In Frankreich erschien die App zur Unterbrechung von Corona-Infektionsketten bereits vor einigen Tagen. Heute (16. Juni 2020) erscheint auch in Deutschland die Corona-Warn-App, hergestellt von Telekom und SAP im Auftrag der Bundesregierung.
Die Tracing App warnt ihre Nutzern, wenn sie sich in der Nähe von Menschen aufgehalten haben, die sich mit dem Covid-19 Virus infiziert haben. Da es sich bei Gesundheitsdaten um personenbezogene Daten handelt, die laut DSGVO besonders geschützt werden müssen, lohnt es sich einmal diese App genauer aus datenschutzrechtlicher Perspektive unter die Lupe zu nehmen.
Wo liegen die Unterschiede einer Tracking- und einer Tracing-App?
Über die verschiedenen Entwicklungsstufen der Corona-App und wie sich diese auf den Schutz der Privatsphäre von Bürgerinnen und Bürgern auswirken, haben wir regelmäßig berichtet. Die App selbst ist nun nicht nur ein technologisches Produkt, sondern auch das Produkt einer breiten gesellschaftlichen Debatte. Lange haben Presse, Politik und Gesellschaft darüber diskutiert, wie eine App aussehen soll, die gleichermaßen die Gesundheit der Bürger*innen und ihre Privatsphäre schützt.
Ein wichtiger Punkt der App, wie sie nun vorliegt ist, dass es sich hierbei um einen Tracing-App handelt. Sie wurde nicht als Tracking-App umgesetzt, wie es die Entwickler zunächst vorhatten. Bei einer Tracking-App werden die GPS-Standortdaten der Nutzer erfasst und hinterlegt. Ein Vergleich der unterschiedlichen Bewegungsprofile der unterschiedlichen Nutzer hätte dann bei Überschneidungen ein Infektionsrisiko bedeutet.
Allerdings ist eine Speicherung von Standortdaten ein schwerwiegender Eingriff in die Privatsphäre der Nutzer – weswegen Datenschutzaktivsten und -politiker diese Lösung gleichermaßen abgelehnt haben.
Anstatt auf die Geo-Daten der Nutzer zuzugreifen und wie eine Tracking-App zu funktionieren, nutzt die Corona-Warn-App das Bluetooth-System der Smartphones. So können Nutzer nachvollziehen, mit welchen anderen Geräten sich ihr Smartphone mit Bluetooth verbunden haben und ob sich hierunter ein Gerät befand, das einer Infizierten Person gehörte.
In diesem Fall warnt die App den Nutzer, der sich anschließend testen und in Quarantäne begeben kann. Auch wenn ein Nutzer erst später in seiner App einträgt, dass er sich infiziert hat, warnt die App andere Nutzer.
Wo werden die personenbezogenen Daten gespeichert?
Damit es nicht zu einem Missbrauch der personenbezogenen Daten kommen kann, speichert die App die Daten nicht zentral auf einem Server. Stattdessen hinterlegt die App jeweils auf dem Smartphone ihres Nutzers. Hier speichert sie auch nur die Daten von den Smartphones, mit dem sich das Handy verbunden hat.
Die Nutzerdaten pseudonymisiert die App komplett. Um die App zu installieren, müssen Nutzer auch keine personenbezogenen Daten wie Namen, Handynummer oder E-Mail-Adresse angeben. So bleibt die Privatsphäre der Nutzer optimal geschützt. Die Daten, die das Handy austauscht, werden ebenfalls so verschlüsselt, dass keine Rückschlüsse mehr auf das Handy möglich sind. Der Krypto-Schlüssel erlaubt keine Entschlüsselung, was für eine Marke oder Modell das Handy ist.
Es gibt einen zentralen Server für die Corona-Warn-App. Dieser speichert allerdings keine personenbezogenen Daten dauerhaft. Angaben der Bundesregierung zufolge, dient dieser Server allein dem Zweck, die autorisierten und pseudonymisierten Positiv-Meldungen an die Endgeräte zu versenden Mit diesen Positiv-Meldung kann die App anschließend selbst eine Begegnungsprüfung durchführen. Der Server übernimmt also allein die Datenverteilung, nicht die Speicherung.
Funktionsweise der Corona-Warn-App
Um die Corona-App auf dem Smartphone zu installieren, müssen ihre Nutzer keine personenbezogenen Daten angeben. Einmal installiert verbindet sich das Handy in Sekundenintervallen mit anderen Smartphones, die die App ebenfalls installiert haben.
Sobald sich zwei Handys verbunden haben, tauschen sie einen pseudonymisierten Zahlenschlüssen aus, bei dem es sich um eine Kurzzeit-ID handelt, die sich in regelmäßigen Abständen ändert. So haben die Entwickler der App eine Rückverfolgbarkeit der Daten ausgeschlossen.
Wenn ein Test eines Nutzers auf das Covid-19-Virus positiv ausgefallen ist, kann er das in seiner App angeben, indem er einen vom lokalen Gesundheitsamt individuell zur Verfügung gestellten QR-Code einscannt. So schließen Nutzer und Gesundheitsämter einen Missbrauch der App für Falschmeldung aus.
In regelmäßigen Abständen gleicht das Handy die empfangenen Kontaktdaten mit denen von infizierten Personen ab und kann so den Nutzer vor einer Infektion in seinem Umfeld warnen. Dabei kann der Nutzer nicht nachvollziehen, wer die infizierte Person war. So bleibt die Privatsphäre der Erkrankten geschützt. Auch eine Echtzeitwarnung vor einer Infizierten Person im direkten Umfeld ist nicht möglich.
Welche Datenschutzrechtlichen Probleme gibt es bei der Corona-App?
Die App schützt die personenbezogenen Daten ihrer Anwender so gut wie kaum eine andere App. Datenschutzrechtler sind sich einig, dass die App keine großen Probleme hat und selbst der Chaos Computer Club (CCC) sieht die App positiv. Ein großer Pluspunkt der App ist, dass ihr Programmcode öffentlich einsehbar ist. Bisher konnten Prüfer noch keine Schwachstellen oder Hintertürchen im Open-Source-Code feststellen.
Die App ist so programmiert, dass eine Rückverfolgbarkeit der Nutzer ausgeschlossen ist. Auch die Anforderungen der DSGVO hinsichtlich Freiwilligkeit, Widerrufbarkeit und Einwilligung in die Datenverarbeitung werden durch die App erfüllt.
Die Verwendung der App ist freiwillig
Der Gesetzgeber zwingt niemand dazu, die App zu verwenden. Auch andere Institutionen, Arbeitgeber oder Einrichtungen dürfen nicht die Nutzung der App verlangen. Alles andere wäre allein schon aus Perspektive des Datenschutzes nicht zulässig. Die Bundesregierung setzt darauf, dass möglichst viele Menschen von den Vorteilen, die die App ihnen bietet, überzeugt sind und die App deswegen installieren.
Wenn die App vor einer möglichen Infektion warnt, kann niemand nachvollziehen, wie der Nutzer der App auf diese Warnung reagiert. Es bleibt dem Nutzer freigestellt, sich an das Gesundheitsamt zu wenden. Eine Warnung durch die App reicht gleichsam aber auch nicht für eine Arbeitsunfähigkeitsbescheinigung. Hier ist die gesamte Gesellschaft auf die gute Zusammenarbeit aller angewiesen.
Ein Arbeitgeber darf eine Nutzung der App aber auch nicht anordnen, da es sich bei einer solchen Anordnung um einen schwerwiegenden Eingriff in das Persönlichkeitsrecht der Betroffenen handeln würde.
Auch Restaurants, Cafés oder Geschäfte dürfen eine installierte App nicht zur Voraussetzung machen, die Einrichtung betreten zu dürfen.
Wo ist die App verfügbar?
Nutzer können die Corona-Warn-App seit heute (16. Juni 2020) bei den offiziellen App-Stores von Google und Apple herunterladen. Sie funktioniert bei Smartphones mit Googles Android-Betriebssystem, ab der Version Android 6, die ab 2015 ausgeliefert wurden.
Apple Smartphones benötigen ein Betriebssystem ab iOS 13.5, das auf allen Geräten seit dem iPhone 6s oder dem iPhone SE installiert ist.
Wichtig für alle Nutzer ist, sich nur Apps mit dem Namen „Corona-Warn-App“ herunterzuladen. Es existieren bereits mehrere Fake-Anwendungen, die die Benutzerdaten abgreifen sollen.
© AA+W – stock.adobe.com
