Google und Apple: Die Macht der Giganten

Die Corona-App zeigt exemplarisch, warum die Dominanz von Google und Apple dringend gebrochen werden muss.

Corona Warn App Symbol und ein Finger auf einem Smartphone

Gut dass es sie gibt, schlecht wie sie zustande kam: Die Corona-Warn-App Foto: Arne Dedert/dpa

Auf den ersten Blick sieht es so aus, als hätten Google und Apple alles richtig gemacht. Sie haben mitten in der Pandemie in Kooperation mit verschiedenen Ländern und wissenschaftlichen Einrichtungen daran gearbeitet, dass es eine funktionierende App zur Verfolgung der Kontakte Sars-CoV-2-infizierter Personen gibt. Sie haben, so berichten es Po­li­ti­ker:innen und Wissenschaftler:innen, sich dabei kooperativ und konstruktiv verhalten. Die beiden Unternehmen haben früh auf eine Lösung gesetzt, die gut ist für die Privatsphäre der App-Nut­zer:innen. So dürften sie einige Regierungen dazu gebracht haben, auf das privatsphäre-freundliche dezentrale App-Modell zu setzen.

Hier beginnt das Problem. Nicht weil ein Modell, bei dem die Konktaktinformationen an zentraler Stelle zusammenlaufen, besser wäre – im Gegenteil. Eine zentrale Zusammenführung würde eine Identifizierung der App-Nutzer:innen ermöglichen. Das von Google und Apple unterstützte datensparsame Modell ist also das richtige. Aber der Weg ist es nicht. Er zeigt geradezu exemplarisch, warum die Marktmacht von Google und Apple zu groß ist – und warum dieses Duopol auf dem Smartphone-Markt dringend aufgebrochen werden muss.

Bei der Corona-Nachverfolgungs-App haben Google und Apple gleich zwei Mal ihre Marktmacht ausgespielt. Der erster Fall ist die oben skizzierte Entscheidung zentrales versus dezentrales Modell. Beide Unternehmen haben früh angekündigt, Änderungen in ihren Smartphone-Betriebssystemen vorzunehmen, um entsprechende dezentral designte Nachverfolgungs-Apps zu unterstützen. Inhaltlich ist das eine gute Entscheidung: Für den Schutz der persönlichen Daten ist das dezentrale Modell deutlich besser. Und wer eine ernsthaft funktionierende Corona-Nachverfolgungs-App auf den Markt bringen will, kommt an dieser technischen Umsetzung nicht vorbei.

Aber: Die Entscheidung für das dezentrale Modell mutet einigermaßen willkürlich an. Klar, man könnte unterstellen, die beiden Unternehmen hätten dabei nur das Beste im Sinn, zum Beispiel zu verhindern, dass autokratische Regime mit der zentralen Datenspeicherung Bewegungsprofile erstellen. Oder auch, dass Google und Apple ein Interesse an der Pandemiebekämpfung haben. Und dass diese nun mal umso besser gelingen könnte, je mehr Menschen so eine App nutzen, und das ist vor allem dann der Fall, wenn das Vertrauen in die App groß ist. Ein privatsphäre-freundlicher Ansatz wie die dezentrale Speicherung ist geeignet, dieses Vertrauen herzustellen.

Aber auch das – immer noch willkürlich. Wenn Unternehmen, die sonst nicht gerade für einen überragenden Schutz der Privatsphäre bekannt sind, auf einmal ein datenschutzfreundliches Modell unterstützen, ja sogar technisch bindend machen, dann kann das die richtige Konsequenz aus ausnahmsweise guten Motiven sein. Was wir aber brauchen, ist: reproduzierbarer Schutz der Privatsphäre. Immer. Und nicht nur dann, wenn die maßgeblichen Unternehmen es ausnahmsweise mal für richtig halten.

Noch problematischer ist allerdings das API-Problem. API steht für application programming interface, das lässt sich mit Programmierschnittstelle übersetzen. So eine Schnittstelle wird bereitgestellt vom Hersteller des Betriebssystems, also Google oder Apple. Programmierer:innen von Apps brauchen sie, um ihre App an das Betriebssystem anzudocken. Die API ist also quasi die Wurzel der App in das System. Bei der Corona-Nachverfolgungs-App ist die Exposure-Notification-API wichtig. Die sorgt zum Beispiel dafür, dass die Smartphones die Abstände zu anderen Geräten mit der gleichen oder einer kompatiblen App messen und die Werte an die App weitergegeben werden. Diese Nähebestimmung ist die Grundlage der Nachverfolgungs-App.

Noch einmal zur Erinnerung: Die deutsche Corona-Nachverfolgungs-App an sich ist Open Source. Ihr Quellcode ist veröffentlicht und für alle mit Progammierkenntnissen überprüfbar. Wer ausreichend Java spricht, kann sich durch den Code wühlen und zum Beispiel nach unerwünschten Zusatzfunktionen oder Fehlern Ausschau halten. Sind die Entwickler:innen nicht gewillt, diese zu beseitigen, könnte eine unabhängige Entwicklerin einfach eine alternative App aus dem Code bauen, zum Beispiel ohne die unerwünschte Zusatzfunktion, und diese wiederum als Open-Source-Anwendung veröffentlichen.

Im Fall der Corona-Nachverfolgungs-App geht das allerdings nicht. Denn was nicht Open-Source ist: die Exposure-Notification-API, also die Wurzel. Google und Apple haben die Schnittstelle zwar umfangreich dokumentiert, den Quellcode behalten sie aber für sich. Nutzer:innen sind also darauf angewiesen, Google und Apple zu vertrauen, dass sie keine unerwünschten Funktionen oder folgenschweren Fehler eingebaut haben.

In der Datenschutz-Folgeabschätzung zu der App, die das Robert-Koch-Institut als verantwortliche Stelle im Juni herausgegeben hat, liest sich das so: „Exakte Funktionsweise unbekannt“. Das klingt schon sehr lapidar für eine Gesundheits-App.

Und noch ein weiteres Problem in diesem Kontext: Apple und Google erlauben nur einer App pro Land die Nutzung ihrer Schnittstelle und diese App muss von der Gesundheitsbehörde herausgegeben werden. Die unabhängige Entwicklerin von oben kann sich also viel Mühe geben und aus der Open-Source-App eine noch bessere bauen. Aber niemand wird sie nutzen können, weil Google und Apple der App keinen Zugriff auf die Schnittstelle erlauben.

Ein erster Schritt hin zu einem Aufbrechen des Duopols könnte also genau da ansetzen: in einer Öffnung des Software-Codes und der Schnittstellen. Sodass – auch für Apple-Geräte – alternative Apps und Betriebssysteme angeboten werden können. Für Qualität und Vielfalt der Angebote und auch für die Lebensdauer der Geräte dürfte das nur förderlich sein.

Einmal zahlen
.

Fehler im Text entdeckt? Wir freuen uns über einen Hinweis!

Ihre inhaltlichen Schwerpunkte sind Themen aus dem Bereich Netzökonomie und Verbraucherschutz. Zuvor hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben