leibniz

Im Juni hat die Bundesregierung ihre Corona-Warn-App veröffentlicht. Rund 18 Millionen Menschen haben die Software bis Anfang September auf ihrem Smartphone installiert. Die App soll über das persönliches Infektionsrisiko informieren und im Kampf gegen die Pandemie auf diese Weise helfen, die Infektionsketten zu unterbrechen. Vor dem Start wurde ihre Sicherheit intensiv diskutiert. Franziska Boehm und Diana Dimitrova vom FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur haben bereits damals Empfehlungen zum Datenschutz entwickelt und jetzt untersucht, inwiefern diese berücksichtigt wurden. Die wichtigsten Fragen und die Antworten der beiden Rechtswissenschaftlerinnen.

Ganz grundsätzlich: Wie funktioniert die App?

Begegnen sich zwei Smartphones, auf denen die App installiert ist, tauschen sie über Bluetooth verschlüsselte Zufallscodes aus. So soll die App erkennen, wie lange und in welcher Entfernung das Aufeinandertreffen von zwei Menschen angedauert hat. Auf Basis dieser Daten berechnet die App das Infektionsrisiko. Positiv auf COVID-19 getestete Nutzerinnen und Nutzer können ihre Infektion freiwillig melden. Dabei wird ein pseudonymisierter Code an einen zentralen Server geschickt, der die Information an alle Nutzerinnen und Nutzer weiterleitet. Die App prüft bei ihnen im Anschluss, ob der Code im anonymen Log für die Begegnungen der vergangenen 14 Tage gespeichert ist – und spricht eine Warnung aus, sollte das der Fall sein.

Wird die Anonymität der Nutzerinnen und Nutzer gewahrt?

Die App erhebt bei der Registrierung keine persönlichen Daten, sammelt keine Standortdaten und verfolgt auch nicht die Bewegungen ihrer Nutzerinnen und Nutzer. Sie liefert keine Warnungen in Echtzeit und teilt auch nicht mit, wer die infizierten Personen sind. Vollständige Anonymität scheint dennoch nicht gewährleistet zu sein, wenn man bedenkt, dass in der App vermerkt werden kann, ob ein Test durchgeführt wurde, und ob der Befund positiv ist. Betroffene Nutzerinnen und Nutzer, die dies freiwillig melden wollen, müssen dabei nachweisen, dass sie auch wirklich infiziert sind. Nach dem Test erhalten sie dazu einen QR-Code, den sie – sofern das testende Labor an das System angeschlossen ist (bisher sind das 134 von 171 Laboren) – mit dem Smartphone scannen können; das Testergebnis kommt per App. Alternativ kann man beim Robert-Koch-Institut (RKI) über eine Telefonhotline eine Transaktionsnummer anfordern, damit das RKI den Befund verifizieren kann. Bis Mitte September sind allerdings wohl nur 3.613 Positivfälle über die App gemeldet worden, was im Kontrast zu den 80.000 Neuinfizierten seit ihrer Einführung steht. Die Gründe für diese Diskrepanz sind nicht bekannt und lassen sich auch nur schwer ermitteln. Im Vergleich zu anderen Corona-Apps ist die Menge an erhobenen pseudonymisierten und anonymisierten Daten jedoch eher gering.

Foto KAI PILGER/UNSPLASH

FRANZISKA BOEHM & DIANA DIMITROVA

forschen am FIZ-Karlsruhe – Leibniz-Institut für Informationsinfrastrukturen zu Immaterialgüterrechten. Boehm, die den Bereich leitet, ist zudem Professorin am Zentrum für angewandte Rechtswissenschaft des Karlsruher Instituts für Technologie.

Wie sieht die rechtliche Grundlage aus?

Die Installation der App bedarf der Zustimmung der Nutzerinnen und Nutzer, die allerdings jederzeit widerrufen werden kann. Problematisch sind in diesem Zusammenhang höchstens arbeitsrechtliche Konstellationen, etwa wenn Arbeitgeber ihre Angestellten verpflichten, die App auf dem Diensthandy zu installieren. In diesem Fall ist nicht klar, ob die Zustimmung der Nutzer als freiwillig gelten kann.

Wer verarbeitet die Daten?

Das RKI ist für die Daten zuständig, die mittels App und Hotline verarbeitet werden. Dazu gehören Telefonnummer und/oder Name, Informationen, dass ein bestimmter Corona-App-User sich hat testen lassen und gegebenenfalls der Befund. Google und Apple dagegen, die die Betriebssysteme für fast alle Smartphones stellen, sind für jene Daten zuständig, die die Geräte selbst verarbeiten, etwa die Logs der Begegnungen.

Wie transparent ist die Datenverarbeitung?

Auf den Websites des RKI und der Bundesregierung gibt es einen ausführlichen Datenschutzhinweis, eine Datenschutzfolgenabschätzung und weitere Informationen, darunter Antworten auf häufig gestellte Fragen zur Funktion der App und datenschutzrechtlichen Themen. Dort wird auch offengelegt, wer an der Entwicklung der App beteiligt war, und versichert, dass Daten grundsätzlich nicht an Dritte weitergegeben werden. Das betrifft natürlich nicht die von Apple und Google verarbeiteten Daten. Sie unterliegen der Datenschutzgrundverordnung (DSGVO), die die Verarbeitung personenbezogener Daten durch öffentliche und private Akteure für die Europäische Union einheitlich regelt.

Wie exakt arbeitet die App?

Einige Ungenauigkeiten sind nicht auszuschließen: So könnte die manchmal etwas unpräzise Bluetooth-Kontaktfunktion dazu führen, dass die Entfernung zwischen zwei Personen falsch berechnet oder eine Begegnung erst gar nicht registriert wird. Allgemein hängen der Erfolg der App und die Genauigkeit der Berechnung des Infektionsrisikos davon ab, wie viele Personen die App nutzen, um Infektionen zu melden und welche Begleitmaßnahmen zur Eindämmung des Virus getroffen werden. Deswegen variieren die Zahlen zur Mindestnutzbarkeit der App zwischen 15 und 60 Prozent der Bevölkerung. Darüber hinaus hängt die Genauigkeit der Risikobewertung für eine mögliche Infektion auch von den abstrakten Kriterien für diese Bewertung ab, also etwa davon, in welcher Entfernung und wie lange sich zwei Menschen begegnet sein müssen, damit die Corona-App eine Begegnung mit einer Infizierten Person registriert. Sollte es hier zu Schwierigkeiten kommen, müssen diese schnell behoben werden, um die Rechte der Nutzenden zu wahren.

Es ist essenziell, die App fortlaufend zu überwachen.

FRANZISKA BOEHM & DIANA DIMITROVA

Was hat es mit der Panne auf sich, die im Sommer vermeldet wurde?

Im Juli erschienen Berichte zu fehlenden Kontaktmeldungen auf Geräten unabhängig vom Betriebssystem. Wenn die Corona-App auf Geräten bestimmter Hersteller nur im Hintergrund lief (etwa in der Stromsparfunktion), wurden die registrierten Begegnungen mit den gemeldeten Infektionen auf dem Server nicht abgeglichen, es wurden also auch keine Warnungen für die betroffenen Appnutzer erstellt. Dieses technische Problem wurde laut RKI und Gesundheitsministerium für Android und iOS Geräte schnell behoben. Dennoch wurde der Vertrauensverlust in zahlreichen Medien thematisiert. Auch aktuell gibt es kleinere Genauigkeitsprobleme, die behoben werden müssen. So zeigen iPhones mit neuem Betriebssystem iOS 13.7 womöglich ein zu hohes Infektionsrisiko an.

Wie werden die Daten gespeichert?

Die in der App verarbeiteten Daten werden in Deutschland oder einem anderen Mitgliedstaat der EU oder des Europäischen Wirtschaftsraums gespeichert. Dies gilt jedoch nicht zwingend für die Daten, die Google und Apple erheben. Die Speicherdauer beträgt 14 Tage, was angesichts des Zeitraums, innerhalb dessen man nach einer Infektion erste Krankheitssymptome entwickelt, angemessen ist. Die (anonymen) Identifikatoren der positiv getesteten Personen werden auf einem zentralen Server verarbeitet, während der Abgleich dieser Identifikatoren mit der Liste der Begegnungen in der App erfolgt.

Welche Rechte haben die Dateninhaber?

Die Rechte der betroffenen Personen schließen die Auskunft, Berichtigung, Löschung, Übertragbarkeit und Einschränkung der Verarbeitung der Daten sowie ein Widerspruchsrecht ein – aber auch die Notwendigkeit einer eventuellen Identifizierung der betroffenen Person durch das RKI, um die Ausübung der Rechte zu ermöglichen. Allerdings ist anzumerken, dass die Berechnung des Covid-19-Infektionsrisikos als Profiling im Sinne der DSGVO angesehen werden kann, wenn aus der automatisierten Warnung in der Zukunft rechtliche oder ähnliche Wirkungen für die Einzelperson entfaltet werden, die Meldung also beispielsweise zu einer Testpflicht oder automatischer Quarantäne führen würde. Dann müsste das RKI Nutzerinnen und Nutzer, die eine Kontaktwarnung erhalten haben auf ihre Rechte aus der DSGVO (Darlegung des Standpunktes, Anfechtung der Entscheidung/direktes Eingreifen des RKI) hinweisen. Bisher entfaltet die Warnung keine Pflichten. Es gibt aber die Empfehlung der Verbraucherzentrale, eine häusliche Quarantäne nach einem Risikokontakt einzuhalten.

Wie ist die Sicherheit der App nun also zu bewerten?

Insgesamt gewährleistet die deutsche Corona-Warn-App ein hohes Datenschutzniveau, vor allem im Vergleich mit anderen analysierten Corona-Apps, die zum Beispiel wesentlich mehr Daten erheben und sie länger speichern. Damit die App auch wirklich dazu beitragen kann, die Infektionsketten zu unterbrechen, ist es dennoch essenziell, die Genauigkeit der Datenverarbeitung, der Bluetooth-Kontaktfunktion und der Risikobewertung durch den Algorithmus fortlaufend zu überwachen. Und auch die Sicherheit der App sollte regelmäßig überprüft werden. Vorschläge dazu werden bereits diskutiert.

Coronavirus · Gesundheit · Technologien · FIZ KA