Dieser Blogeintrag wurde gemeinsam mit Least Authority verfasst, einem Berliner Tech-Unternehmen das sich für die Verbesserung digitaler Sicherheit einsetzt um die Privatsphäre als grundlegendes Menschenrecht zu wahren.

Seit Dienstag ist es endlich soweit: Deutschlands offizielle Corona-Warn-App steht zum Download bereit. Wie in vielen Staaten wurde die Sicherheit, der Nutzen und die Notwendigkeit von Contact-Tracing-Apps auch in Deutschland in den letzten Monaten kontrovers diskutiert.

Zum Launch der App beantworten wir die wichtigsten Fragen rund um die Funktionsweise der App, welche Daten erhoben werden und wie sie geschützt sind.  

Muss ich die App herunterladen?

Nein. Das Herunterladen und die Nutzung der App sind freiwillig. Allerdings gibt es kein Gesetz, das die freiwillige Nutzung absichert, wie es einige Expert*innen fordern. Zusätzlich ist es fraglich inwieweit sozialer Druck von Familie, Freundeskreis oder Arbeitgeber echte Freiwilligkeit unterminieren.

Brauche ich eine weitere App jedesmal wenn ich eine europäische Grenze überquere?

Vielleicht. Die meisten EU Mitgliedstaaten haben inzwischen ihre Reisebeschränkungen aufgehoben oder gelockert. Obwohl sich die Regierungen der EU Staaten verpflichtet haben ihre Apps auch grenzüberschreitend kompatibel zu gestalten, scheint dies bei vielen Apps noch nicht der Fall zu sein. Es ist unwahrscheinlich, dass die "dezentrale" deutsche App mit beispielsweise der französischen App, die einen zentralisierten Ansatz verfolgt, kompatibel wäre. Es lohnt sich also, vor dem Überschreiten von europäischen Grenzen die Regeln im Zielstaat  zu überprüfen - die Website Re-Open EU ist eine nützliche Ressource dafür.

Was ist der Unterschied zwischen zentralisierten und dezentralisierten Apps, und welchen Ansatz verfolgt die deutsche App?

Ein wichtiger Punkt beim Design von Contact-Tracing-Apps ist die Frage, ob sie einen “zentralen” oder “dezentralen” Ansatz für die Datenverarbeitung verfolgen. Im Kontext von Contact-Tracing-Apps verfügen sowohl zentralisierte als auch dezentralisierte Modelle über einen zentralen Server, der Daten verarbeitet. Der Unterschied besteht darin, was die zentrale Stelle (z.B. eine Gesundheitsbehörde) weiß. Im zentralisierten Modell weiß der zentrale Server genug, um die Personen zu kontaktieren, die möglicherweise in der Nähe einer Person waren, die später positiv getestet wird. Dazu gehören auch Daten über zwischenmenschliche Verbindungen, die recht sensibel sein können. Im dezentralisierten Modell kennt der zentrale Server in der Regel nur die temporären IDs der Personen die mit COVID-19 diagnostiziert wurden. In einem dezentralisierten Modell vergleicht die App die Liste der temporären IDs der Nutzer*innen, die positiv getestet wurden, mit der Liste der IDs, mit denen sie in Kontakt gekommen sind  lokal auf dem Gerät der Nutzer*innen.

Sowohl zentrale als auch dezentrale Ansätze können eine Vielzahl von Datenschutz-Problemen aufweisen. Allerdings beruhen zentral Systeme auf der problematischen Annahme, dass Nutzer*innen sich darauf verlassen können, dass eine zentraler Server riesige Mengen sensibler Daten sicher aufbewahrt und nicht missbraucht. Wie wir immer wieder gesehen haben, wird dieses Vertrauen oft missbraucht. Sorgfältig designte, dezentralisierte Modelle schaden den bürgerlichen Freiheiten weniger und die EFF hat eine klare Position gegen die Verwendung zentralisierter Systeme für Contact-Tracing-Apps bezogen.

In der EU haben viele Regierungen - darunter auch Deutschland - mit einem zentralisierten Ansatz begonnen, sind aber nach Kritik von netzpolitischen NGOs und Forscher*innen zu einem dezentralisierten System übergegangen. Die deutsche Corona-Warn-App basiert auf der von Apple und Google entwickelten Schnittstelle, die nur dezentrale Modelle ermöglicht. Es ist zwar nicht perfekt, aber es ist eine datenschutzfreundlichere Option.

Wie funktioniert die App?

Das Ziel der Corona-Warn-App ist es, Nutzer*innen zu benachrichtigen, wenn sie mit anderen Nutzer*innen in Kontakt gekommen sind, die ein positives Testergebnis erhalten haben. Die zugrunde liegende Annahme ist, dass viele Menschen Smartphones besitzen, und dass die meisten ihre Telefone mit sich führen. Die meisten Smartphones sind mit Bluetooth-Technologie ausgestattet, die den Datenaustausch über kurze Entfernungen ermöglicht. Diese Technologie wird für die Corona-Warn-App verwendet.

Die App basiert auf der von Apple und Google entwickelten Schnittstelle, die es Smartphones ermöglicht, temporäre Bluetooth-Signale auszutauschen, um Benutzer*innen zu identifizieren. Wenn zwei Nutzer*innen der Contact-Warn-App miteinander in Kontakt kommen, tauschen ihre Smartphones temporäre IDs aus, die nur einige Minuten gültig sind. Die IDs basieren auf individuellen Schlüsseln, die alle 24 Stunden ausgetauscht werden. Smartphones versenden also ihre temporären IDs und scannen gleichzeitig ihre Umgebung nach IDs von anderen Nutzer*innen. Die IDs anderer Nutzer*innen speichern Geräte für 14 Tage lokal auf dem Smartphone. Neben den temporären IDs tauschen Smartphones auch Informationen über das Datum, die Uhrzeit, die Dauer des Kontakts und die Bluetooth-Signalstärke aus. Diese Daten sind später für die Einschätzung des Infektionsrisikos einer Nutzer*in wichtig.

Woher weiss die App, ob ich infiziert bin?

Wenn eine Person positiv auf COVID-19 getestet wurde, kann sie - muss aber nicht - ihr Testergebnis der Corona-Warn-App zu melden. Wenn eine Nutzer*in ein positives Testergebnis der App gemeldet hat, sendet die App alle täglichen Schlüssel, die sie in den letzten 14 Tagen verwendet hat, an einen zentralen Server - aber nur mit der Zustimmung der Nutzerin. Mit diesen Schlüsseln kann jeder, der Zugang zu ihnen hat, die vielen temporären IDs, die das Smartphone der zugehörigen Nutzer*in in den letzten 14 Tagen versendet hat, erzeugen.

Jedes Gerät, auf dem die App installiert ist, lädt regelmäßig die Liste der IDs der Nutzer*innen herunter, die positiv getestet wurden. Die App vergleicht dann diese Liste mit der Liste der IDs, mit denen sie in den letzten zwei Wochen in Kontakt war. Dieser Abgleich erfolgt nicht auf einem zentralen Server, sondern dezentral auf dem Gerät der Nutzerin. Falls Nutzer*innen Kontakt mit einer identifizierten Person hatten, wird ihnen lediglich mitgeteilt, dass sie Kontakt mit einer identifizierten Person hatten und an welchem Tag der Kontakt stattfand, jedoch nicht zu welcher Uhrzeit um die Identität der Infiziert*innen zu schützen.

Sobald die App feststellt, dass sie mit einer infizierten Person in Kontakt gekommen ist, informiert sie die Nutzer*innen über ihr Risiko sich mit COVID-19 infiziert zu haben. Jetzt kommen die Informationen über das Datum und die Dauer des Kontakts, sowie die Signalstärke, die das Smartphone zusammen mit den temporären IDs gesammelt hat, ins Spiel. In Verbindung mit einem vom Robert-Koch-Institut ermittelten Ansteckungsfaktor berechnet die App ein Ansteckungsrisiko. 

Wenn Nutzer*innen über ihr persönliches Risiko informiert werden, ist es ihnen freigestellt, wie sie mit der Information verfahren wollen. Sie sind nicht verpflichtet, spezifische Maßnahmen zu ergreifen, und müssen ihren Risikofaktor auch nicht ihrer örtlichen Gesundheitsbehörde melden. Nutzer*innen steht es somit frei, ihr Verhalten auf der Grundlage ihres Risiko-Scores anzupassen (z.B. in dem sie sich testen lassen oder sich in Quarantäne begeben) oder ihr Ergebnis zu ignorieren.

Muss ich meinen Namen angeben?

Nein. Gemäß dem Datenminimierungs-Gebots der Datenschutzgrundverordnung (DSGVO) erfordert die App nur wenige persönliche Daten von Nutzer*innen. Nutzer*innen müssen nur die folgenden Angaben machen:

  • Zustimmung zur Nutzung des Exposure Notification Frameworks;
  • Eingabe von TANs zur Verifizierung von Testergebnissen;
  • Zustimmung zum Upload der täglichen Diagnoseschlüssel (nachdem Nutzer*innen ein positives Testergebnis gemeldet haben).

Warum soll es mir helfen zu wissen, dass ich einer infizierten Person nahe war, wenn es so schwer ist, sich testen zu lassen?

Während es in den ersten Monaten der Pandemie schwierig war, auf COVID-19 getestet zu werden, hat sich die Situation in Deutschland seither verbessert. Personen, die sich testen lassen wollen, sollten sich an ein örtliches Krankenhaus, ihren Hausarzt oder ein Testzentrum wenden. Tests sollen auch für asymptomatische Personen möglich werden. Die App weist darüber hinaus auch auf weiterführenden Quellen und Stellen hin.

Was ist das Missbrauchspotenzial?

Um zu vermeiden, dass Nutzer*innen falsche Testergebnisse einreichen, muss die Authentizität ihres Testergebnissesbestätigt werden. Dies kann über eine TAN-Nummer oder einen QR-Code geschehen. Die App teilt die Liste der temporären IDs, mit denen sie in den letzten 14 Tagen in Kontakt war, erst dann mit dem zentralen Server, wenn ein Testergebnis validiert wurde.

Eine weitere potenzielle Quelle für Fehlinformationen ist die Bluetooth-Technologie, auf der die App basiert. Bluetooth wurde nicht zum Zweck von Contact-Tracing entwickelt, und falsche positive, falsche negative oder unvollkommene Ergebnisse sind nicht unmöglich.

Sind die Daten wirklich anonymisiert?

Ja, die Daten werden anonymisiert - was bedeutet, dass keine persönlichen Daten mit den mobilen Geräten, mit denen Nutzer*innen in Kontakt kommen, geteilt werden. Das bedeutet aber nicht, dass die Anonymität jeder Person, die die App nutzt, in jedem Kontext garantiert ist.

Hier ein Beispiel: Nehmen wir an, dass eine Nutzerin ihr Zuhause seit 14 Tage nicht mehr verlassen hat, und in dieser Zeit von nur einer Person besucht wurde. Wenn die Nutzerin dann benachrichtigt wird, mit einer Person in Kontakt gewesen zu sein, die positiv auf COVID-19 getestet worden ist, ist es ein Leichtes, auf die Identität dieser Person zu schließen.

Wie werden die Daten geschützt?

Die von der App gesammelten Daten werden auf dem mobilen Gerät der Nutzer*innen gespeichert. Innerhalb der Anwendung werden alle gespeicherten Daten nach modernsten Standards verschlüsselt. Zu den gespeicherten Daten gehört auch ein täglicher Schlüssel, der zur Generierung der versendeten temporären IDs verwendet wird.

Wenn ein positives Testergebnis bestätigt wird, werden die täglichen Schlüssel der letzten 14 Tage, mit dem Server geteilt - aber nur dem Einverständnis der Nutzer*in. Diese Schlüssel können dann von jedem Gerät, das die App verwendet, heruntergeladen werden. Die Geräte verwenden die Schlüssel, um die temporären IDs für den infizierten Benutzer abzuleiten und sie mit den IDs zu vergleichen, mit denen die Nutzerin in Kontakt war. Wenn dabei Übereinstimmungen auftreten, gab es einen Kontakt mit einem Gerät einer infizierten Person.

Hat die Bundesregierung Zugang zu den Daten?

Nein. Gemäß dem Design der Corona-Warn-App sollte die Regierung keinen Zugriff auf die auf Endgeräten gespeicherten Kontaktlisten haben. Geräte, auf denen die App geladen ist, laden ihre täglichen Schlüssel hoch, und andere mobile Geräte laden diese herunter, leiten die temporären IDs ab und vergleichen sie mit ihren protokollierten Kontakten. Das bedeutet, dass der Server und jeder, der den Server betreibt (wie z.B. die Regierung), keine Informationen darüber erhält mit wem Nutzer*innen in Kontakt waren.

All dies setzt voraus, dass die Corona-Warn-App auch in der Praxis so funktioniert wie in den öffentlich zugänglichen Dokumenten von Apple und Google beschrieben ist. Laut der Corona-Warn-App werden nur Daten darüber geteilt, welche Protokollversion verwendet wird und wie stark das Signal ist. Es ist allerdings nicht unmöglich, dass die App auf  dem mobilen Gerät der Nutzer*innen zusätzliche Daten anhängt.

Wird durch die App mein Aufenthaltsort getrackt?

Das Ziel der Corona-Warn-App ist die Rückverfolgung von Infektionsketten zu unterstützen -  und nicht den Zugriff oder die Überwachung des Aufenthaltsortes der Nutzer*innen ermöglichen. Darüber hinaus scheinen die Entwickler auf den Einsatz von Analyse- und Telemetrie-Werkzeugen verzichten zu haben, um möglichst wenig personenbezogene Daten zu sammeln. Es ist zwar möglich, dass Drittanbieter einige Informationen aus den von der App gesendeten Daten ziehen könnten, aber es ist unwahrscheinlich, dass die App als verlässliches Ortungs-Tool eignet - besonders mit Blick auf die vielen anderen digitalen Spuren, die unsere Geräte bereits hinterlassen. Einige Risiken bleiben jedoch bestehen.

Ist die App quelloffen?

Ja. der Code für die Corona-Warn-App ist auf Github, einer Software-Entwicklungsplattform, öffentlich verfügbar. Während es für den Anbieter der App technisch möglich ist, eine veränderte Version des Codes zu verbreiten, um mehr persönliche Daten zu sammeln, ist es unwahrscheinlich, dass eine solche Manipulation bei der genauen Prüfung der App in Deutschland unbemerkt bleiben würde.

Wie viele Apps gibt es?

Neben der Corona-Warn-App gibt es auch die App Datenspende-App des Robert-Koch-Instituts. Die App ermöglicht es Nutzer*innen biometrische Daten, gesammelt etwa durch Wearables wie Fitbit, freiwillig mit dem RKI zu teilen. Die App wurde wegen ihrer mangelnden Datenschutz- und Privatsphäre-Garantien bereits stark kritisiert. EFF hat ebenfalls vor den negativen Folgen gewarnt, die mit der Verwendung von Wearables zur Bekämpfung von COVID-19 verbunden sind.

Wird die App nach dem "Ende" der Krise abgeschaltet?

Die Bundesregierung hat ihre Kriterien und den Zeitplan für den Abschaltung der App noch nicht bekannt gegeben. Kritiker*innen fordern ein klares Verfallsdatum für die App. Apple und Google haben sich öffentlich dazu verpflichtet, ihre Schnittschnelle zu deaktivieren, sobald sie nicht mehr benötigt wird. Nutzer*innen steht es jederzeit frei, die Funktion, über die Smartphones temporäre IDs versenden und erhalten, auszuschalten. Nutzer*innen können ≈ die App auch jederzeit wieder deaktivieren, sollten sie keinen Bedarf mehr dafür haben. Historisch gesehen halten Regierungen jedoch oft an den neuen Befugnissen, die sie während einer Krise erwerben, fest. Darum ist es umso wichtiger, dass die Bundesregierung klare Kriterien und einen Zeitplan veröffentlicht, nach dem die Corona-Warn-App wieder abgeschaltet werden soll. 



Related Issues

COVID-19 and Digital Rights

Related Updates

covid passport image with eye in background
Deeplinks Blog by Alexis Hancock, Adam Schwartz, Jon Callas | August 31, 2021

Vaccine Passport Missteps We Should Not Repeat

Vaccine mandates are becoming increasingly urgent from public health officials and various governments. As they roll out, we must protect users of vaccine passports and those who do not want to use—or cannot use—a digitally scannable means to prove vaccination. We cannot let the tools used to fight for public...