Seit der Nacht zum Dienstag steht die Corona-Warn-App der Bundesregierung zum Download im Googles Play-Store und in App-Store von Apple bereit.
Ich habe sie heute morgen auf meinem Smartphone installiert und sie mir näher angeschaut. Zuerst fällt auf, dass die App ein Screenshot “aufgrund einer Sicherheitsrichtlinie” nicht zulässt. Schade, denn dann hätte ich mir ein Haufen Tipparbeit ersparen können und Screenshots der Installationsschritte zeigen können. Dann also so zum Inhalt.
Das Versprechen auf dem Startbildschirm lautet: “Mehr Schutz für Sie und uns alle. Mit der Corona-Warn-App durchbrechen wir Infektionsketten schneller. Machen Sie Ihr Smartphone zum Corona-Warn-System. Überblicken Sie Ihren Risikostatus und erfahren Sie, ob in den letzen 14 Tagen Corona-positiv getestete Personen in ihrer Nähe waren. Die App merkt sich Begegnungen zwischen Menschen, indem ihre Smartphones verschlüsselte Zufallscodes austauschen. Und zwar ohne dabei auf persönliche Daten zuzugreifen. -> LOS GEHT’S”
Es folgt die Datenschutzerklärung. Darin sind die erwartbaren Regelungen beschrieben: Anbieter, Freiwilligkeit, DSGVO, Mindestalter (16), welche personenbezogene Daten verarbeitet werden. Das sollen “so wenig wir möglich” sein. Es sollen keine Daten erhoben werden, die Rückschlüsse auf die Identität der Nutzer*innen zulassen. Es werden keine Standortdaten erfasst und kein Tracking genutzt. Natürlich wird die Internet-IP Adresse erfasst, allerdings maskiert, was eine Rückverfolgung unmöglich machen soll.
Begegnungsdaten: Es wird die Funktionsweise erklärt. Die über Bluetooth ausgetauschten Daten (Datum und Zeitpunkt der Kontakte, Kontaktdauer, Metadaten (Protokollversion und Sendestärke) und die Zufalls-ID werden in einem Kontaktprotokoll für 14 Tage lokal auf dem Smartphone gespeichert.
Ein Absatz, der mich nachdenklich stimmt
Die Kontaktaufzeichnungsfunktion wird vom jeweiligen Betriebssystem bereitgestellt und unterliegt damit den Datenschutzbestimmungen der Anbieter. Die sind ja bekanntlich Apple und Google. Das Robert-Koch-Institut hat darauf keinen Einfluss. Weiter heißt es “Die vom Smartphone erzeugten und gespeicherten Begegnungsdaten werden von der App nur verarbeitet, wenn die Risiko-Ermittlung aktiviert ist.” Was das bedeutet, ist für mich als Nutzer nicht transparent! Auf welche Daten haben Apple und Google dann Zugriff?
Die Funktion der App
Voraussetzung für den Austausch von Kontaktdaten ist, dass ein Mindestabstand für eine gewisse Zeit unterschritten wird. Das soll über die Bluetoothsendestärke gemessen werden. Kernstück der App ist die Risiko-Ermittlung. Die App ruft dazu, wenn ich die Risiko-Ermittlung aktiviere, im Hintergrund mehrmals täglich eine Liste mit den Zufalls-IDs positiv getesteter Personen vom Serversystem ab. Für positiv getestete Menschen muss dazu die bestätigte Infektion über die Funktion “Testergebnis teilen” an das Serversystem übermittelt werden. Das kann nur erfolgen, wenn das Testlabor an das Serversystem angebunden ist. Damit dort kein Missbrauch geschieht, wird von der Einrichtung, bei der der Test durchgeführt wurde, ein OR-Code ausgegeben, der dann in die App eingescannt und zum Serversystem übertragen werden muss. Das erscheint mir, auf dem Hintergrund der verschlüsselten und gesicherten Übertragung (gehashtes Verfahren), ein gutes Verfahren zu sein. Ist das Testlabor nicht an das System angebunden, passiert das alles nicht.
Welche Berechtigungen benötigt die App?
Die Berechtigungen, die einzelne Apps einfordern und ohne deren Freigabe eine App in der Regel nicht funktioniert, sind aus Nutzer*innensicht mit für die Nutzung entscheidend. Eine Taschenlampenapp, die Einblicke in Ihre gespeicherten Kontakte benötigt, ist eine Spionageapp. Sie sollte nicht installiert werden! Wie sieht es nun mit den Berechtigungen bei der Corona-Warn-App aus?
-> Internetnutzung: Ohne einen Abgleich mit des Serversystem ist die App sinnlos, also ok.
-> Bluetooth: Über diese Schnittsetelle werden die IDs ausgetauscht, also ok.
-> Kamera: Zum Einscannen des QR-Codes, also im Ernstfall ok. Die Berechtigung sollte sich aber bis dahin deaktivieren lassen.
-> Hintergrundbetrieb: ist zum automatischen Datenausgleich mit dem Serversystem notwendig. Kann deaktiviert und auch manuell gestartet werden.
Über die eigenen Erfordernisse der App, müssen je nach Betriebssystem Systemfunktionen aktiviert sein. Benachrichtigungen müssen erlaubt sein, damit ich erfahre, dass ich möglicherweise mit einer infizierten Person Kontakt hatte. Die Standortermittlung muss aktiviert sein, damit mein Smartphone die Bluetooth-Signale senden und empfangen kann. Dies ist für mich ein kritischer Punkt. Zwar erhebt das Robert-Koch-Institut keine Standortdaten, der Anbieter des Betriebssystems kann aber darauf zugreifen.
Es werden noch Erläuterungen zum Datenschutz gegeben, die letzten Endes die Einhaltung der Bestimmungen der DSGVO wiederspielgeln.
Datenschutz – Folgeabschätzung
Das RKI hat zur Corona-Warn-App eine Datenschutz-Folgeabschätzung (pdf) veröffentlicht, in der genau auf diesen Punkt hingewiesen wird. Dort heißt es: “Der Umstand, dass die CWA App die Konnektivitäten und das ENF von Google und Apple verwendet, stellt ein erhebliches Risiko dar, welches durch das RKI praktisch nicht beseitigt und auf technischer Ebene auch nicht reduziert werden kann. Die genaue technische Umsetzung der betriebssystem-und hardwareseitigen Funktionalitäten ist der Kontrolle des RKI entzogen.”
Meine Einschätzung
Ich habe sie installiert. Die Risiko-Ermittlung habe ich auch erst einmal aktiviert. Dabei wurde ich darauf hingewiesen, dass die Berechtigung erteilt wird, den Gerätestandort zu erfassen. Die Standortfreigabe habe ich im Anschluss erst einmal deaktiviert und werde sie im Testlauf nur aktivieren, wenn ich das Haus verlasse.
So wie Saskia Esken, SPD Parteivorsitzende und MdB, geht es mir auch. Sie schreibt auf Twitter: “Mein erster Eindruck kann ja nur oberflächlich sein, aber ich finde, an Kürze und Einfachheit der Erklär-Texte kann man noch arbeiten. Und ich kann nicht nachvollziehen, warum Jugendliche die App nicht nutzen sollen.”
Ich muss gestehen! Viele Einzelheiten der Erklärungen sind für mich verständlich, da ich mich schon seit langem mit (auch technischen) Fragen der Digitalisierung beschäftige. Viele Erklärungen sind aber auch für mich unverständlich und setzen auf ein technisches Wissen auf, das nur die wenigsten Menschen haben.
Das führt dazu, dass auch bei mir ein mulmiges Gefühl bleibt. Das wäre sicherlich besser gegangen. Die 116 Seiten der oben genannten Datenschutz-Folgeabschätzung wird wohl auch kein Mensch freiwillig lesen. Was also bleibt übrig? Vertrauen darauf, dass Missbrauch nicht pasiert und wenn, dieser an das Tageslicht kommt.
Öffentliche Diskussionen und Einschätzungen
Neben der schwer bis nicht nachvollziebaren Datennutzung durch Apple und Google, denen ich erst einmal kein gravierendes Eigenintersse unterstelle, ist eine ganz andere Frage in den Blickpunkt gerückt. Wie verhält es sich mit Nutzer*innen und Nichtnutzer*innen? Können Arbeitgeber, Museen, Restaurants oder Veranstalter den Zugang nur nach Vorlage der App gestatten? Kann, wie Digitale Gesellschaft e.V und FIfF e.V. in einer gemeinsamen Stellungnahme warnen, die Corona-Warn-App zur Eintrittskarte werden?
Das diese Gefahr nicht von der Hand zu weisen ist, zeigen schon Anfragen von Arbeitgebern bei Fachanwälten, wie der Mainzer Anwalt für Informationstechnologierecht Stephan Schmidt in seinem Twitter-Tweet zeigt.
Der Verein Digitalcorage e.V. rät in einem Beitrag von der Installation ab. Deren Ablehung ist stark umstitten, wie auf Twitter zu sehen ist.
Wer in die Entstehungsgeschiche der App und die damit verbundenen Diskussionen einen tieferen Einblick nehmen möchte, wird hier fündig. Tim Pritlove, ein Podcaster der ersten Stunde, bei dem auch ich Podcasten gelernt habe, im Gespräch mit Malte Janduda und Thomas Klingbeil aus dem Entwicklerteam der App.
So, nun lehne ich mich zurück, ziehe meine Maske auf und mache mit der installierten App einen ersten Spaziergang zu meiner Gemüsehänderin des Vertrauens. Denn darauf läuft es letzten Endes hinaus: Habe ich Vertrauen?
Dieser Gastbeitrag ist zuerst unter gedankenflimmern.de erschienen.
