Die Corona-Warn-App

cwa_logo

Eigentlich, ja eigentlich sollte sich mein erster Beitrag mit dem Thema Digitalisierung an sich beschäftigen… Aber dann kam da ein Thema, mit dem ich mich einfach beschäftigen musste: die Corona-Warn-App.

Eigentlich fand ich das Thema ursprünglich eher uninteressant, weshalb ich nicht geplant hatte einen Blogartikel über die App zu verfassen. Getriggert haben mich dann aber einige Kommentare und Beiträge auf Instagram und LinkedIn, bspw. unter den Postings der Tagesschau, welche sich teilweise (wie für Social Media üblich) mit einer sehr verkürzten Sichtweise mit der Thematik auseinandergesetzt haben.

Natürlich habe ich mir nicht alle Kommentare und Beiträge zu dem Thema durchgelesen, daher kann ich auch schlecht ein allgemeines Stimmungs- oder Meinungsbild zu dieser App wiedergeben. Subjektiv würde ich sagen, die positiven sowie negativen Beiträge hielten sich die Waage, aber mit Letzteren soll sich dieser Beitrag beschäftigen.

Kritik an der App gab es auf mehreren Ebenen, zusammengefasst drehte es sich aber oft um einen oder mehrere der folgenden Punkte:

  • Die Kosten: Die Kosten der App (ca. 20 Millionen Euro) seien völlig überzogen und das Projekt hätte sehr viel kostengünstiger realisiert werden können.
  • Die Entwicklungsdauer
  • Die Effektivität: Die App leiste keinen Beitrag im Kampf gegen Covid-19.
  • Der Datenschutz: Die App sei lediglich dazu da, ihre Nutzer zu überwachen und Daten zu sammeln.
  • Das fehlende Vergabeverfahren
  • Die Auftragnehmer: Die Deutsche Telekom sowie SAP seien als Entwickler einer solchen App völlig ungeeignet, da hier die nötige Expertise fehle.


Gerade der letzte Punkt hat mich geärgert. In einem Beitrag von Carsten Maschmeyer auf LinkedIn spekuliert eben dieser, ob man die Entwicklung nicht gleich den Start-ups hätte überlassen sollen, diese seien es ja gewohnt durchzuarbeiten. Ahja.

Der Reihe nach: Was ist überhaupt die Corona-Warn-App und welchen Zweck soll sie erfüllen?

Die Corona-Warn-App wurde im Auftrag der deutschen Bundesregierung durch die Unternehmen SAP und Telekom entwickelt und soll im Grunde zum Schutz der Bevölkerung vor dem Virus SARS-CoV-2 beitragen. Dabei erhält der Nutzer einen persönlichen Risikostatus, indem Informationen über Begegnungen mit anderen App-Nutzern verschlüsselt ausgetauscht werden. Auf diese Art und Weise sollen Risikokontakte früher erkannt und Infektionsketten durchbrochen werden, wobei Nutzer auch für sie durchgeführte Coronatests in der App registrieren und die Ergebnisse über sie teilen können. Betreiber und Herausgeber der App ist das Robert Koch-Institut in Berlin.

Ist die Funktion zur Aufzeichnung von Kontakten aktiviert, so werden kontinuierlich Zufallscodes gesendet, welche von anderen App-Nutzern mit aktivierter Bluetooth-Funktion empfangen werden. Interessant dabei ist, dass die Kontaktfunktion selbst kein eigentlicher Bestandteil der App ist, sondern auf den Implementierungen entsprechender APIs in den Betriebssystemen von Android und iOS beruht. Im Falle Apple ist dies beispielsweise das Exposure Notification Framework.

Positiv getestete Nutzer der App können ihre Zufalls-IDs auf das, der App zugrunde liegende, Backendsystem hochladen und sie auf diesem Weg mit den Smartphones anderer Nutzer teilen. Die Kontaktaufzeichnungsfunktion der Smartphones vergleicht diese IDs mit den gespeicherten und meldet der App die Begegnungsdaten. Diese analysiert die Informationen und ermittelt auf Basis eines Algorithmus das Infektionsrisiko des Nutzers.

Kommen wir nun zu den Kritikpunkten:

Die Kosten

Die Kosten der App werden mit 20 Millionen Euro beziffert, allein für die Entwicklung. Hinzu kommen Betriebskosten zwischen 2,5 und 3,5 Millionen Euro, sodass man für 2020 und 2021 mit Kosten zwischen 45 und 63 Millionen Euro rechnet. Klingt viel, oder? Nun, dazu müssen wir uns folgende Dinge vor Augen führen:

  1. Entwicklung für zwei Plattformen: iOS und Android
  2. Aufsetzen eines geeigneten Backends
  3. Die Implementierung eines Bewertungsalgorithmus
  4. Die Anbindung von Testeinrichtungen an das Serversystem
  5. Die Entwicklung/Implementierung eines Tokenverfahrens
  6. Einrichtung der mehrsprachigen Hotline sowie
  7. die Implementierung des TeleTAN Verfahrens

Darüber hinaus muss die weitere Optimierung der App bedacht werden, um diese auch für ältere Smartphones nutzbar zu machen sowie die Implementierung einer länderübergreifenden Kompatibilität.

Ach ja, da wäre noch was:

Zu den oben genannten Punkten kommen natürlich mehrere Iterationen bei der Softwareentwicklung selbst, diese dürften mit Sicherheit allein deswegen durchgeführt worden sein, da der Quellcode Open Source ist und dadurch auch Vorschläge externer Fachleute mit eingeflossen sind.

Natürlich dürfen wir an dieser Stelle auch nicht die obligatorischen (Software-)tests sowie ein DSGVO konformes Design der Anwendung, die IT-Sicherheit sowie Wartung und Betrieb vergessen.

Noch ein letzter Aspekt: Durch die kurzfristige Entwicklung der App durch die beiden Unternehmen mussten entsprechend auch Ressourcen in Form von Fachkräften bereitgestellt werden, und jeder weiß ja wie breit gestreut die Anzahl besagter IT-Fachleute zurzeit ist. Was ich mit diesem Punkt sagen will: Hier entstehen Opportunitätskosten. Allein bei der Telekom beläuft sich die Zahl auf ca. 100 Mitarbeiter.

Wenn man sich all diese Punkte vor Augen führt, merkt man schnell, dass es keine so simple Rechnung ist, wie manch Kritiker es glauben machen will. Sicherlich sind 20 Millionen Euro immer noch ziemlich viel, aber dafür wurden die oben genannten Punkte auch in sehr kurzer Zeit und in guter Qualität umgesetzt.

Die Entwicklungsdauer

Die genaue Dauer der Entwicklung konnte ich bei meinen Recherchen nicht exakt bestimmen, die Angaben, die ich fand, liegen aber zwischen 42 und 50 Tagen, das sind rund 7 Wochen im schlechtesten Fall. Wenn man sich obige Punkte noch einmal in Erinnerung ruft, dann merkt man schnell, dass das Projekt in einer doch eher kurzen Zeitspanne umgesetzt wurde. Wir reden hier schließlich vom Punkt der Beauftragung bis zum Go-live.

Die Effektivität

An dieser Stelle möchte ich mich nicht zu weit aus dem Fenster lehnen, ob solch eine App sinnvoll und wirksam ist, werden Virologen und Ärzte besser beurteilen können. Klar ist, dass die App nur einen Aspekt der Strategie zur Bekämpfung von Corona darstellt, dies wurde allerdings auch nie anders behauptet.

Der Datenschutz

Kommen wir zum Thema Überwachung und Datenschutz. Im Zuge der Installation der App werden dem Nutzer die obligatorischen Datenschutzinformationen angezeigt. Laut dieser beruht die Nutzung der App auf Freiwilligkeit und man muss aktiv der personenbezogenen Verarbeitung von Daten zustimmen. Diese sei notwendig, damit die App im Rahmen der Kontaktfunktion die nötigen Informationen nutzen könne. Zusätzlich zu den oben erwähnten Zufallscodes sind dies das Datum und der Zeitpunkt eines Kontakts, die Dauer sowie einige technische Informationen. Diese Daten werden dann auf dem Smartphone des Nutzers gespeichert, hierbei ist nirgends von einem Upload oder einer zentralen Speicherung der Daten die Rede. Die App weist allerdings ausdrücklich darauf hin, dass die Verarbeitung der Informationen im Rahmen der Kontaktfunktion den Datenschutzbestimmungen der jeweiligen Unternehmen unterliegen, welche die entsprechende API implementiert haben. In diesem Fall also Google und Apple.

Besonders deutlich wird hervorgehoben, dass das für einen Nutzer ermittelte Infektionsrisiko offline berechnet wird und dieses auch nicht mit Dritten geteilt wird.

Die App verzichte außerdem auf jede Art von Tracking-Tools zur Analyse des Nutzungsverhaltens und ermittle auch sonst keine Daten, die Rückschlüsse auf die Identität, den Gesundheitsstatus oder den Standort des Nutzers zuließen.

Gespeicherte Daten werden im Fall der Zufalls-IDs nach 14 Tagen gelöscht, in anderen Fällen spätestens nach 21 Tagen oder nach Ermittlung eines neuen Risikowertes.

Nun kann man natürlich auch einer Datenschutzerklärung gegenüber misstrauisch sein, allerdings kommen wir dann unweigerlich zu den folgenden Punkten:

Durch den Open Source Charakter des Projekts haben alle, die es möchten, freien Zugriff auf den Quellcode der App. Unter anderem hat selbst der Chaos Computer Club keine Bedenken bezüglich der Verwendung der App geäußert, und die sind nicht gerade für ihr Lob an Digitalprojekten der Bundesregierung bekannt.

Das Vergabeverfahren

Explizit für die Corona-App konnte ich hier leider keine Information finden. Grundsätzlich gilt das Vergaberecht, allerdings gibt es Ausnahmen. In besonders schwerwiegenden und unvorhergesehenen Fällen können Aufträge bei entsprechender Dringlichkeit direkt an Dienstleister ohne einen Teilnahmewettbewerb vergeben werden. Solche Fälle waren in der Vergangenheit beispielsweise die Finanz- oder die Flüchtlingskrise.

Ich nehme an, dass auch hier eine ähnliche Regelung gegriffen und so eine schnelle Beauftragung möglich gemacht hat, wo das Projekt aufgrund seines zeitlichen Verzugs eh schon in der Kritik stand.

Die Auftragnehmer

Warum eigentlich Telekom und SAP? Mit Sicherheit gibt es auch gute Start-ups die solch ein Projekt vielleicht auch kostengünstiger gestemmt hätten, die Frage ist natürlich in welcher Zeit und in welcher Qualität abgeliefert worden wäre. Zudem muss man sich eins vor Augen halten: Läuft das Projekt schief, so müsste sich die Bundesregierung bei einer Vergabe an ein Start-up den Vorwurf der Blauäugigkeit gefallen lassen. Mit einer Vergabe an große etablierte Unternehmen verringert man also ein Stück weit das eigene Risiko.

Aber es ging bei diesem Kritikpunkt natürlich auch um die Kompetenz der Unternehmen. Ich kann mich nun schlecht für die Deutsche Telekom aus dem Fenster lehnen, allerdings kann ich das für SAP. Sicherlich war SAP lange Zeit nicht das Musterbeispiel an digitaler Innovation und mit Sicherheit ist hier auch noch Boden gutzumachen, allerdings hat sich SAP über die letzten Jahre gewandelt und geöffnet. Wer sich mit mobilen SAP-Lösungen auskennt, der weiß, welche Expertise hier sitzt. Der Walldorfer Konzern dürfte mit seinen auf den Fiori-Guidelines basierenden Anwendungen mehr mobile Apps entwickelt haben als viele deutsche Start-ups zusammen, allerdings sprechen wir hier vom B2B-Bereich und da werden neue Apps in meiner Wahrnehmung weniger medial gefeiert als vielleicht die neue hippe Food-App.

Um zu einem kleinen Fazit zu kommen: Wenn selbst der CCC nicht meckert, sondern von einer vorbildlichen Entwicklung spricht und diese Meinung auch auf breiter Ebene geteilt wird, wie beispielsweise von heise, dann sollte man vielleicht doch zweimal überlegen, bevor man undifferenziert Kritik übt 😉

PS: Für alle Interessierte habe ich hier einen Link zu einem reddit Thread eingefügt, in dem einige Fragen durch den SAP Entwickler Sebastian Wolf beantwortet werden. Scheinbar wurde auch bei der SAP nicht pünktlich Feierabend gemacht…

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.