Einige Monate später als ursprünglich geplant ging am Dienstag die „Corona-Warn-App“ (CWA) von Bundesregierung und Robert-Koch-Institut (RKI) an den Start und steht nun für iOS- und Android-Endgeräte zum Download bereit. Ursache für die Verzögerung war unter anderem die emotional geführte Debatte zu den Datenschutzaspekten der App. Ein anfangs verfolgter Ansatz mit zentraler Speicherung von Nutzerdaten, wie er bei vergleichbaren Apps anderer Staaten (z.B. China oder Südkorea) präferiert wurde, ist nach heftiger Kritik verworfen und die jetzige Lösung umgesetzt worden, bei der die Daten lokal vorgehalten werden. Doch wird den Anforderungen des Datenschutzes damit hinreichend genüge getan?
Um es gleich vorweg zu nehmen: Ja. Kaum ein anderes Softwareprojekt der letzten Zeit stand so im Fokus des öffentlichen Interesses und wurde schon in der Planungsphase so intensiv beobachtet, wie dieses. Da die Nutzung der CWA auf rein freiwilliger Basis erfolgt und eine hohe Nutzerzahl von zentraler Bedeutung für ihren Erfolg ist, musste sehr auf ihre Akzeptanz geachtet werden – man kann es sich schlicht nicht leisten, das Vertrauen der angepeilten Nutzer zu verspielen.
Was die Warn-App leisten soll
Letztendlich soll die Weiterverbreitung des SARS-CoV2-Virus verlangsamt und damit die Infektionsrate gesenkt werden. Durch die App können Personen, die mit hoher Wahrscheinlichkeit Gelegenheit hatten, sich zu infizieren, frühzeitig informiert werden, so dass sie entsprechend reagieren können und das Virus nicht selbst weitergeben.
Wie die Warn-App funktioniert
Begegnen sich zwei Nutzer mit aktiver CWA auf ihren Smartphones und werden dabei bestimmte Kriterien erfüllt (Dauer der Begegnung und der mittels Bluetooth gemessene Abstand), tauschen die Apps zufällig generierte, eindeutige Codes aus; diese enthalten aber weder Identitäts- noch Ortsangaben und sind mithin nicht personenbezogen. Auf den Geräten werden für maximal 14 Tage alle empfangenen und gesendeten Codes und jeweils Dauer, Abstand und Signalstärke als Parameter für die Risikoberechnung gespeichert.
Wird nun ein Nutzer der App positiv auf SARS-CoV2 getestet, kann er dies der App mitteilen. Dazu wird eine Bestätigung der Teststelle benötigt (QR-Code oder TAN)*. In Folge werden die Codes, die seine App herausgegeben hat, auf einem Server abgelegt. Alle Apps kontaktieren diesen Server regelmäßig und prüfen, ob einer dieser Codes in der lokalen Empfangsliste auftaucht – falls ja, ist der Nutzer dem Infizierten begegnet. Nun wird unter Berücksichtigung von Dauer und Abstand die Risikobewertung angepasst, d.h. der Nutzer wird ggf. gewarnt, dass er sich angesteckt haben könnte. Er erfährt aber nicht die angesprochenen Parameter Dauer und Entfernung, so dass auch für ihn keine Rückschlüsse auf die Identität des Virusträgers möglich sind.
* Hierin liegt allerdings auch ein Schwachpunkt: Zur Zeit sind erst ca. 20% der Stellen, die Tests durchführen und eine Infektion bestätigen können, digital an das System angebunden, so dass der Nutzer nicht auf dem vorgesehenen Weg die Informationskette auslösen kann, sondern nur mit einem „Medienbruch“ über eine Verifikations-Hotline, was u.U. Rückschlüsse auf seine Identität erlaubt.
Schwachstellen
Neben dem eben genannten Medienbruch sind es vor allem technische Einschränkungen, die aber „nur“ die Effektivität der App und nicht ihre Datenschutzkonformität beeinträchtigen können. So ist die Entfernungsmessung via Bluetooth relativ ungenau und die App kann nicht feststellen, ob die Nutzer Masken getragen haben oder durch eine Schutzwand getrennt waren. Leider ist die App auch nicht für alle Smartphone-Betriebssysteme verfügbar und lässt sich auch auf älteren iOS- und Android-Geräten oft nicht installieren. Offene Fragen gibt es auch wenn es darum geht, ob der Einsatz der App doch in irgendeiner Weise verpflichtend gemacht werden kann – sei es durch den Arbeitgeber, der seinen Mitarbeitenden die Nutzung auferlegt* oder etwa Restaurantbetreiber, die nur Gäste mit der CWA (und niedriger Risikoeinstufung) einlassen.
* Mehr zu diesem Thema finden Sie in unserem „DSGVO kompakt - Die Corona-Warn-App: Hinweise für Arbeitgeber“.
Fazit
Die Corona-Warn-App ist ein sinnvolles Hilfsmittel im Kampf gegen die Pandemie. Die anfängliche Kritik von Datenschützern wurde ernstgenommen. Es spricht nunmehr nichts dagegen, die App zu nutzen – aber vieles dafür.
Mehr Informationen über die Corona-Warn-App finden Sie u.a. auf der Website der Bundesregierung: https://www.bundesregierung.de/breg-de/themen/corona-warn-app