· Nachricht · Aktuelles
Corona-Warn-App im Check: 14 Fragen und Antworten
von RAin Heike Mareck, Kanzlei für Datenschutz, IT-, Medien- und Arbeitsrecht, Dortmund
| Die offizielle Corona-Warn-App des Bundes ist startklar und wurde am Dienstag, den 16.6.20 freigeschaltet. Doch viele Bürger sind verunsichert: Soll ich sie herunterladen? Gibt es Schwachstellen? Läuft die App auf meinem Handy? Welche Daten werden abgefragt? Nachfolgend der Check mit 14 Antworten auf wichtige Fragen. |
1. Warum kommt die Corona-Warn-App erst jetzt?
Ursprünglich sollte die App bereits im April auf den Markt kommen. Aufgrund von ungeklärten Fragen zum Datenschutz und zur Datensicherheit (z. B. dezentrale Speicherung und eben nicht zentral) sowie nicht zuletzt zum Schutz der Privatsphäre verzögerte sich die Entwicklung um weitere zwei Monate.
2. Was wird mit der App eigentlich bezweckt?
Mit der App sollen die Corona-Infektionsketten besser erkannt und schneller nachverfolgt werden. Denn mit der App können Nutzer zeitnah gewarnt werden, wenn sie sich neben infizierten Personen aufgehalten haben. Zudem soll sie dafür sorgen, dass bei der derzeitigen Lockerung der Corona-Beschränkungen für das öffentliche Leben die Ausbreitung des Coronavirus nicht wieder stark ansteigt.
3. Wer hat die Corona-Warn-App entwickelt?
Daran waren viele beteiligt: Die Corona-Warn-App des Bundes wurde federführend von der Deutschen Telekom und dem Software-Konzern SAP entwickelt. Beratend zur Seite standen die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum CISPA. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesdatenschutzbeauftragte Ulrich Kelber waren involviert.
Bei den Tests zur Bedienung der App half #GesundZusammen mit. Das ist eine Allianz europäischer Technologieunternehmen, die aktiv dazu beitragen möchte, Covid-19 mit digitalen Lösungen einzudämmen. Zudem wurden die Quellcodes für die Software auf der Entwickler-Plattform GitHub veröffentlicht.
4. Wie funktioniert die Corona-Warn-App?
Zunächst wird die App auf dem Handy über die App-Stores von Apple und Google heruntergeladen. Die App erfasst, welche Smartphones einander nahegekommen sind. Die Geräte tauschen dabei via Bluetooth zufällig erzeugte Krypto-Schlüssel aus. Auf Basis der Signalstärke wird so die Entfernung geschätzt. Die App misst, ob sich Nutzer über einen Zeitraum von 15 Minuten oder länger näher als ungefähr zwei Meter gekommen sind. Der Ort der Begegnung wird dabei nicht erfasst. Halten sich zwei Corona-Warn-App-Nutzer nebeneinander auf, tauschen die Smartphones ihre IDs aus (digitales Händeschütteln).
Wenn ein Nutzer der App positiv auf Covid-19 getestet wurde, kann er das Testergebnis in der App teilen. So werden Nutzer, die sich in seiner Nähe aufgehalten hatten, informiert. Aber: Infizierte werden ausdrücklich gefragt, ob sie das Ergebnis zur Kontakt-Nachverfolgung teilen wollen. Alternativ soll auch die Möglichkeit bestehen, eine TAN einzugeben, die man von einer Telefon-Hotline bekommt. Hintergrund ist, dass nicht alle Labore in der Lage sind, QR-Codes zu generieren.
Laut Presseberichten soll die erste Version der App zunächst auf Deutsch und Englisch verfügbar sein. Weitere Sprachen, wie etwa Türkisch, sollen folgen.
5. Wie werden Andere informiert?
Andere Corona-Warn-App-Nutzer, die sich zeitweise in der Nähe eines Infizierten aufgehalten haben, erhalten im Infektionsfall einen Hinweis, dass sie sich testen lassen sollen. Das erfolgt anonymisiert.
6. Was wird ausgewertet und was nicht?
Die App wertet die Dauer eines Kontakts aus und registriert dabei, wie stark das Bluetooth-Signal war. Aus der Signalstärke lässt sich der ungefähre Abstand berechnen. Die Daten werden zwei Wochen gespeichert.
Die App wertet keine Geo-Daten aus und übermittelt keine Ortsinformationen. Ein Versand oder eine Speicherung personenbezogener Daten soll nicht erfolgen, versichern die Entwickler.
Die anonymisierten Daten der Kontakte werden nicht zentral gespeichert, sondern dezentral auf dem jeweiligen Smartphone. Der Abgleich, ob man einer infizierten Person begegnet ist, geschieht lokal auf dem Mobiltelefon. Nur die anonymisierte Liste wird zentral gespeichert und von den Smartphones regelmäßig abgerufen, um mögliche problematische Begegnungen zu identifizieren.
7. Funktioniert die App auch auf meinem Handy?
Apple-iPhone: Mindestvoraussetzung ist das aktuelle Betriebssystem iOS 13.5. Das gibt es für Geräte ab dem iPhone 6s oder dem iPhone SE. Ein altes iPhone 5, 5S oder 6 reicht nicht aus. Die Versionsnummer findet sich in den Systeminfos.
Android-Handys: Hier ist die Situation derzeit etwas undurchsichtiger. Mindestvoraussetzung ist hier Android 6 und die Unterstützung von Bluetooth LE. Aber auch die Google Play Services müssen laufen, weil der Konzern die Schnittstellen nicht über Android selbst zu Verfügung stellt, sondern über diese Google-Dienste.
Android-Handys ohne Google Play Services: Die App läuft hierauf nicht. Huawei hat allerdings angekündigt, dass die App in absehbarer Zeit auch auf den neuesten Modellen ohne Google Play Services laufen sollen, weil die Funktionalität nachgebaut wird.
8. Kann es auch einen falschen Alarm bei der App geben?
Es ist nicht auszuschließen, dass es mal zu einem Fehlalarm kommt, denn die Bluetooth-Technik ist ja nicht dafür konzipiert worden, um die Abstände zu anderen Menschen festzuhalten. Sie kann z.B. nicht erkennen, ob zwischen den Personen eine Plexischeibe ist und eine Ansteckung so erschwert möglich ist.
9. Wie wird der Datenschutz gewährleistet?
Die Identitäten der Nutzer werden nicht ausgetauscht, sondern anonymisierte IDs, die sich mehrfach in der Stunde ändern. Wie bereits gesagt: Die IDs der Kontaktpersonen werden nicht zentral gespeichert, sondern dezentral auf den jeweiligen Smartphones.
Die Liste der anonymisierten IDs der Infizierten wird auf einem zentralen Server vorgehalten. Der Abgleich findet aber ausschließlich auf den einzelnen Smartphones statt.
10. Kann die Corona-Warn-App noch mehr?
Ja, die App kann auch Testergebnisse digital übertragen. Der Ablauf ist hier wie folgt: Der Nutzer erhält vom Arzt oder Labor einen QR-Code, den er in der App scannen kann. So erhält er das Ergebnis des Corona-Tests übermittelt und angezeigt.
11. In wenigen Tagen sind Sommerferien: Funktioniert die App im Urlaub?
Wer die App installiert hat, sollte sich bei Aufenthalten im Ausland nicht jetzt kurzfristig nicht unbedingt auf die Warnfunktion der App verlassen. Zwar können die Smartphones, auf denen die deutsche Corona-Warn-App installiert ist, auch im Ausland ihre ID-Nummern via Bluetooth austauschen. Aber da die Länder unterschiedliche Contact-Tracing-Apps einsetzen, sind die Systeme nicht dafür konzipiert, Daten auszutauschen. Urlauber sollten sich deshalb die offizielle App des jeweiligen Landes herunterladen. Allerdings sind diese meist mit datenschutzrechtlichen Einschränkungen verbunden. Langfristig soll sich das ändern.
12. Wurde die App vorab getestet?
Bereits in der Entwicklungsphase waren ‒ wie oben gesagt ‒ zahlreiche Unternehmen und Institutionen an der App beteiligt. Laut Presseberichten spielte z.B. das Fraunhofer Institut IIS in Erlangen konkrete Szenarien durch: Sitzen in einem Restaurant, Schlange stehen, Aufenthalt in öffentlichen Verkehrsmitteln. Dabei wurde gemessen, wie präzise die Smartphones die Entfernung erkannten. Auch Mitarbeiter von SAP und Telekom sowie der Bundesregierung sollen die App als sogenannte Beta-Tester ausprobiert haben.
13. Kann auch Missbrauch mit der Corona-Warn-App betrieben werden?
Grundsätzlich soll es so sein, dass positiv getestete Nutzer ihr Ergebnis selbst in der App eintragen. Nur so erfährt die App, dass jemand infiziert ist. Aber um falsche Meldungen zu verhindern, soll das nur mit der Überprüfung durch einen Code vom Gesundheitsamt möglich sein.
14. Kann der Arbeitgeber den Beschäftigten zwingen, die App zu nutzen?
Eines vorweg: Keiner soll gezwungen werden, diese App zu installieren. Das ist wirklich freiwillig. Natürlich ist es sinnvoll, wenn möglichst viele diese nutzen, denn dann bringt sie auch mehr.
Zum Arbeitgeber: Viele Beschäftigte sind besorgt, dass ihre Arbeitgeber zur Nutzung drängen könnten, um im Unternehmen Infektionen zu unterbinden. Das wird wohl so nicht funktionieren, da dadurch sicherlich auch in das Persönlichkeitsrecht eingegriffen werde. Ein Tipp für die Arbeitgeber wäre, den Umgang mit der App entweder durch eine Betriebsvereinbarung ‒ wenn es einen Betriebsrat im Unternehmen gibt ‒ zu regeln oder konkret mit den Mitarbeitern zu sprechen.
FAZIT | Nichts ist perfekt und natürlich man kann immer irgendwelche Bedenken anmelden. Aber im Gegensatz zu anderen Ländern hat man sich hier wirklich bemüht, eine datenschutz- und datensicherheitsschonende Variante zu entwickeln. Der Bundesdatenschutzbeauftragte, Ulrich Kelber, sagte hierzu: „Was vorliegt, macht insgesamt einen soliden Eindruck. Und letztlich kann die App auch nachträglich wieder deaktiviert oder deinstalliert werden. Selbstverständlich ersetzt sie auch nicht den Mundschutz und das Abstandsgebot. |