Corona-Warn-App will mit neuen Funktionen punkten | Compliance

Haufe Online Redaktion

Corona-Warn-App will mit neuen Funktionen punkten — Bild: Project Photos GmbH & Co. KG Die Corona-Warn-App ist noch verbesserungswürdig, aber es geht voran: Bald ist sie auch mit älteren iPhones nutzbar

Bereits seit längerem bietet die Corona-Warn-App eine Option zur Kontaktnachverfolgung per Check-In-Funktion, etwa für Veranstaltungen oder bei Restaurantbesuchen etc. Bislang fristete diese Funktion ein Schattendasein, doch mit dem neuen Infektionsschutzgesetz soll sich dies nun ändern.

Corona ist alles andere als besiegt und die jüngste Welle nimmt gerade besorgniserregende Ausmaße an. Bei der Eindämmung der Pandemie soll hierzulande vor allem die vom Robert-Koch-Institut herausgegebene Corona-Warn-App (CWA) helfen, was nach Meinung von Experten zumindest teilweise auch gelingt, allerdings sehen sie noch weiteres Verbesserungspotenzial. Im Zusammenhang mit dem Ende November erneut reformierten Infektionsschutzgesetz will man daher nun eine schon seit längerem in der App enthaltene Funktion aktivieren, die bislang kaum nutzbar war.

Lösungen zur Kontaktverfolgung

So soll nach dem Willen der Bundesregierung künftig eine Kontaktnachverfolgung bei Veranstaltungen etc. vorrangig über die CWA erfolgen und damit sollen andere Maßnahmen, wie etwa die allseits unbeliebte Zettelwirtschaft zum manuellen Eintragen der Kontaktdaten oder die Verwendung zusätzlicher Apps, weitgehend abgelöst werden. Eine entsprechende Empfehlung zum vorrangigen Einsatz der CWA sieht jedenfalls die vor wenigen Tagen in Kraft getretene neueste Änderung des Infektionsschutzgesetzes vor.

Bei vielen Aktivitäten vom Restaurantbesuch, Friseurtermin, der Teilnahme an Veranstaltungen im Freizeitbereich wie Kino, Theater, Konzerten oder bei anderen Gelegenheiten ist die Erfassung der Kontaktdaten von Besuchern und Gästen obligatorisch.

Die umständliche und aus Datenschutzperspektive zweifelhafte Erfassung der Kontaktdaten durch einfache und einsehbare Listen war Kritikern und Nutzern bereits von Anfang an ein Ärgernis und hatte auch zu vielen Beschwerden geführt. Da die offizielle Corona-Warn-App zunächst keine Funktion für dieses Einsatzfeld bot, etablierten sich zwischenzeitlich proprietäre Apps zum Check-In, wobei die mit Abstand erfolgreichste die Luca-App ist, die in etlichen Bundesländern sogar die vorgeschriebene Lösung zur Kontaktverfolgung bei Veranstaltungen ist und daher gegebenenfalls sogar verpflichtend genutzt werden muss.

Erfolgreiche Luca-App geriet in die Datenschutz-Kritik

Allerdings stieß gerade diese App bei Datenschützern auf große Skepsis und erntete teils heftige Kritik. Aber nicht nur der unzureichende Datenschutz wurde bemängelt, immer öfter wird mittlerweile auch die Effektivität dieses Ansatzes in Frage gestellt. Zuletzt gab es etwa aus Gesundheitsämtern, die durch die Luca-App bei der Kontaktnachverfolgung eigentlich entlastet werden sollten, vermehrt Stimmen, die der App kein gutes Zeugnis ausstellten.

Schon seit Mitte 2021 beherrscht allerdings auch die CWA eine Check-In-Funktion und kann dabei inzwischen dieselben QR-Codes verwenden, die auch für die Luca-App zum Einsatz kommen, zumindest wenn diese nach dem 25. Mai 2021 erstellt worden sind. Damit könnten Veranstalter seit einiger Zeit beide Check-In-Lösungen ohne zusätzlichen Aufwand gleichzeitig anbieten.

Corona-Warn-App oder Luca?

Doch in vollem Umfang nutzbar war diese Funktion bislang nicht, denn es fehlte an einer offiziellen Freigabe für die CWA zur Kontaktnachverfolgung, sodass ein Check-In bei Veranstaltungen mit der CWA in der Praxis kaum möglich war. Der Grund für diese Zurückhaltung war, dass die Corona-Warn-App auch bei der Kontaktverfolgung auf eine anonyme Nutzungsmöglichkeit und die Mitwirkung der Nutzer setzt, während etwa bei der Luca-App eine Registrierung der Nutzer mit Adresse und Rufnummer obligatorisch ist.

Welche App erleichtert Warnhinweise?

Während bei der Luca-App die Gesundheitsämter mit diesen Personendaten in die Lage versetzt werden, die potenziell gefährdeten Personen, die zusammen mit einer infizierten Person auf einer Veranstaltung waren, zu warnen, ohne dass die betreffende Person weiter daran mitwirkt, ist die CWA nach wie vor darauf angewiesen, dass die Personen, die über einen Test von ihrer Infektion erfahren, dieses Testergebnis über die Corona-Warn-App teilen und auf diese Weise ihre Kontakte und somit auch die Kontakte auf den besuchten Veranstaltungen warnen.

Allerdings ist es bei der Check-In-Funktion der CWA ebenfalls möglich, dass die Veranstalter eine entsprechende Warnung anstoßen können, wenn sie auf anderem Wege von der Anwesenheit einer infizierten Person erfahren, etwa wenn das Gesundheitsamt im Zuge einer konventionellen Kontaktnachverfolgung einen entsprechenden Hinweis gegeben hat.

Empfehlung für vorrangige Nutzung der Corona-Warn-App

Im neuen Infektionsschutzgesetz heißt es nun, dass es angeordnet werden kann,

„dass die Nachverfolgung und Unterbrechung von Infektionsketten vorrangig durch die Bereitstellung der QR-Code-Registrierung für die Corona-Warn-App des Robert Koch-Instituts erfolgt.“

Mit dieser eindeutigen Handlungsempfehlung folgt die Bundesregierung somit der Auffassung des Bundesbeauftragten für den Datenschutz, der sich bereits im Frühsommer dafür ausgesprochen hatte, die CWA auch für die Kontaktnachverfolgung einzusetzen.

Es bleibt damit jedoch immer noch den Bundesländern bzw. den Kommunen überlassen, ob sie von dieser Möglichkeit Gebrauch machen wollen oder nicht. Einen Zwang zur Nutzung der CWA für die Kontaktnachverfolgung gibt es nicht, nach wie vor können auch andere Lösungen eingesetzt werden.

Sonstige Funktionserweiterungen

Die Corona-Warn-App wird permanent weiterentwickelt und dabei um neue Funktionen erweitert oder verbessert. So wurden in den letzten Updates (Stand 28.11.2021) etwa folgende Verbesserungen bzw. Erweiterungen vorgenommen:

Ungültige bzw. gefälschte Impfzertifikate können als solche gekennzeichnet und somit zurückgezogen werden.
Die App bietet zusätzliche Informationen, etwa zur Booster-Impfung oder zu aktuellen Inzidenzen, Hospitalisierungszahlen oder der Auslastung von Intensivstationen auf lokaler Ebene.
Über eine Papierkorb-Funktion können versehentlich nicht mehr gespeicherte Zertifikate wiederhergestellt werden.
Die Nutzung des QR-Code-Scanners zur Übertragung von Impf- oder Testzertifikaten wurde weiter vereinfacht.

DSGVO macht Anonymität und Freiwilligkeit zur Voraussetzung für Corona-App

Eine einfache Übernahme der in Ländern wie China oder Südkorea eingesetzten Apps war aus Datenschutzgründen von vornherein ausgeschlossen. Die weitreichenden Konsequenzen einer permanenten Standortüberwachung aller Smartphone-Nutzer durch derartige Apps verursachten nicht nur Datenschützern Kopfschmerzen, auch in der Politik war von Anfang an klar, dass solche Tools in Deutschland bzw. in Europa nur dann akzeptabel sind, wenn diese die strengen Vorgaben der Datenschutzgrundverordnung erfüllen können.

Ganz wesentlich waren in diesem Zusammenhang Forderungen nach Anonymität der Nutzer, nach weitreichender Transparenz und vor allem auch nach der Freiwilligkeit der Nutzung. Einen entsprechenden Anforderungskatalog stellte etwa der frühere Bundesbeauftragte für den Datenschutz, Peter Schaar, auf. Demnach müsse eine solche App-Lösung etwa folgende Anforderungen erfüllen:

Installation und Verwendung auf freiwilliger Basis und unter Kontrolle durch die Nutzer.
Transparenz: Jeder, der die App installiert, muss wissen, auf was er sich einlässt.
Nur, wenn ein Nutzer positiv auf COVID-19 getestet wird, sollten die Daten an eine zentrale Stelle hochgeladen und dort ausgewertet werden, um mögliche Kontaktpersonen festzustellen und diese zu informieren.
Die Daten sollten möglichst anonym verarbeitet werden.
Die Nutzeridentifikation könnte über eine nicht namentlich zugeordnete ID stattfinden.
Die Daten sollten nur für einen begrenzten Zeitraum gespeichert und anschließend rückstandslos gelöscht werden.
Die Gestaltung der technischen Lösungen (Apps und Server-Systeme) müsse so gestaltet sein, dass ein Missbrauch durch Dritte weitestgehend ausgeschlossen werden könne und die Sicherheit der IT-Systeme gewährleistet sei.

Anerkennung für CWA durch Bürgerrechtsorganisation

Die deutsche Corona-Warn-App schneidet auch in einem von Bürgerrechtsorganisationen durchgeführten europäischen Vergleich überdurchschnittlich gut ab. In der Untersuchung, die von der Civil Liberties Union for Europe sowie mehreren weiteren Organisationen durchgeführt wurde und Apps aus zehn Staaten umfasste, gab es an nahezu allen der Kontaktverfolgungs-Apps erhebliche Kritik.

Insbesondere bemängelten die Bürgerrechtler, dass bislang für nahezu keine App Untersuchungen zur Effizienz oder zur Sozialverträglichkeit durchgeführt worden seien. In vielen Ländern sei die Akzeptanz für die Apps sehr gering geblieben, sodass diese auch nur einen minimalen Effekt auf die Begrenzung der Pandemie gehabt hätten. Als einen Grund für die unzureichende Folgenabschätzung sehen die Bürgerrechtler jedoch auch den datenschutzunfreundlichen Charakter vieler dieser Apps, der eine Berechnung der Effizienz erschwere.

Lediglich die deutsche Corona-Warn-App findet bei der Untersuchung lobende Worte. Hier haben es von Anfang an weitgehende Transparenz und öffentliche Debatten gegeben. Dadurch habe die deutsche CWA im europäischen Vergleich nicht nur eine der höchsten Download-Raten erreichen können, sondern auch einen vergleichsweise großen Effekt bei der Eindämmung der Pandemie gehabt, was man hier durch eine Evaluierung der Wirksamkeit auch nachgewiesen habe.

Basisinformationen zur Corona-Warn-App

Die Überwachung der Kontakte durch die Corona-Warn-App erfolgt dadurch, dass die Smartphones über Bluetooth miteinander kommunizieren und dabei anonymisierte bzw. verschlüsselte ID-Nummern austauschen.

Warn-App arbeitet mit temporären IDs und lokaler Speicherung

Diese ID-Nummern werden über einen Tagesschlüssel generiert gelten immer nur für 15 Minuten und werden dann neu generiert, um eine Identifikation zusätzlich zu erschweren bzw. unmöglich zu machen. Zur Übertragung an andere Smartphones in der Nähe werden diese temporären IDs in kurzen Abständen von etwa zweieinhalb bis fünf Minuten jeweils kurz hintereinander mehrmals ausgesendet. Diese empfangenen temporären IDs werden lokal auf dem Smartphone 14 Tage lang gespeichert.

Wie gelingt die sinnvolle Speicherung?

Anhand der Signalstärke, mit der diese Signale empfangen werden, kann bei den Begegnungen auf die Entfernung der beteiligen Smartphones und damit der anwesenden Personen geschlossen werden. Die verwendete Bluetooth-Technik (Bluetooth LE) zeichnet sich dabei durch einen relativ geringen Energiebedarf aus, sodass die Akku-Laufzeiten durch die Verwendung der App nur minimal verringert werden.

Was geschieht nach der positiven Testung eines Nutzers?

Wird ein Nutzer später dann positiv auf Covid-19 getestet, kann er dies in der App eingeben. Die App nimmt daraufhin mit einem Server Kontakt auf und teilt diesen Umstand mit und übermittelt zudem die Tagesschlüssel sowie einige weitere verschlüsselte Metadaten, etwa zur Dauer des Kontakts oder der Signalstärke. Diese Informationen werden hier in einer Datenbank erfasst. Die Apps der Nutzer rufen diese Datenbank mittlerweile mehrmals täglich ab und laden die Liste mit den Tagesschlüsseln der Infizierten herunter.

Warnhinweise bei Kontakten

Lokal auf den Smartphones erfolgt dann der Abgleich, ob man einen Kontakt mit einer aus diesen Tagesschlüsseln ableitbaren temporären IDs hatte. Stellt sich dabei heraus, dass dies der Fall ist und man also einer infizierten Person über einen längeren Zeitraum zu nahe gekommen ist oder wird über die Check-In-Funktion anhand der Event-ID festgestellt, dass man mit einer infizierten Person gemeinsam bei einer Veranstaltung bzw. in einem Raum war, gibt die App einen entsprechenden Warnhinweis aus.

Viele Nutzer haben Probleme mit den Warnhinweisen

Viele zur App befragte Nutzer wünscht sich allerdings genauere Hinweise zu Zeitpunkt, Ort oder Dauer gemeldeter Risikokontakten, was nicht zuletzt auf den hohen Datenschutzvorgaben beruhen dürfte. Allerdings will man in diesem Punkt in den kommenden Updates nachbessern und versuchen, mehr Informationen unter Beibehaltung des Datenschutzniveaus bereitzustellen.

Coronavirus — Bild: Haufe Online Redaktion

Infektions-Risikoberechnung der Corona-Warn-App

Wie groß das Risiko durch den jeweiligen Kontakt ist, berechnet die App anhand von vier Faktoren, die zudem jeweils in acht Stufen unterteilt sind. Die Faktoren sind etwa

die Zahl der Tage, die der Kontakt zurückliegt,
die Dauer des Kontakts,
die Entfernung (gemessen durch die Signalstärke)
sowie ein Ansteckungsfaktor, der von den Gesundheitsämtern aus dem Krankheitsverlauf des Infizierten errechnet wird.

Neben dem Risikowert zeigt die App zudem noch den Tag des Kontakts an und man erfährt auch, ob es gegebenenfalls mehrere Kontakte zu Infizierten gab, weitere Informationen wie etwa die genaue Uhrzeit gibt es nicht, um die Identität des bzw. der Infizierten zu schützen.

Schutz gegen App-Missbrauch

Damit die App nicht missbraucht werden kann, ist die Eingabe eines Nutzers zu einer Infektion nur über dann möglich, wenn dies entweder über einen QR-Code oder eine TAN nachgewiesen wird, den die Gesundheitsämter bzw. Testlabore nach einem positiven Test den Smartphone-Nutzer zukommen lassen. Ist dies nicht auf elektronischem Wege möglich, weil es den Laboren oder Behörden noch an der technischen Ausstattung fehlt, kann eine TAN auch telefonisch über eine Hotline übermittelt werden.

Gute Noten für den Datenschutz

Selbst kritische Datenschützer sehen alle wichtigen Anforderungen, die sie an eine solche Corona-App gestellt haben, als erfüllt an, und auch Sicherheitsexperten haben keine besonders gravierenden Schwachstellen gefunden bzw. entdeckte Lücken konnten bereits von den Entwicklern geschlossen werden.

Nach unabhängigen Entwicklern, die der Corona-App bereits gute Bewertungen gegeben hatte, nachdem der komplette Programm-Code veröffentlicht wurde, kamen auch die Prüfer des TÜV Informationstechnik (TÜVit) zu einem positiven Fazit. Selbst die bekanntermaßen skeptischen Experten des Chaos Computer Clubs halten Datenschutz und Sicherheit der Corona-Warn-App für geradezu vorbildlich und empfehlen die Verwendung der Anwendung.

Nutzer würden nicht ausspioniert, fasste der Geschäftsführer des TÜVit gegenüber der Nachrichtenagentur dpa die Prüfergebnisse zusammen.

Sicherheitsschloss mit Binärcode und Bildschirmen — Bild: pixabay

Wo ist die Corona-App erhältlich?

Die Corona-App ist in den Stores von Google und Apple verfügbar. Die Hersteller weisen darauf hin, dass trotz der gut verlaufenden letzten Tests bei einem neuen Software-Produkt immer noch kleinere Probleme auftreten könnten. Auch werde sich jetzt erst in der Praxis zeigen, inwieweit etwa die Entfernungsberechnung anhand der Bluetooth-Signalstärke im Alltag zufriedenstellende Ergebnisse liefern könne.

Umfangreiche, permanent aktualisierte FAQ-Liste zur Corona-Warn-App

Eine umfangreiche, permanent aktualisierte FAQ-Liste, die auch Fragen zu technischen Aspekten oder Problemen beantwortet, bietet das RKI als Herausgeber der App auf einer eigens eingerichteten Website an.

Akzeptanzprobleme für die Corona Warn-App

In der Einführungsphase der Corona-Warn-App zeichnete sich zunächst ein recht großes Interesse an der Anwendung ab. Innerhalb von nur zwei Wochen nach der Veröffentlichung Mitte Juni 2020 wurde die App rund 14 Millionen Mal heruntergeladen, und auch in den nächsten Wochen stiegen die Nutzerzahlen weiter deutlich an. Die Corona-Warn-App war damit zunächst deutlich beliebter als die meisten ähnlichen Apps in anderen Staaten.

Bis Ende September 2021 kam die App auf rund 34,5 Millionen Downloads. Die Zahl der aktiven Nutzer dürfte allerdings etwas niedriger sein. Mehr als 42 Millionen Testergebnisse (positive und negative) wurden über die App digital übermittelt. Knapp 900.000 positive und damit potenziell teilbare positive Testergebnisse wurden via QR-Code oder teleTAN übermittelt, in rund 60 Prozent der Fälle (537.000 Testergebnisse) entschieden sich die Nutzer, diese Ergebnisse zu teilen und somit andere Nutzer zu warnen.

Weitere News zum Thema:

Änderungen des Infektionsschutzgesetzes während der 4. Corona-Welle

Vereinbarkeit einer Corona-Impfpflicht mit Grundrechten und EU-Recht

Hintergrund: Corona-Warn-App auf dem Diensthandy

Würde die Nutzung der App seitens des Arbeitgebers auf dem Diensthandy der Mitarbeiter ins Auge gefasst, sind die Mitbestimmungsrechte des Betriebsrats zu beachten, da das Verhalten des Arbeitnehmers und die Ordnung des Betriebs betroffen wäre, was ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG eröffnet.

Da nach § 75 Abs. 2 BetrVG die Persönlichkeitsrechte der Mitarbeiter zu wahren sind, könnte die Nutzung auch durch eine Betriebsvereinbarung nur für Arbeitnehmergruppen angeordnet werden kann, die im ständigen Kontakt zu Dritten wie Kunden stehen oder an Arbeitsplätzen arbeiten, bei denen die strikte Einhaltung des Mindestabstands schwierig ist.

Meistgelesene beiträge

Neueste beiträge

DSGVO-Verstoß allein kein Grund für Schadensersatz

07.05.2024
Europäische Umweltagentur veröffentlicht erste Europäische Klimarisikobewertung

30.04.2024
32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024

Infektionsschutzgesetz setzt zur Kontaktnachverfolgung auf Corona-Warn-App (CWA)