Corona-Warn-App

Die von SAP und der Telekom entwickelte Corona-Warn-App steht seit dem 16.06.2020 zum Download bereit. Die Bluetooth-gestützte App dient der Nachverfolgung von Infektionsrisiken. Dabei wird durch Bildung eines Dauer- und Entfernungsprofils nach statistischen Berechnungsvorschriften ein individueller Risiko-Score ermittelt.

Wie funktioniert die App?

Treffen sich zwei App-Nutzer, können sich die Geräte gegenseitig erkennen und tauschen bestimmte Zahlenfolgen aus (ID). Alle paar Minuten generiert jedes Gerät eine neue Zufalls-ID. Der Abstand zwischen zwei Personen wird durch Signalstärke ermittelt und ist der Abstand für eine gewisse Dauer gering genug, speichern die Geräte die fremde ID lokal ab. Bei einer festgestellten Covid-19 Infektion kann ein Nutzer seine Daten via Scan eines QR-Codes, den er vom Arzt erhalten hat oder per Telefon-Tan-Verfahren freischalten. Sodann werden sämtliche IDs, die die App innerhalb der letzten Tage erzeugt und ausgesendet hat, an einen zentralen Server gesendet. Dort können sie von allen anderen App-Benutzern heruntergeladen werden. Durch Abgleich der auf dem Server hinterlegten Daten mit dem lokal auf den Smartphones gespeicherten IDs ist feststellbar, ob der Benutzer mit einem Covid-19 Patienten Kontakt hatte. Je nach Abstand und Begegnungsdauer zu dem Covid-19-Kontakt wird ein individueller Risiko-Score ermittelt. Der App-Nutzer erhält Benachrichtigung über den Kontakt und Verhaltenshinweise.

Neue Funktionen

Die neue Version der Corona-Waran-App soll eine verbesserte Risikoberechnung enthalten. Dabei wird insbesondere auch die höhere Infektiosität durch die mutierten Virusvarianten berücksichtigt.

Kurze Kontaktzeiten mit später positiv getesteten Personen werden laut den Entwicklern nicht mehr herausgefiltert, sondern individuell bewertet und über den Tag summiert. Neben den Abständen bis 1,5 Meter fließen auch Kontaktzeiten in einem Abstand bis 2,5 Meter mit 50 % in die neuen Berechnungen mit ein.

Zudem soll eine QR-Code Check-In Funktion eingebaut werden, mit der sich die Nutzer beim Betreten eines Restaurants oder einer Veranstaltung für die Kontaktverfolgung registrieren können. Ein solches Feature bietet bereits die „Luca-App“. Bisher müssen Nutzer diese Informationen freiwillig und manuell im Kontakttagebuch der App anlegen.

Neben der Event-Registrierung soll auch ermöglicht werden, dass Nutzer der App die Ergebnisse ihrer Schnelltests in der Corona-Warn-App hinterlegen können und dem Kontakt-Tagebuch hinzufügen können. Über die App können die Nutzer dann künftig auch alle ihre Kontakte warnen, sobald sie bei einem Schnelltest positiv auf Corona getestet worden sind.

Wie sieht es datenschutzrechtlich aus?

Verantwortlichkeiten sind klar geregelt. So wird beispielsweise beschrieben, dass das RKI Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die mit dem Betrieb der Corona-Warn-App einhergehende Verarbeitung von personenbezogenen Daten der Nutzer ist. Weitere Akteure und Auftragsverarbeiter werden transparent dargestellt. Die Verarbeitungszwecke sind eindeutig festgelegt und werden durch technische und organisatorische Maßnahmen sichergestellt.

Für die Nutzung der App ist keine Anmeldung erforderlich. Die erhobenen Daten lassen keine Rückschlüsse auf Identitäten und Standorte zu, da lediglich die Zufalls-IDs ausgetauscht werden.

Die Daten werden nur auf dem Smartphone gespeichert und automatisch gelöscht. Eine automatisierte Datenweitergabe an Dritte (z.B. Arbeitgeber, Gesundheitsbehörden) ist nicht vorgesehen. Infektionen und Benachrichtigungen sind von keiner Stelle nachverfolgbar, sprich weder Systembetreiber noch Veranstalter sowie deren Dienstleister können Rückschlüsse auf das Verhalten einzelner Personen, ihre Anwesenheit bei Veranstaltungen oder ihren Gesundheitszustand ziehen.

Die App enthält geeignete dem Stand der Technik entsprechende Verschlüsselungen inklusive eines geeigneten sicheren Schlüsselmanagements.

Nach dem Download und Start der App wird der Nutzer über die Zwecke und die technische Funktionsweise der App informiert und die aktuelle Datenschutzerklärung wird angezeigt. Funktionen, die einer Einwilligung bedürfen, sind zunächst deaktiviert. Die jeweils relevante Information erfolgen im Vorfeld einer Einwilligungserteilung. Die Einwilligung wird durch aktives Anklicken eines Buttons eingeholt. Für die Wirksamkeit der Einwilligung wurden die besonderen Voraussetzungen der Art. 4 Nr. 7 DSGVO in Verbindung mit Art. 6 Abs. 1 S. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO sowie Art. 7 DSGVO eingehalten und umgesetzt.

Die App ist und bleibt freiwillig. Das bedeutet, dass der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. nicht vom Vorweisen der App abhängig gemacht werden darf.

Die Gewährung von Betroffenenrechten ist transparent und eindeutig geregelt. Eine Risikoanalyse und Datenschutzfolgenabschätzung wurde für die Corona-Warn-App vorgenommen.

Die Sicherheit des Systems wird durch verschiedene Maßnahmen gewährleistet. Der Quellcode wurde veröffentlicht und ist somit auch für unabhängige Experten überprüfbar.

Die oben genannten Umsetzungen sind nicht abschließend erwähnt. Als Fazit kann jedoch angebracht werden, dass die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, den Datenschutz in der neuen Corona-Warn-App der Bundesregierung als ausreichend berücksichtigt betrachtet.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.