eOrbit

Das Wetter ist zu schön, um das Wochenende vor dem Computer zu verbringen. Trotzdem hier eine Auswahl der Links rund um Corona-Apps und verwandte Themen, die sich während der vergangenen Woche angesammelt haben:

• Die Einführung von Corona-Immunitätsausweisen, ob analog oder digital, ist vorläufig zurückgestellt, nachdem Gesundheitsminister Spahn eingesehen hat, dass man darüber gründlich nachdenken muss. Fabian A. Scherschel erklärt auf Heise Online, warum er digitale Seuchenpässe für technokratischen Solutionismus hält.
• Den Gesundheitsämtern fehlt Personal, deshalb soll ihnen nach der Kontaktverfolgungs- auch eine Quarantäne-App die Arbeit erleichtern. Im Landkreis Mainz-Bingen setzen die Amtsärzte eine App ein, die den Informationsaustausch mit Quarantänepatienten vereinfachen soll.
• Die offzielle Corona-Warn-App der Bundesregierung soll Mitte Juni fertig sein. Axel Voss schlägt schon mal vor, freiwilligen Nutzern der App Privilegien zu gewähren. oder wie andere formulieren, Verweigerer benachteiligen. Der Verwaltungsrichter Malte Engeler hingegen fordert eine gesetzliche Regelung für den Einsatz von Kontaktverfolgungs-Apps.
• Hartmut Gieselmann aus der c’t-Redaktion beschäftigt sich mit den Erfolgsaussichten der automatischen Kontaktverfolgung und den offenen Problemen dabei. Er empfiehlt, genügend Zeit für einen Betatest einzuplanen, den Entwurf eng mit den Gesundheitsbehörden abzustimmen und offene rechtliche Fragen schnell zu klären.
• Island hat bereits eine App zur automatischen Kontaktverfolgung im Einsatz, die von beachtlichen 40% der Bevölkerung genutzt wird. Die isländischen Kontaktverfolger finden die App Rakning C-19 jedoch wenig hilfreich und arbeiten weiter wie bisher.
• Welche Folgen ein positiver Corona-Test im richtigen Leben nach sich ziehen kann, beschreibt @zuckerguss1998 in einem Twitter-Thread. Eine App, die folgenlos mal kurz piepst, wird dem vielleicht nicht hundertprozentig gerecht. Wer auf klassische Weise als Kontaktperson eines Infizierten gefunden wird, erhält übrigens auch keine unverbindliche Empfehlung zur freiwilligen Selbstisolation, sondern eine handfeste Quarantäneanordnung – und nicht automatisch einen Test, dessen Ergebnis ihn in falscher Sicherheit wiegen könnte.
• Die Erhebung von Kontaktdaten in wiedereröffneten Restaurants, Friseursalons usw. führt unvermeidlich zu Datenschutz-Diskussionen. Zum großen Problem werden solche Besucherlisten voraussichtlich nicht, doch einzelne Missbrauchsfälle sind möglich.
• Das amerikanische Mobbing gegen Huawei zeigt Nebenwirkungen. Weil die Trump-Regierung die Zusammenarbeit zwischen Huawei und Google behindert und Huawei daraufhin zu Alternativen greift, lassen sich Apps aus dem Google-Play-Store auf manchen Huawei-Geräten nicht installieren.
• Simon Chandler findet, dass die Vertraulichkeit von Daten nicht das Kernproblem von Kontaktverfolgungs-Apps ist, und fragt sich zur Recht, ob wir die Kontrolle über unser Verhalten tatsächlich an unsere Smartphones abgeben sollten und möchten.
• Die EU-Kommission verlangt entsprechend ihrer Kernkompetenz, dass Corona-Apps grenzüberschreitend funktionieren. Über die vermeintliche Gretchenfrage nach einem zentralen oder dezentralen Ansatz sind sich Europas Nationalstaaten jedoch uneins. Die Normungsorganisation ETSI gründet unterdessen eine Standardisierungsgruppe für Corona-Tracing-Apps, so es in einigen Jahren ähnlich wie zum Beispiel für Kontonummern oder Verkehrszeichen europaweit einheitliche Standards geben könnte.
• Gabriel Yoran meint, man müsse hinsichtlich einer Kontaktverfolgungs-App nicht nur über Datenschutz, sondern auch über Logistik und Vertrieb reden. Zudem zweifelt er daran, dass SAP und Telekom die richtige Adresse für die Entwicklung einer benutzergerechten App sind.
• Ein Papier aus dem Fraunhofer-Institut AISEC vergleicht dezentrale und zentrale Protokolle zur Kontaktbenachrichtigung, findet unterschiedliche Stärken und Schwächen und sieht wenig Anlass zu Glaubenskriegen um den einen oder den anderen Ansatz.
• Zu guter Letzt hat eine interdisziplinäre Gruppe französischer, schweizer und kanadischer Wissenschaftlerinnnen eine Risikoanalyse aus Anwendungssicht erstellt (auch als französische Originalfassung). Darin beschreiben sie fünfzehn allgemeinverständliche und ohne technische Spezialkenntnisse ausführbare Angriffsszenarien in Systemen zur automatischen Kontaktverfolgung.

Bei so viel Text wünscht man sich fast eine Quarantäne, um genügend Zeit zum Lesen zu haben.

Das deutsche Corona-Warn-App-Projekt hat einen ersten Anforderungskatalog vorgelegt. Von den politischen Belastungen seiner Vorgeschichte kann es sich nicht lösen. Die Entwickler skizzieren ein Minimum Viable Product ausgehend von den bekannten willkürlichen Festlegungen. Auf eine ergebnisoffene Einbindung der Stakeholder in die Anforderungsanalyse warten wir weiter vergebens.

Für die deutsche Corona-Warn-App, die im Auftrag der Bundesregierung von SAP und der Telekom entwickelt wird, liegt jetzt ein erster Anforderungskatalog vor. Große Überraschungen finden sich darin nicht, die Entwickler bleiben in den politisch vorgezeichneten Bahnen. Das ist verständlich, aber schade, denn so unterbleibt weiter die Auseinandersetzung mit dem Anwendungskontext und den realen Bedürfnissen der Nutzer und Stakeholder. Dass die Anforderungen als User Stories formuliert sind, lässt die daraus resultierenden Defizite deutlich hervortreten.

Eine User Story beschreibt eine funktionale Anforderung an ein System in der Form: „Als <Rolle> möchte ich <Ziel/Wunsch>, um <Nutzen>“, oder ähnlich. Das Wie spielt zunächst keine Rolle. Als Informationsobjekte werden User Stories im Entwicklungsprozess zu verschiedenen Zwecken verwendet. Entwickler und Designer knüpfen daran ihre Entwurfsarbeit, das Produktmanagement kann damit in Abstimmung mit den Stakeholdern Ziele und Prioritäten festlegen und das agile Projektmanagement steuert mit Hilfe eines priorisierten Backlogs noch nicht umgesetzter User Stories die Entwicklungsarbeit.

Damit User Stories gut werden, muss man sich bei ihrer Formulierung ernsthaft mit seinen künftigen Nutzern auseinandersetzen, das heißt intensiv mit ihnen interagieren. Dazu gibt es eine Reihe von Methoden von Fragebögen über Interviews  und Workshops bis zu frühen Usability-Tests mit Papierprototypen. Ohne diese Interaktion läuft man Gefahr, spekulative Vorstellungen zu entwickeln, die sich später als falsch erweisen. In der echten agilen Entwicklung muss man allerdings nicht alles vorher klären, weil man den Nutzern regelmäßig neue Versionen einer Anwendung zur Verfügung stellt und sich dazu jeweils Feedback holt.

Die veröffentlichten User Stories für die Corona-Warn-App (in der Fassung vom 14. Mai 2020) zeigen drei Auffälligkeiten:

(1) Geringe Nutzerorientierung. Die Entwickler wandeln die Schablone ab zu: „Als <Stakeholder> möchte ich <Handlung durchführen>, um <gewünschtes Ergebnis zu erzielen>.“ Aus dem Ziel wird eine Handlung, aus dem Nutzen ein gewünschtes Ergebnis. Dieses subtil abgewandelte Format erleichtert es, aus der Luft gegriffene Gestaltungsideen den Stakeholdern gewissermaßen in den Mund zu legen, indem man sie als User Story ausgibt.

Das tun die Entwickler auch sogleich und formulieren zum Beispiel: „Als App-Nutzer möchte ich beim erstmaligem Applikationsstart über die Nutzungsbedingungen und Datenschutzbestimmungen (Data Protection Screen) informiert werden und meine Zustimmung geben, um über den Umgang mit meinen Daten innerhalb der Anwendung aufgeklärt zu sein.“ (E01.02) oder: „Als App-Nutzer möchte ich das Impressum der Applikation einsehen können, um zu sehen, wer für Entwicklung und Inhalte der Applikation verantwortlich ist.“ (E02.04). Das ist Käse, Datenschutz-Formalia und Impressum wollen nicht die Nutzer haben, sondern die Daten- und Verbraucherschützer. Nutzer freuen sich darüber so sehr wie über ein Cookie-Banner auf einer Website.

In diesem Stil geht es auch bei den Kernaufgaben der App weiter: „Als App-Nutzer möchte ich, dass bei Vorliegen meines positiven Testergebnisses nach meiner Zustimmung die pseudonymisierten IDs, unter denen ich an den vergangenen Tagen für andere App-Nutzer sichtbar war, an den Warn Server übermittelt werden, damit Kontaktpersonen durch ihre Apps gewarnt werden können.“ (E06.03), oder: „Als App-Nutzer möchte ich die Möglichkeit zur Eingabe einer TAN innerhalb der App haben, damit ich die mir telefonisch mitgeteilte TAN zur Zuordnung meines Testergebnisses zu der von mir genutzten Instanz der App nutzen kann.“ (E06.05). Das sind keine lösungsneutralen Ziele realer Nutzer, sondern Gestaltungsideen der Entwickler.

(2) Fehlende Stakeholder. Als Stakeholder sind nur App-Nutzer, Hotlines sowie das Robert-Koch-Institut (RKI) genannt. Hingegen fehlen die zuständigen Gesundheitsämter sowie auch der verantwortliche Betreiber der gesamten Anwendung und damit mittelbar die Öffentlichkeit.

Zu den seit dem Aufkommen der App-Idee geflissentlich ignorierten Anforderungen der Gesundheitsämter hat sich der Landkreistag vor einiger Zeit bereits geäußert. Von dort bekäme man User Stories wie: „Als Beamter einer Gesundheitsbehörde möchte ich Kontaktpersonen identifizieren, um ihnen Empfehlungen und Anordnungen zu übermitteln.“, oder: „Als Beamter einer Gesundheitsbehörde möchte ich Quarantäneanordnungen aussprechen, die einer gerichtlichen Prüfung standhalten.“ Dass es solche Anforderungen gibt, heißt nicht, dass man sie zwingend umsetzen müsste. Wer sie gar nicht erst erfasst, drückt sich jedoch davor, wichtige Aspekt des Problems überhaupt zur Kenntnis zu nehmen.

Um die Errichtung oder Beauftragung einer verantwortlichen Betreiberinstitution drückt sich seit ebenso langer Zeit die Bundesregierung. Ein verantwortlicher Betreiber hätte unter anderem die Aufgabe, den Systembetrieb zu überwachen und die Öffentlichkeit darüber auf dem Laufenden zu halten, wie gut oder schlecht die automatische Kontaktverfolgung funktioniert. Von einem Verantwortlichen bekäme man User Stories wie: „Als Verantwortlicher möchte ich die Arbeit des Systems fortlaufend überwachen, um Fehler und Probleme schnell zu erkennen.“, „Als Verantwortlicher möchte ich täglich aktuelle Statistiken über die verteilten Warnungen erhalten, um die Öffentlichkeit zu informieren.“, oder: „Als Systembetreiber möchte ich Nutzerfeedback einholen, um die App fortlaufend verbessern zu können.“ Hier läge übrigens auch der passendere Kontext für Anforderungen wie das Impressum oder den unvermeidlichen Datenschutz-Sermon.

(3) Unvollständige Anforderungen. Während sich viele User Stories mit sekundären Themen wie dem Installationsprozess, der Konfiguration und der Barrierefreiheit beschäftigen, bleibt der Kern der App sehr dünn. Ausführlich und mit zu vielen technischen Details wird der Erhalt eines Testergebnisses und das darauf folgende Auslösen einer Warnung beschrieben. Allerdings fehlt die Möglichkeit zur Entwarnung etwa für den Fall, dass ein Testergebnis falsch gemeldet oder zugeordnet wurde.

Für den Kontaktfall – ein App-Nutzer wird über eine mögliche Ansteckung irgendwie, irgendwo, irgendwann benachrichtigt – müssen hingegen ganze zwei User Stories genügen. Im Wesentlichen sagen sie: Der Nutzer erhält eine Nachricht und kann daraufhin Verhaltensempfehlungen aufrufen. Aus Nutzersicht gibt es an dieser Stelle noch einiges zu klären. Grundidee der Corona-Warn-App ist, dass sich die Informierten umgehend selbst isolieren, bis klar ist, ob sie sich angesteckt haben, also entweder ein verlässliches negatives Testergebnis vorliegt oder aber Symptome auftreten.

Ich vermisse hier User Stories wie: „Als Kontaktperson eines Infizierten möchte ich schonend und mitfühlend erklärt bekommen, dass ich möglicherweise mit einem potenziell tödlichen Virus infiziert bin, damit ich mich nicht mehr als unvermeidlich aufrege.“, „Als Kontaktperson eines Infizierten möchte ich wissen, wo ich mich testen lassen kann, um möglichst schnell Klarheit über eine Ansteckung zu erlangen.“, oder: „Als benachrichtigter App-Nutzer, der sich umgehend in Quarantäne begibt, möchte ich einen Nachweis zur Vorlage bei Arbeitgebern, Behörden und Gerichten abrufen, um meine Abwesenheit beziehungsweise verpasste Termine zu entschuldigen.“

Neben solchen praktischen Fragen stellen sich an dieser Stelle auch grundsätzliche. Eine Befehlsgewalt über Menschen erhält das Smartphone nicht, da alles freiwillig sein soll. Wie aber muss eine Benachrichtigung aussehen, damit sie für die Nutzer plausibel ist und die daran geknüpften Verhaltensempfehlungen freiwillig befolgt werden? Ich könnte mir vorstellen, dass das mit ein paar Details besser funktioniert: „Jemand aus Ihrer Sportgruppe, die sich am Montag getroffen hat, ist infiziert.“, oder: „Sie saßen vorgestern im ICE von Frankfurt nach Mannheim im gleichen Wagen wie ein Corona-Infizierter.“ Solche Aussagen sind konkret und der persönliche Bezug nachvollziehbar, während die Warnungen der geplanten App vage bleiben.

Nun muss man bei agiler Entwicklung nicht von Anfang an alles richtig machen. Ausgehend von einer vagen Idee kann man die Einzelheiten und allerlei unerwartete Fragen nach und nach entdecken, denn agile Entwicklung ermöglicht und impliziert eine empirische Anforderungsanalyse über die gesamte Entwicklungszeit hinweg. Angesichts der Vorgeschichte sowie des Zeitdrucks – einige sprechen schon vom „digitalen BER“ (https://www.mdr.de/nachrichten/politik/inland/corona-tracing-app-warten-100.html), obwohl das weit übertrieben scheint – habe ich jedoch den Eindruck, dass man hier einfach mit politisch geformten Vorgaben in einen kleinen Wasserfallprozess geht. Daran ändert ein an User Stories erinnerndes Gerüst für die vorbestimmten, an willkürlichen technischen Entscheidungen ausgerichteten Anforderungen wenig.

Schon vor einem Monat, als das Projekt der Stunde noch PEPP-PT hieß, war zu erkennen, dass ein nur auf perfekten technischen Datenschutz fokussierter Ansatz die Anforderungsanalyse zu kurz kommen lassen würde. Nicht zuletzt den am Projekt Beteiligten selbst fiel dies anscheinend auf und sie verabschiedeten sich vom dezentralen Extremismus. Genaueres weiß die Öffentlichkeit nicht, denn PEPP-PT erlaubte keine Einblicke in den Entwicklungsprozess. Zumindest dies hat der zweite Anlauf verbessert. Ob das bloße Vorzeigen jedoch etwas am absehbaren Ergebnis ändert, bleibt offen.

Der Hessische Datenschutzbeauftragte (HBDI) hat kürzlich seinen neuen, 48. Tätigkeitsbericht veröffentlicht (pdf). Unter anderem befasst sich die Aufsichtsbehörde dort auch mit einem immer noch praxisrelevanten Thema: in welcher Form dürfen bzw. müssen Verträge zur Auftragsverarbeitung (AVV) abgeschlossen werden? Bereits in der Vergangenheit hatte ich darauf hingewiesen, dass selbst die Europäische Kommission keine allzu hohen Anforderungen […]

Waren wir die Avantgarde, wir, die Hacker, die Nerds, die Netzaktivisten, die Piraten?

Zurzeit gehen Menschen auf die Straße, die sich Querdenker nennen und für besonders klug halten, die hinter jeder Gesichtsmaske den autoritären Staat lauern sehen, Politikern die Kompetenz absprechen, Verschwörungstheorien nicht besonders kritisch gegenüberstehen und die Bill Gates für eine Inkarnation des Satans halten. Woher haben sie das nur? Ist das Internet schuld mit seinen kommerziellen Plattformen, werden sie von fiesen Nazis aufgehetzt oder sind sie einfach blöd?

Einige ihrer Methoden könnten sie von uns haben. Von uns, die wir uns als Nerds immer für etwas schlauer als alle anderen halten, ganz besonders als alle Politiker. Uns, die wir mehr zu durchschauen glauben als andere, gerne auch mal in Form einer kleinen Verschwörungstheorie. Uns, die wir als digitalcouragierte Aktivisten hinter jeder Videokamera, jedem Polizeigesetz und jeder Urheberrechtsreform den autoritären Staat lauern sehen und unter dem Motto „Freiheit statt Angst“ gegen neue Einsatzmittel der Exekutive protestieren als stünden Recht und Demokratie kurz vor der Abschaffung. Uns, die bei jedem Datenschutzproblem und jedem staatlichen Digitalprojekt gleich von Grundrechten reden. Uns, die wir als Digitalveganer Sicherheitsmaßnahmen empfehlen als seien Geheimdienste hinter jedem Einzelnen persönlich her. Uns, die wir Microsoft und Bill Gates schon seit Jahrzehnten doof finden und uns lieber mit Linux quälen, Hauptsache anders. Von uns, die wir eines Tages dem Größenwahn verfielen und eine inzwischen beinahe wieder verschwundene Partei gründeten, um in der ganz großen Politik mitzumischen.

Querdenker wollen wir sein, Freiheitskämpfer, Topchecker und so wichtig, dass man uns verfolgt. Zu unserer Selbstbestätigung haben wir eine reichhaltige rhetorische Folklore geschaffen und gepflegt, aber selten hinterfragt. Nun schallt uns ein Echo dieser Folklore von der Straße entgegen, doch sind es nicht wir, die dort stehen, sondern andere, mit seltsamen Ideen und fragwürdigen Zielen. Wir selbst sind stolz darauf, für den Fall der Fälle keine Datenspuren zu hinterlassen, doch haben wir kollektiv ein Waffenarsenal der Öffentlichkeitsarbeit entwickelt und getreu dem Open-Source-Gedanken allen zur Verfügung gestellt. In dessen Mittelpunkt steht die Selbstinszenierung als Freiheitskämpfer, obwohl viele von uns nie etwas anderes erlebt haben als einen demokratischen Rechtsstaat und selbst die DDR zu den gemäßigten Vertretern der weniger demokratischen Staaten zählte, was sich nicht zuletzt in der Gewaltlosigkeit ihres Ablebens äußerte. Nun beobachten wir entsetzt, wie sich andere unseres Arsenals bedienen und ihrerseits ohne sachliche Grundlage Freiheitskämpfer spielen.

 

PS (2020-05-19): Stefan Laurin von den Ruhrbaronen ordnet die Proteste in den größeren Kontext unserer seit einem halben Jahrhundert sehr skeptischen Sicht auf Technik insgesamt ein: Hygiene-Demos: Querfront gegen den Westen, Technik und Aufklärung. Das ist in etwa dieselbe Perspektive, aus der ich Macken und Meme des Datenschutzes zu erklären versuche.

PS (2020-05-24): Der Deutschlandfunk liefert noch ein passendes Foto. Darauf zu sehen ist ein Demonstrant, der ein Schild mit der Aufschrift „COVID-1984“ trägt. Unterdessen redet Fefe gleich von „anhaltsloser Massenüberwachung“, nur weil Lieblingsfeind Wolfgang „Stasi 2.0“ Schäuble das Elend um die Corona-App kritisiert.

PS (2020-05-29): Die Guten unter den Verschwörungstheoretikern sind wieder ganz in ihrem Element: „Amazon greift nach Grundrechten“, zitiert die Taz einen Aktivisten, der den Cloudkonzern Amazon aus Berlin herausmobben möchte.

Auch in der automatischen Kontaktverfolgung per Smartphone-App traut sich Großbritannien, einen eigenen Weg zu gehen. Dort beginnt gerade der Testbetrieb einer Corona-App, der eine zentrale Datenverarbeitung zugrunde liegt. Die Briten verfolgen damit in jeder Hinsicht das Gegenteil des deutschen Ansatzes: Während dort eine zentrale Lösung weitgehend einsatzreif ist, hat man hier gerade dezentral von vorne angefangen, nachdem das bereits laufende Projekt PEPP-PT mit seiner Entscheidung gegen eine streng dezentralisierte Lösung politisch in Ungnade gefallen war. Die hierzulande mitschwingenden paneuropäischen Großmachtphantasien fanden auf der Insel naturgemäß ohnehin keinen Raum.

Die Gretchenfrage: „Zentral oder dezentral?“ entstand als Artefakt einer öffentlichen Debatte, weil sie zu Positionierungen einlud, ohne Sachkenntnis zu verlangen. Den Anschein überragender Bedeutung erlangte sie zum einen durch die im Nachhinein ungeschickt wirkende Ankündigung von PEPP-PT, den technischen Datenschutz in den Mittelpunkt zu rücken, zum anderen durch das eigennützige Handeln einiger Beteiligter. Während PEPP-PT im Laufe seiner Entwicklungsarbeit offenbar das Problem und den Lösungsraum besser verstand und sich vom dezentralen Extrem verabschiedete, spitzten dreihundert Professoren die ohnehin zu enge Fokussierung auf technischen Datenschutz noch zu. Als ginge es darum, unter idealisierten Voraussetzungen zwischen zwei einander widersprechenden Hypothesen die richtigere auszuwählen, konstruierten sie ein Entweder-Oder zwischen zentral und dezentral und gaben sogleich ohne Experiment die Antwort, selbstverständlich müsse es dezentral sein. Unterdessen sprangen Apple und Google auf den bereits abfahrenden Zug auf und präsentieren sich seither so geschickt als Retter der Privatsphäre, dass sogar Margrethe Vestager darauf hereinfällt und galant darüber hinwegsieht, wie das Duopol seine Plattform-Macht ausspielt.

Welche Erfolgsaussichten die Kontaktverfolgung per Smartphone und Bluetooth insgesamt hat, bleibt unabhängig von der technischen Architektur vorerst unklar. Setzt man diese Idee jedoch um, und sei es nur als Experiment, sollte man sich dabei um die bestmögliche Lösung bemühen. Was eine Lösung gut oder weniger gut macht, bestimmt dabei nicht ein zentrales technisches Detail, sondern der reale Nutzen im Anwendungskontext.

Für zentrale Elemente wie in Großbritannien spricht einiges. Erstens ist eine komplett dezentrale Architektur ohnehin nicht realistisch. Zum einen braucht man selbst bei Datenspeicherung auf den Endgeräten irgendeine zentrale Instanz zur Nachrichtenverteilung und Koordination, wenn man zugleich jede Datensammlung anonym halten und nicht Adressen wie zum Beispiel Telefonnummer für die spätere Benachrichtigung speichern möchte. Zum anderen gehören zu den verwendeten Plattformen unvermeidlich zentrale Instanzen wie Appstores und Telemetrie. Ausgehend von einem Aluhut-Bedrohungsmodell können sich Nutzerinnen und Nutzer in solch einer Umgebung sowieso auf keine Eigenschaft einer App verlassen, denn jederzeit könnte eine neue Version automatisch installiert werden, die alles ganz anders macht.

Zweitens gehören Feedbackmechanismen heute zum Stand der Technik. Seit Software nicht mehr auf Datenträgern in Pappschachteln, sondern online vertrieben und auf vernetzten Geräten benutzt wird, haben Entwickler die Möglichkeit, Telemetriedaten aus der Software selbst sowie Nutzerfeedback unmittelbar zu erhalten und auszuwerten. Das erleichtert und beschleunigt die Fehleerkennung und -behebung sowie die Weiterentwicklung enorm und erlaubt sogar interaktive Experimente mit realen Benutzerinnen und Benutzern. Beim Einsatz einer noch wenig getesteten Technologie sind Feedbackmechanismen besonders wichtig, denn sehr wahrscheinlich erlebt man Überraschungen und muss unerwartete Probleme lösen. Eine letztlich experimentelle App im Zuge der Pandemiebekämpfung einfach herauszugeben und dann sich selbst zu überlassen, wäre grob fahrlässig, zumal über das neue Coronavirus noch zu wenig bekannt ist.

Drittens kollidieren Anforderungen aus dem Anwendungskontext mit extremistischen Datenschutzkonzepten. Die Kontaktverfolgung ist kein belang- und folgenloses Smartphonespiel wie Pokémon Go, sondern sie soll reale Konsequenzen haben. Beim herkömmlichen Vorgehen gehören zu diesen Konsequenzen Quarantäneanordnungen der Gesundheitsämter. Solche Anordnungen benötigen einen Adressaten und im Rechtsstaat müssen sie auch begründet sein, um ggf. einer gerichtlichen Prüfung standzuhalten. Im Sozialstaat ist darüber hinaus geregelt, wer welchen Teil der Lasten trägt und wie beispielsweise eine quarantänebedingte Arbeitsunfähigkeit abgefedert wird. Die Verfechter eines dezentral-anonymen Ansatzes haben bis heute keine Vorschläge unterbreitet, wie das eine oder das andere funktionieren soll. Weder können die Gesundheitsämter damit irgend etwas durchsetzen, noch erhalten Betroffene eine ausreichende Begründung oder gar eine Bescheinigung zur Vorlage bei Vertragspartnern und öffentlichen Stellen.

Viertens drängen sich Nebenfunktionen einer für den Masseneinsatz bestimmten App geradezu auf. Eine offensichtliche ist die Erfassung statistischer Daten, um den Gesundheitsbehörden ein klareres Bild des Pandemieverlaufs zu vermitteln. Dazu muss man doch wieder Daten an eine zentrale Stelle übermitteln und es kann gut sein, dass sich dann aus einem integrierten Ansatz schnell Synergieeffekte ergeben.

In Großbritannien hat man sich offenbar mit den Anforderungen der Anwendung auseinandergesetzt, während Deutschland kontextarm über Technik stritt. Dort möchte man zum Beispiel besonders gute Virenverteiler anonym ausfindig machen und darauf Risikoeinschätzungen stützen. Ob das funktionieren kann, wird sich zeigen; um eine an der Oberfläche nicht offensichtliche Idee handelt es sich allemal. Ein zentralerer Ansatz ist auch nicht automatisch ein Zeichen für Nachlässigkeit oder Primitivität der Implementierung, er kann für alle realistischen Belange einen gleichermaßen effektiven Datenschutz gewähren. Nur eines haben die Briten ebenso versäumt wie die Bundesregierung: die entwickelte Technik rechtlich und organisatorisch mit vertrauensbildenden Maßnahmen zu flankieren. Ich wünsche ihnen dennoch viel Erfolg. Schneller fertig werden sie schon mal, wie auch einige andere Länder, die dem dezentralen Extremismus eine Absage erteilten.

Fabian A. Scherschel sieht im Solutionismus der Technokraten keine Lösung unserer COVID-19-Probleme, sondern die Gefahr eines alptraumhaften Dauerzustands.

Dass die Debatte um eine Corona-App zur Kontaktverfolgung entgleist ist, wird niemandem entgangen sein. Los ging es, als von einer App noch gar nicht die Rede war, mit dem Vorschlag, „irgendwas mit Händiortung zu machen“ und einer vorsorglichen Erlaubnis, die es dann doch nicht ins IfSG schaffte. Kurz darauf traten DP-3T und PEPP-PT auf den Plan, setzten den Fokus auf das Nebenthema Datenschutz unter Meidung einer sauberen Anforderungsanalyse und zerstritten sich über der Frage, welche Funktionen zentral und welche dezentral ablaufen sollten. Während dieser Streit weite Kreise zog, widmete die Öffentlichkeit den grundlegenden Problemen des Vorhabens und der lückenhaften Entwurfsarbeit wenig Aufmerksamkeit. Ein vorläufiges Ende setzte dieser wenig produktiven Diskussion die Bundesregierung mit ihrer Entscheidung, von SAP und der Telekom eine App auf der Grundlage von Gapples angekündigter Lösungsplattform entwickeln zu lassen, und sich schwierigeren Themen wie dem Immunitätspass zuzuwenden.

In einem Kommentar auf FAZ.NET macht Morten Freidel nun alleine „die Hacker“ für die Debatte und ihr Ergebnis verantwortlich. So sehr ich seinen Eindruck teile, dass organisierte Nerds etwa in Gestalt des CCC Expertentum und Aktivismus vermischen, ihr Auftreten in dieser Debatte keine Glanzleistung darstellt und ihre ewiggleichen Forderungen und Mahnungen manchmal mehr schaden als nützen, muss ich die Nerdaktivisten doch gegen den Vorwurf in Schutz nehmen, sie trügen die Hauptschuld am kommunikativen Desaster um die Corona-App.

Versagt hat zuerst die Bundesregierung. Sie hätte sich rechtzeitig Gedanken machen und einen Plan vorlegen sollen, ob und wie digitale Lösungen die Seuchenbekämpfung unterstützen sollen. Immerhin sitzt im Kanzleramt eine Staatsministerin für Digitalisierung, die jedoch wenig von sich hören lässt, seit Millionen Deutsche in ihren Heimbüros auf das Internet angewiesen sind. Stattdessen trieb die Öffentlichkeitsarbeit des PEPP-Konsortiums eine Zeitlang neben den Aktivisten auch die Bundesregierung vor sich her. Politisches Geschick zeigte die Regierung erst, als sie PEPP-PT seinen einzigen Claim vom Vertrauen durch technischen Datenschutz aus der Hand riss, gegen die Freischärler wandte und nebenbei noch die Entscheidung für Gapple und gegen eine eigene technische Basis ohne jeden Widerspruch durchsetzte.

Dass vorher aus PEPP-PT heraus ein Richtungsstreit „zentral vs. dezentral“ eskaliert war, ist ebenfalls nicht zuerst Nerdaktivisten anzulasten. Dieser Streit geriet in die Öffentlichkeit, als dreihundert Wissenschaftler in einem offenen Brief Partei ergriffen für eine forschungsnahe Technologieentwicklung („dezentral“) und gegen einen undogmatischen, zielorientierten Entwicklungsprozess*. Zu welchen Anteilen dieser offene Brief durch ehrliche Bedenken, auf die Gruppendynamik eines stabilen Beziehungsnetzes oder auf gekränkten Narzissmus zurückgeht, wissen nur die Akteure. Festzuhalten bleibt: 300 Wissenschaftler haben mit ihrer lautstarken Äußerung die falsche Dichotomie „zentral vs. dezentral“ gestärkt, offensichtliche Schwächen in der Anforderungsanalyse und im Entwurfsprozess hingegen übersehen und sich dann einen schlanken Fuß gemacht.

Einen schlanken Fuß macht sich auch die Bundesregierung, was gesetzliche Regelungen für die Kontaktverfolgung angeht. Kein Vorschlag liegt auf dem Tisch und man hat wohl auch nicht vor, dieses Thema in Zukunft zu regeln. Dabei hätte ein vertrauensbildender Regelungsvorschlag als Gegenpol zur technikfixierten PR von PEPP-PT einen weit konstruktiveren Beitrag zur Debatte geleistet als die letztendliche Richtungsentscheidung um ein technisches Detail.

Auf den engen datenschutztechnischen Fokus der Debatte eingestiegen zu sein und keine Ausweitung auf eine Gesamtsicht gefordert zu haben, mag man vielen Nerds vorwerfen. Historisch gesehen hat die Hacker- und Nerdaktivistenszene gewiss auch einen Anteil daran, dass Datenschutz inzwischen wichtiger scheint als Konzept und Funktion eines Systems. Die Verantwortung für das Scheitern der Corona-App-Debatte jedoch liegt primär bei anderen, bei PEPP-PT, bei der Bundesregierung und bei den eingeschnappten Professoren.

*) Ich spekuliere, da ich PEPP-PT nur aus den Nachrichten kenne. Auf mich wirkte es jedoch so, als habe man dort entwickelt und dabei gelernt; ich sehe gute Gründe, auf „dezentralen“ Extremismus zu verzichten.

The P vs. NP conjecture in complexity theory is one of the most prominent open problems in mathematics and computer science. There are many reasons for this. It is reasonably easy to get an intuitive …

Die Bundesregierung will die rechtliche Basis für einen digitalen Immunitätsausweis schaffen. Ulrich Kelber warnt vor einer Diskriminierungswelle.

A lot of super rich people are currently busy blowing their money into space. Who are these people, and what drives them?

Space Barons, Christian Davenport, 10.99 Eur (Kindle)

In Space Barons, Christian Davenport goes through the rather short list of super rich men who are trying to get private spacecraft flying, tells their history, successes and failures, and their motivations - or, in some cases, the story of the death of their dreams and how they drop out of the second, private space race.

We follow Richard Branson and Paul Allen, but specifically we follow Elon Musk and the vastly underreported Jeff Bezos and his Blue Origin Spaceship company. It becomes clear that Musk, being a mental 16-year-old with a billionaires wallet, wants to leave Earth to go down another hard to leave gravity well, while Bezos wants to go to space, mostly to get access to even more resources and to stay there.

And exactly this is being told once more by Daniel Suarez in

Delta-V, Daniel Suarez, 9.55 Eur (Kindle)

“Delta-V”. The characters in this book are the same as in Space Barons, with the serial numbers barely filed off, and while fictional, they act true to the character of their real-world counterparts.

Delta-V is one of the less fictional Science Fiction books of Suarez, and contains a lot less conspiracy as well. That makes much better characterisation and more entertaining storytelling. Having read “Space Barons” just before makes it even better, because it becomes possible to map one set of actors straight onto the other.

The action: The fictional version of not-quite Jeff Bezos wants to exploit the resources of the Asteroid Ryugu, and for this purpose builds a ship that will operate as a factory out there, and send mining products back to earth on a slow low-energy trajectory. For this purpose, an ex-cave-diver is being recruited to train as an asteroid miner, build a crew and lead the expedition. Turns out they were never supposed to return - but in the end make use of they stuff they have and the stuff they can mine and manage a happy end.

An der auf automatische Kontaktverfolgung und Datenschutz verengten Debatte um eine Corona-App kann man die Kunst, Recht zu behalten studieren. Datenschutzaktivisten gehen mit Axiomen und Finten in die Diskussion, die, so man sie akzeptiert, vernünftigen Argumenten kaum eine Chance lassen.

Datenschutzaktivisten unterstellen, jede Verarbeitung personenbezogener Daten gerate gewissermaßen von selbst außer Kontrolle. Es gebe eine „Datensammelwut“ und jede Datenverarbeitung wecke unweigerlich „Begehrlichkeiten“, denen man dann hilflos ausgeliefert sei. Aus diesen Gründen müsse man rechtzeitig vor allem über den Datenschutz sprechen und über nichts anderes.

Genau dies ist im Fall der Corona-App geschehen: Datenschutz galt der öffentlichen Debatte als sehr wichtig, während konzeptionelle Fragen und Anforderungen keine Rolle spielten. Der Ansatz der automatischen Kontaktverfolgung wurde als einzig möglicher und deshalb als gegeben angenommen. Mit den Stakeholdern, insbesondere den Gesundheitsdiensten sowie den Bürgerinnen und Bürgern, redete niemand.

Vernachlässigte Stakeholder melden sich jedoch häufig von selbst und machen ihre Bedürfnisse geltend. So auch hier, wo die Landkreise für ihre Gesundheitsbehörden anstelle der diskutierten Datenschutztechnik den Zugang zu und die Verarbeitung von Identitätsinformationen forderten. Diese Forderung ist ohne weiteres nachvollziehbar, wenn man sich mit der Arbeit der Gesundheitsämter im Zusammenhang mit einer meldepflichtigen Infektion beschäftigt.

Für Datenschutzaktivisten jedoch stellt die unaufgeforderte und verzögerte Äußerung unerwarteter Bedürfnisse genau das dar, wovor sie die ganze Zeit schon gewarnt haben: Begehrlichkeiten, Datensammelwut, Maßlosigkeit, die schiefe Bahn. Wahrscheinlich ist ihnen nicht einmal bewusst, dass sie damit alle und auch sich selbst hereinlegen und einer tautologischen Selbstbestätigung aufsitzen.

Auch um diesen Irrtum zu vermeiden, sollten Debatten stets beim Problem und den Anforderungen an technische Lösungen oder Lösungsunterstützung beginnen und nie bei der Datenschutztechnik.

Statt eines eigenen Kommentars heute einige Links zum Thema Kontaktverfolgung und Corona-App, die sich in der vergangenen Woche angesammelt haben:

• Das ZDF beschäftigt sich in eine halbstündigen Beitrag mit dem Chaos um die Corona-Apps.
• Unterdessen gibt es für Tracing-App-Projekt der Bundesregierung noch keinen Vertrag und keine Kostenschätzung und niemand hat die Absicht, eine besondere Rechtsgrundlage zu erri-, äh, schaffen. Die Software soll jedoch auf jeden Fall Open Source sein.
• Das Forum Privatheit betreibt seit einigen Wochen ein Blog zum Thema Corona-Tracing mit dem Anspruch, Orientierungswissen bereitzustellen.
• Ein Beitrag von tante im Magazin Model View Culture beleuchtet die Denkweise hinter den übersteigerten Erwartungen an eine Corona-App.
• Bruce Schneier findet die Idee einer automatischen Kontaktverfolgung anstelle des bisherigen Verfahrens durch die Gesundheitsbehörden „just plain dumb“, auf Deutsch: völlig bescheuert.
• Matt Burgess ist ebenfalls nicht von den Segnungen der automatischen Kontaktverfolgung überzeugt und legt in Wired dar, warum die Nachteile größer sein könnten als der Nutzen.
• Auch Ashkan Soltani, Ryan Calo und Carl Bergstrom halten Apps zur Kontaktverfolgung nicht für eine effektive Lösung des Problems Covid-19.
• Patrick Howell O’Neill postuliert in MIT Technology Review fünf Erfolgsvoraussetzungen für die Kontaktverfolgung. Nummer eins: hunderttausend Menschen (für die USA) als Kontaktverfolger einstellen.
• Ebenso halten Margaret Bourdeaux, Mary L. Gray, Barbara Grosz es für sinnvoller, menschliche Kontaktverfolger mit besseren Werkzeugen zu unterstützen.
• Der britische NHS hat sich gegen die Plattform von Apple und Google und für einen zentralen Ansatz. Dieser erleichtere die risikoorientierte Benachrichtigung, die Anpassung der App an neue Erkenntnisse sowie die Begutachtung der Lösung.

Das sollte fürs Wochenende genügen.

Wie sehr sich das digitalpolitische Berlin mit seiner Debatteninszenierung um eine „zentrale“ oder „dezentrale“ App zur Kontaktverfolgung blamiert hat, macht eine existierende Lösung deutlich:

Das Surveillance Outbreak Response Management & Analysis System (SORMAS) aus dem Helmholtz‐Zentrum für Infektionsforschung (HZI) unterstützt Gesundheitsdienste beim Kontaktpersonen- und Fallmanagement. Es ist ausgelegt auf die Nutzung mit mobilen Geräten auch in Ländern mit schwacher Infrastruktur, das heißt vielen Funklöchern.

SORMAS hat mehr als fünf Jahre Entwicklungsarbeit und Einsatzerfahrung hinter sich. Die Lösung wurde unter anderem in der Bekämpfung von Ebola-Ausbrücken erfolgreich eingesetzt und ist mittlerweile in mehreren afrikanischen Ländern dauerhaft im Einsatz.

SORMAS steht bereits seit Anfang März auch in einer eingedeutschten und an Covid-19 angepassten Version zur Verfügung. Die Open-Source-Software kann von allen Gesundheitsdiensten kostenfrei genutzt werden.

Keiner der Spezialexperten, die sich in den vergangenen Wochen die automatisierte Kontaktverfolgung zum Thema der Stunde erklärt und sich zum Randaspekt Datenschutz öffentlich einen runtergeholt haben, hat SORMAS je erwähnt. Ich schließe mich da ein, ich hatte es auch nicht auf dem Radar und bin erst heute in einer LinkedIn-Diskussion darauf gestoßen.

---

PS: In Berlin wird SORMAS seit einigen Tagen eingesetzt.

Seit Mitternacht schweigen nun an einer Front die Waffen: Die Bundesregierung kapituliert bedingungslos vor dem Aufschrei einiger Datenschutztechnikexperten und entscheidet sich für eine dezentrale Architektur zur Kontaktverfolgung. Nur dies schaffe das nötige Vertrauen, lässt sich Kanzleramtsminister Braun zitieren. Inwieweit sich damit die Anforderungen der Praxis erfüllen lassen, bleibt unterdessen unklar, denn mit solchen Fragen hat sich offenbar niemand beschäftigt. Die Regierung hat sich in Sachen Digitalisierung wieder einmal aufs Glatteis führen lassen. Das Projekt Corona-App wird voraussichtlich die Misserfolgsgeschichten der Gesundheitstelematik, des elektronischen Personalausweises und der Blockchain-Strategie fortsetzen. Das liegt nicht an der Technik, sondern an mangelnder Kompetenz in der Technikgestaltung.

Begonnen hatte alles vor einigen Wochen mit den öffentlichen Auftritten von DP-3T und PEPP-PT, anfangs noch in einer Allianz und scheinbar am gleichen Strang ziehend. Damit begann eine von Anfang an verzerrte Debatte über „die Corona-App“. Zum einen stand unvermittelt ein spezifischer Ansatz im Raum, nämlich die automatisierte Kontaktverfolgung und Benachrichtigung von Kontaktpersonen. Sinnhaftigkeit, Erfolgsaussichten und Erfolgsbedingungen dieses Ansatzes sowie andere Wege der digitalen Seuchenbekämpfung wurden kaum diskutiert; alle wollten an unsere wundersame Rettung durch Technomagie glauben. Nur ein Kritikpunkt ließ sich nicht umschiffen: Die automatisierte Kontaktverfolgung würde nur funktionieren, wenn fast alle mitmachten. Ausgerechnet Datenschützer mit ihrem Faible für Selbstbestimmung wiesen früh darauf hin, dass dies bei freiwilliger Nutzung unrealistisch sei, ohne deswegen freilich einen Zwang zu fordern. Ein kleinerer Zweig der Debatte dreht sich daher um die Frage der Freiwilligkeit.

Den Schwerpunkt hingegen setzte PEPP-PT selbst: In Voraussicht auf typisch deutsche Technikkritik und den Hang einiger Akteure, die Verarbeitung personenbezogener Daten für eine Risikotechnologie mit nuklearem Gefahrenpotenzial zu erklären, rückte man statt des Anwendungsentwurfs den technischen Datenschutz in den Mittelpunkt seiner Selbstdarstellung. Wie und wie gut der eigene Ansatz funktionieren würde, wusste man bestenfalls ungefähr, was ist in frühen Phasen der Entwicklung auch völlig normal und unvermeidlich ist. Jedoch werde die eigene Lösung auf jeden Fall perfekte technische Datenschutzvorkehrungen umfassen, denn nur so sei bei den Bürgerinnen und Bürgern das nötige Vertrauen zu gewinnen. Dass Kanzleramtsminister Braun dem Projekt PEPP-PT später mit genau diesen Worten den Todesstoß versetzen würde, war da noch nicht absehbar – dass jemand auf dem Holzweg war, hingegen schon. Im weiteren Verlauf der Entwicklungsarbeit, die immer auch ein Lernprozess ist, musste man sich anscheinend von diesem anfänglichen Extremismus verabschieden, auch dies nicht ungewöhnlich.

Unterwegs gingen zwei Dinge schief. Erstens hatte man sich den Weg zu einer offenen Anforderungsanalyse verbaut, denn alles musste sich nun dem Datenschutz-Ideal unterordnen. Mit den Gesundheitsämtern vor Ort zum Beispiel redete – anders die Entwickler von TraceTogether in Singapur oder vermutlich auch jene der südkoreanischen Lösung – anscheinend niemand und so macht der Deutsche Landkreistag seine Vorstellungen in einem Brief an den Gesundheitsminister und das Kanzleramt geltend (paywalled).  Statt einem Weg, anonyme und folgenlose Nachrichten in den Cyberspace zu rufen, hätte man dort gerne Namen und Orte. Ob das es am Ende so umgesetzt werden sollte, sei dahingestellt; auf jeden Fall stecken hinter solchen Forderungen Bedürfnisse, die ein Entwicklungsprojekt erfassen und berücksichtigen muss. Vermutlich hat PEPP-PT so etwas sogar versucht oder einfach unterwegs das Problem besser verstanden, doch von dem öffentlich eingeschlagenen Pflock „perfekter technischer Datenschutz“ kam man nicht mehr los.

Zweitens verselbständigte sich die Datenschutzdiskussion und wandelte sich schnell zu einer Glaubensfrage. Zwar lagen zumindest der Öffentlichkeit weiter nur vage Ideen einer App zur Kontaktverfolgung vor, die irgendwo vom Himmel gefallen waren, doch statt über grundlegende konzeptionelle Fragen zu reden, positionierten sich alsbald allerlei Personen und Einrichtungen in einem der Lager „zentral“ oder „dezentral“. Teils handelte es sich um ehrliche, aber überfokussierte Eiferer wie den CCC, teils waren wohl auch handfeste Interessen im Spiel wie bei den Professoren, die sich nach der Abkehr vom Forschungsprototypen DP-3T ihrer Bedeutung beraubt sahen. Obendrein mischten sich auch noch Google und Apple, trotz interessanter technischer Ansätze als Plattformanbieter Inbegriffe der Zentralisierung, mit eigenen Angeboten ein und weckten teils Vertrauen in ihre Fähigkeiten, teils aber auch antiamerikanische Instinkte.

Schnell schoss sich die Szene medienöffentlich auf die Forderung nach einem dezentralen Ansatz ein,  während dagegen sprechende Anforderungen nur langsam zu Tage treten. Unterdessen hielt die Bundesregierung ihre Füße still und ließ der Debatte freien Lauf, ohne selbst etwas beizutragen. Sie zweifelte nie an der unbelegten These von der Vertrauen durch Datenschutztechnik und verzichtet bis heute darauf, öffentlich die rechtlichen und organisatorischen Rahmenbedingungen für den Einsatz einer Corona-App zu klären. Dabei ist die kritiklos übernommenen Ursprungsidee nicht einmal plausibel, denn zum einen versteht kaum jemand die technischen Details, zum anderen zeigen die (wahrscheinlich zu Recht) ungehört verhallenden Mahnungen der Datenschützer vor massenhaft genutzten Diensten wie Google, Facebook, WhatsApp oder aktuell Zoom, dass Vertrauen gerade nicht durch den Segen von Datenschützern und Aktivisten entsteht.

Statt das Ihre zur Vertrauensbildung zu tun, ergibt sich die Bundesregierung nun einer überschaubaren öffentlichen Erregung und schließt sich der Forderung nach (scheinbar) perfektem Datenschutz an, während eine Debatte über Anforderungen und Anwendungsentwürfe weiter unterbleibt. Damit tritt das Projekt Corona-App in die Fußstapfen wenig erfolgreicher Vorgänger. Die Gesundheitstelematik – ihr Konzept inzwischen so altbacken wie die Bezeichnung – sollte das Gesundheitswesen vernetzen und dabei Gesundheitsdaten perfekt kryptografisch vor unbefugtem Zugriff schützen. Nach fünfzehn Jahren Entwicklungszeit ist kaum mehr herausgekommen als ein VPN sowie ein Stammdatendienst. Wenig später sollte der elektronische Personalausweis allen Bürgerinnen und Bürgern einen Identitätsnachweis fürs Internet verschaffen. Seine Datenschutzmechanismen sind nahezu perfekt, doch da man Anwenderbedürfnisse ignoriert und das Konzept über die vergangenen zehn Jahre auch kaum weiterentwickelt hat, benutzt fast niemand die eID-Funktion. Bei der Blockchain schließlich ging es zwar nicht um Datenschutz doch auch hier stand eine Technik im Mittelpunkt, von der man Wunderbares erwartete. Diesen Glauben ließ man sich in Berlin nicht von geringer Plausibilität der Anwendungsideen erschüttern. Darüber hinaus brachten die Blockchain-Evangelisten das Schlagwort „dezentral“ ins Spiel und verkauften es unbegründet als Qualitätsmerkmal. Sollte hier die wahre Wurzel der Entscheidung liegen?

Am Beispiel der Corona-App zur Kontaktverfolgung zeigt Deutschland erneut, wie es an politisch belasteten Digitalprojekten scheitert. Mit Ruhm bekleckert hat sich keiner der Beteiligten. An entscheidenden Stellen mangelt es an Kompetenz, hinzu kommen Meme aus der EDV-Steinzeit, die sich niemand zu beerdigen traut. So wird das nichts. Dass es wieder etwas länger dauern wird, steht schon mal fest.

---

PS: Ich frage mich auch, ob eine Projektstruktur tragfähig ist, in der technische Entscheidungen nach politischer Wetterlage von Ministern getroffen werden, wobei der Gesundheitsminister hü sagt und das Kanzleramt wenig später hott. Ich frage mich außerdem, wieso die Gematik als Projektgesellschaft für die Digitalisierung des Gesundheitswesens in der ganzen Diskussion nicht einmal vorkommt. Eigentlich sollte sie prädestiniert sein, ein Vorhaben wie die Corona-App voranzutreiben und umzusetzen. Tatsächlich ist sie es wohl nicht.

PS (2020-04-28): Seit heute gibt es zumindest eine Projektstruktur, von deren Tragfähigkeit allerdings nicht alle restlos überzeugt sind.

Als Phantom ist „die“ Corona-App in aller Munde, nein, Medien. Sie inszeniert sich als Gegenstand eines Expertenstreits um die Frage, welche Architektur den technischen Datenschutz am besten gewährleiste, eine „zentrale“ oder eine „dezentrale“, und wer narzisstische Bestätigung sucht, schlägt sich öffentlich auf die eine oder die andere Seite. Dreihundert Informatikprofessoren zum Beispiel sehen sich ihrer Bedeutung beraubt, weil ihren Rat gerade niemand schätzt, und die Aktivistenclubs, die auch sonst zu jedem Thema die Hand heben, stehen ihnen in nichts nach.

Ihr Horizont bleibt eng und technisch, und so meiden sie neben der grundlegenden konzeptionellen Frage, was eine Corona-App überhaupt zu leisten hätte, sogar den rechtlichen und institutionellen Teil der Datenschutz-Debatte. Auf Ideen wie die einer spezifischen rechtlichen Regelung oder einer vertrauenswürdigen Institution zur Überwachung der außerordentlichen Datenverarbeitung aus besonderem Anlass kommen sie schon nicht mehr. Letztlich wollen nur sie bei einigen technischen Entscheidungen mitreden und führen dazu den Vorwand ins Feld, genau diese Entscheidungen seien essenziell für das Vertrauen der Nutzerinnen und Nutzer.

Mit App-Konzepten und Anwendungsszenarien aus anderen Ländern haben sich diese Diskursschauspieler offenbar so wenig auseinandergesetzt wie mit Institutionskonstrukten à la Stasi-Unterlagen-Behörde, mit einer umfassenden Anforderungsanalyse so wenig wie mit dem Verlauf von Entwurfs- und Entwicklungsprozessen. Sie zweifeln nicht am Projekt der automatisierten Kontaktverfolgung, das sie ohne Diskussion als einziges denkbares Funktionsprinzip einer Corona-App annehmen, sondern sie möchten diese Kontaktverfolgung in einigen willkürlich gewählten technischen Dimensionen perfektionieren. Erwägungen jenseits der Technik beschränken sich auf die Mahnung, „die“ App müsse auf jeden Fall nur freiwillig zu verwenden sein.

Über diese Debatteninszenierung haben wir ganz vergessen, grundlegende Fragen zu klären. Tatsächlich gibt es „die“ App gar nicht, sondern ganz verschiedene Zwecke und Konzepte des App-Einsatzes in der Seuchenbekämpfung. Eine Auswahl:

(1) Kontaktverfolgung – Smartphones als persönliche und häufig am Körper getragene Geräte erfassen Daten über das Verhalten ihrer Träger, mit denen sich im Fall einer Infektion Kontaktpersonen der oder des Infizierten leichter oder zuverlässiger ermitteln lassen. Sowohl die Datenerfassung als auch ihre spätere Verwendung kann man unterschiedlich gestalten. Daten können (1.a.I) automatisch erhoben oder wie in den ersten Versionen von Stopp Corona  (1.a.II) manuell erfasst werden. Ebenso lassen sich die aufgenommenen Daten (1.b.I) automatisch verwenden, um erfasste Kontaktpersonen über eine Infektion zu informieren, oder (1.b.II) menschlichen Kontaktverfolgern anbieten, um deren Arbeit zu unterstützen. Allein daraus ergeben sich vier Kombinationsmöglichkeiten; für welche man sich entscheidet, bestimmt die Erfolgsaussichten wie auch die Art der zu erhebenden Daten.

(2) Statistische Erhebungen – Die Smartphones der App-Nutzer und daran angeschlossene Geräte wie Fitness-Armbänder und Digitaluhren werden zu einem Netz verteilter Sensoren, dessen Daten ohne Personenbezug zu wissenschaftlichen und statistischen Zwecken ausgewertet werden. Die Corona-Datenspende-App des RKI setzt dieses Konzept um.

(3) Selbstdiagnose – Eine App oder Website fragt bei Infektionsverdacht Symptome und Risikofaktoren ab und gibt daraufhin Verhaltensempfehlungen, etwa den Rat, einen Arzt anzurufen oder ein Testzentrum aufzusuchen. Zusätzlich können die gewonnenen Daten analog zu (2) der Forschung und Statistik dienen. Die Nutzung kann (3.a) freiwillig und anonym erfolgen wie bei der Website Covid-Online (zurzeit in Überarbeitung) des Marburger Universitätsklinikums und der Philipps-Universität oder (3.b) verpflichtend im Rahmen einer flächendeckenden Früherkennung.

(4) Quarantäneüberwachung – Quarantänepflichtige Personen weisen ihren Aufenthalt regelmäßig mit Hilfe Smartphones nach. Dazu muss zum einen die Bewegung des Geräts überwacht werden, zum anderen die räumliche Nähe zwischen Gerät und Besitzer. Die digitale Quarantäneüberwachung lässt Schlupflöcher, erleichtert jedoch gegenüber anderen Formen der Überwachung – zum Beispiel häufigen Hausbesuchen – die Arbeit der Gesundheits- und Ordnungsbehörden. Nutzerinnen und Nutzer müssen kooperationsbereit sein.

(5) Digitale Seuchenpässe – Das Smartphone wird zum Speicher und Träger von Nachweisen, nach deren Kontrolle Privilegien gewährt werden können. Nachgewiesen werden kann einerseits (5.a) der (wahrscheinliche) Infektionsstatus, etwa durch die Zeitpunkte und Ergebnisse von Tests oder Selbstdiagnosen (siehe Nr. 3) und das Nichtbestehen einer Quarantäneanordnung. Diesem Ansatz folgt der chinesische Health Code. Andererseits ließe sich auch (5.b) der Immunstatus nach überstandener Infektion oder später nach einer Schutzimpfung auf diese Weise bescheinigen. Dies jedoch ist umstritten, einmal aus medizinischen Erwägungen, da die Frage der Immunität nach einer Infektion noch nicht ausreichend geklärt ist, aber auch praktischen und ethischen Gründen, da ein Immunitätspass ohne verfügbare Schutzimpfung einen Anreiz schaffen kann, sich absichtlich zu infizieren oder sich auf unlautere Weise einen falschen Nachweis zu verschaffen.

Das sind fünf verschiedene Anwendungen in insgesamt zehn Varianten und diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit. In fast allen Fällen muss man sich rechtzeitig Gedanken über Alternativen für Menschen ohne geeignetes Smartphone machen. Genuin technisch und die Besonderheiten der Plattform „Smartphone“ ausnutzend erscheinen (1), (2), und (4). Können wir jetzt endlich die Phantomdiskussion um eine zentrale oder dezentrale automatisierte Kontaktverfolgung beenden und debattieren, ob und wie wir die Bekämpfung des Coronavirus digital unterstützen möchten? Danke.

Die Coronavirusseuche verlangt nach klugem Risikomanagement. Darüber, wie ein solches aussehe, gibt es verschiedene Auffassungen. Die einen halten enge Beschränkungen des öffentlichen Lebens über längere Zeit für erforderlich und warnen vor schneller Rückkehr zur früheren Normalität. Die anderen verlangen, man müsse die Wirtschaft schnell normalisieren, um größere Schäden zu vermeiden, und dazu Gesundheitsrisiken in Kauf nehmen.

Beide Seiten argumentieren letztlich auf der Grundlage des Vorsorgeprinzips: Man wisse nicht genug, doch sei es besser, anhand der vorliegenden Informationen jetzt Entscheidungen zu treffen, als nicht zu tun, bis Klarheit herrsche. Beiden Seiten feht dieselbe Information, nämlich allerlei Details zum Virus, der davon ausgelösten Erkrankung und künftigen Behandlungsmöglichkeiten. Sie unterscheiden sich nur darin, wie sie Risiken priorisieren. Die einen schauen zuerst auf die Gesundheit und das Gesundheitssystem und wenden das Vorsorgeprinzip darauf an, die anderen legen den Fokus auf die Wirtschaft.

So unangenehm es sein mag, Gesundheit und Menschenleben in Geld umzurechnen, werden wir doch nicht umhinkommen, alle maßgeblichen Aspekte und Folgen der Pandemie wie ihrer Bekämpfung in einem umfassenden Risikomodell zu berücksichtigen und gegeneinander abzuwägen. Das Vorsorgeprinzip liefert keine magische Pille, die einen Ausweg aus der Ungewissheit eröffnet, sondern nur eine Maxime zum Umgang mit unvermeidlicher Ungewissheit.

Nach meinem Eindruck haben bislang die Virologen die Nase vorn, was belastbare Voraussagen angeht. Zwar ist vieles rund um das neue Coronavirus noch nicht geklärt, doch lässt sich die Ausbreitung des Virus anhand plausibler und auf langer Erfahrung beruhender Modelle gut voraussagen. Können Ökonomen ähnlich belastbar die künftige Entwicklung der Wirtschaft vorrechnen?

„Wo ist die Blockchain wenn man sie mal braucht?“, werden sich viele angesichts der Corona-Pandemie fragen, die nach neuen Ideen verlangt. War diese wunderbare Technologie nicht gerade dabei, alles, wirklich alles zu disruptieren, wo immer sie als Lösung ein passendes Problem fand? Wer, wenn nicht die Blökchain, böte sich als Krisengewinner an? Doch in den letzten Wochen hörte man wenig von der Blockchain. Sollte das Mem gut zwei Jahre nach seinem Höhepunkt seine letzten Träger verloren haben und sang- und klanglos verstorben sei?

Keine Sorge, die Blockchain lebt und tut, was sie schon immer am besten konnte: als schlechtes Beispiel dienen. Als Architekturmuster entstammt sie dem gescheiterten Versuch, einen nur minimal und rein technisch regulierten Finanzmarkt aufzubauen, der herkömmlichen Institutionen wie Aufsichtsbehörden, Justiz und Politik Widerstand entgegensetzt. Herausgekommen ist dabei wenig mehr als der Verkauf wertloser, weil in beliebiger Menge herstellbarer digitaler „Coins“ und „Token“. Um mehr als das ging es auch nie, sonst hätte man sich mit den realen Anforderungen an Bankdienstleistungen, Wertpapiere, Bezahlsysteme und so weiter auseinandergesetzt und plausible Lösungsansätze vorgelegt.

Stattdessen lieferte die Blockchain-Szene immer wieder äußerst grobe und meist offensichtlich undurchdachte Anwendungsideen und übertünchte die konzeptionellen Lücken mit überdetailliert erläuterten technischen Belanglosigkeiten. So entstand bis heute nicht mehr als Scheinlösungen für erkennbar falsch aufgefasste Probleme unter willkürlichen Annahmen.

Als hoffentlich nun wirklich letzte Runde in diesem Spiel wärmt ein Konsortium aus Bundesdruckerei, Lufthansa und anderen den Ansatz des technisch verbrämten magischen Denkens noch einmal auf und präsentiert die Idee eines digitalen Seuchenpasses „auf der Blockchain“. Dessen Inhaber sollen damit nachweisen können, dass sie regelmäßig zum Corona-Test gegangen sind und ihr letztes Ergebnis negativ war. Szenetypisch legt das Konsortium erst einmal ein dünnes Whitepaper vor.

Über so etwas kann man nachdenken. Dann muss man sich überlegen, wie so ein Seuchenpass verwendet werden soll und wie nicht, welche Information er vermitteln soll und welche nicht, wer ihn ausstellt und wer ihn bekommt, wie lange er gültig sein soll, was vom Besitz oder Nichtbesitz beziehungsweise den Eintragungen darin abhängt, wie man 80 Millionen Deutsche oder 500 Millionen EU-Bürger damit versorgt, wie man Fehler entdeckt und korrigiert, wie man den Seuchenpass und seinen Identitätsbezug kontrolliert und so weiter. Dabei müsste man auch entscheiden, ob die Idee überhaupt gut ist. Mit alldem hat sich das Blockchain-Seuchenpass-Konsortium jedoch offenbar nicht näher beschäftigt. Seine einzige Idee: Wenn man so einen Seuchenpass implementieren wollte, könnte man doch eine Blockchain-Architektur verwenden, warum auch immer.

Einen Eindruck von der Realitäts- und Anwendungsferne dieses Ansatzes vermitteln Nachrichten aus Spanien, die vor einigen Tagen erschienen. Dort hat man über einen serologischen Pass nachgedacht, der Immunisierten diese Eigenschaft bescheinigen könnte. Ansonsten geltende Einschränkungen könnten für Inhaber des Passes aufgehoben werden. Experten erteilten diesem Vorhaben jedoch eine Absage und begründen sie damit, dass so ein Pass Fehlanreize schaffe. Die mit seinem Besitz verbundenen Vorteile könnten Menschen dazu verleiten, sich mit Hoffnung auf einen leichten Verlauf der Erkrankung absichtlich anzustecken, um die Immunität und damit deren amtliche Bescheinigung zu erlangen. Zudem sei eine Diskriminierung anhand medizinischer Kriterien generell problematisch und Gesundheitsdaten seien daher aus gutem Grund vertraulich.

Man könnte noch eine Reihe weiterer Einwände vorbringen, beispielsweise die leichtere Kontrollierbarkeit allgemeiner Vorschriften beziehungsweise umgekehrt die weit aufwändigere Kontrolle individuell variierender Erlaubnisse und Verbote. Könnte man die fundamentalen Probleme lösen, stieße man sicher im Verlauf der Entwicklung auch auf die Frage, wie so ein Seuchenpass am besten zu repräsentieren sei. Um die zentrale Frage handelt es sich jedoch nicht. Im Gegenteil, man würde sich dann wahrscheinlich an existierenden Lösungen orientieren, zum Beispiel an den Online- und Digitaltickets der Bahn oder der Fluggesellschaften, die hervorragend funktionieren.

Das Blökchain-Konsortium redet hingegen lieber von Pseudonymisierung und bemerkt dabei nicht, dass es auf die gar nicht ankommt, wenn man Menschen einen persönlichen Nachweis zum Vorzeigen in die Hand drückt. Seriöse Lösungsentwicklung ist das nicht, sondern Bullshit-PR. Die beherrschen freilich auch andere. Vor wenigen Tagen machte sich erst PEPP-PT und in der Folge auch Apple und Google mit der Idee wichtig, eine App zur Kontaktverfolgung unters Volk zu bringen. Auch hier kümmerte man sich wenig um die soziotechnischen Anforderungen der Anwendung und fokussierte seine PR stattdessen auf einen Randbereich, nämlich den Claim perfekten technischen Datenschutzes. Dummerweise fragten dann doch einige, ob das denn überhaupt funktioniere und einen Sinn habe. Die Antworten stehen noch aus.

 

Ungewöhnlich leere Straßen, geschlossene Kinos und Geschäfte, Menschen mit Masken – wenn man nicht gerade in den Baumarkt geht, könnten das Stadtbild vielerorts dem Drehbuch von Todeszone entstammen, einer Dokufiktion, die sich 1991 die Folgen einer nuklearen Katastrophe im mittlerweile abgeschalteten Kernkraftwerk Biblis ausmalte. Radioaktive Strahlung gilt als unsichtbare Gefahr, denn wer ihre Wirkung spürt, ist längst dem Tode geweiht.

Die Gefahr durch das Corona-Virus erscheint noch weniger wahrnehmbar, wenngleich sie ebenso konkret besteht wie jene nach der Freisetzung von Radioaktivität. Wie Strahlung ist auch das Virus unsichtbar, doch nach einer nuklearen Katastrophe gibt es wenigstens eine rauchende Reaktorruine an einem bekannten Ort. Man kann diesen Ort auf der Landkarte suchen und anhand seiner Entfernung dazu und der Windrichtung die eigene Gefährdung abschätzen. Zudem lassen sich Strahlung und Exposition unmittelbar messen, man kann den Geigerzähler ticken hören und mit einem Dosimeter feststellen, welche Dosis man selbst abbekommen hat. Dabei wächst die Schwere der Folgen im Mittel mit der Dosis.

Die Corona-Pandemie hingegen ist für die meisten Menschen bis jetzt ausschließlich indirekt in Form von Medienberichten und Gegenmaßnahmen fassbar. Nicht nur ist das Virus unsichtbar, man sieht auch niemandem an, dass er es in sich trägt und einen anstecken könnte. Die individuelle Ansteckungsgefahr bleibt auch gering, solange nur ein kleiner Teil der Bevölkerung infiziert ist und diese Menschen konsequent vorübergehend isoliert werden. Ziel der Seuchenbekämpfung ist nicht, Menschen vor einer überall oder in bestimmten Regionen lauernden Gefahr in Sicherheit zu bringen, sondern die unsichtbare Gefahr selbst gering zu halten, denn sie ist nicht einfach da, sondern sie wächst mit jeder unkontrollierten Ansteckung.

Ich kann verstehen, dass man unter diesen Umständen nachlässig wird und Vorsichtsmaßnahmen vergisst. Hat jemand bessere Ideen als darauf mit Strafanzeigen zu reagieren?

Ich kann sogar nachvollziehen, dass jemand, der Politik und Wissenschaft nicht traut, an der Existenz der Pandemie zweifelt. Mangels eigenen Erlebens bleibt keine andere Wahl als sich auf Insitutionen und medial vermittelte Informationen zu verlassen. Hat jemand Ideen, wie sich das Problem auch für Zweifler plausibilisieren lässt, oder müssen wir einfach mit der Glaubensfreiheit leben?

Verständlich ist auch der Wunsch, die Seuchenbekämpfung so zu fokussieren, dass alle nicht unmittelbar Betroffenen schnell zur Normalität zurückkehren können. Gibt es dafür realistische Ansätze, die nicht auf fragwürdige Seuchenpässe oder gar auf das Wegsperren von Alten und Schwachen „zu ihrem eigenen Schutz“ hinauslaufen?

Privacy – or security or any other desirable, ethereal property – by design sounds like a great thing to do. Alas, design is complicated and hard to guide or control as a process. One common misunderstanding has become obvious in current efforts to develop and deploy contact tracing technology contributing to epidemic control. Some of these efforts such as DP^3T, TCN, or Apple’s & Google’s announcement promote privacy to the top of their list of objectives and requirements. This is wrong. It would be appropriate in an R&D project developing experimental technology, but contact tracing is an actual, real-world application and must fulfill real-world requirements. Premature optimization for technical privacy protection does not help its cause.

First and foremost, an application needs to support a basic set of use cases and provide the necessary functions in such a way that the overall approach makes sense as a solution of the given problem(s). For contact tracing, essential use cases include:

• contact identification,
• contact listing, and
• contact follow-up.

In addition, any large-scale application of contract tracing needs to support:

• safeguards against abuse, and
• monitoring and governance.

Each use case entails requirements. Contact identification must be sufficiently reliable and comprehensive; it must also take place quickly after an infection has been detected. Contact listing needs some form of risk assessment, a method to notify contacts, and a way to justify mandatory quarantine requests. Contact follow-up needs some idea how and when to interact with listed contacts. Underlying the whole design must be some conception of which contacts matter, what an identified contact implies, what to do with or require from identified contact persons, and what to achieve through contact tracing. There needs to be some definition of success and failure for the system and individual cases, and some monitoring of how well the system operates. One also has to think about possible abuses and misuses of the system such as evasion, manipulation, or exploitation, and find ways to prevent them or to deal with them when they occur.

Such questions are to be answered in the high-level design of a contact tracing system. They can and should be pondered at the level of paper prototypes, forcing developers to get specific but allowing quick modification and user testing. Technology has to be considered at this point primarily as a constraint: What is realistically possible or available and would the design be feasible to implement? However, some fundamental design decisions have to be made at this level after evaluating alternatives, for example, which parts of the system to automate and which ones to leave to humans, or which technologies, platforms, and devices to consider and use.

Like any design process, this high-level system design may take any number of iterations before converging toward something that might work when implemented. New questions will likely come up in the process. If, for example, the system is to leave tracing to humans, how much time can they spend per case, how many of them will be needed, how will they work, and which types of data and support would really help them?

Secondary requirements like performance or privacy can and should already be considered at this stage. Privacy by design means just that, to consider privacy protection as dimensions of the design spaces from the beginning on. However, privacy is a dependent design dimension and like all other requirements it is subject to trade-offs. Dependent means that any design decision can affect the privacy properties of a system. One cannot delegate privacy to a system component or function that would take care of it comprehensively regardless of the design of any other aspect of the system. Trade-offs occur when once has to choose between design alternatives; each option will likely have some advantages over the others but also some disadvantages, so that one has to compromise and keep a balance.

Misunderstanding privacy by design as privacy technology über alles, demonstrated by current proposals for privacy-preserving contact tracing, is a recipe for disaster. Starting with perfect technical privacy protection as the primary requirement constitutes a premature optimization that de-prioritizes all other requirements and design dimensions, delays important design decisions while arbitrarily constraining them without impact assessment, and prevents well-considered trade-offs from being made. The most likely result is a system that performs well at most in the privacy dimension, reflecting the priorities of its designers.

As a symptom, none of the proposals for privacy-preserving contact tracing has yet answered question like the following: How does it assure the reliability of the data it collects or produces? Which failure modes and error rates does it produce? How is the system to be monitored for problems and abuses? In which institutional framework is it designed to operate? How does it distribute responsibilities between involved parties? How are outputs of the system to be interpreted and used in the real world, which consequences should they have and which ones are not desirable? How can its operation become transparent for its users? Should participation be mandatory or voluntary and how can the design be optimized for either case? If participation is mandatory, how would this be enforced, how can the system be made universally accessible for everyone, and how may people evade it? If voluntary, which incentives does the system create and which features let users trust or distrust the system? Such questions need to be discussed and addressed long before the technical minutiae of data protection.

Placing technical privacy protection in the center of attention can make sense in a research project, where one develops new technology to evaluate its properties and capabilities. The stakes are low in such a project, where the results are prototypes and research papers. Developing a real-world system, especially one to be used at the intended scale of contact tracing apps, requires a broader perspective and comprehensive requirements analysis.

---

P.S. (2020-04-18): Government Digital Services of Singapore with their TraceTogether app apparently got their requirements analysis and design process right:

One thing that sets TraceTogether apart from most private efforts to build a Bluetooth contact tracer, is that we have been working closely with the public health authorities from day 1. (…) The team has shadowed actual real-life contact tracers in order to empathise with their challenges.

P.S. (2020-04-19): The closest to a requirements document I have seen so far is this: Mobile applications to support contact tracing in the EU’s fight against COVID-19,  Common EU Toolbox for Member States (via).

P.S. (2020-04-22): The Ada Lovelace Institute published a quick evidence review report titled: Exit through the App Store? A rapid evidence review on the technical considerations and societal implications of using technology to transition from the COVID-19 crisis, which makes a number of reasonable recommendations.

 

Unsere Datenschützer zeigen in der Krise, was sie können: Memetik, Bürokratie und Realitätsverlust. In der Tradition der 1970er/80er Jahre halten sie die elektronische Datenverarbeitung für eine Risikotechnologie vergleichbar der Kernkraft, die es mit allen Mitten einzudämmen gelte. Über die Jahre haben sich vorläufige Antworten auf einst berechtigte Fragen zu Memen verselbständigt, die man nur noch unreflektiert wiederkäut. Als Begründung des eigenen Treibens hat man sich in den ätherischen Wert unserer Rechte und Freiheiten verirrt, der alles und nichts begründen kann und jede Falsifikation zu Lasten der Datenschützer ausschließt, ihnen zugleich jedoch die Illusion vermittelt, stellvertretend für uns unsere Grundrechte wahrzunehmen.

Die aktuelle Corona-Pandemie stellt vieles auf den Kopf und lässt uns keine andere Wahl als unseren Digitalisierungsrückstand endlich zu verringern. Mehr Kartenzahlung, mehr Fernarbeit, mehr digitale Kommunikation und Kollaboration, Corona-Apps, Hackathons und vielleicht irgendwann sogar mehr E-Government – wir machen nach einer langen bleiernen Zeit gerade einen großen Sprung in Richtung Gegenwart. Nicht alles wird funktionieren wie erhofft oder versprochen, aber nach einem Vierteljahrhundert Internet für alle dürfen wir guten Gewissens überwiegend positive Auswirkungen erwarten.

Auch Datenschützer können dieser Entwicklung einiges abgewinnen, gibt sie ihnen doch – publish or perish – reichlich Gelegenheit, sich mahnend zu äußern. Davon machen sie effizient Gebrauch und wiederholen ihre ewiggleichen Meme, ohne sich um lästige Einzelheiten wie Kohärenz oder nachvollziehbare Begründungen zu kümmern.

So veröffentlicht etwa der Berliner Datenschutzbeauftragte eine mahnende Handreichung nebst Checkliste für die „Durchführung von Videokonferenzen während der Kontaktbeschränkungen“. Der Inhalt überzeugt nicht. Während seine Handreichung die Bedeutung einer verschlüsselten Übertragung herausstreicht, rät die Checkliste, das mit den Videokonferenzen am besten ganz zu lassen und möglichst zu telefonieren. Wie man jedoch verschlüsselt telefoniert, erklärt der Beauftragte nicht und wenn er es täte, lachten wir ihn aus, denn gemessen an Aufwand und Nutzen haben verschlüsselte Telefonate nur in Ausnahmefällen einen Sinn. Warum das bei einer Videokonferenz anders sei, erläutert er nicht und auch eine praktisch relevante Risikoreduktion durch die empfohlenen Maßnahmen kann er nicht belegen.

Überhaupt fehlt den Papieren eine plausible Risiko- und Bedrohungsanalyse und damit die Begründung. Stattdessen stecken alte Meme darin. Videokameras gelten den Datenschützern traditionell als verdächtig, wenn auch zuvörderst beim Einsatz zur Videoüberwachung. Später kam der Trend hinzu, Laptop-Kameras ostentativ zuzukleben – sinnlos, aber sichtbar und leicht nachzuahmen. Auch der digitale Veganismus – der Datenschutzbeauftragte rät, existierende Dienste zu meiden und besser selbst einen aufzusetzen – hat eine lange Tradition.

Wie sehr diese Meme und Phrasen in der Vergangenheit verhaftet sind, wird deutlich, wenn man sie mit dem Stand der Technik abgleicht. Wenig haben die Offiziellen etwa zum gemeinsamen Bearbeiten von Dokumenten zu sagen. Das ist zwar seit vielen Jahren Stand der Technik und mindestens so nützlich wie Videokonferenzen, bei den alten Männern mit Röhrenbildschirmen in den Datenschutzbüros jedoch noch nicht angekommen. Schließlich wollen sie Vorbild gemäß ihrem Weltbild sein und agieren im Umgang mit der IT daher so übervorsichtig, dass es einer Selbstblockade gleichkommt. Dasselbe empfehlen sie allen anderen.

Wo sich der IT-Einsatz nicht ganz verhindern lässt, versucht man ihn in Bürokratie zu ersticken. Dies demonstrierten vor einigen Tagen Datenschutz-Aktivistinnen im Namen des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF): Zur laufenden Diskussion um den Einsatz von Smartphone-Apps zur Kontaktverfolgung im Rahmen der Seuchenbekämpfung legten sie eine sage und schreibe hundertseitige Datenschutz-Folgenabschätzung vor – für ein Phantom, denn bisher liegt kein ausgereiftes Einsatzkonzept für eine solche App vor, auf das sich eine qualifizierte Diskussion stützen könnte. So weit es sich beim Überfliegen dieses Konvoluts mit normativem Anspruch einschätzen lässt, steht darin kein relevanter Einwand, den nicht Susan Landau oder Ross Anderson knapper formuliert hätten. Auf die Idee, Datenschutzprobleme institutionell zu dämpfen, wie es bei der Erhaltung und Verharmlosung der Stasi-Akten gelungen ist, kommen die Aktivistinnen wohl gar nicht erst.

Falsch abgebogen ist der Datenschutz früh in seiner Geschichte und sein Geburtsfehler wurde nie richtig korrigiert. Als der Datenschutz vor vier, fünf Jahrzehnten das Licht der Welt erblickte, entdeckte die Welt gerade die Schattenseiten damals moderner Großtechnologien wie der Kernenergie. Etwa zeitgleich mit den ersten Schritten zum Datenschutz entwickelte sich die Technikfolgenabschätzung, schrammte ein Kernreaktor in Harrisburg knapp an einer größeren Katastrophe vorbei, malte Robert Jungk den dann doch nicht eingetretenen Atomstaat an die Wand. Nebenbei herrschte noch kalter Krieg, der jederzeit in einen heißen letzten Weltkrieg münden konnte.

In diese Zeit fiel die zunehmende Verbreitung der elektronischen Datenverarbeitung (EDV) in Wirtschaft und Verwaltung. Auf dem Weg ins EDV-Zeitalter, so hofften viele, würde man alles besser machen als bei der Einführung anderer Großtechnologien, in die man scheinbar euphorisch und blind für ihre Gefahren hineingestolpert war.

Seither gehört zum Fundament des deutsch-europäischen Datenschutzes der Glaube, die elektronische Verarbeitung von (personenbezogenen) Daten sei eine Risikotechnologie vergleichbar der Kernkraft; man müsse sie ähnlich streng regulieren und überwachen sowie sorgfältig und umfassend technisch absichern. Genau genommen müsste man sie sogar verbieten, und genau davon geht der Datenschutz bis heute aus – die Verarbeitung personenbezogener Daten sei in der Regel verboten, sofern die nicht ausnahmsweise doch erlaubt sei. Diese Grundannahme erklärt, warum Datenschützer zum Beispiel so ein Theater um WhatsApp und dessen Nutzung persönlicher digitaler Adressbücher machen, obwohl sich außer ihnen kein Mensch daran stört und wohl auch niemand tatsächlich dadurch gefährdet wird. Für Datenschützer steht die IT traditionell unter Generalverdacht.

Heute steht Deutschland kurz davor, seine letzten Kernkraftwerke abzuschalten, während sich das Verbrennen von Kohle als eine viel größere und schwerer zu bändigende Gefahr erwiesen hat. Daneben meldet sich die Natur mit einem neuen Coronavirus, welches im Gegensatz zur EDV Menschenleben bedroht und mangels Impfstoff oder Heilmittel Vorsichtsmaßnahmen verlangt, die tief in unser gewohntes Leben und unsere bürgerlichen Freiheiten eingreifen. Doch unverdrossen verkauft uns eine Allianz aus Aktivisten, Datenschutzbeauftragten und Opportunisten den Datenschutz als Supergrundrecht und die Datenverarbeitung als explosive Risikotechnologie, von der man am besten die Finger lasse.

Anders als bei jeder anderen Risikotechnologie, deren Schäden sich als Sach- und Personenschäden quantifizieren lassen, fehlt dem Datenschutz und der fundamentalen EDV-Kritik jedoch ein klarer Risikomaßstab. An seine Stelle trat die radikale Vorsorge eines generellen Verbots der personenbezogenen Datenverarbeitung mit Ausnahmen, vergleichbar den Regeln für den Betrieb kerntechnischer Anlagen, die einer Genehmigung bedürfen.

Die Entscheidung über Ausnahmen legte man teils in die Hände des Gesetzgebers und teils in die der Betroffenen. So ward die informationelle Selbstbestimmung geboren, die das Bundesverfassungsgericht 1983 in seinem Volkszählungsurteil in den Rang eines Grundrechts erhob. In den folgenden Jahrzehnten unterblieben nötige Modernisierungen des Datenschutzes weitgehend und auch die DSGVO hat noch viel mit dem alten (west-)deutschen Bundesdatenschutzgesetz gemein.

Die IT entwickelte sich schnell weiter und entfernte sich nach und nach von den Voraussetzungen des etablierten Datenschutz, was man ihr nicht verübeln kann. Zugleich eigneten sich die Träger des Datenschutzes, die Beauftragten und Aktivisten, das Grundrecht der Betroffenen an und beanspruchen seither dessen stellvertretende Wahrnehmung. Mit dieser Waffe in der Hand müssen sie keine Kritik mehr fürchten, denn zum einen bleiben die Grundrechte zu abstrakt, um damit direkt und einfach argumentieren zu können, und zum anderen bedarf die Inanspruchnahme von Grundrechten – im Regelfall anders als im Datenschutz durch ihre Trägerinnen selbst – keiner Rechtfertigung. Begleitend entstand über die Jahre mit Anbietern von Compliance-Dienstleistungen ein Wirtschaftszweig, der von möglichst willkürlichen und bürokratischen Anforderungen profitiert und der deshalb um so andächtiger nickt als die Nachfrage nach seinen Angeboten steigt.

Deswegen werden wir jetzt vor Videokonferenzen gewarnt, besonders vor den einfach zu nutzenden. Ob jemals eine Videokonferenz jemandem ein Haar gekrümmt hat, bleibt offen, denn auf reale Risiken kommt es dem Datenschutz nicht an. Er begründet sich aus sich selbst und immunisiert sich damit gegen Kritik, ja sogar gegen die bloße Sinnfrage.

 

PS (2020-05-06): Microsoft weist die Warnungen des Berliner Datenschutzbeauftragten für seine Produkte ausdrücklich zurück.

PS (2020-05-16): Microsoft geht den nächsten Schritt und mahnt Berlin ab.

There have recently been several proposals for pseudonymous contact tracing, including from Apple and Google. To both cryptographers and privacy advocates, this might seem the obvious way to protect public health and privacy at the same time. Meanwhile other cryptographers have been pointing out some of the flaws.

There are also real systems being built by governments. Singapore has already deployed and open-sourced one that uses contact tracing based on bluetooth beacons. Most of the academic and tech industry proposals follow this strategy, as the “obvious” way to tell who’s been within a few metres of you and for how long. The UK’s National Health Service is working on one too, and I’m one of a group of people being consulted on the privacy and security.

But contact tracing in the real world is not quite as many of the academic and industry proposals assume.

First, it isn’t anonymous. Covid-19 is a notifiable disease so a doctor who diagnoses you must inform the public health authorities, and if they have the bandwidth they call you and ask who you’ve been in contact with. They then call your contacts in turn. It’s not about consent or anonymity, so much as being persuasive and having a good bedside manner.

I’m relaxed about doing all this under emergency public-health powers, since this will make it harder for intrusive systems to persist after the pandemic than if they have some privacy theater that can be used to argue that the whizzy new medi-panopticon is legal enough to be kept running.

Second, contact tracers have access to all sorts of other data such as public transport ticketing and credit-card records. This is how a contact tracer in Singapore is able to phone you and tell you that the taxi driver who took you yesterday from Orchard Road to Raffles has reported sick, so please put on a mask right now and go straight home. This must be controlled; Taiwan lets public-health staff access such material in emergencies only.

Third, you can’t wait for diagnoses. In the UK, you only get a test if you’re a VIP or if you get admitted to hospital. Even so the results take 1–3 days to come back. While the VIPs share their status on twitter or facebook, the other diagnosed patients are often too sick to operate their phones.

Fourth, the public health authorities need geographical data for purposes other than contact tracing – such as to tell the army where to build more field hospitals, and to plan shipments of scarce personal protective equipment. There are already apps that do symptom tracking but more would be better. So the UK app will ask for the first three characters of your postcode, which is about enough to locate which hospital you’d end up in.

Fifth, although the cryptographers – and now Google and Apple – are discussing more anonymous variants of the Singapore app, that’s not the problem. Anyone who’s worked on abuse will instantly realise that a voluntary app operated by anonymous actors is wide open to trolling. The performance art people will tie a phone to a dog and let it run around the park; the Russians will use the app to run service-denial attacks and spread panic; and little Johnny will self-report symptoms to get the whole school sent home.

Sixth, there’s the human aspect. On Friday, when I was coming back from walking the dogs, I stopped to chat for ten minutes to a neighbour. She stood halfway between her gate and her front door, so we were about 3 metres apart, and the wind was blowing from the side. The risk that either of us would infect the other was negligible. If we’d been carrying bluetooth apps, we’d have been flagged as mutual contacts. It would be quite intolerable for the government to prohibit such social interactions, or to deploy technology that would punish them via false alarms. And how will things work with an orderly supermarket queue, where law-abiding people stand patiently six feet apart?

Bluetooth also goes through plasterboard. If undergraduates return to Cambridge in October, I assume there will still be small-group teaching, but with protocols for distancing, self-isolation and quarantine. A supervisor might sit in a teaching room with two or three students, all more than 2m apart and maybe wearing masks, and the window open. The bluetooth app will flag up not just the others in the room but people in the next room too.

How is this to be dealt with? I expect the app developers will have to fit a user interface saying “You’re within range of device 38a5f01e20. Within infection range (y/n)?” But what happens when people get an avalanche of false alarms? They learn to click them away. A better design might be to invite people to add a nickname and a photo so that contacts could see who they are. “You are near to Ross [photo] and have been for five minutes. Are you maintaining physical distance?”

When I discussed this with a family member, the immediate reaction was that she’d refuse to run an anonymous app that might suddenly say “someone you’ve been near in the past four days has reported symptoms, so you must now self-isolate for 14 days.” A call from a public health officer is one thing, but not knowing who it was would just creep her out. It’s important to get the reactions of real people, not just geeks and wonks! And the experience of South Korea and Taiwan suggests that transparency is the key to public acceptance.

Seventh, on the systems front, decentralised systems are all very nice in theory but are a complete pain in practice as they’re too hard to update. We’re still using Internet infrastructure from 30 years ago (BGP, DNS, SMTP…) because it’s just too hard to change. Watch Moxie Marlinspike’s talk at 36C3 if you don’t get this. Relying on cryptography tends to make things even more complex, fragile and hard to change. In the pandemic, the public health folks may have to tweak all sorts of parameters weekly or even daily. You can’t do that with apps on 169 different types of phone and with peer-to-peer communications.

Personally I feel conflicted. I recognise the overwhelming force of the public-health arguments for a centralised system, but I also have 25 years’ experience of the NHS being incompetent at developing systems and repeatedly breaking their privacy promises when they do manage to collect some data of value to somebody else. The Google Deepmind scandal was just the latest of many and by no means the worst. This is why I’m really uneasy about collecting lots of lightly-anonymised data in a system that becomes integrated into a whole-of-government response to the pandemic. We might never get rid of it.

But the real killer is likely to be the interaction between privacy and economics. If the app’s voluntary, nobody has an incentive to use it, except tinkerers and people who religiously comply with whatever the government asks. If uptake remains at 10-15%, as in Singapore, it won’t be much use and we’ll need to hire more contact tracers instead. Apps that involve compulsion, such as those for quarantine geofencing, will face a more adversarial threat model; and the same will be true in spades for any electronic immunity certificate. There the incentive to cheat will be extreme, and we might be better off with paper serology test certificates, like the yellow fever vaccination certificates you needed for the tropics, back in the good old days when you could actually go there.

All that said, I suspect the tracing apps are really just do-something-itis. Most countries now seem past the point where contact tracing is a high priority; even Singapore has had to go into lockdown. If it becomes a priority during the second wave, we will need a lot more contact tracers: last week, 999 calls in Cambridge had a 40-minute wait and it took ambulances six hours to arrive. We cannot field an app that will cause more worried well people to phone 999.

The real trade-off between surveillance and public health is this. For years, a pandemic has been at the top of Britain’s risk register, yet far less was spent preparing for one than on anti-terrorist measures, many of which were ostentatious rather than effective. Worse, the rhetoric of terror puffed up the security agencies at the expense of public health, predisposing the US and UK governments to disregard the lesson of SARS in 2003 and MERS in 2015 — unlike the governments of China, Singapore, Taiwan and South Korea, who paid at least some attention. What we need is a radical redistribution of resources from the surveillance-industrial complex to public health.

Our effort should go into expanding testing, making ventilators, retraining everyone with a clinical background from vet nurses to physiotherapists to use them, and building field hospitals. We must call out bullshit when we see it, and must not give policymakers the false hope that techno-magic might let them avoid the hard decisions. Otherwise we can serve best by keeping out of the way. The response should not be driven by cryptographers but by epidemiologists, and we should learn what we can from the countries that have managed best so far, such as South Korea and Taiwan.

Wenn sich ein Lehrer für ein offizielles Klassenfoto mit zur Schülergruppe stellt, muss er sich auch die Veröffentlichung des Bildes in einem Schuljahrbuch gefallen lassen. Ein Lehrer in Rheinland-Pfalz hatte gegen das Bild geklagt, weil er sein Persönlichkeitsrecht verletzt sah.

Ein Schuljahrbuch ist jedoch ein Zeugnis für das Zeitgeschehen, meint das Verwaltungsgericht Koblenz. Auch für Ereignisse mit regionaler oder lokaler Bedeutung bestehe ein Informationsinteresse. Ein Schuljahrbuch erfülle dieses Interesse. Das Persönlichkeitsrecht des Lehrers trete in diesem Zusammenhang zurück, zumal er im dienstlichen Bereich und noch dazu in keiner Weise unvorteilhaft abgelichtet worden sei. Seine Zustimmung zu der Veröffentlichung habe er zumindest schlüssig erteilt, da Klassenfotos an der Schule schon früher in Schuljahrbücher eingestellt wurden. Daran ändere es auch nichts, dass der Lehrer nach eigenen Angaben von einer Kollegin für das Foto überredet wurde.

Das Oberverwaltungsgericht Koblenz hat die Entscheidung erster Instanz nun bestätigt (Aktenzeichen 5 K 101/19.KO).

joelparkerhenderson/architecture_decision_record

How to Run a Successful Online Conference

Wo sind eigentlich die ganzen Schlaumeier geblieben, die bei jeder Videokamera einen Generalverdacht wittern und der automatischen Gesichtserkennung Untauglichkeit zur Fahndung nach Terroristen vorwerfen, weil sie unvermeidlich mehr falsche als wirkliche Terroristen melde?

Gegenwärtig reden wir über Ausgangssperren zur Bekämpfung eines Virus, das einen Bevölkerungsanteil in der Größenordnung von einem Promille befallen hat. Ein Corona-Soforttest mit hoher Falsch-Positiv-Rate fände vermutlich breite Akzeptanz, wenn man mit seiner Hilfe eine knappe Mehrheit – oder vielleicht sogar eine genügend große Minderheit – der Bevölkerung von Einschränkungen befreien könnte.

Von welchen Axiomen muss man ausgehen und welche Unterschiede zwischen beiden Szenarien berücksichtigen, um mit einem logisch konsistenten Weltbild eine automatische Fahndung wegen begrenzter Zuverlässigkeit abzulehnen, erhebliche Einschränkungen des öffentlichen Lebens und der persönlichen Freiheit zur Virusbekämpfung hingegen zu befürworten?

***

#WirHabenJaSonstNichtsZuTun regt zum Zeitvertreib Grundsatzdiskussionen an

Seit inzwischen zwei Jahrzehnten fordert man uns immer wieder auf, E-Mail-Anhänge vorsichtig zu öffnen. Wie das geht, zeigt der folgende kurze Film:

Kelbers wohlfeile Datenschutztipps an die falsche Adresse sehe ich als Symptom eines allgemeineren Trends. Nicht nur suchen sich amtliche Datenschützer mit den Bürgerinnen und Bürgern die falsche Zielgruppe, sie verbreiten dabei auch gerne fragwürdige Verhaltensmaßregeln, die zu ignorieren meist sehr vernünftig scheint. Ich nenne diese Maßregeln digitalen Veganismus, weil sie willkürlich sind, nur eine ideologische Begründung haben und sie den Alltag erschweren, ohne nennenswerten Nutzen zu stiften.

Veganer können nicht einfach zum Bäcker gehen und ein Brot kaufen, sondern müssen dort erst die Zutatenliste studieren, um herauszufinden, ob nicht jemand einen Schluck Milch oder einen Löffel Butter oder eine unglückliche Küchenschabe in den Teig gerührt hat. Glücklich wird, wer sich dabei einen Distinktionsgewinn einreden kann; die meisten Menschen hingegen kaufen einfach das Brot, das ihnen schmeckt und sind damit zufrieden. Als individuell gewählte Lebensweise ist das eine wie das andere völlig in Ordnung. Öffentliche Stellen, die den Veganismus empfählen, gibt es meines Wissens nicht.

Im Datenschutz hingegen geben Aufsichtsbehörden, Universitäten, Aktivist*innen und andere nur zu gerne Tipps für das, was sie gerne „digitale Selbstverteidigung“ nennen. Im Wesentlichen laufen diese Tipps meist darauf hinaus, sich allerorten von „Datenkraken“ verfolgt zu fühlen und Zuflucht in einem digitalen Aluhut in Form originellen, das heißt von den Gebräuchen des Mainstreams abweichenden Verhaltensweisen zu suchen. Das Angebot Data Kids der Berliner Datenschutzbeauftragten zum Beispiel warnt vor „diebi­schen dreis­ten Daten­wolken“ und „Krakina Kompli­zia“ und empfiehlt dagegen das Ritual, eine Abdeckung für eine Kamera zu bauen als sei der meist nur eingebildete Kameramann im Laptop ein relevantes Problem. Wie man dagegen rechtzeitig bemerkt, dass ein Kammergericht in ihrem Zuständigkeitsbereich in Sachen Sicherheit und Datenschutz nicht einmal näherungsweise auf der Höhe der Zeit ist, weiß die Beauftragte anscheinend  nicht, sonst hätte sie es ja bemerkt. Das ist freilich auch etwas anspruchsvoller als Kindern das Märchen von Krakina Komplizia und den sieben Clouds zu erzählen.

An die ewigen Warnungen offizieller Datenschützer, WhatsApp sei haram sei, weil es Adressbücher aus einer Cloud in eine andere hochlade, haben wir uns längst gewöhnt. Kein Mensch schert sich darum; WhatsApp ist so alltäglich geworden wie das Telefon, weil es umstandslos und ohne Schmerzen (naja) funktioniert. Nur wo die Datenschützer Macht haben, ist WhatsApp abweichend vom Normalen verboten – man möge bitteschön Alternativen nutzen.

Auf diesem Niveau bewegen sich die meisten Empfehlungen aus dem Reich des digitalen Veganismus: Andere Messenger als die meisten Menschen möge man benutzen, einen anderen Browser, ein anderes Betriebssystem, andere Suchmaschinen und andere Landkarten. Seine E-Mail möge man verschlüsseln, die Cloud links liegenlassen und bei Bedarf besser eine eigene betreiben als hätte man alle Zeit der Welt und nichts Wichtigeres zu tun. Und wer einen Termin mit anderen abstimmen wolle, solle nicht irgendeinen Terminplaner benutzen, sondern bitteschön Nuudle, am besten mit dem Tor-Browser über das Tor-Netz (im Volksmund Darknet genannt).

Einen objektiven Nutzen hat diese Kasteiung nicht, doch kann man sich selbst dafür belohnen, indem man sich einredet, zu den Erleuchteten zu gehören und im Gegensatz zur vermeintlich blöden Masse der „Sheeple“ das Richtige zu tun. Das ist zwar ziemlich arrogant, aber wer diesen Teil im Stillen abwickelt und nach außen nur seine oberflächlich als hilfreich und wohlmeinend verpackten Ratschläge zeigt, bekommt wenig Gegenwind. Wenig Erfolg auch, denn die meisten Menschen fragen sich hier ebenso wie im Angesicht eines Zutatenlisten wälzenden Veganers, was das denn solle und bringe, warum sie sich so etwas antun sollten. Erfolg ist jedoch gar nicht gewollt, denn er würde alles zerstören: Begänne eine Mehrheit damit, den Ratschlägen zu folgen, wäre das Wohlgefühl der Ratgeber dahin.

PS (2020-04-27): Die Schattenseiten der gerne als gleichwertig hingestellten Alternativen werden im Artikel Endlich glückliche Freunde bei Golem.de deutlich. Dort geht es um den Messenger Signal, der WhatsApp im Funktionsumfang merklich hinterherläuft. Darin findet sich zudem ein Verweis auf den älteren Artikel Wie ich die Digitalisierung meiner Familie verpasste, dessen Autor beschreibt, wie er sich durch WhatsApp-Verweigerung aus der Kommunikation seiner Familie ausschloss.

 

Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, empfiehlt in einem Interview der Welt Zurückhaltung bei der Nutzung von Apps und behauptet in diesem Zusammenhang, es gebe altersunabhängig fünf „Daten-Typen“:

„Den Ahnungslosen, der schlicht keine Vorstellung von den Risiken hat. Den Sorglosen, der blind vertraut. Den Gleichgültigen, der die Gefahren kennt, sich aber nicht davor schützt. Den Abstinenzler, der sich ohnehin außerhalb der digitalen Welt bewegt. Und den Digitalprofi, der tatsächlich etwas unternimmt.“

(„Wir rücken nicht von der Strafe ab. Was wäre das für ein Signal?“, welt.de, 2020-01-29)

Die größte Sorge, fährt er fort, bereite den Datenschützern die Gruppe der Sorglosen.

Diese Aussagen sind ein Meisterwerk der eristischen Dialektik, inhaltlich aber ein Irrweg. Kelber konstruiert einen Gegensatz zwischen negativ konnotierten Zuschreibungen – ahnungslos, sorglos, gleichgültig – auf der einen und akzeptablem Verhalten – Abstinenz – sowie einer unerreichbar vorbildlichen Heldenfigur – dem Digitalprofi, der etwas (was?) unternimmt – auf der anderen Seite.

In Kelbers Aufzählung fehlt zum Beispiel der Digitalprofi, der die Risiken oder das Verhältnis zwischen Risiken und Nutzen anders einschätzt als ein Datenschutzbeauftragter, dem Nutzenerwägungen von Amts wegen fern liegen. Ebenso fehlt der Normalbürger, der seinem Gegenüber selbstverständlich Vertrauen entgegenbringt, nicht blind und bedingungslos, sondern in der üblichen Weise: als positives Vorurteil, das die soziale Interaktion erleichtert, solange es nicht durch negative Erlebnisse erschüttert wird. Wir alle handeln so, wenn wir zum Beispiel ohne Brustpanzer aus dem Haus gehen und darauf vertrauen, dass uns auch heute niemand ein Messer zwischen die Rippen rammen oder mit einem Stein den Schädel zertrümmern werde.

Dass die ewigen Mahnungen der Datenschützer dieses Vertrauen nur selten erschüttern, liegt nicht zuletzt an ihnen selbst, bleiben sie doch oft vage und unbelegt. Wie oft haben wir zu hören bekommen, WhatsApp zum Beispiel sei haram, weil es Adressbücher aus der Cloud in die Cloud hochlade, und was die amerikanischen Datenkraken alles Böses trieben, und wie oft hat tatsächlich jemand handfeste negative Auswirkungen zu spüren bekommen, der moderne Dienste und Geräte sorglos nutzt? Wo Risikoszenarien plausibel, nachvollziehbar und durch reale Fälle belegt sind, nimmt die Sorglosigkeit erfahrungsgemäß ab. Polizisten im Einsatz etwa oder Journalisten in Kriegsgebieten tragen selbstverständlich Schutzausrüstung, denn ihre Risiken und Bedrohungen sind offensichtlich und belegt.

Kelbers erster Fehler liegt mithin darin, seinen Schutzbefohlenen Vernunft und Einsicht abzusprechen und ihnen Verhaltensmaßregeln zu erteilen. Die Möglichkeit, dass seine Mitmenschen mehrheitlich rational handelten und er sich irre, zieht er gar nicht in Betracht. Darüber hinaus blickt er in die falsche Richtung, wenn er sich mit den Betroffenen beschäftigt statt mit den Verarbeitern und Verantwortlichen.

Datenschutz ist für alle da, auch für die Sorg- und Ahnungslosen und die Gleichgültigen. Er soll die personenbezogene Datenverarbeitung im Zaum halten, um unsere Rechte und Freiheiten vor negativen Auswirkungen zu schützen. Aus dieser Sicht kann es sogar sinnvoll sein, auch vage und unbelegte Risiken zu berücksichtigen, doch alle Bemühungen müssen sich dann auf die Verarbeitung selbst konzentrieren. Aufgabe der Datenschutzaufsicht ist, Recht und Ordnung in Unternehmen, Behörden und anderen Organisationen durchzusetzen. Stattdessen den Betroffenen Ratschläge zu erteilen, wirkt demgegenüber wie eine Bankrotterklärung: Anscheinend gelingt es den Datenschützern schon nach eigener Einschätzung nicht, das Internet so vertrauenswürdig zu machen wie den Stadtpark, dessen sorg- und ahnungsloses oder gleichgültiges Betreten man niemandem vorwerfen könnte, ohne schallend ausgelacht zu werden.

Kelbers zweiter Fehler ist deshalb, dass er die falsche Zielgruppe anspricht. Er müsste dem Internet sagen, was es darf und was es lassen soll, und nicht dessen Nutzerinnen und Nutzern. Dies allerdings erschwert ihm seine Arbeitsgrundlage, das real existierende Datenschutzrecht. Die Datenschutzgrundverordnung weiß auch nicht so genau, was erlaubt oder verboten sein sollte, sondern sie gibt vor allem vor, wie die Datenverarbeitung zu verwalten sei. Trotz eines nominellen Verbots der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt, wie wir es bereits aus dem alten Bundesdatenschutzgesetz kennen, ist in der Praxis vieles erlaubt, solange die Verantwortlichen nur jederzeit alle Papiere vorzeigen können und sich nicht bei groben Schnitzern erwischen lassen. Das liegt nicht am Datenschutzbeauftragten, aber wenn es ein Problem gibt, liegt es hier.

Auch für Europa mit seiner stolzen DSGVO gilt, was Bruce Schneier vor einigen Tagen in einem Kommentar zur Aufregung um die Gesichtserkennung der Firma Clearview schrieb: Wir brauchen Regeln für alle wesentlichen Fragen der Datenverarbeitung, die sich an die Verarbeiter richten. Im Fall von Clearview sind das nach Schneiers Auffassung erstens Regeln dafür, unter welchen Bedingungen Unternehmen Personen identifizieren dürfen, zweitens Regeln für die Kombination von Daten und den Handel damit ohne Zustimmung und Kenntnis der Betroffenen, sowie drittens Regeln dafür, unter welchen Bedingungen Unternehmen Personen diskriminieren dürfen. Blickt man über den konkreten Fall von ClearView hinaus, kommen sicher noch einige Fragen hinzu. Die DSGVO bekleckert sich in dieser Hinsicht nicht mit Ruhm, ihre Vorgaben bleiben oft vage und unspezifisch. Kelber sieht keinen grundlegenden Änderungsbedarf, doch der liegt genau hier und nicht bei gleichgültigen, ahnungs- oder sorglosen Nutzerinnen und Nutzern.

Oliver Rautenberg berichtet auf Twitter von “Elternvereinbarungen zur Smartphone- und Mediennutzung” an Waldorfschulen in Deutschland.

»Medienvertrag einer “Freien Schule” der Waldorfpädagogik. Ist diese Einmischung noch vertretbar? Keine Handys in der Schule, ok. Aber auch zuhause will die Schule Handys, Computer, Filme und sogar Hörspiele vertraglich verbieten. “Risiken und Gefahren” drohen!«

Dies ist meine persönliche Erfahrung, also eine Studie mit einer Sample-Gruppe von n=1. Keine Ahnung, und mir egal wie Ihr Dinge bei Euch in der Familie regelt, aber vielleicht ist das ja dennoch für irgendwen nützlich.

Mein Sohn ist jetzt 9 und wird bald 10.

Er ist in Deutschland geboren und ist in Deutschland mit 18 Monaten in den Kindergarten gekommen. Dort hat er bis zum Einschulungs-Sommer 2016 den Kindergarten und die Vorschule beendet, und ist dann zusammen mit seiner Mutter zu mir in die Niederlande hinterher gezogen.

Er hat die Niederländische Groep 3 in einer Integrationsklasse verbracht, um den Stoff, der der deutschen 1. Klasse entspricht zusammen mit der niederländischen Sprache zu erlernen. Am Ende von Groep 3 hat er den Schulsprachtest bestanden und ist auf eine lokale reguläre Grundschule gewechselt.

Er ist jetzt in Groep 6 (entspricht der deutschen Grundschulklasse 4). Die Grundschule geht bis Groep 8 (entspricht der deutschen Grundschulklasse 6).

Licht und Ton und Touchscreens

Der Sohn hat sehr früh die Bildschirme im Haushalt bemerkt und war insbesondere von Touchscreens sehr fasziniert. Die erste App, für die er sich je interessiert hat, war das inzwischen eingestellte Zoola Animal Sounds, eine Anwendung, die Tierbilder zeigt und mit Musik und Tiergeräuschen untermalt. Er hat die Anwendung bis zum Alter von fast vier Jahren immer mal wieder nachgefragt.

Der Umgang mit Touchscreens erschien dem Kind sehr unmittelbar und natürlich. Auch Gesten zum Drehen und Zoomen wurden abgeguckt, unmittelbar einsichtig und mußten nicht aktiv gelehrt werden. Das ging so weit, daß das Kind beim Fernsehen aufstand, den Bildschirm berührte, um den Film anzuhalten und dann beide Hände auf den Bildschirm presste um einen interessanten Ausschitt zu versuchen zu vergrößern - das hat dann leider zur großen Enttäuschung des kleinen Mannes nicht funktioniert, zeigt aber welche Erwartungen in die digitale Umwelt von einem Kind gesetzt werden.

Ein wichtiger Aspekt des Aufwachsens ist immer der Aspekt von Kontrolle gewesen, also Steuerung und Manipulation der Umwelt. Das Wort “Licht” hat das Kind sehr früh gelernt, und er wollte immer wieder auf den Arm genommen und vor einen Lichtschalter gehalten werden. Die Tatsache, daß das Drücken hier dann da bei einer Lampe etwas bewirkt war eine unglaublich aufregende Entdeckung. Die Tatsache, daß er nach seinem Willen die Umwelt beeinflussen konnte auch. Und daß unterschiedliche Schalter verläßlich unterschiedliche Lampen kontrollieren und das erlernbar war: auch fundamental.

Unsere Nachbarn in der deutschen Wohnung über uns hatten zwei Kinder, die ein wenig älter waren als unser Sohn. Für ein kleines Kind ist das kein wesentlicher Unterschied - es unterteilt die Welt in “Leute, die alles wissen und alles können” und “solche, die so sind wie ich”. Daß Kinder mit 3-4 Jahren viel mehr können als er selber hat er nicht erfaßt. Entsprechend dann: immer wenn er Kontakt hatte, hat er plötzlich Dinge getan, die er ohne die Demonstration, daß Kinder so was können können nie getan hätte.

Das war einer der Hauptgründe, das Kind in einen Kindergarten zu geben: Dort hat er die Geschwister, die er daheim nicht hat, und das hat ihn massiv nach vorne gezogen.

Daheim hat er durch unsere Arbeit bedingt viel Kontakt zu Computern. Dabei hat ihn meine Arbeit eher weniger interessiert - Papa sitzt auf den Bildschirm und starrt auf Buchstaben. Aber was Sammy tut ist um so interessanter.

Musik und Film

Sammy hat damals im Cafe Theater Schalotte Licht auf Veranstaltungen gemacht, und das Treiben am Theater, aber auch Licht und Tontechnik haben ihn als direkte Verlängerung seiner Erfahrungen daheim ohne Ende interessiert. Ich weiß, daß wir oben am Lichtpult gesessen haben, das Kind kaum 4 Jahre alt, die Frau an der Bühne unter der Decke hängend die Scheinwerfer manipulierend. Als sie ruft “Die Drei auf Achzig!” zählt das Kind wichtig die Weißlicht-Regler ab, und ist stolz wie Oskar, daß er den Schieber 3 auf 80% regeln darf. “Super” ruft es von unter der Decke zurück!

Das Kind ist voller Musik, und von mir hat er das nicht. Das geht so weit, daß ich mir mit einer elektrischen Zahnbürste die Zähne putze und er kurz dem Brummen lauscht und dann sagt “Das ist ein C und Deine Zahnbürste ist verstimmt”. Ich ziehe die Stimm-App auf dem Handy aus der Tasche und in der Tat, die Braun brummt ein sattes C, liegt aber deutlich daneben.

Das mit der Musik ist auch sehr früh deutlich geworden, und so hat er neben der Vorschule auch “musikalische Früherziehung” bekommen, in der den Kindern ein Jahr lang Gelegenheit gegeben worden ist, für jeweils 3 Monate ein Instrument auszuprobieren und Erfahrungen zu sammeln. Mit 5 hätte er dann noch ein Jahr dranhängen können, hat dann aber selber entschieden, daß er nur noch Geige machen will. Also hat er angefangen, in Berlin Geige zu lernen und es ist uns gelungen, in Amsterdam eine Lehrerin zu finden, die deutsch und niederländisch spricht und ganz wunderbar unterrichten kann.

Um diese Zeit, so mit 6 Jahren, hat er auch zusätzlich zum abgelegten Handy mein altes Macbook pro in die Finger bekommen. Das ist ein Gerät von 2009, mit einer nachgerüsteten SSD, die es nicht nur schneller, sondern auch robuster macht, und mit leider nur 4 GB RAM. Im Laufe der Zeit hat er dort Youtube, Musescore, Garageband und auch iMovie entdeckt und sich ohne weitere Erklärungen weitgehend selbst angeeignet.

Dabei haben wir eine ganze Menge über unser Kind gelernt.

Erstens: Das Kind braucht Limits. Es würde ohne diese Limits vermutlich in den unendlichen Tiefen von Youtube versacken und nie wieder vorkommen. Es braucht auch Wertungen. Wir haben abgemacht, daß er zunächst Youtube mit uns zusammen guckt, und dabei ist er auf einen Haufen Videos gestoßen, die keine Geschichten erzählen, sondern sehr niedrig zielende, teletubby-artige Animationen abspielen. Wir haben ihm erklärt, wie sich diese Videos von Videos unterscheiden, die etwas erzählen wollen, und wieso wir die eine Sorte Video langweilig finden, und die andere nicht. Er hat irgendwann angefangen, Videos nach diesen Kriterien zu beurteilen und auszuwählen.

Zweitens: Das Kind lernt durch Tun und Abgucken mehr als durch Erklären. Erklärungen sind wichtig, aber Vorbilder, Nachahmungen und Zusehen sind viel, viel wichtiger. Buchstaben haben sich ihm als Konzept erschlossen durch Zusehen, und durch Tippen und Vergleichen. Da er sich brennend für Eisenbahnen und insbesondere Dampfloks interessierte, wollte er Youtube-Suchen eingegeben haben. Das Wort “Dampflok” konnte er also bald erkennen und dann auch sehr schnell schreiben. Das war ihm wichtig, denn er wollte ja selber suchen.

Youtube ist ein unglaublicher Schatz an Ausbildungsvideos, Verdeutlichen und Anschauungsunterricht. Er verwendet Youtube inzwischen gezielt, um bestimmte Fertigkeiten vorgeführt zu bekommen und nachzuahmen.

Drittens: Dabei forscht er sehr selbstständig und vollzieht im Kleinen andere, viel größere Entwicklungen nach. Hier in den Niederlanden hat er gelernt, wie er Videos von seinem Handy auf seinen Computer laden kann. Er hat iMovie entdeckt durch Experimentieren herausgefunden, wie man iMovie Fertigtrailer produziert. Er hat dabei die vorgegebene Form und den Stil von Trailern auf Netflix imitiert, um Trailer für noch nicht produzierte, selbst ausgedachte Geschichten zu produzieren.

Danach hat er über Youtube und durch weiteres Experimentieren iMovie erlernt, und dann angefangen mit seinem Handy Filme zu abschnittsweise zu drehen und zu schneiden. Dabei ist er selbst auf eine Reihe von Stilmitteln gestoßen oder hat sie imitiert, die wir in der Geschichte des Films als Bausteine des Geschichtenerzählens mit diesem Medium entdeckt haben.

Weil er Anfangs in den Niederlanden sehr alleine war und sich seine Klassenkameraden auch nicht so für das filmische Erzählen interessiert haben, hat er vier Charactere geschaffen (“Joram”, “Max”, “Tom” und “Mehmet”), die sich durch Kleidung unterscheiden. Natürlich kann er immer nur eine Person zur Zeit im Bild haben, wenn er alle Rollen selber spielt, aber um zu erzählen hat er dann Dinge wie Schnitt/Gegenschnitt und Perspektive entdeckt.

Max und Mehmet geraten in einen Streit und Max regt sich weiter auf - er hat das realisiert, indem er Max bei jedem Gegenschnitt weiter aus dem medium close-up in den close-up zieht. Mit einer blauen Decke, der Bluescreen-Funktion von iMovie und einer Stegosaurus-Spielfigur hat er eine Verfolungsjagd realisiert, bei der die Charactere von einem Dinosaurier verfolgt werden.

Nachdem Sammy ihm ein Drehbuch und Einstellungs-Skizzen gezeigt hat, ist ihm die Idee gekommen, daß er sich dann nicht so oft umzuziehen braucht, wenn er die Einstellungen sortiert und daß Produktionsreihenfolge und Schnittreihenfolge nichts miteinander zu tun haben müssen. Das hat seine Produktion stark beschleunigt.

Er versteht in seinem Kopf, wie sich Joram, Max, Tom und Mehmet unterscheiden und wie und warum sie in derselben Situation unterschiedlich reagieren würden. Er ist in der Lage zu begründen, warum sich Mehmet bei einer Begegnung mit dem Stegosaurier anders als Max verhalten würde. Er versteht, daß Erlebnisse Menschen verändern und hat von sich aus angefangen zu erklären, warum sich Mehmet “nach dem Stegosaurier” anders verhalten würde als “Mehmet vor dem Stegosaurier”.

Viertens: Das Kind braucht Bewegung. Wenn er einen Tag nicht draußen spielt, schwimmt oder reitet, dann ist er ungenießbar und kaum zu kontrollieren. Er empfindet das selbst, ist aber noch nicht in der Lage ohne Hilfe die notwendigen Konsequenzen und Zeiteinteilungen zu finden und das auch durchzuziehen. Es ist also wichtig, ihn rauszuwerfen und zu zwingen, physische Dinge und persönliche Interaktion mit anderen Menschen zu haben. Er versteht hinterher, daß es ihm besser geht, kann das aber noch nicht selbst zuverlässig initiieren.

Fünftens: Er hat rausgefunden, daß es Filme gibt, die er nicht sehen mag, und daß eine grobe, aber unzuverlässige Korrelation existiert zwischen Altersfreigabe und der Tatsache, daß er den Film nicht mag. Er hat die Indiana Jones und die Jurassic Park Filme gesehen, und gut gefunden, obwohl einige von denen weit über seinem Alter liegende Einstufungen haben und es gibt andere Filme, die technisch ab 6 wären, aber die ihm so unangenehm sind, daß er abbricht. Er hat durch Gespräche mit uns gelernt, daß uns das auch so geht (Ich finde “Blacklist” unangenehm und sinnlos gewaltätig und mag das nicht sehen) und daß das in Ordnung ist.

Er hat Harry Potter nur bis Teil 3 gesehen und will die anderen Teile, die durchaus vorliegen, gerne mit uns zusammen sehen, wenn er meint, daß er soweit ist. Er hat gelernt, seinen Gefühlen da zu vertrauen und er ist - mit wenigen Einschränkungen - in der Lage, diese Entscheidungen auch selbstständig umzusetzen. Er guckt weg, bittet um Umschalten oder verläßt den Raum, wenn er was nicht sehen will und er bringt aktiv seine Meinungen und Präferenzen in Entscheidungsprozesse ein.

Computerspiele

Das Kind liebt Aufbauspiele. Das hat mit Train Fever und seinen Nachfolgern sowie Cities: Sylines begonnen und ging dann über Ark bis Minecraft. Ich habe ihm und seinen Freunden einen Minecraft Server und ein Teamspeak installieren müssen.

Dabei haben er und seine Freunde entdeckt, was man in Minecraft tun kann, wie sich das Multiplayer vom Solospiel unterscheidet, und daß sie unterschiedliche Ideen haben, was sie in Minecraft tun möchten oder was in Ordnung ist und was nicht. In Folge hat es eine Serie von Streitereien und Versöhnungen gegeben, in denen sie eine Übereinkunft ausgehandelt haben, die klar macht, wie sie miteinander im Kontext des Spieles umgehen wollen.

Und sie haben den Server gestaltet. Das heißt auch, daß sie mit einer Liste von Installationswünschen für Plugins bei mir aufgelaufen sind, die ich dann brav in den Server gekippt habe und deren Konfiguration sie dann weitgehend auf Youtube selbst gelernt haben.

Multiplayer ist weitaus interessanter als Solo - Minecraft hat im letzten Jahr alle anderen Spielaktivitäten vor dem Bildschirm ausgelöscht, weil Interaktion mit anderen Spielern um vieles interessanter ist als Interaktion mit Computergegnern oder computeranimierten Figuren.

Programmieren

Als das Kind fragte, was Papa denn so vor dem Computer tut habe ich angefangen Python zu erklären. Das ist eine schwierige Aufgabe - im Alter von 6 Jahren war die Vermittlung der Gedanken um Kontrollstrukturen unmöglich. Der Sohn hat in der REPL Variablen belegt und wieder ausgegeben. Aber nicht nur hat das Konzept “Im Editor schreiben, auf einer Kommandozeile aufrufen” ihn überfordert, auch Verzweigungen und Schleifen waren zu diesem Zeitpunkt nicht vermittelbar. Es hat bis zum Alter von 8 Jahren gebraucht - wir haben das Python immer wieder halbe Jahre liegen lassen - um einen Reifegrad und das abstrakte Denken zu bekommen, um diese Konzepte zu erschließen.

Die Schere zwischen den Wünschen (GUI! Grafik! 3D! Minecraft selber machen!) und den Fähigkeiten ist enorm. Aber wir haben jetzt ein Cli-Programm, das Additionsaufgaben stellt, die Ergebnisse kontrolliert und einen Score mitführt (und einen Highscore abspeichert). Sollten wir irgendwann mal bei Klassen und Bibliotheken ankommen, werden wir eine Qt-Version davon bauen.

Kind und Computer

Ich verstehe einen Großteil des Gewese um Kinder vor dem Computer nicht. Zumindest nicht in Bezug auf unser Kind. Es ist wichtig, daß er raus kommt, sich bewegt und mit anderen Menschen interagiert, das ist klar.

Es ist auch wichtig, sich dafür zu interessieren, wie er den Computer und das Smartphone verwendet, und wenn er dabei etwas erschafft, das als Haken zu verwenden, um ihm moderne Kultur und Kommunikation zu erklären.

Er denkt, er dreht einen Film, aber er erforscht selbst und mit unserer Hilfe Charactere, Entwicklung, Storytelling, Konflikt und Drama, Produktion und Produktionsplanung, Spezialeffekte, Kostüm und Makeup. Er mag vor dem Rechner mit Musescore und Garageband rumspielen, aber das bindet sich direkt in seine Übungen für den Chor und seinen Geigenunterricht rein und beide Dinge unterstützen einander. Er will Minecraft spielen, aber damit das mit seinem Server so geht wie er das will, muß er sich mit elementaren Dingen des Communitymanagement (und Motivationen seiner Mitspieler, Spielertypen und User-Stories), aber auch mit ssh, YAML und Serverkonfiguration auseinander setzen.

Und da kann man mit ihm drüber reden, ihm zeigen, wie wir diese Dinge auch in unserer Arbeit wieder finden und warum er gerade welche Schwierigkeiten hat und was mögliche Handlungsoptionen sind. Und dann läßt man ihn und seine Kumpane wieder alleine und die müssen selber Wege finden, das anzuwenden oder auch nicht und dabei zu lernen.

Und Youtube. Youtube wird in der medialen Berichterstattung in Deutschland gerne einmal runtergemacht und als Halde voller Schrott und Propaganda dargestellt. Youtube ist die großartigste Selbstbedienung-Ausbildung, die es auf diesem Planeten gibt. Und mit der richtigen Voreinstellung im Kopf sortiert das Kind eventuell in die Timeline gespülten Schrott weitgehend selbstständig aus und hält sich selbst auf Spur.

Mit Neun ist das noch nicht perfekt, wie auch. Aber ich bin sehr beeindruckt von dem, was er so macht.

Wie dem auch sei: Mein Kind sitzt vor dem Computer. Auch, nicht nur. Das ist auch im wesentlichen gut so, und außerdem unvermeidlich. Also muß ich damit umgehen lernen, genau wie er.