing App
Die weiteren Informationen zur Contact Tracing App waren nicht neu oder weniger überraschend, der Vollständigkeit halber will sie hier dennoch aufschreiben:
- Die App wird vollständig freiwillig sein, es wird keine Art von Zwang geben, weder direkt noch indirekt, die App soll auch nicht zu irgendwelchen „rechtsverbindlichen Folgen“ führen – es blieb allerdings unklar, was damit gemeint ist (ein Rechtsanspruch auf Test oder bezahlte Freistellung von der Arbeit wegen freiwilliger häuslicher Quarantäne wäre ja durchaus wünschenswert!).
- Eine Meldung als „infiziert“ wird nur möglich sein, wenn ein Testlabor/Arzt eine ID dafür freischaltet, damit es nicht möglich ist, das System zu trollen und sich fälschlich als positiv getestet zu melden.
- Es soll auch eine telefonische Melde-Variante geben, über eine Hotline mit TAN-Verfahren.
- Das BMG kann keine Zahl nennen, für den Anteil an Nutzer*innen, die man erreichen muss, damit die App effektiv sein kann bei der Eindämmung der Pandemie: „Wissenschaftler*innen nennen da Zahlen, aber verschiedene, und ohne wissenschaftliche Grundlage, wir (BMG) halten aber jeden erreichten Nutzen für sinnvoll und natürlich ist der Nutzen umso höher, je mehr die App verwenden.“
- Es sind Komponenten künstlicher Intelligenz geplant, „zumindest von Algorithmen“ – die z. B. die gemessenen Bluetooth-Stärken hinsichtlich Handytypen und tatsächlicher Proximität bewerten, da unterschiedliche Handytypen unterschiedlich starke Signale aussenden bei gleicher räumlicher Distanz und das zu Verzerrungen in der Bewertung der Infektionsgefährdung führen kann.
- Testkapazitäten werden weiter ausgebaut, aber im Moment gäbe es sogar mehr Testkapazitäten als Nachfrage danach – denn es ist klar, dass eine erfolgreiche Corona-App (= viele Nutzer*innen) auch eine erhöhte Nachfrage nach Tests bedeuten wird.
Ich berichte, weil es Transparenz braucht
Der Ausschuss hat nicht öffentlich getagt und mir ist bewusst, dass es problematisch ist, Informationen aus dem Ausschuss hier so detailliert aufzuschreiben. Aber ich habe als Abgeordnete auch Verantwortung zu übernehmen und das mache ich jetzt einfach. Wie weiter oben beschrieben, halte ich Transparenz in diesem gesamten Prozess für elementar wichtig und wenn die Bundesregierung nicht in der Lage ist, diese Transparenz selbst herzustellen, dann muss das eben auf diesem Wege passieren.
Update: 23.04.2020
Es bleibt offenbar bei einer widersprüchlichen, verwirrenden Kommunikationspolitik… so langsam fehlen mir die Worte. Kanzlerin Merkel sprach heute vormittag wieder von mehreren Contact Tracing Apps, die geprüft werden. Ja, was denn nun?
Montag erklärt @BMG_Bund , es prüfe drei Apps.
— Anne Roth (@annalist) April 23, 2020
Mittwoch (ich zitiere Presse) erzählt es im Digitalausschuss, dass eine – zentrale – App vom HHI entwickelt wird. Der Rest ist Kür.
Heute Merkel in der Regierungserklärung: „Die #TracingApp Modelle, die wir prüfen“.
?!??
Hinweis zu den weiter oben vorgenommenen Änderungen, markiert mit einem *:
- nach Überprüfung meiner Unterlagen sprach der Vertreter des BMG nicht von einem bereits abgeschlossenem Datenschutzkonzept und einer abgeschlossenen BSI-IT-Sicherheitsprüfung, sondern davon, dass beides in der Mache ist. Diese Ungenauigkeit habe ich korrigiert.
- In der ersten Fassung des Beitrags schrieb ich, dass eine Virologin des Heinrich Hertz Institutes sich für die Lockerung des Datenschutzes ausgesprochen hatte, allerdings ist Virologin Melanie Brinkmann vom Helmholtz Zentrum und nicht vom HHI (das die App für das BMG entwickelt), worauf mich ein aufmerksamer Leser auf Twitter hinwies. Danke dafür und sorry für den Fehler.