Die Corona-Warn-App: Vorbild und Mahnung

Die meisten Menschen wollen Technik einfach nur nutzen. Bei Cloud-Anwendungen ist dies gefährlich, denn Konzerne wie Amazon, Microsoft und Google bieten zwar technisch ausgereifte Lösungen, aggregieren aber auch die Daten der Nutzer für eigene Zwecke. Das hat enorme Auswirkungen auf die Privatsphäre und die digitale Identität eines jeden Individuums sowie auf Staat und Unternehmen. Trotzdem haben viele Menschen kaum Bedenken, diese Dienste zu verwenden und so ihre persönlichen Daten an Unternehmen weiterzugeben, die dem Recht eines anderen Staates unterliegen. Gleichzeitig genießt der deutsche Staat deutlich weniger Vertrauen: Die Entwicklung der Corona-Warn-App beispielsweise wurde von einer heftig geführten Diskussion begleitet, in der den staatlichen Institu­tionen die Schaffung eines möglichen Einfallstors für neue Überwachungsmöglichkeiten unterstellt wurde.

Die Verantwortlichen haben sich aufgrund des öffentlichen Drucks schnell für ein dezentrales Konzept entschieden und den Quellcode folgerichtig als Open Source veröffentlicht. Mittlerweile wurde die App millionenfach heruntergeladen. Es herrscht Konsens, dass elementare Anforderungen an den Datenschutz erfüllt worden sind und die App beispielhaft gut gelungen ist.

Also ist damit alles gut? Mitnichten: Die zentrale Funktionalität, das Tracking der Tokens anderer Geräte und deren Vergleich mit zentral gespeicherten Token-­Listen, ist gar nicht Bestandteil der Corona-­Warn-App selbst, sondern in Entwicklerbibliotheken von Apple und ­Google enthalten. Deren Quellcode ist proprietär: Niemand außer den Anbietern kann prüfen, ob ein möglicher Corona-­Kontakt vom Smartphone korrekt gemessen und gemeldet wird und was mit den erhobenen Daten noch geschieht. Es gab aufgrund der knappen Entwicklungszeit keine Alternative, weil Apple und Google die nötige Funktionalität nur in dieser Form zur Verfügung gestellt haben. Dies mag technische Gründe haben und ich will beiden Anbietern auch nichts Böses unterstellen. Der öffentliche Protest dazu ist aber ausgeblieben.

Sicher, in der aktuellen Krisensituation mussten wir schnell agieren. Wir müssen uns aber fragen, ob wir auf Dauer den Vorgaben von Konzernen quasi ausgeliefert sein wollen, weil es keine Alternativen gibt. Wir sollten uns dagegen absichern, dass eine Institution (oder deren Regierung) mit einem Kill-Switch zen­trale Funktionen unserer IT-Infrastruktur ausschalten kann. In welche Abhängigkeit begeben wir uns, wenn an zentralen Stellen des Telekommunikationsnetz­werkes proprietärer Code aus China, der größten Diktatur der Welt, arbeitet? Was passiert, wenn ein amerikanischer Präsident Apple und Google per Dekret zur Einstellung der Dienste in Deutschland zwingt? Deutschland (und Europa) sollte sich fragen, ob es in strategischen Fragen wie der souveränen Verfügung über die eigene IT-Infrastruktur – und dafür ist die Corona-App ein aktuelles Beispiel – in solch gefährlicher Abhängigkeit von Großkonzernen verbleiben kann.

Ja, die App ist wichtig und nützlich. Denn sie beweist, dass unser Staat in Krisenzeiten offen und datensparsam agiert. Dies gilt aber nur bis zu einem gewissen Grad, denn in vielen Bereichen sind auch staatliche Institutionen nicht wirklich souverän. Wenn wir selbst über die Verfügbarkeit unserer IT und damit der Daten und Werkzeuge für das Funktionieren des Alltags, der Wirtschaft und der Verwaltung bestimmen wollen, müssen wir uns in Richtung digitaler Souveränität entwickeln. Dabei geht es nicht um Protektionismus oder die Neuerfindung des Rades, sondern um souveräne Entscheidungen und die Vermeidung von Erpressbarkeit. Mit GAIA-X und der Schaffung eines Open-Source-­Code-Repository für die öffentliche Hand befinden sich erste spannende Projekte in den Startlöchern. Es ist mehr als wünschenswert, dass weitere folgen.

Peter Ganten

ist CEO von Univention und Vorsitzender der OSB Alliance – Bundesverband für digitale Souveränität.