Corona-App

From
Jump to: navigation, search

Contents

Die Corona-App und das Recht auf Anonymes Reisen[edit]

Todo: Kann mir jemand die Archetypen zeichnen?


Worum geht's hier?[edit]

Wir haben April 2020 als ich dieses schreibe, und die Welt ist im Corona-Lockdown.

Derzeit wird diskutiert, ob man Zeit gewinnen kann bei der Erkennung von Erkrankungen, indem man mittels einer zu erstellenden App für Handys die Kontakte nachträglich ermittelt.

Dabei stellen einige Menschen sich und anderen die Frage, ob man beim Datenschutz in solchen Zeiten nicht Abstriche machen sollte.

Ich möchte dazu auf dieser Seite meine Gedanken zusammentragen.


Was hat Corona mit Autonym zu tun?[edit]

Nun, sehr viel. Autonym stellt die Forderung nach anonymer Reisefreiheit für alle, und das ist natürlich eine zeitlich nicht eingeschränkte Forderung.

In Zeiten von Corona ist bereits die Reisefreiheit eingeschränkt in einem Maße, dass man sich vorher nicht vorstellen konnte.

Nun gibt es die Forderung nach einer "Corona-App", die zusätzlich die Anonymität beim Reisen einschränken soll.

Das ist also genau ein Thema für Autonym. (Wir treffen uns übrigens nun online...)


Heiligt der Zweck die Mittel?[edit]

Als man mich fragte, ob man beim Datenschutz in diesen Zeiten nicht Abstriche machen müsste und wenn welche, habe ich geantwortet: "Und wenn es einen großen Computerviren-Ausbruch gibt, welche Hygiene-Richtlinien in Krankenhäusern fallen dann weg?"

Damit möchte ich zum Ausdruck bringen, dass Datenschutz und Pandemie-Prävention zwei völlig unabhängige Themenbereiche sind, die sich nicht beeinflussend überschneiden.

Im Gegenteil, in Zeiten, wo man vermehrt über das Internet bestellt, ist es so wichtig wie nie zuvor, dass z.B. die Kreditkartendaten nicht in falsche Hände gelangen.

Es ist wichtiger als je zuvor, dass Arbeitgeber die Auswahl der Neueinstellungen nicht nach bekannt gewordenen Gesundheitsdaten durchführen können, wie z.B. ob jemand die Infektion Covid-19 bereits durchgemacht hat.

Mehr Missbrauchsbeispiele weiter unten.


Von welcher App schreibe ich hier?[edit]

Ich beziehe mich bei meinen Abwägungen auf die in Diskussion befindliche Corona-Warn-App für Europa, die von Prof. Dr. Drosten, Virologe der Charité, im täglichen Podcast (Folge nachtragen todo) "Corona Update" des Norddeutschen Rundfunks beschrieben hat.

Beauftragt wurden zur Erstellung der App die Deutsche Telekom und SAP.

Meine Annahmen dazu weiter unten.

Ich beziehe mich nicht auf die "Datenspende-App", die bereits auf dem Markt ist, bei der mittels Fitness-Armbändern eine Diagnostik versucht wird.

Ich beziehe mich auch nicht auf die Weitergabe von Handy-Bewegungsprofilen, wie in [1] beschrieben.


Wie soll die App funktionieren?[edit]

Ich habe die Funktionsweise der App zur Ermittlung von Infektionsketten aus dem Podcast folgendermaßen entnommen:

  1. So viele Personen wie möglich sollen die gleiche App auf ihrem Smartphone betreiben, die benachbarte Handys mit derselben App im Umkreis von Bluetooth-Reichweite (ca. 10m) gegenseitig detektieren mit Zeitpunkt und Dauer, um so nach Auftreten von Symptomen oder der erfolgten positiven Diagnostik auf Covid-19 Kontakte zurückverfolgen zu können.
  2. Dabei werden die Benutzer pseudonymisiert, d.h. nicht Name, Handy-IMEI oder Telefonnummer werden ausgetauscht, sondern eine nicht rückverfolgbare Benutzer-ID.
  3. Der Benutzer soll als alleiniges Ortungs-Merkmal seine Postleitzahl eingeben. Es sollen keine GPS oder Funkmast-Daten erhoben werden.
  4. Die App soll auf Smartphones verschiedener Betriebssysteme mit Bluetooth Low Energy (BLE) funktionieren.
  5. Es wird angenommen, dass der (alleinige) Benutzer des Handys es stets dabei hat und ausreichenden Ladezustand sicherstellt. (Das hat bisher niemand gefordert, ist aber implizit erforderlich)
  6. Es wird angenommen, dass ein ausreichend großer Anteil der Bevölkerung (a) ein solches Handy hat (b) damit hinreichend in den angebotenen Sprachen umgehen kann und (c) das Modell mit der Software kompatibel ist.
  7. Es wird angenommen, dass kein kritischer relevanter großer Anteil der Bevölkerung hierbei ausgeschlossen wird (Kinder? Alte?)
  8. Es wird angenommen, dass dieser Bevölkerungsanteil ein Interesse an der Teilnahme hat.
  9. Es wird angenommen, dass besonders relevante Bevölkerungsteile (Risikopatienten, Pflege- und Medizinisches Personal, Systemrelevante Berufe) erreicht werden.
  10. Es wird angenommen, dass Benutzer wahrheitsgemäß ihre Symptome oder Diagnosen eintragen. (Siehe unten zweiter Nachtrag)
  11. Es wird angenommen, dass die Nähe der Handys und der Zeitraum der Zusammenkunft mit der Übertragungswahrscheinlichkeit des Virus sinnvoll korreliert. (Habe noch nicht von Bluetooth gehört, dass sich durch OP-Masken oder Wänden blocken lässt. Oder von Patienten, die Ihr Smartphone mit in den OP nehmen.)
  12. Der App-Anbieter, Ärzte oder Ermittlungsbehörden sollen keinen Zugriff auf die einzelnen Daten haben.
  13. Die App soll einem Benutzer anzeigen, falls einer seiner Kontakte aus der Vergangenheit eine Positive Diagnose oder ggf. auch nur Symptome eingetragen hat, damit dieser sind freiwillig in Quarantäne begeben kann und dies auch wirklich tut.
  14. Die App-Anzeige kann optional benutzt werden, um den Arbeitgeber um Freistellung oder Home-Office zu bitten.
  15. Das sagt keiner, vermutlich aufgrund knapper Kapazitäten: Die App-Anzeige könnte benutzt werden, um einen Corona-Test zu bekommen, im Gegensatz zu Leuten, die keinen Kontakt zu einem Infizierten hatten oder davon nicht wissen.
  16. Es wird angenommen, dass die Benutzer alle in die Datenschutzerklärung einwilligen und die nach DSGVO als besonders schützenswert eingestuften Gesundheitsdaten auf "freiwilliger" Basis herausgeben.
  17. Um eine Nötigung (Handlung, Duldung oder Unterlassung) zu verhindern, darf die App eigentlich NICHT dazu führen, dass man allein durch sie einen wichtigen Vorteil verpasst oder eine wichtigen Nachteil erlangt.

Was sagen andere dazu?[edit]

Wie man eine Software gewissenhaft entwirft (und dabei Probleme RECHTZEITIG aufdeckt)[edit]

Softwareentwurf Schritt 1: Zieldefinition[edit]

Ich tue mal so, als wäre es meine Aufgabe meinen Kunden zu beraten bei der Planung der Corona-Warn-App.

Schritt 1 ist dabei immer die Klärung des Zieles, denn nur wenn man das Ziel am Anfang des Projektes klar definiert hat, kann man am Ende Erfolg oder Misserfolg bemessen.

Bei Softwareprojekten ist es nämlich symptomatisch, dass sich die Ziele mit dem Wissenszugewinn der Parteien Auftraggeber und Auftragnehmer ändern.

(Witz: "Ja, das Richtfest war toll. Das Haus gefällt mir wirklich gut, danke, dass Sie es für mich gebaut haben. Nur noch eine kleine Änderung, bitte: Drehen Sie es doch um 90°."

So ein Verhalten des Auftraggebers ist bei Softwareprojekten leider häufig. Und das Drehen eines Hauses um 90° nach dem Richtfest ist nur genauso absurd wie so manche Forderung zum Umprogrammieren im letzten Augenblick.)

Wie sieht es also aus mit der Zieldefinition der Corona-App?

Nicht so gut, wie ich meine. Ich treffe viele Annahmen, und es ist unklar, welcher Nutzen konkret für welchen Benutzer sich ergibt.

Solange nicht geklärt ist, welche Ziele genau erreicht werden sollen, kann man nicht sinnvoll losprogrammieren.

Mindestens sollte geklärt sein, welche Eingangsdaten und welche Ausgangsdaten jeweils bereitgestellt werden sollen.


Softwareentwurf Schritt 2 und 3: Stakeholder und Personas[edit]

Wenn man zwischen Auftraggeber (Geldgeber) und Auftragnehmer (Programmierer-Team) eine Einigung über die Ziele einer Software erlangt hat, dann identifiziert man in der Regel die Stakeholder, also Personen und Institutionen, die gewiss oder möglicherweise positiven oder negativen Einfluss auf den Ausgang des Projektes haben können.

Man schätzt Ihre Macht ein, Ihre Haltung zum Projekt und mit welcher Wahrscheinlichkeit Auswirkungen eintreten. Danach überlegt man sich, ob man Maßnahmen zur Verbesserung der Situation ergreifen kann.

Ich vermische das hier mal mit dem nächsten Schritt, um Abzukürzen.

Hiernach überlegt man sich Archetypen von Benutzern und Einflussnehmern, und versetzt sich in ihre Rollen, die dabei gerne auch überzeichnet werden dürfen. So ein Rollenmodell nennt man "Persona".

Wie sieht es denn so aus mit den Einflussnehmern bei der Corona-App?

Hier folgt meine erste Liste dazu, ohne jeden Anspruch auf Vollständigkeit.


Stakeholder: Angela Auftraggeberin[edit]

Angela Auftraggeberin hat das Gemeinwohl im Sinn und wenn die aktuell durchs Dorf getriebene Sau eine App ist, dann ist das halt auch ihr Thema. Wichtig ist ihr vor allem, dass es eine gemeinsame europäische Lösung gibt. Das bedeutet dann wohl Mehrsprachigkeit für die App... Möglicherweise ist sie für die Freigabe des Budgets mitverantwortlich.


Stakeholder: Gustav Gutgemeint[edit]

Gustav Gutgemeint will, dass das Virus schnell und wirksam eingedämmt wird. Während es immer noch keine verlässlichen Zahlen über die Ausbreitung gibt, weil es keine verlässlichen Studien gibt, gutglaubt er mal an den "aktuellen Wissensstand". Demnach ist man besonders Ansteckend bevor man das erste Mal hustet. Er ist erstmal für die App und unterstützt sie auch durch seine Postings in Social Media. Ob die Fakten richtig sind, weiß er nicht. Und ob die Tests nicht vielleicht besonders viele falsch-negative ergibt... ach, was weiß er schon. Aktionismus ist gut, vielleicht kann man ja dann früher die Kontaktbeschränkungen lockern.

(Es muss übrigens "physical distancing" heißen, nicht "social distancing." Gruß an Eure Englisch-Lehrer, Ihr Dumpfbacken.)


Stakeholder: Gerd Gesund[edit]

Gerd Gesund hat nichts. Kein Corona, keine Erkältung, keine Vorerkrankung. Keine Großmutter. Er hat keinen Systemkritischen Beruf und keine Laufkundschaft. Und keine German Angst. Er bleibt zuhause, weil er ein guter Bürger ist und sich fügt. Homeoffice geht für ihn.

Ob Gerd wohl eine App installiert?


Stakeholder: Cordula Corona[edit]

Cordula Corona hat's schon. Als die App rauskommt, ist sie schon krank. Sie hustet seit 5 Tagen trocken und hat 38,0°.

Weil sie die Adresse, die Telefonnummer, die Schuhgröße und die Schürsenkellänge desjenigen nicht weiß, der sie angesteckt hat, bekommt sie keinen Test.

Da lohnt auch der Weg zum Arzt nicht. Sie ist telefonisch krankgeschrieben und hat sich selbst quarantänisiert.

Sie lebt auf Klopapier von Amazon, Hustentee und Vitamin C.

Vermutlich installiert sie die App, trägt ihre Symptome ein und hofft, dass sie damit endlich einen Test bekommt.

Dass der Test nach 5 Tagen vermutlich eh "negativ" anzeigt, ist ihr nicht klar.

Achwas, Selbstquarantäne, zum Bäcker geht sie doch.

Was macht die App mit Leuten, die sich nach der Installation gleich auf "krank" setzen? Da kann sie ja auch keine Schnürsenkellänge ermitteln...

Bestimmungsgemäßer Gebrauch funktioniert nicht für Cordula.


Stakeholder: Erhard Erkältet[edit]

Erhard geht's wie Cordula. Er ist krank, hustet und hat Fieber. Nur Corona hat er nicht, es ist ne stinknormale Grippe.

Tja. Wie unterscheidet die App da jetzt? Schickt sie Erhards Kontakte in die Quarantäne?

Das ist wohl abhängig von der "momentanen Konfiguration", bei der der Betreiber abhängig von der Krankenhausüberlastung die App schärfer stellen kann, entweder nur auf "hat positiv getestet eingetragen", oder schon auf "hat Symptome eingetragen".


Stakeholder: Polly positiv[edit]

Polly geht's wie Cordula und Erhard, sie ist krank. Nur dass sie wissen wollte, woran sie ist, und das zufällig echt früh. Vielleicht hat sie eine Großmutter.

Sie hat keine Ahnung, von wem sie Corona hat.

Polly ist zum Arzt gegangen und hat für 58,28€ den Test selbst bezahlt. Und, wer hätte das gedacht: Auch ohne Schuhgrößen-Bekanntheit war sie positiv auf Covid. (Wird die Kasse dann wohl doch bezahlen müssen... )

Sie ist also in Quarantäne geschickt worden. Ihre Kontakte hat sie durchtelefoniert, damit die wenigstens den Test nicht bezahlen müssen.

Ob sie die App jetzt installiert macht für sie keinen Unterschied, für ihre Kontakte der vergangenen Tage auch nicht.

Vielleicht installiert sie die App und dokumentiert darin ihren demnächst anstehenden negativen Test. Wäre ja cool, wenn man nachweisen kann, dass man es schon hatte.

Das sehen Arbeitgeber bestimmt gern in den nächsten Monaten.

Achso. Naja, also für ihre Nachbarn macht es einen Unterschied. Die wohnen hinter einer Wand und haben Polly seit Wochen nicht im Flur getroffen, aber das weiß Bluetooth Low Energy nicht.

Die mit der App dürfen jetzt alle zum Arzt rennen und sich testen lassen. Cool. Test für lau. Hoffentlich stecken die sich nicht in der Warteschlange an.

Bestimmungsgemäßer Gebrauch hat keinen wirksamen Unterschied für Polly oder ihre echten Kontakte. Nur ihre Bluetooth Kontakte bekommen jetzt einen Test geschenkt. Immerhin was.


Stakeholder: Harry Hypochonder[edit]

Harry war erkältet, aber natürlich ist er davon überzeugt, dass er Corona hatte.

Er hat sich sogar testen lassen, aber der Test war natürlich negativ. Falsch-Negativ. Da ist er sich sicher.

Eine App braucht er nicht. Er hat es ja schon gehabt. Meint er.


Stakeholder: Viktoria Virologin[edit]

Viktoria Virologin tappt im Dunkeln. Weil die Tests knapp sind, kann kein zufällig ausgewählter Bevölkerungsquerschnitt getestet werden. Nur wer seinen Anstecker kennt, bekommt den Test.

Viktoria ist nicht doof, ihr ist schon klar, dass jeder einzelne nicht ermittelte Angesteckte einen Schneeball-Effekt an Dunkelziffer erzeugt.

Viktoria weiß auch, dass sie im Moment mehr so testet, wie die Testkapazitäten hochgefahren werden (Denkt mal drüber nach. Auch ein Test auf Schwangerschaft nimmt einen Exponentiellen Verlauf, wenn frau nur dann einen Test bekommt, wenn sie Kontakt zu einer anderen Schwangeren hatte...)

Aber etwas Besseres hat sie im Moment nicht. Es wäre schon cool und vielleicht sogar hilfreich, wenn sie eine Statistik bekäme, wie viele Leute Symptome haben, denn sie weiß, dass sich die normalen Lungenentzündungen auch im Moment oft nicht zum Arzt trauen.

Sie möchte eine Landkartendarstellung mit Einfärbung von gehäuften Einträgen, natürlich normiert auf die Einwohnerdichte und App-Dichte, damit sie die Situation besser einschätzen kann.

Sie weiß, dass der Lockdown schnell endet oder in einer Revolution endet. Sie weiß auch, dass es noch weitere Wellen geben wird. Alles Kacke.

Unter welchen Bedingungen bekommt eigentlich ein Virologe - sagen wir mal, ein Malaria-Spezialist - den Zugriff auf solche Daten? Braucht der die überhaupt?


Stakeholder: Petra Personalabteilung[edit]

Petra ist gesund. Topfit. Sie ist Leiterin der Abteilung Human Ressources und hat alles im Griff. Probezeitler und Hilfskräfte sind gekündigt, Fördermittel sind beantragt, Kurzarbeit ist angemeldet.

Seit Homeoffice wird auch das Büro nicht mehr geputzt. (Es stapeln sich nur diverse Großpakete mit dem billigen harten Klopapier, da ist ihre Kollegin Bärbel Büroangestellte nicht aus dem Abo-Vertrag rausgekommen.)

Petra freut sich über viele neue qualifizierte Bewerber, die bei der Konkurrenz rausgeflogen sind in der Krise.

Wenn sie nur herausfinden könnte, wer von denen mit dem Virus schon durch ist... Moment, das ist einfach. Einfach selbst die App installieren und sich auf "positiv getestet" setzen.

Alle, die dann eine Woche nach dem persönlichen Bewerbungsgespräch nicht in Quarantäne sind, die hatten es schon.

Das reduziert den Krankenstand. Die kann sie einstellen. Wie geil! Besonders Schützenswerte Personenbezogene Gesundheitsdaten zum Nulltarif.

Sie bestellt schnell noch 4 weitere Handys und nimmt 12 Rollen mit nach Hause und berechnet ihren Bonus für dieses Jahr.

Merke: Die Annahme, dass jeder wahrheitsgemäße Daten einträgt, ist Bullshit.

Missbräuchliche Benutzung der App? Funktioniert für Petra.

Siehe unten Nachtrag 2.


Stakeholder: Eddie Einbrecher[edit]

Oh Mist, Eddie bricht das Geschäft mit den Einfamilienhäusern weg. Nicht nur, dass alle zu Hause sitzen und bis tief in die Nacht bingewatchen.

Auch sein Hehler steht nicht mehr an der Straßenecke rum und lässt keinen mehr rein in seinen Antik-Ramsch-Laden.

Egal, dann gucken wir mal nach lohnenswerten Geschäfts-Immobilien.

Einfach ein Handy mit der App und eigenem Status "positiv getestet" für ein paar Stunden im ausbaldowerten Laden "vergessen".

Achwas, was heißt schon drin. Bluetooth kennt die Wand nicht und das Handy klebt auch außen hinter der Regenrinne.

Der Einbruch ist dann in der kommenden Woche, wenn der Laden zu ist wegen Quarantäne aller Mitarbeiter.

Läuft bei Eddie.

Zur Erinnerung: Die Annahme, dass jeder wahrheitsgemäße Daten einträgt, ist Bullshit.

Missbräuchliche Benutzung der App? Funktioniert für Eddie.

Siehe unten Nachtrag 2.


Stakeholder: Ronald Randale[edit]

Ronald ist 16 und pubertiert mächtig rum. Ihm ist langweilig. Da steigt er auf das Dach des örtlichen Alten- und Pflegeheims.

Er macht ein paar Selfies. Und lässt dann das Handy mit der App neben dem Schornstein für ein paar Stunden.

Mit seinem anderen Handy macht er dann Fotos von dem verzweifelten Horst Heimleiter, bei dem sich innerhalb von 2 Stunden alle Pflegekräfte krank gemeldet haben.

Horst sitzt vor dem Heim und heult, als der Arzt mit dem ABC-Schutz-Anzug und den Teststäbchen anrückt, um 100 Patienten zu testen. Und Horst.

Ihr habt es Euch sicher schon gedacht, was Ronald als seinen Status eingetragen hatte.

Denn Ihr wisst schon: Die Annahme, dass jeder wahrheitsgemäße Daten einträgt, ist Bullshit.

Missbräuchliche Benutzung der App? Funktioniert für Ronald.

Siehe unten Nachtrag 2-


Stakeholder: Agathe Altenheim[edit]

Agathe Altenheim ist das Prachtexemplar des Risikopatienten. Sie ist 80. Sie ist nicht besonders krank, braucht nur Hilfe weil die Beine nicht mehr mitspielen.

Aber mit 80 hat man halt seine geriatrischen Vorerkrankungen beisammen. Hier ein bisschen Blutdruck, da ein bisschen Wasser, vielleicht eine leicht vernarbte Lunge von der Lungenentzündung im Krieg.

Agathe bekommt im Moment keinen Besuch mehr, aber sie hat ja ihr Telefon. Es hat ein Spiralkabel und steht auf dem Nachttisch neben dem Pflegebett.

An ihrem Handgelenk ist keine Fitness-Uhr sondern so ein Sturz-Detektor. Vielleicht hat sie schon ein Handy. Dann hat es besonders große Zahlen auf den Tasten. Wenn man es zuklappt, legt man auf.

Ihr Handy hat kein Betriebssystem, keine Update und keinen Appstore. Man kann damit telefonieren. Hey, es hat nicht nur kein WLAN, es hat auch kein Tethering und kein Bluetooth. Low Energy schon gar nicht.

Wischen ist ihr fremd. Touchscreens sind ihr fremd.

Manchmal fragt sie ihre Tochter, was das ist, so eine App.

Die antwortet dann, "Wenn Du mit SMS lesen endlich klar kommst, Mutti, dann bekommst Du ein Handy, was sowas kann. Aber eigentlich brauchst Du das nicht".

Agathes Wetter-App heißt NDR 1 Nachrichten oder die Tagesschau.

Agathe wäre voll die Zielgruppe. Aber Agathe ist 80. Das wird nix mit Smartphone.

Bestimmungsgemäßer Gebraucht der App? Funktioniert nicht für Agathe.


Stakeholder: Charlotte Chronisch[edit]

Charlotte ist schon länger krank. Sie hat irgendeinen Scheiß, wegen dem sie regelmäßig medizinische Hilfe braucht.

Vielleicht hat sie wöchentliche Termine für ihre Chemotherapie.

Oder sie muss zur Lymphdrainage.

Oder zur Dialyse.

Charlotte muss dann mit den öffentlichen Verkehrsmitteln fahren.

Daher ist ihre App schnell rot.

Wenn sie sich jetzt Corona einfängt, hat sie ein hohes Risiko zu sterben.

Wenn sie jetzt zu Hause bleibt, aber auch.

Die App macht keinen Unterschied für Charlotte. Sie ist in einer Lose-Lose-Situation.

Bestimmungsgemäßer Grabrauch der App? Funktioniert kaum für Charlotte.


Stakeholder: Kimberly Kindergarten[edit]

Kimberly ist 6. Sie kommt bald in die Schule. Im Moment wäre sie im Kindergarten. Wenn Kindergarten wäre.

Kimberly ist mit ihrem kleinen Körper ganz hervorragend in der Lage, einen Virus zu transportieren.

Auf ein Handy aufpassen kann sie nicht. Doof irgendwie.

Und wenn sie vom Spielplatz ausgebüchst ist um den Hund Vasco des Nachbarn zu streicheln, und danach hustet...

dann kann sie ihre Kontakte nicht rekonstruieren.

Funktioniert nicht für Kimberly, die App.

Für Vasco Virenüberträger genauso wenig. Wuff!


Stakeholder: Hannelore Hausärztin[edit]

Hannelore führt Ihre Praxis vorbildlich: Sie hat mitgedacht und Masken und Schutzkleidung bestellt, als Sie im Januar TV über Wuhan geguckt hat. Sie hat genug da. Ihr Smartphone hat sie bei sich, schließlich muss sie im Notfall erreichbar sein.

Die App installiert sie nicht. Ständig hat sie mit Patienten zu tun, die infiziert sein könnten, und sie hofft, dass ihre Schutzkleidung schützt.

Sie teilt auch Diagnosen mit. Wenn sie sich nach der App richten würde, wären sie und ihre Angestellten in Dauer-Quarantäne und die Praxis wäre zu.

Dabei hat sie eigentlich frech ihr Hausrecht ausgeübt und verbietet die Handybenutzung in der Praxis.

Bestimmungsgemäßer gebrauch der App? Funktioniert für Hannelore nicht.


Stakeholder: Lars Laborant[edit]

Lars macht gerade Doppelschichten. Mit Schutzkleidung führt er die Tests auf Corona im Labor durch.

Leute trifft er nicht, bei denen er sich anstecken könnte, da hat er gar keine Zeit für. Jemand kauft für ihn ein.

Falls echt was schiefgeht, und er sich an einer Probe infiziert, hilft ihm die App auch nicht.

Bestimmungsgemäßer Gebrauch der App? Funktioniert nicht so wirklich für Lars.


Stakeholder: Bernd Blaumacher[edit]

Bernd ist Schüler, Beruffschüler oder arbeitet. Egal. Er hat keinen Bock darauf und will lieber zu Hause bleiben.

Er benutzt sein Handy und ein zweites, was er noch rumliegen hatte.

Das eine setzt er auf infiziert, das zweite zeigt er beim Chef vor, damit er daheim bleiben kann.

Merke: Bei Pseudonymisierter Software kann man Doppel-Registrierung oder Identitätsklau nicht beherrschen.

Missbräuchlicher Gebrauch der App? Funktioniert für Bernd.

Siehe unten Nachtrag 2.


Stakeholder: Nadine Nachbarin[edit]

Nadine wohnt im Hochhaus. Im Erdgeschoss. Neben dem Fahrstuhl.

Ständig stehen da Leute vor dem Fahrstuhl und warten. Manchmal ziemlich lange. Und natürlich immer wieder.

Unter ihrer Wohnung ist die Waschküche. Da halten sich die Nachbarn schon mal ne Stunde auf, bis die Maschine durch ist.

Nadines App wird nicht mehr grün. Angeblich hat sie ständig Kontakt mit Infizierten.

Denn das Bluetooth Low Energy ihrer App kennt die Wand nicht.

Irgendwann geht sie wieder zur Arbeit, weil sie Angst hat, dass sie sonst gekündigt wird.

Bestimmungsgemäßer Gebrauch der App? Funktioniert für Nadine überhaupt nicht.


Stakeholder: Hannes Handycap[edit]

Hannes hat eine Behinderung. Er hat ein Smartphone, dass er gut benutzen kann, wenn die Programmierer mitgedacht haben.

Es gibt eine Norm für Barrierefreiheit. Es ist einfach, sie einzuhalten.

Dann kann er wenn er blind ist, die Sprachausgabe benutzen.

Oder wenn er zittrige Hände hat, kann er ohne Wischen arbeiten und die Spracheingabe nehmen.

Oder so ähnlich.

Upps. Die andere App, die Datenspende-App, die ist schon mal nicht barrierefrei.

Hören wir mal, ob diese es sein wird.

Nachtrag: Barrierefreiheit steht in den Anforderungen für die Corona-Warn-App. Sie sollte also für Hannes funktionieren.


Stakeholder: Daniel Datenschutz[edit]

Daniel ist ein aufgeweckter Kerl, der sich in der Vergangenheit schonmal mit Datenschutz auseinandergesetzt hat.

Ihm ist bewusst, dass Gesundheitsdaten zu den besonders schützenswerten personenbezogenen Daten gehören.

Er hat ein passendes Handy.

Er installiert die App nicht. Geht niemanden was an, ob er krank ist.

App? Funktioniert nicht für Daniel.


Stakeholder: Holger Homeoffice[edit]

Holger bleibt daheim. Er muss weiter arbeiten, seine Chefin hat Homeoffice angesagt.

Er geht gelegentlich einkaufen. Holger ist fit und gesund, eigentlich ist es ihm egal, ob er Corona bekommt oder nicht.

Er rechnet sich aber aus, dass es geschickter wäre, wenn man während des großen Lockdowns mit dem Thema durch ist.

Das macht sich besser beim Arbeitgeber später. (Jaja, er kennt Petra).

Da stellt er seinen Status lieber mal auf symptomatisch, dann kann er das später zum Nachweis benutzen, wenn man als nicht Immunisierter später Nachteile erleidet.

Holger möchte nämlich bald wieder raus. Ihm fällt die Decke auf den Kopf.

Missbräuchliche Benutzung der App? Funktioniert für Holger.

Siehe unten Nachtrag 2.


Stakeholder: Leif Leichtsinnig[edit]

Leif ist fit und gesund, aber bewirbt sich gerade um einen neuen Job. (Vielleicht ist er von Petra genervt?)

Er sieht voraus, dass Immunisierte in einer der nächsten Pandemiephasen wohl Erleichterungen einfordern können.

Daher will er sich schnell infizieren, damit er später diese Vorteile wahrnehmen kann.

Und beim nächsten Arbeitgeber kommt das auch gut an, wenn man schon immunisiert ist.

In den Nachrichten und Statistiken schaut er nach, wo die Verbreitung gerade groß ist. Dafür braucht er die App nicht.

Dort geht er einkaufen und leckt Einkaufswagen ab.

Die App hofft er, ist nachher Nachweis genug, denn bestimmt hat wird er einen symptomfreien oder leichten Verlauf.

Hoffen wir, dass Leif keine Vorerkrankung hat, von der er nichts weiß.

Oder dass er keine Doppelinfektion mit Corona und einer anderen Lungenentzündung gleichzeitig bekommt.

App? Jo, die App hilft durch die Statistiken in den Nachrichten Leif für seinen Leichtsinn.


Stakeholder: Volker Vorerkrankt[edit]

Volker hat was. Irgendwas. Herz. Lunge. Diabetes. Vielleicht ist er auch nur Raucher.

Eigentlich müsste er zu Hause bleiben, aber naja, der Job.

Er installiert sich die App, weil er hofft, dass sie ihn rechtzeitig warnt, falls er sich Corona eingefangen hat.

Kaum läuft er ein paar Tage damit herum, haben Petra, Ronald, Eddie (und vielleicht auch Cordula?!?!) erreicht, dass seine App ihn warnt.

Bleibt er jetzt zu Hause? Eigentlich ist alles wie vorher. Er entscheidet sich für den Job.

App? Funktioniert nicht für ihn.


Stakeholder: Andreas Abstand[edit]

Andreas hat die App installiert, und er achtet akribisch darauf, dass er niemandem zu Nahe kommt.

Beim Spazierengehen wechselt er die Straßenseite, wenn ihm jemand begegnet.

Sein Essen lässt er liefern und macht dabei die Tür nicht auf.

Manchmal fährt er mit dem Auto umher, weil er es drinnen nicht so lange aushält. Innen-Umluft-Modus, natürlich.

Andreas weicht erfolgreich jedem herumgehusteten Virus aus.

Seine App ist rot. Bluetooth Low Energy kann über 10 Meter.

Beim Spazierengehen im Viertel und Herumfahren mit dem Auto hat sein Handy Kontakt zu Hunderten Handys, die in den Wohnungen rumliegen.

Bestimmungsgemäßer Gebrauch der App? Funktioniert nicht für Andreas.

Nachtrag Mai 2020:

Bluetooth Low Energy vor Corona kann keine Entfernung einschätzen.

Nun sind Updates geplant, die Bluetooth Low Energy verbessern.

Dazu soll ein Bluetooth Low Energy Handy zusätzlich senden, wie stark seine Sendeleistung ist, damit der Empfänger die Entfernung (oder auch Wand-Abschirmung) schätzen kann.

Dazu ist folgendes nötig:

  • Firmware-Update beim sendenden Smartphone
  • Betriebssystem-Update beim sendenden Smartphone
  • Firmware-Update beim empfangenden Smartphone
  • Betriebssystem-Update beim empfangenden Smartphone

Für jedes einzelnde Handy Modell muss dabei das passende Firmware-Update vom Hersteller bereitgestellt sein!

Entweder schränkt das also die möglichen Handy-Modelle stark ein, oder die Kontakt-Schätzung bleibt extrem ungenau.


Stakeholder: Norbert Normalbenutzer[edit]

Ach ja, und dann gibt es da noch Norbert.

Norbert installiert sich die App, weil er sie für eine gute Sache hält, und benutzt sie bestimmungsgemäß.

Leider ist sie schnell rot geworden für ihn. Er will sich testen lassen.

Blöd nur, dass gar nicht genug Tests vorhanden sind. Er bekommt keinen.

Er bleibt zu Hause.

Norbert überlegt sich, neben wem er wohnen könnte. Petra? Cordula? Eddie? Oder hat er neben jemandem eingekauft, der keine App hat?

Irgendwann bekommt er Symptome und trägt sie ein.

Er bekommt immer noch keinen Test, denn Tests sind knapp. Insbesondere seit jeder, der die App hat, meint, dass er einen Test braucht.

Norbert wartet ein paar Tage und fühlt sich schlechter. Er hat Fieber und kann nun endlich einen Test durchsetzen.

Der Test ist negativ. (Ist ja klar, er wird zu spät im Krankheitsverlauf gemacht, also ist er falsch-negativ). Er trägt das Ergebnis in der App ein.

Norbert hat also wohl nur eine Erkältung.

Seine App ist weiterhin rot, denn er wohnt neben Petra und Cordula, die inzwischen ihren Partner angesteckt hat.

Ab da trägt er seine (sich verändernden) Symptome nicht mehr ein. Nach einigen Wochen hält er seine Erkältung für verschleppt.

Könnte auch was anderes sein. Wer weißt das schon. Auf einen weiteren Fehlalarm-Test hat er keinen Bock mehr.

Er gibt der App im App-Store Null Sterne und löscht sie.

Die App funktioniert vielleicht. Das Gesundheitssystem funktioniert weder mit noch ohne App.


Stakeholder: Linus Linux[edit]

Linus hat ein Telefon. Klasse Ding. Kann alles was er braucht, und lässt alles, was er nicht will.

Linus ist ein Computerfreak und hat sein Handy genau ausgesucht.

Es ist natürlich ein Smartphone mit allem drum und dran. Es kann ein cooles Betriebssystem, benutzt einen unabhängigen App-Store und Bluetooth LE kann man abschalten, weil es eh besonders leicht angreifbar ist.

Blöd nur, dass es nicht eines der häufig verkauftesten Smartphones ist.

Linus kann nicht mitmachen. Die App gibt es für sein Handy nicht.


Stakeholder: Turgay Türkman[edit]

Turgay hat ein Smartphone. Richtiges Modell, Richtiges Bluetooth, richtige App. Turgay wohnt in Deutschland.

Die App ist Europäisch. Turgays Handy spricht mit ihm aber Türkisch (Arabisch, Kurdisch, ... setz ein, was Dir einfällt), und das aus gutem Grund.

Turgay und die App bekommen wegen Sprachproblemen leider kein gutes Verhältnis hin.

Noch ein Teil der Bevölkerung, der die Nutzungszahlen senkt oder verfälscht.

Bestimmungsgemäßer Gebrauch der App? Funktioniert für Turgay nicht.


Stakeholder: Sylvia Symptomfrei[edit]

Sylvia hat eine App. Und sie hat sich Corona eingefangen. Sie stand mit Cordula im Aufzug, als die ihren ersten Huster getan hat.

Sylvia fühlt nichts. Kopfschmerzen hat sie sowieso immer. Während sie ihre Tage hat, hat sie eh immer Gliederschmerzen.

Und als Raucherin hat sie nicht mehr Husten als sonst.

Sie pflegt ihre App gewissenhaft mit allen ungewöhnlichen Symptomen: Keinen.

Wenn wir Glück haben, arbeitet sie nicht im Pflegeheim.

Und wenn wir ganz viel Glück haben, bleibt sie zu Hause, weil ihre App Rot anzeigt, nachdem sie Cordula (eigentlich viel zu kurz für Relevanz) begegnet ist.

Sie ist nach ein paar Wochen immun, aber weiß nichts davon.

Weil ihre App weiterhin Rot anzeigt (Cordulas Mann, wir erinnern uns), bleibt sie weiter zu Hause und schadet dem Bruttoinlandsprodukt.

Wir hoffen an dieser Stelle nochmal, dass sie nicht im Gesundheitswesen arbeitet, wo sie gebraucht würde.

Als Immunisierte wieder ins Kino und in die Clubs dürfen, weiß Sylvia nichts davon, dass sie schon durch ist mit dem Thema.

Funktioniert nicht für sie, diese App. Aber das weiß sie nicht.


Stakeholder: Michael Misstrauisch[edit]

Michael ist Software-Spezialist. Sein Job ist es, sich Gedanken zu machen über Softwareentwicklung.

Er hat sich die oben genannten Archetypen überlegt, und meint, dass man Missbrauch verhindern muss.

Dazu müsste man z.B. doch die Handynummer oder IMEI oder irgendwas speichern, was Rückschlüsse auf die Person zulässt.

Er weiß aber, dass das wegen der Datenschutz-Gesetzgebung nur mit Zustimmung der Benutzer ginge.

Und dass dann die App nicht mehr wie versprochen voll pseudonymisiert wäre.

Und man müsste sicherstellen, dass nur echte Positive Tests eingetragen werden können.

Damit es schneller geht, werden aber Positive Tests per Telefon mitgeteilt.

Man bekommt keine Test-Nummer, die man in die App eintragen könnte. Und die App sieht sowas auch gar nicht vor.

Michael hat's mit Mathe, ihm ist klar, dass man eine bestimmte gewissenhafte Beteiligung an der App braucht, damit sie funktionieren kann.

Und dass es eine bestimmte maximale Missbrauchsquote geben darf, damit sie nicht trotzdem scheitert.

Er versucht nachzurechnen. Sein Ergebnis: Die Tests sind so ungenau und so schlecht über die Bevölkerung verteilt, dass man keine sicheren Angaben erhält.

Man braucht gar nicht erst den Missbrauch einzurechnen, die Tests sind so oft falsch negativ, dass das ganze System nicht glaubwürdig ist.

Er rechnet nochmal: Selbst wenn die Tests gut wären, dann ist der zu erwartende Missbrauch so hoch, dass immer 60% der App-Benutzer rote Meldung bekommen.

Die App enthält einstellbare Parameter, einstellbar von den Betreibern.

Da kann man Entfernung und Dauer und Häufigkeit der Kontakte einstellen, so dass es Grün, Gelb oder Rot anzeigt für einen Benutzer.

Die Werte müssen eh geschätzt werden, und sind wegen Wänden und Schutzmasken in beide Richtungen oft falsch.

Michael meint, dass man die Entfernung eh kaum messen kann mit Bluetooth Low Energy.

Damit die App nicht so aussieht, als wären immer alle zur Quarantäne verdonnert, werden die Parameter sicher schnell schön-konfiguriert.

Ja geil, da kann er auch gleiche eine Kasino-App schreiben, bei Drei Sonnen bitte zu Hause bleiben.

Er programmiert die App, weil das sein Job ist und er dafür bezahlt wird.

Er achtet darauf, dass sie den Datenschutz einhält, wenn sie schon sonst nicht funktioniert.

Er installiert die App auf seinem Diensthandy im Testmodus.

Auf seinem normalen Handy installiert er sie erst gar nicht.


Stakeholder: Fernanda Forschung[edit]

Fernanda arbeitet in einer Firma, die sich vor Industriespionage schützt.

Ihr privates Handy darf nicht mit in die Firma, ihr Diensthandy darf sie privat nicht nutzen.

Fernandas Firma stellt Regeln auf für die App auf dem Diensthandy. Entweder wird das zwangs-installiert, oder erlaubt, oder verboten.

Auf dem privaten Handy installiert sie sich die App.

Wie soll sie nun die Anzeige interpretieren, wenn sie immer nur eines der Handys dabei hat?

Und wenn sie positiv getestet wird, kann sie den Test nur auf einem Handy eintragen, um Missbrauch zu vermeiden.

Funktioniert vorne und hinten nicht für Fernanda, der bestimmungsgemäße Gebrauch der App.


Stakeholder: Stefano Spindbenutzer[edit]

Stefano darf sein Handy nicht mitnehmen:

Entweder nicht in den Sicherheitsbereich der Firma, oder ins Fitness-Studio, ins Schwimmbad oder ins Stadion.

Vielleicht lässt er auch nur seinen ganzen Rucksack im Schließfach des Elektro-Marktes.

Er schließt das Handy ein. Wenn er dran denkt, macht er die App aus. Und wenn die anderen dran denken.

Ansonsten messen die Apps sonst ab jetzt die Kontakte der Handys, nicht der Personen.

Und wenn alle dran denken, machen sie die Apps nachher wieder an.

Gar nicht so trivial, der richtige Gebrauch der App. Und zeigt Quatsch an, wenn man es mal falsch macht.


Stakeholder: Sylvia Sanktionsvermeidung[edit]

Sylvia ist selbständig. Für sie fing alles ganz normal an.

Sie hat sich die App installiert. Und wollte ganz normal wie alle anderen die Kontakte ihrer Kontakte schützen.

Und dann war die App rot. Echt blöd jetzt. Sylvia hat eh schon Umsatzeinbußen, und wenn sie jetzt noch zu Hause bleibt, dann geht ihr Geschäft ganz den Bach runter.

Statt sich in Quarantäne zu begeben, lässt Sylvia die App zu Hause. Ihr Geschäft ist ihr wichtiger.

Pleite gehen ist keine Option.

Selbst als der Test positiv ist, trägt sie ihn nicht ein.

Merke: Bestimmungsgemäßer Gebrauch der App ist nicht immer einfach. Missbrauch oder Ignorieren ist einfach. Viele Interessen sprechen dann doch dagegen.

Funktioniert nicht die App, für die Kontakte von Sylvias Kontakten. Mist.


Stakeholder: Ünay Übertragungsweg[edit]

Ünay hat die App.

Ünays App ist grün. Sie war kaum draußen, freiwillige vorsorgliche Quarantäne und so.

Ünay hat Corona bekommen.

Sie hat es nicht bekommen, weil sie mehr als X Minuten lang näher als Y Meter neben jemandem infiziertem und seinem Handy gestanden hat, der die App hat.

So wie es die App voraussetzt, dass der Virus dann auf direktem Weg durch die Luft geht und sie infiziert.

Nicht einen Moment früher, nicht einen Meter weiter weg.

Nein, Ünay hat es anders bekommen. Vielleicht waren die Meter falsch, vielleicht die Minuten.

Vielleicht hat sie es aber auch von dem Einkaufswagen, der Anstecker war gar nicht gleichzeitig mit ihr dort.

Oder die Klimaanlage hat den Virus in Ünays Richtung geblasen, einfach ein paar Meter weiter als die App so meint.

Oder beim Abholen von Essen zum Mitnehmen war es an der Packung oder im Essen, und der ansteckende Koch hat den Virus schnell vom Kellner ein paar Meter weiter tragen lassen.

Funktionierte nicht für Ünay, die App. Man hat sie nicht gewarnt. Ihre Kontakte wurden nicht geschützt.


Stakeholder: Achim Annahme-Opfer[edit]

Achim hat ne App.

Die App beruht auf einer Annahme, dass der Aufenthalt neben einem Infizierten näher als Y Meter und länger als X Minuten eine Warnung auslösen muss, weil dann eine gewisse Wahrscheinlichkeit P vorliegt, dass er sich angesteckt haben könnte.

Die App hat eine weitere Annahme zur Voraussetzung: Die Dauer D des Ansteckend-Seins: Zum einen rückwirkend vom Test zur Ansteckung des Ansteckers, aber auch nach dem Test auf dem Rückweg vom Arzt in die Quarantäne.

Wenn nur einer dieser Parameter falsch gewählt ist, dann wird es Leute wie Achim geben, die sich mit App anstecken, ohne dass die App warnt.

Nun ist es naheliegend, dass man sagt: Wenn jemand ein bisschen zu weit weg ist, sich dafür aber länger in der Nähe aufhält, dann sollte man auch eine Ansteckung annehmen.

Mathematisch ausgedrückt, man nimmt einen mehr oder weniger linearen Zusammenhang an, statt einen punktförmigen.

Nein. Nein. Nein. Das ist zu kompliziert für die App. Punktförmig ist gefordert. Punkt.

Für Achim hat die App nicht funktioniert. Er ist angesteckt, weil jemand 10 cm zu weit weg stand.


Stakeholder: Ulrike UpToDate[edit]

Ulrike hat ein Handy. Immer das neueste. Während der Corona-Pandemie wechselt sie wie immer. Also so etwa zweimal pro Jahr.

In den Anforderungen für die Corona-Warn-App habe ich nicht gefunden, dass man seine Benutzer ID mitnehmen kann auf ein neues Handy.

Funktioniert für Ulrike, die App, leider nur durchschnittlich 3 Monate. Dann nicht wirklich, oder von neuem. Wie man's sieht.


Stakeholder: Ronja Rosinenpicker[edit]

Ronja hat ne App. Sie hält aber nichts vom bestimmungsgemäßen Gebrauch. Ronja geht es darum, dass sie für sich selbst den maximalen Nutzen daraus zieht. Sie will möglichst vorgeben können, dass sie keine positiven Kontakte hatte, um überall rein zu kommen. Daher hat sie sich die App installiert, betreibt Ihr Handy aber immer mit abgeschaltetem Bluetooth. Ronjas App bleibt grün. Yeah. Läuft für Ronja.

Missbräuchliche Verwendung: Funktioniert für Ronja.


Fällt dir noch ein Archetyp ein? Schreib ihn dazu[edit]

Hier ist Platz.

Nachtrag 2 - Missbrauchsvermeidung (Mai 2020)[edit]

Weiter oben sind verschiedene Motive genannt für vorsätzlichen Missbrauch.

Nun sind in der Dokumentation der Corona-Warn-App Anforderungen zur Missbrauchs-Vermeidung aufgenommen worden.

Konkret sollen wohl positive Diagnosen nur noch von Ärzten eingetragen werden können.

Damit sind die Missbrauchs-Fälle nicht vom Tisch.

Für die Dauer der Quarantäne sollten Positiv-Getestete weiter als ansteckend gelten, nicht nur rückwirkend.

Ein Verleihen von Positiv-gemarkerten Handys würde also den vonsätzlichen Missbrauch weiterhin ermöglichen.


Schritt 3 der Softwareplanung: Abbruch oder Feinplanung[edit]

Nachdem alle Projektbeteiligten sich die gleichen Gedanken über das Nutzungsverhalten mit der App gemacht haben,

kommen sie zu dem gleichen Schluss, wie Du jetzt, lieber Leser.

Und es ist nicht Feinplanung.

Denn:

Nutzer mit ehrlichem Verhalten und Interesse erleben, dass die App für sie kaum funktioniert.

Missbrauchende Nutzer erleben, dass die App für sie funktioniert.


Nachtrag[edit]

1[edit]

Angeblich soll geprüft werden, ob wirklich ein positiver Test vorliegt: https://www.welt.de/wirtschaft/article206939411/Coronavirus-Diese-App-soll-jetzt-das-Virus-killen.html

2[edit]

Hier die Beschreibung der Corona-Warn-App auf Github. Ich fühle mich bestätigt, Missbrauch wird nicht betrachtet. Mehr-Handy-Benutzung wird nicht betrachtet.

https://github.com/corona-warn-app/cwa-documentation

3[edit]

Ui, diese Seite hat jemand verlinkt in die Github-Doku.

Soll ich mich jetzt freuen, dass sie Beachtung findet?

Oder soll ich mich ärgern, weil eine ganz schlechte App ein bisschen besser gemacht wird, und man mir die Gegenargumente nimmt?

https://github.com/corona-warn-app/cwa-documentation/issues/71#issuecomment-630864443

4[edit]

Noch eine alternative Methode für Personaler, den Gesundheitsstatus Ihrer Bewerber auszuspähen: https://tracing-risks.com/

5[edit]

Noch eine gute Auseinandersetzung mit dem Thema

https://sventuerpe.com/2020/05/15/geschichten-erzaehlen/

6[edit]

Wann die App fertig wird, wenn Telekom und SAP entwickeln. (Glaube ich auch)

https://blog.fefe.de/?ts=a056dd13

7[edit]

Fefes Blog zur Corona-Warn-App

https://blog.fefe.de/?ts=a0510f53

8[edit]

Zur Wirksamkeit einer Corona-Warn-App

https://www.schneier.com/blog/archives/2020/05/me_on_covad-19_.html