Corona-Warn-App – Der Kampf gegen das Virus wird digital
Anfang Mai dieses einigermaßen denkwürdigen Jahres beauftragte die Bundesregierung die beiden Unternehmen SAP und T-Systems (eine Telekom Tochter) damit, eine App zu entwickeln, welche bei der Eindämmung des Corona-Virus helfen soll. Nun ist die App endlich da und mit ihr kommen Bedenken. Hauptsächlich bezogen auf den Datenschutz. Wir erklären, warum diese Bedenken unbegründet sind!
Ein Datenschutzrisiko? Nein!
Fangen wir doch mit dem groben Grundprinzip an, auf dessen Basis die App funktioniert. Zur Kommunikation mit den umgebenden Smartphones wird „Bluetooth Low Energy“ verwendet. Der Low Energy-Teil ist hier im Grunde nur insofern relevant, als dass ihr Eure vor Furcht zitternden Smartphone-Akkus beruhigen könnt – übermäßig leer gesaugt wird hier nichts.
Doch viele relevanter ist die Frage, was denn nun eigentlich kommuniziert wird? Welche persönlichen Daten werden von der App in die (direkt umliegende) Welt verschickt? Die kurze und knackige Antwort: Keine! Solltet ihr in Bluetooth-Reichweite eines anderen Gerätes kommen, dass die Corona-Warn-App ebenfalls installiert hat, so wird alle zehn Minuten schlicht eine zufällig generierte ID verschickt. Die einzigen Informationen, die das Empfängergerät mit der ID erhält, sind das Datum des Kontaktes und indirekt die Dauer des Kontaktes. Auf Letzteres kann geschlossen werden, da die Geräte alle zehn Minuten einen solchen Code verschicken.
Je mehr Codes sich angesammelt haben, desto länger war der Kontakt und desto höher ist tendenziell das Risiko einer Infektion. Andere Daten, gar personenbezogene, werden nicht übermittelt. Kein Name, kein Alter, kein Geschlecht – nichts! Und da diese IDs prinzipiell auf dem Handy des Empfängers verbleiben und nicht zentral auf einem externen Server gespeichert werden ist auch keine Rückverfolgung einzelner Geräte möglich. Rückschlüsse darüber, wer mit wem, wann und wie lange in Kontakt stand sind also mangels eines zentralen Datensatzes nicht möglich.
Warum muss ich den Standort aktiviert haben?
Startet man die App zum ersten Mal und hat in den Android-Einstellungen den Standort deaktiviert (vermutlich, weil einem Datenschutz tatsächlich am Herzen liegt), so wird man, nach dem man der Nutzung von Bluetooth zugestimmt hat, jedoch mit einem Fensterchen konfrontiert, welches auf Anhieb nicht so recht in das Bild einer App passt, die verspricht keine sensiblen Daten zu sammeln – einem Fensterchen, dass Zugriff auf den Gerätestandort fordert.
Hier kann man jedoch Entwarnung geben! Android verlangt prinzipiell Standortberechtigungen, wenn eine App Bluetooth nutzen, bzw. mit Bluetooth in der unmittelbaren Umgebung nach anderen Geräten scannen möchte. Das ist schlicht der Tatsache geschuldet, dass man mit Bluetooth auf diese Art in sehr geringem Maße grobe Standortdaten ermitteln kann. Dementsprechend sind auch diese beiden Berechtigungen miteinander gekoppelt. Dass die Corona-Warn-App die gewährten Berechtigungen – wie versprochen und in den Nutzungsbedingungen vorgeschrieben – nicht nutzt, kann man mit einem kurzen Blick in den Systemeinstellungen überprüfen. Unter Einstellungen -> Standort -> App-Berechtigung kann man einsehen, welche Apps Standortdaten nutzen. Und die Corona-Warn-App taucht dort nicht auf, da sie schlicht keine echten Standortdienste nutzt. Davon ganz abgesehen, müsste der Nutzer dies sowieso explizit erlauben. Sprich: Es würde sowieso nicht ungeschehen passieren.
Und was ist mit den Trollen?
Eine weitere prominente Befürchtung war, dass es mit Sicherheit grenzender Wahrscheinlichkeit Menschen gibt, die einen enormen Spaß daran empfinden würden, sich selbst fälschlicherweise als infiziert zu melden und damit das ganze Tracing-System ad absurdum zu führen.
Aber auch das ist de facto nicht möglich. Denn um eine Infektion zu melden, benötigt man entweder einen QR-Code oder eine TAN, welche man nur zusammen mit einem (leider) positiven Testergebnis erhält. Wurde man nun positiv getestet und hat dies auch in der App mitgeteilt, so werden die zufälligen, im Grunde inhaltsleeren IDs, die in den letzten 14 Tagen von meinem Smartphone an andere verschickt wurden, an einen externen Server gemeldet. Aber auch nur dann, wenn Du als Nutzer dies aktiv bestätigst! Es ist freiwillig, heißt Du musst nicht, kannst bzw. solltest Du es machen, um an der Eindämmung mitzuwirken.
Andere Smartphones können nun in regelmäßigen Abständen Ihre eigens gesammelten IDs mit denen des Servers abgleichen. Findet man eine ID wieder, so wird der Person schlicht gemeldet, dass ein Kontakt mit einer infizierten Person bestand. Herausfinden welche Person es konkret war ist nicht möglich, da die IDs wie gesagt keinerlei persönliche Daten enthalten. Die einzige übermittelte Information liegt darin, dass man Bescheid weiß, dass man sich nach Möglichkeit selber testen lassen sollte.
Fazit: Eine sichere App!
Mit der Corona-Warn-App wurde eine DSGVO konforme App geschaffen, welche unter den wachsamen Augen von deutschlands Datenschützern entwickelt wurde. Dementsprechend sicher ist sie auch, wenn es um Datenschutz geht. Ob sie sich natürlich als effektiv in der Eindämmung des Virus erweisen kann, wird die Zeit zeigen. Da die Nutzung der App jedoch niemandem schaden kann und der worst case schlicht Effektlosigkeit wäre, können wir als Gesellschaft im Grunde nur profitieren. Dementsprechend empfehlen wir die Nutzung! Bleibt gesund!
9.6Score10Funktion10Bedienung8Design10Umfang10Editor's Choice
