Corona-Warn-App: Grünes Licht für den Datenschutz
Die Sicherheits-Experten von Boxcryptor haben sich den Code und die Funktionsweise der Corona-Warn-App genau angeschaut. Das Ergebnis: Die App hält die versprochenen Datenschutz-Standards ein.
Das Wichtigste in Kürze
- Die Corona-Warn-App ist datenschutztechnisch unbedenklich und erfüllt alle Standards
- Die Nutzung ist anonym und freiwillig
- Der öffentlich einsehbare Code ist gut geschrieben und transparent kommuniziert (zur Übersicht auf dem Entwickler-Portal GitHub)
- Gesundheitsämter und Behörden haben keinen Zugriff auf Daten
- Es findet keine GPS-Standortverfolgung statt
Wie die App funktioniert
In Presseberichten im Vorfeld der Veröffentlichung der App wurde immer wieder über ein vermeintliches Standort-Tracking spekuliert. Das gibt es jedoch nicht. Wir stellen klar: Die deutsche Corona-Warn-App benutzt kein GPS-Tracking und kann die Bewegungen sowie Aufenthaltsorte der Nutzerinnen und Nutzer nicht nachverfolgen.
Die Basis des Datenaustausches ist das Bluetooth-Signal, welches nahezu jedes moderne Smartphone aussenden kann. Hierüber übermittelt die Corona-Warn-App zufällig generierte, anonymisierte Nummern. Diese werden lediglich zwischen Geräten in Reichweite ausgetauscht, nur lokal auf den jeweiligen Geräten gespeichert und nach zwei Wochen automatisch gelöscht – vorausgesetzt die jeweiligen Geräte haben die App aktiviert.
Die verwendeten Nummern wechseln regelmäßig, sodass keine Nummer einem bestimmten Gerät (oder einer Person) zugeordnet werden kann. Erfasst wird neben der anonymen ID die Dauer des Kontaktes und die ungefähre Distanz zwischen den Geräten. Letztere wird aber eben nicht, wie oftmals befürchtet, durch ein GPS-Signal ermittelt, sondern über die Stärke des Bluetooth-Signals.
Warum benötigt die Corona-Warn-App eine Standort-Freigabe?
Dieses Thema betrifft vor allem Android-Geräte. Obwohl die Anwendung eigentlich keine GPS-Lokalisierung vornimmt, erfordert die Benutzung dennoch die Standortfreigabe. Dies begründet Google mit dem zwingenden Zusammenhang von Bluetooth-Verwendung und Ortungsdienst-Freigabe im Betriebssystem – unabhängig von der Corona-Warn-App. Dieses Detail hatte bei vielen Nutzern und Nutzerinnen für Verunsicherung gesorgt.
Entwarnung gibt hier die Datenschutz-Erklärung der Corona-Warn-App, wie unter anderem auch die Stiftung Warentest in ihrem Bericht feststellt:
Die Standortermittlung Ihres Smartphones muss aktiviert sein, damit Ihr Gerät nach Bluetooth-Signalen anderer Smartphones sucht. Standortdaten werden dabei jedoch nicht erhoben. (CWA-Datenschutzerklärung)
Was passiert mit den erhobenen Daten?
Die zufällig von der App generierte ID wird lokal auf dem Gerät gespeichert, welches sie gesendet oder empfangen hat. Sollte ein Nutzer oder eine Nutzerin ein positives Testergebnis erhalten, kann der beim Testergebnis mitgelieferte QR-Code in die App eingelesen werden. Dies geschieht nicht automatisch und ist nicht verpflichtend.
Anschließend übermittelt die App alle von ihr gesendeten, anonymen IDs der letzten 14 Tage an den Server – ohne dabei Rückschlüsse auf die Identitäten von Infizierten zuzulassen. So entsteht auf dem Server eine Liste von IDs die zu den Geräten von infizierten Personen gehören. Alle Corona-Warn-Apps gleichen diese Liste einmal pro Tag mit den lokal gespeicherten IDs ab. So bestimmt jedes Gerät, ob es in den vergangenen 14 Tagen Kontakt zu einem Gerät hatte, in das ein positives Testergebnis eingetragen wurde.
Bei einem „Match“, also dem Kontakt mit einer positiv getesteten ID, wird innerhalb der Corona-Warn-App eine Warnung samt Risikobewertung ausgegeben. Dabei werden von Dauer und geschätzter Nähe des erfolgten Kontaktes für die Einschätzung berücksichtigt. Vor allem bei flüchtigen Kontakten (z.B. im Supermarkt oder Zug) ist somit auch eine Zuordnung der Infektion zu einer bestimmten Person weder möglich noch notwendig.
Stefan Wollny, VP Engineering bei Boxcryptor fasst zusammen:
Die Architektur der App ist sehr smart, da holen die Entwickler und Entwicklerinnen sehr viel heraus, aber nahezu ohne irgendwelche Daten zu sammeln.
Wie zuverlässig ist Bluetooth Low Energy?
Die Corona-Warn-App setzt für die Datenübermittlung nicht auf den klassischen Bluetooth-Standard, sondern auf das modernere Bluetooth Low Energy (BLE, für einen ausführlicheren Bericht zur Entwicklung der Technik empfehlen wir diesen Bericht der Süddeutschen Zeitung).
BLE verbraucht deutlich weniger Strom als herkömmliche Bluetooth-Verbindungen, weshalb die Corona-Warn-App besonders ressourcenschonend ist. Doch es ergeben sich aus Datenschutz-Sicht zusätzlich noch zwei weitere Vorteile: Erstens ist die Menge an übertragbaren Daten deutlich geringer. Zweitens beträgt die Reichweite höchstens 10 Meter.
Für die Entfernungsmessung, welche Bestandteil der Risikoberechnung ist, wird der Abstand der Geräte zueinander geschätzt, indem die Stärke der empfangenen Signale gemessen wird. Diese Technik ermöglicht zwar eine anonyme Entfernungsmessung ohne GPS, ist aber von vielen externen Faktoren abhängig und dadurch fehleranfällig. Außerdem sammelt die App nicht permanent Daten, sondern prüft die Umgebung in Intervallen, um die Akkus der Geräte zu schonen. Insgesamt werden etwa 80 Prozent der Begegnungen „richtig “ erkannt, wie die Neue Züricher Zeitung berichtet.
Probleme mit der Verwendung von BLE gibt es zudem mit älteren Smartphones, deren Chips den neuen Standard nicht unterstützen. Ist die App damit zu fehleranfällig um wirksam zu sein? Vermutlich nicht. Denn Ziel der App ist es, genug positive Fälle und Kontakte zu erfassen – nicht alle. Die Corona-Warn-App unterstützt den Prozess der rückwirkenden Kontaktverfolgung, da es im Alltag schwierig ist, sich an alle Begegnungen der vergangenen zwei Wochen zuverlässig zu erinnern. Warnungen können mithilfe der CWA also schnell, zuverlässig und effizient übermittelt werden.
Datenschutz und Datenzugriff
Datenschutzorganisationen warnten davor, dass es die Akzeptanz der App mindern würde, wenn Behörden wie Gesundheitsämter Zugriff auf die Daten bekommen würden. Diese Sorge ist unbegründet: Durch die dezentrale Speicherung der anonymen IDs und Kontaktinformationen (Dauer und Entfernung zwischen den Geräten) auf den jeweiligen Endgeräten kann es keinen Zugriff auf die (ohnehin sehr wenigen) Daten geben.
Ein Zeichen für guten Datenschutz der Corona-Warn-App ist die fehlende Kritik netzpolitischer Organisationen, darunter dem Chaos Computer Club (CCC). Üblicherweise wird von Seiten des CCC mit Kritik nicht gespart, weil deren Experten und Expertinnen immer Mängel aufdecken. Doch nicht in diesem Fall: Wenngleich der CCC grundsätzlich keine Empfehlungen für bestimmte Programme ausspricht, wurden hier keine Bedenken gegenüber der CWA ausgesprochen. Dies kommt einem großen Lob gleich.
„Positiv gestestete“ IDs werden nur mit ausdrücklicher Zustimmung und unter aktiver, freiwilliger Mithilfe der Getesteten anonym zur Verfügung gestellt. Der Abgleich findet wiederum durch die individuellen Geräte statt. Eine befürchtete Nachverfolgung eines „positiven Kontaktes“ durch Behörden findet also weder statt, noch ist sie technisch möglich.
Was muss ich tun, wenn die Corona-Warn-App eine Warnung ausgibt?
Zunächst sollten Sie sich nochmals vor Augen führen, was die Warnung tatsächlich bedeutet: Sie befanden sich innerhalb der letzten 14 Tage in Bluetooth-Reichweite zu einer nachweislich positiv auf das Corona-Virus getesteten Person. Die Dauer und (geschätzte) Entfernung des Kontaktes werden angezeigt und helfen Ihnen, Ihr persönliches Risiko besser einzuschätzen.
Auf dieser Grundlage haben Sie nun selbst die Möglichkeit zu entscheiden, ob Sie sich freiwillig testen lassen möchten. Eine Warnung in der App ist jedoch weder ein positives Ergebnis noch eine Verpflichtung zu einem Test. Tatsächlich ist die Wahrscheinlichkeit einer Infektion bei den meisten angezeigten Kontakten sehr gering.
Wichtig: Bitte begeben Sie sich nicht unaufgefordert zu einer Teststelle – auch wenn die Warn-App Ihnen ein erhöhtes Risiko anzeigen sollte. Der erste Kontakt sollte immer telefonisch über eine Arztpraxis oder den ärztlichen Bereitschaftsdienst stattfinden. Diese informieren beim Erstkontakt ausführlich über Test, Ablauf und Dauer.
Die Corona-Warn-App ist freiwillig, aber wichtig
Die beiden zentralen Stützpfeiler der Corona-Warn-App sind:
- Freiwilligkeit
- Appell an pflichtbewusstes Verhalten
Die Stärke der App hängt vor allem von ihrer Verbreitung ab. Es geht nicht darum, alle Infektionen ausfindig zu machen, sondern darum, die Nachverfolgung von individuellen Infektionsketten zu erleichtern. Auch die persönliche Risikoeinschätzung wird durch die App vereinfacht.
Sicher, aber nicht perfekt
Zusammenfassend lässt sich aus der Datenschutzperspektive also festhalten: Die Corona-Warn-App ist sicher und datenschutztechnisch unbedenklich. Alle wichtigen Datenschutz-Maßnahmen wurden ergriffen und es werden nicht mehr Informationen übermittelt als unbedingt notwendig. Perfekt ist die App leider nicht: Vor allem technische Probleme wie die fehlende Unterstützung älterer Betriebssysteme und schwer verständliche Fehlermeldungen ärgern die Nutzer und Nutzerinnen aktuell noch. Wie sie damit umgehen können, erklärt unter anderem dieser Artikel des Magazins Stern.
Unsere Empfehlung
Christian Olbrich, Experte für Datensicherheit bei Boxcryptor:
Hier haben wir eine Möglichkeit, die Ausbreitung des Corona-Virus noch besser in den Griff zu bekommen, mit praktisch null Mehraufwand. Das ist in der Geschichte einzigartig.
Die Datenschutz-Experten von Boxcryptor geben an dieser Stelle grünes Licht für die Nutzung der Corona-App. Weitere ausführliche Informationen zur CWA und deren Nutzung finden Sie unter anderem auf Heise online.
Zum Schluss möchten wir Sie bitten, diesen Artikel weiterzuleiten und zu teilen. Jeder weitere Nutzer und jede weitere Nutzerin helfen, die Corona-Warn-App noch effektiver werden zu lassen.
Wir wünschen Ihnen alles Gute und hoffen, dass Sie gesund durch die Corona-Zeit kommen.
Laden Sie die App direkt herunter: