Die Zukunft einer App lässt sich tief in ihrem Programmcode ablesen, ihrer sich ständig ändernden DNA. Zumindest, wenn er offen im Netz steht wie jener der Corona-Warn-App der Bundesregierung. Wer in der vergangenen Woche genau in den Code blickte, konnte dort quasi live beobachten, wie Programmierer an einer neuen Funktion basteln: Nutzer können sich künftig in Restaurants und auf Konzerten "einchecken", indem sie mit dem Handy einen ausgedruckten QR-Code abscannen. Wer danach positiv getestet wird, kann alle warnen, die ebenfalls mit der App eingecheckt sind. "Zeitnah nach Ostern" soll das laut Bundesgesundheitsministerium auf den Handys der Nation funktionieren.
Das ist deshalb besonders interessant, weil das Land Mecklenburg-Vorpommern am Freitag begonnen hat, für 440 000 Euro eine andere App einzusetzen, die fast genau das ebenfalls tut: Luca. Sie ist nur eines von vielen solchen Programmen, aber bekommt dank ihres Werbeträgers Smudo von den Fantastischen Vier viel Aufmerksamkeit.
Dass gebeutelte Gastronomie und Konzertbranche in solchen Apps einen Weg zu früheren Öffnungen sehen, ist nachvollziehbar. Doch der Fall zeigt auch, wie planlos die deutsche Politik in der Pandemie Software einkauft und einsetzt. Und wie schlecht die Corona-Warn-App des Bundes in die restliche Pandemie-Strategie eingebunden ist.
Im Unterschied zur Luca-App kann die Funktion, an der die Programmierer der Bundes-App derzeit arbeiten, nicht an die Gesundheitsämter angeschlossen werden. Das verhindert der starke Datenschutz der App. Denn zwei Ziele der deutschen Corona-Strategie stellen sich als inkompatibel heraus: Einerseits soll die App zur Nachverfolgung der Kontakte datensparsam sein. Andererseits sollen die Gesundheitsämter nach lokalen Ausbrüchen die Gäste von Veranstaltungen und Lokalen kontaktieren können.
Die Bundes-App warnt schon ohne Check-in-Funktion täglich Tausende Menschen. Keinerlei persönliche Daten werden zentral gespeichert. Vor allem aber ist die App eine Infrastruktur, auf die die genannte Eventregistrierung (auch "Clustererkennung" genannt) aufsetzen könnte. Die App ist schon auf 26 Millionen Handys installiert worden. Millionen Menschen könnten also schlagartig Kontaktverfolgungs-Technik in der Tasche haben, mit der sie ins Restaurant könnten. Mit Apps wie Luca fangen die Bundesländer nun aber wieder bei null an.
Denn die Politik hat sich in ein Dilemma manövriert: Die Corona-Warn-App wäre zwar der natürliche Kanal für die Eventregistrierung. Dafür müssten Jens Spahn und das RKI aber ihr Datenschutzversprechen brechen oder kreative Wege finden, trotz Datenschutz Gäste zu erfassen. Stattdessen führt nun der vorbildliche Datenschutz der Bundes-App dazu, dass die Länder Apps einkaufen, bei denen die Daten eben unter intransparenten Umständen übertragen werden.
Quasi über Bande werden im Hauruck-Verfahren Apps beschafft, die deutlich weniger transparent sind als die Bundes-Warn-App. In Mecklenburg-Vorpommern gab es nicht nur kein Ausschreibungsverfahren, auch Details der bisherigen Datenschutzprüfungen sind unbekannt. So kann die Gemeinde der Fachleute nicht überprüfen, wie sicher die App ist. Erst auf öffentlichen Druck hin versprachen die Macher von Luca, ihren Code Ende des Monats offenzulegen. Nur anhand des Codes aber könnte das Land feststellen, ob die App tut, was sie verspricht, und ob die Daten der Bürger sicher sind.
Kauft jedes Land seine eigene Check-in-App, hat man am Ende schlimmstenfalls 17 verschiedene QR-Codes - für 16 Apps der Länder und die Bundes-App - in einer Bar hängen, die Besuchern aus allen Bundesländern gerecht werden will (von ausländischen Touristen gar nicht erst zu reden). Das sieht dann zwar aus wie eine Ausstellung grobkörniger abstrakter Kunst, wäre aber ein Wildwuchs, der wieder einmal eine Frage aufwirft: Ziehen in der deutschen Pandemie-Bekämpfung Bund, Länder und Unternehmen am selben Strang?
Auch SAP und die Telekom, die für bis zu 69 Millionen Euro die Bundes-App entwickelt haben, erweisen sich bislang als wenig hilfreich: Sie haben der Bundesregierung zwar angeboten, externe Apps wie Luca in die Bundes-App einzubinden oder diese selbst eben persönliche Daten erfassen zu lassen. Eine Entscheidung darüber ist immer noch nicht gefallen, obwohl seit dem Sommer klar ist, dass die Erfassung von Kneipengästen und Konzertgängern digital geschehen muss, um die Zettelwirtschaft zu beenden. Zettel, in die viele Menschen ohnehin nur die Namen von Zeichentrickfiguren eintragen.
Zum drohenden Dschungel aus Apps passt, dass die Bundesregierung von Fachleuten verdächtigt wird, sich beim digitalen Impfnachweis mit dem berüchtigtsten "Buzzword" der Tech-Branche das Geld aus der Tasche locken zu lassen: die Rede ist natürlich von der Blockchain. Gleich fünf dieser digitalen Prüf-Verzeichnisse soll der neue Impfausweis verwenden. Mehrwert: unklar.
Das muss eine Lehre aus der Pandemie sein: Das Digitale ist kein Bonus, weil man eben eine App haben muss. Software muss zentral in die Strategie eingebunden werden. Stattdessen werden jetzt wild intransparente Apps ein- und als Weg in die Freiheit verkauft. Es ist wohl so, wie Smudo einst rappte: "Wahrscheinlich finden sie es funky, obwohl es gar nicht funky ist."
