Corona-App: Wie die Warn-App funktioniert - Daten, Privatsphäre und Installation
Veröffentlicht: Dienstag, 16.06.2020 05:30
Über eine Corona-Warn-App wird seit Monaten diskutiert, jetzt steht sie zum Herunterladen zur Verfügung und wird wohl heute offiziell vorgestellt. Sie wirft aber viele Fragen auf, weil in einigen Bereichen Neuland betreten wird.
Was kann die Corona-Warn-App?
Für den Weg aus der Corona-Krise in die Normalität hoffen viele Menschen auch auf die seit Monaten angekündigte Corona-Warn-App. Sie soll dabei helfen, die Infektionsketten frühzeitig zu erkennen und zu durchbrechen.
Die App hilft nicht, eine Ansteckung zu verhindern. Sie soll stattdessen Menschen nachträglich darüber informieren, wenn sie sich in der Nähe infizierter Personen aufgehalten haben. Diese sind schon Tage vor dem Auftreten erster Symptome ansteckend. Daher gilt: Je früher eine Person über ein Infektionsrisiko Bescheid weiß, desto schneller kann sie selbst Schutzmaßnahmen ergreifen und sich testen lassen oder sich in eine Quarantäne begeben, um andere vor einer Ansteckung zu bewahren. Die App soll außerdem dazu beitragen, dass Betroffene schneller ihr Testergebnis erhalten und Kontaktpersonen benachrichtigen.
Wie funktioniert das?
Mit der App verwandelt sich ein Smartphone in einen kleinen «Bluetooth-Leuchtturm», der im Abstand von zweieinhalb bis fünf Minuten eine Serie von Identifikationsnummern in die nähere Umgebung funkt. Gleichzeitig lauscht das Telefon, ob es Bluetooth-Signale von anderen empfangen kann. Halten sich Nutzer, die beide die App laufen haben, nebeneinander auf, tauschen die Smartphones ihre IDs aus. Diese Daten werden lokal auf den Handys eine Zeit lang gespeichert. Näher erklären wir das im nächsten Abschnitt.
Wer positiv auf Covid-19 getestet wurde, trägt diesen Status selbst in die App ein. Über einen zentralen Server wird dann ermittelt, wer mit dem Infizierten engeren Kontakt hatte, also welche Handys sich in der Näher befanden und Daten ausgetauscht haben. Diese Kontakte bekommen dann Bescheid und können sich zum Beispiel bei ihrem Arzt oder dem Gesundheitsamt melden und sich testen lassen.
Um einen Missbrauch zu verhindern muss eine Infektion offiziell bestätigt werden. Das geschieht zum einen über einen QR-Code, den man vom Testlabor erhält. Alternativ kann man auch eine TAN eingeben, die man von einer Telefon-Hotline bekommt, da nicht alle Labore in der Lage sind, QR-Codes zu generieren.
Welche Daten verwendet der Algorithmus der Corona-App?
Die App wertet die Dauer des Kontakts aus und registriert dabei, wie stark das Bluetooth-Signal war. Aus der Signalstärke lässt sich der ungefähre Abstand berechnen. Bei der Alarmierung spielt aber auch der Zeitpunkt des Kontaktes eine Rolle. Bei der Berechnung eines Risikowertes wird nämlich auch die Tatsache berücksichtigt, dass Infizierte unmittelbar vor dem Ausbruch der Krankheitssymptome besonders ansteckend sind.
Bei der Programmierung der App und der dazugehörigen Dienste wurde ein mehrstufiges Konzept umgesetzt, um einen möglichst hohen Datenschutz zu gewährleisten. Es werden nicht die Identitäten der Anwender ausgetauscht, sondern anonymisierte IDs, die sich mehrfach in der Stunde ändern. Die IDs der Kontaktpersonen werden nicht zentral gespeichert, sondern dezentral auf den jeweiligen Smartphones. Nur die Liste der anonymisierten IDs der Infizierten wird auf einem zentralen Server vorgehalten. Der Abgleich findet aber ausschließlich auf den einzelnen Smartphones statt.
Wie unterscheidet sich die Corona-Warn-App von anderen Corona-Programmen?
Nach den Vorgaben von Google und Apple kann es pro Land nur eine offizielle Tracing-App geben, die mögliche infektiöse Kontakte nachverfolgt. Das ist die Corona-Warn-App des Robert Koch-Instituts (RKI), die von SAP und Telekom entwickelt wird. Es gibt parallel dazu andere Anwendungen mit anderen Zielen: Die Datenspende-App des RKI etwa sammelt Informationen von Fitness-Trackern ein, um zu sehen, ob es in den Regionen Auffälligkeiten gibt. Andere Apps überwachen, wie viele Menschen sich in einem bestimmten Bereich befinden, etwa an einem Strandabschnitt an der Ostsee.
Auf welchen Smartphones kann die App installiert werden?
Beim iPhone ist das aktuelle iOS 13.5 Mindestvoraussetzung. Das gibt es für Geräte ab dem iPhone 6s oder dem iPhone SE. Ein altes iPhone 5, 5S oder 6 reicht nicht aus. Bei Android-Handys ist die Lage etwas unübersichtlicher. Hier ist Android 6 und die Unterstützung von Bluetooth LE Mindestvoraussetzung. Zum anderen müssen aber auch die Google Play Services laufen, weil der Konzern die Schnittstellen nicht über Android selbst zu Verfügung stellt, sondern über diese Google-Dienste. Android-Handys ohne Google Play Services bleiben zunächst außen vor. Huawei hat allerdings angekündigt, dass die App in absehbarer Zeit auch auf den neuesten Modellen ohne Google Play Services laufen sollen, weil die Funktionalität nachgebaut wird.
Der Austausch der anonymisierten Kontakt-IDs via Bluetooth findet außerdem nur dann statt, wenn man die Corona-Warn-App freiwillig installiert und dem Datenaustausch aktiv zustimmt. Die Betriebssysteme aktivieren die App nicht von alleine.
Wird die Corona-Warn-App nicht doch heimlich zur Überwachung eingesetzt?
Nein, das ist quasi ausgeschlossen, sagen mehrere unabhängige Experten. Der Quell-Code der App kann auf der Plattform GitHub transparent eingesehen werden. Bei etlichen Analysen des Codes wurden keine Hintertüren oder andere Anomalien entdeckt. Dies wurde auch von Mitgliedern des Chaos Computer Clubs bestätigt. Bei einem technischen Audit durch den TÜV-IT wurden ebenfalls keine undokumentierten Funktionen entdeckt.
Gibt es für die Warn-App eine eigene gesetzliche Grundlage?
Nein, die Bundesregierung glaubt, dass die bestehenden Datenschutzgesetze ausreichen und wird im Bundestag dabei von der FDP unterstützt. Die Grünen und Linken fordern dagegen, dass der Einsatz der App durch ein Gesetz geregelt wird. So müsse nicht nur die Installation der App freiwillig sein. Es dürfe auch keine Verpflichtung geben, ein Smartphone mit laufender App mit sich zu führen und bei Restaurantbesuchen, beim Einkaufen oder Veranstaltungen vorzuzeigen. Auch die AfD fordert, dass es keine Diskriminierung von Nicht-Nutzern geben dürfe.
Wie viele Menschen müssen die App nutzen, damit sie was bringt?
Eine Studie aus Oxford sagt, dass der volle Effekt erst dann erreicht wird, wenn sich 60 Prozent der Bevölkerung oder mehr beteiligen. Die Forscher aus Oxford sagen aber auch: «Selbst bei einem geringeren Anteil gehen wir davon aus, dass die Zahl der Infektionen und Todesfälle sinkt.» Die ideale Quote von 60 Prozent wird in Deutschland vermutlich nicht zu erreichen sein. Selbst eine populäre App wie WhatsApp hat Jahre gebraucht, um so hohe Installationszahlen zu erreichen.
Wie kann ich verhindern, dass die App den Akku zu schnell entlädt?
Das wurde im Prinzip schon dadurch gelöst, dass man sich auf die Verwendung von Bluetooth LE geeinigt hat. LE steht für Low Engergy (geringen Strombedarf). Die Entwickler der App versprechen, dass die Anwendung längst nicht so viel Strom verbraucht wie das Streamen von Musik auf einen Bluetooth-Lautsprecher. Ob das Versprechen gehalten werden kann, wird die Praxis zeigen. Die App selbst benötigt gar nicht so viel Strom. Der Akku wird vor allem den den Anwendungen in Anspruch genommen, die zusammen mit der Corona-Warn-App aus dem Ruhezustand aufwachen, etwa Social-Media-Clients oder E-Mail-Programme. Daher funkt die App auch nicht ständig die IDs, sonder nur alle zweieinhalb bis fünf Minuten in einer Art Stoßfeuer.
Wie sicher ist die Warn-App gegen Fehl-Alarme?
Da die Bluetooth-Technik nicht für das Messen von Abständen entwickelt wurde, wird es sicherlich auch Fehlalarme geben. Es kann zum Beispiel sei, dass sich Infizierte hinter einer Glaswand befunden haben und einen Alarm auslösen, obwohl durch den «Kontakt» keine Infektionsgefahr ausging. Daher verweisen selbst die Entwickler darauf, dass die App nur einen begrenzten Beitrag zur Normalisierung liefern kann. Wer sich und andere vor einer Infektion schützen will, sollte auch mit der App Abstand wahren und eine Maske tragen.
Wie unterscheidet sich die deutsche App von Anwendungen in anderen Ländern?
Apps in asiatischen Ländern wie China, Singapur, Südkorea oder Indien erfüllen nicht die deutschen Datenschutzanforderungen, weil sie beispielsweise die Nutzer bloßstellen oder durch die Analyse der GPS-Signale ein Bewegungsprofil erstellen können. Die App in Frankreich ähnelt dem Ansatz in Deutschland, besteht aber auf einer zentralen Speicherung der Kontaktdaten. Andere Länder wie die Niederlande, die Schweiz oder Österreich folgen wie Deutschland dem Datenschutz-Konzept von Apple und Google und können dadurch auch die technischen Schnittstellen (APIs) der Tech-Konzerne nutzen.
Quelle: Berlin (dpa)