Icon Datenschutzbeauftragter
Datenschutz

Corona-Apps – Nachverfolgung vs. Datenschutz

Arne Wolff
Verfasst von: Arne Wolff
Berater für Datenschutz und IT-Sicherheit

Vor dem Hintergrund hoher Fallzahlen in der 4. Corona-Infektionswelle und der unlängst auf der Bildfläche erschienenen Omikron-Variante des Virus werden Forderungen laut, den Schutz der Nutzerdaten vor allem der Corona-Warn-App (CWA) zu reduzieren.

So konnten die Betreiber der weniger datenschutz-freundlichen Luca-App im November melden, dass knapp drei Viertel aller War­nungen an Besucherinnen und Besucher von Clubs und Bars gingen – eine durchaus interessante Erkenntnis, wenn es darum geht, geeignete Maßnahmen zu bestimmen, um Übertragungen zu reduzieren.

Welche Daten werden überhaupt erhoben?

Von Datenschützern wurde die CWA schon viel gelobt. Sie verfolgt einen streng dezentralen Ansatz, der auf Datensparsamkeit beruht. Es gibt keine große Datenbank, in der die Nutzerdaten abgespeichert werden – niemand muss sich namentlich registrieren oder gar Adress- und sonstige personenbezogenen Daten angeben.

Die App erfasst nur folgendes: Gerät A war dann und dann für soundso lange soundso dicht an Gerät B, C, D und/oder E. Die App setzt die betreffenden Geräte-IDs auf eine lokale Liste und berechnet dann ein Übertragungsrisiko aus diesen Parametern. Der zugrundeliegende Berechnungsalgorithmus kann je nach Wissensstand nachjustiert werden, zum Beispiel wenn eine leicht übertragbare Virenvariante – wie Omikron – auf der Bildfläche erscheint.

Wird nun jemand positiv auf Corona getestet oder erkrankt an COVID-19 und gibt das Testergebnis in die App ein, wird die zugehörige Geräte-ID an alle anderen Geräte kommuniziert. Dort wird geprüft, ob sie auf der lokalen Begegnungsliste steht – falls ja, warnt die App und gibt Handlungs­empfeh­lungen.

Die später ergänzte Check-In-Funktion der CWA tut nichts anderes, als die erfassten Parameter bei der Berechnung des Übertragungsrisiko anders zu gewichten. Die Idee dahinter ist, dass bei Veranstaltungen in Innenräumen Infektionen auch stattfinden können, wenn die Teilnehmenden weiter voneinander entfernt sind als andernorts nötig. Es werden also zusätzlich Personen gewarnt, die zwar nicht dicht genug an der infizierten Person waren, aber lange genug bei derselben Veranstaltung. Was das für eine Veranstaltung war und wo sie stattgefunden hat, wird überhaupt nicht erfasst.

Die Luca-App hingegen warnt alle Personen, die denselben QR-Code gescannt haben. Dem System sind sowohl die Umstände der Veranstaltung (wie zum Beispiel Belüftung, Größe, Laufwege oder Raumaufteilung) als auch die Kontaktdaten der Teilnehmenden bekannt – soll es doch die vielerorts gesetzlich vorgeschriebene papiergebundene Kontakterfassung ersetzen.

Unterschiedlich wird die Warnfunktion von CWA und Luca-App auch getriggert: Bei der CWA ist es die (freiwillige) Eingabe der digitalen Bestätigung eines positiven Testergebnisses durch betroffene Nutzer, bei Luca sind es die Gesundheitsämter, die entscheiden, ob die Besucher einer bestimmten Veranstaltung gewarnt werden sollen oder nicht.

Welchen Nutzen kann man aus den App-Daten ziehen?

Kennt man die Identität der Personen, die an einer Veranstaltung teilgenommen haben, bei der auch Infizierte anwesend waren, kann man in Nachhinein überprüfen, wie oft eine Übertragung tatsächlich stattgefunden hat. Damit ließen sich zum Beispiel

  • theoretische Modelle für Virenübertragung in der Praxis verifizieren:
    Welche Art Veranstaltung ist besonders riskant? Welche Begleitumstände begünstigen eine Übertragung? Sollten zum Beispiel Kinos geschlossen werden, Restaurants aber nicht?
  • soziokulturelle und sozioökonomische Aspekte integrieren:
    Sind Faktoren wie Einkommen, Migrationshintergrund oder Zugehörigkeit zu einer bestimmten gesellschaftlichen Schicht für die Wahrscheinlichkeit einer COVID-Infektion relevant?

Dazu wäre es allerdings erforderlich, die App-Daten mit anderen Datenquellen abzugleichen und anzureichern – eine ganz erhebliche Änderung von Art und Umfang der Verarbeitung und ein gravierender Eingriff in die informationelle Selbstbestimmung der App-Nutzer.

Die CWA allerdings erfasst überhaupt keine Identitätsdaten, die abgeglichen werden könnten, und scheidet deshalb als Datenquelle von vornherein aus.

Wie viel Datenschutz darf’s denn sein?

Zweifellos ist es verlockend, den Schutz der personenbezogenen Daten zugunsten weiterreichender Einsichten in das Infektionsgeschehen hintanzustellen – der Preis dafür aber wäre hoch. Schon während der Entwicklung der CWA wurden in der öffentlichen Diskussion Bedenken hinsichtlich der Datenerfassung und -ver­wendung laut, die dazu führten, dass sie komplett neu konzipiert wurde, und die Luca-App steht wegen des Prinzips der zentralen Datenspeicherung in der Kritik. Ein Aufweichen des Datenschutzes hätte also mit Sicherheit einen starken Rückgang der Nutzerzahlen zur Folge und der eigentliche Zweck – die Kontaktnachverfolgung – würde massiv leiden.

Zudem ist die Datenbasis der Apps kaum repräsentativ zu nennen; nicht jeder hat ein Smartphone, nicht jeder installiert darauf eine Corona-App und nicht jeder teilt sein positives Testergebnis. Die Verwertbarkeit für wissenschaftliche Forschungsarbeit ist also von vornherein eingeschränkt.

Und zu guter Letzt gibt es mildere Mittel, den angestrebten Zusatznutzen zu erreichen – die althergebrachten nämlich. Sie sind mühsamer und zeitaufwendiger, liefern dafür aber belastbare Ergebnisse – ohne Grundrechte einschränken zu müssen.

chevron_left zurück zur Übersicht

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.