Digitalrechtler Forgó: Die Corona-App hat 2 Mio. gekostet, aber nur 10 Covid-Fälle gefunden

Die österreichische Corona-App hat rund zwei Millionen Euro gekostet, konnte aber bisher nur 10 Covid-19-positive Fälle durch Contact-Tracing finden. Was das Problem mit der App ist und warum das deutsche Pendant deutlich besser angenommen wurde, erklärt Nikolaus Forgó, der Vorstand des Instituts für Innovation und Digitalisierung im Recht an der Uni Wien.

Nur fünf Prozent der Österreicher nutzen die „Stop Corona“ App, die allermeisten wollen sie nicht installieren. Was sind die Hauptprobleme der Corona-App? Warum wurde sie so schlecht angenommen?

Ich glaube, dass die Diskussion um eine verpflichtende Nutzung der App sehr geschadet hat. Außerdem war sie technisch am Beginn noch nicht voll funktionsfähig. Dann kommt noch das Problem dazu, dass der Code der App nicht öffentlich zugänglich war – das war kein echtes Open Source Projekt. All das hat das Vertrauen in die App geschwächt.

In Deutschland verwenden immerhin 20 Prozent der Leute die „Corona-Warn-App“.  Warum wird das deutsche Gegenstück so viel besser angenommen?

In Deutschland war man viel später dran mit der App. Dort ist auch niemand auf die Idee gekommen, eine gesetzliche Verpflichtung für die App vorzuschlagen. Die Debatte um Freiwilligkeit ist in Deutschland viel intensiver geführt worden. Und auch der Code war viel früher öffentlich zugänglich.

Sie kritisieren, dass viele sensible Corona-Infos per Mail versendet werden, zum Beispiel Verdachtsfälle von der Gesundheitsbehörde an den Bürgermeister. Welche Vorgehensweise würden sie stattdessen empfehlen?

Technisch ist das E-Mail mehr oder weniger auf dem Stand wie vor 40 Jahren – und damit sehr unsicher. Wir brauchen ein System zum Dokumenten-Management, das sicherstellt, dass die Daten an zentraler Stelle unter Verwendung eines Informationssicherheitskonzepts verwaltet werden.

Was ist die konkrete Gefahr bei E-Mails? Oder anders formuliert: Was ist das schlimmste, was mit meinen Gesundheitsdaten passieren kann?

Eine E-Mail kann einfach gefälscht werden. Der Absender kann falsch sein und kann falsche Daten erfinden. Außerdem kann die Nachricht ganz einfach gehackt und mitgelesen werden, wenn sie unverschlüsselt ist. Und nachdem die Nachricht beim Empfänger auch nochmal dezentral gespeichert ist, kann sie auch dort gehackt werden.

Stellen Sie sich vor, jemand schickt eine E-Mail an Ihren Arbeitgeber, dass sie mit COVID-19 infiziert sind – und sie haben aber gar nicht Covid.

Oder wollen Sie sich wirklich mit jedem im Büro darüber unterhalten, ob Sie Covid 19 hatten?

Man will ja die soziale Diskriminierung, die mit solchen Gesundheitsinformationen verbunden ist, so weit wie möglich vermeiden.

Welche soziale Diskriminierung ist mit Corona verbunden?

Es gibt das Problem der Stigmatisierung. In Schulen wird beispielsweise noch sehr genau darauf geschaut, wer die Krankheit in die Klasse gebracht hat. Ich halte das für ein Problem. Vor allem dann, wenn wir die langfristigen Folgen noch nicht kennen.

Was ist, wenn Covid-19 zu langfristigen gesundheitlichen Schäden führt? Die meisten Menschen wollen ihre gesundheitlichen Beschwerden nicht öffentlich machen.

Und es gibt bereits jetzt Extremfälle, wo die Stigmatisierung offensichtlich wird. Eine Frau in Garmisch-Partenkirchen soll trotz Symptomen in Bars gegangen sein und dort angeblich viele Menschen angesteckt haben. Nichts davon ist sicher. Dass sie aber sie stigmatisiert wird, weil die Identität bekannt ist, ist relativ evident. 

Sind wir nicht zu überkritisch bei der Corona-App, wenn gleichzeitig viele andere Apps, die wir täglich nutzen. aus Datenschutz-Sicht mindestens genauso problematisch sind? 

Es geht da sehr stark um Vertrauen: Wie sehr vertraue ich dem Staat oder einem privaten Unternehmen, dass es mit meinen Daten sorgfältig umgeht? Wir haben in Europa eine lange Geschichte des Misstrauens gegenüber staatlichen Datenverarbeitungen – oft auch berechtigt. Diese Fragen spielen hier eine zentrale Rolle.

Wenn man sicher ist, dass der Staat nichts Böses mit den Daten tut, dann ist das Vertrauen höher – und man würde die App auch lieber verwenden.

Bei den Privaten ist es so: Man kann zwar über datenschutzrechtliche Fragen diskutieren, aber wirklich relevante Datenlecks gibt es in diesen Unternehmen selten. Denn das berührt ja den Kern ihres Geschäftsmodells. Wenn bei Google Millionen Nutzerdaten offen liegen, ist das ein echtes Problem für Google. Dass Google daneben mit den Daten alles Mögliche sonst tut und Geld verdient, ist auch ein Problem. Aber da sagen die Leute: Die Suchmaschine ist so praktisch, dass es mir das wert ist. 

Stehen öffentliche Gesundheit und Datenschutz in einem ewigen Widerspruch, den man nicht auflösen kann?

Vieles kann man lösen, indem man datenschutzfreundlich arbeitet und Datenschutz in die öffentlichen Gesundheitsapplikationen implementiert. Stichwörter in der Branche sind “Privacy by Design” und “Privacy by Default”, also Privatsphäre als Regelfalll. Das ist auch im Interesse des Gesundheitsdienste-Anbieters. Der will ja auch ein sicheres System haben.

Man kann Nutzen und Privatsphäre weitgehend gleichzeitig haben, aber am Ende des Tages muss man die Abwägung treffen: Lässt man etwa die Nutzung der Corona-App nur auf Grundlage einer Einwilligung zu oder schreibt man eine Verpflichtung ins Gesetz? Hier muss man letztlich Farbe bekennen. 

Bislang steht die Corona-App schlecht da. Gibt es überhaupt eine Chance, dass sie wirklich zum Einsatz kommt?

Das ist vor allem eine finanzielle Frage. Vor allen rechtlichen Fragen würde ich fragen: Was kostet das und was bringt es?

Die österreichische Corona-App hat rund zwei Millionen Euro gekostet, konnte aber bisher nur 10 Covid-19-positive Fälle durch Contact-Tracing finden. Zum Vergleich: Das sind die Kosten von mindestens 200.000 PCR-Test.

Wichtig ist zu klären, ob man das, was es kostet, nicht in einer epidemiologisch sinnvolleren Weise einsetzen kann. Das Geld könnte ja zum Beispiel im Verteilen von Masken oder zum Aufstellen von Babyelefanten verwendet werden. Erst nachdem klar ist, ob das Investment in der App wirklich gut angelegt ist, sollte man über die rechtliche Lösung nachdenken. Dann braucht es natürlich eine rechtliche Absicherung, damit der Einsatz wirklich freiwillig ist. Nur das kann meiner Meinung nach das Vertrauen herstellen, damit die Leute die App auch wirklich installieren. 

Das Thema "Datensicherheit" im Parlament