zurück zum Artikel

Corona-Warn-App: "Alles ist Made in Germany, alle Daten, alle Projekte"

Corona-Warn-App: "Alles ist Made in Germany, alle Daten, alle Projekte"

(Bild: Corona-Warn-App)

Die Telekom und SAP werten die Kooperation bei der Mobilanwendung als großen Erfolg auch für Open Source. Grüne und Aktivisten fordern ein Begleitgesetz.

"Wie die Jungfrau zum Kinde" seien die Deutsche Telekom und SAP nach einem Restart der Pläne für die nationale Lösung zum Nachverfolgen von Corona-Infektionsfällen gekommen, erinnerte Telekom-Chef Timotheus Höttges bei der Präsentation der offiziellen Corona-Warn-App am Dienstag in Berlin an schwierige Startbedingungen. Über "Scrum-Teams, Sprints" und die Zusammenarbeit mit Startup-Initiativen wie Gesundzusammen habe sich das Projekt aber binnen 50 Tagen zu einem "Rockstar" nicht nur bei der Geschwindigkeit aufgeschwungen.

"Alles ist Made in Germany, alle Daten, alle Projekte, alle Clouds liegen hier in Deutschland", hob Höttges hervor. Binnen weniger Stunden hätten sich schon über 100.000 Nutzer gefunden, in den App-Stores von Apple und Google rutsche die Anwendung ständig weiter nach oben. Für ältere Menschen ohne die erforderliche Geräteausstattung werde die Telekom in ihren Shops "Extra-Handys" anbieten, nutzte er die Gelegenheit für Werbung. Alle Dax-Unternehmen seien aufgerufen, die App intern zu bewerben.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

"Open Source hat wirklich als Stützpfeiler gedient", ergänzte SAP-Vorstandsmitglied Jürgen Müller. Über 100.000 verschiedene Personen hätten die Seite [2] besucht und 1500 "konkrete Code-Veränderungsvorschläge" gemacht. Es habe wohl noch nie ein öffentliches Projekt gegeben, "in das so oft hineingeschaut wurde".

"Wir haben alles getan, um Datenschutzbedenken [3] aus dem Weg zu räumen", warb Müller auch um vorsichtige Nutzer. Es werde "mit maximaler Datensparsamkeit gearbeitet", sodass sich jeder fragen müsse: "Vor welchem Datenmissbrauch habe ich denn Angst?" Jeder Online-Einkauf oder jede Social-Media-Nutzung verrate mehr persönliche Informationen als die Anwendung. Das Team werde nun auch "ganz genau sicherstellen, dass das, was wir veröffentlichen als Open Source, auch genau das ist, was auf dem Telefon landet".

Bei der Bluetooth-Genauigkeit zur Abstandsmessung sei er noch vor vier Wochen sehr skeptisch gewesen, ließ der SAP-Cheftechniker durchblicken. Zusammen mit der Fraunhofer-Gesellschaft und auf Basis eines Modells vom Robert-Koch-Institut habe man dann aber "viele Möglichkeiten" bis hin zu Cocktail-Partys und Restaurantbesuchen simuliert. Bei den letzten Testreihen sei es dann mit verschiedenen Mobilfunkgeräten gelungen, "rund 80 Prozent der Begegnungen korrekt" einzuschätzen. Ein gefährlicher Kontakt sei dabei als "näher als zwei Meter über 15 Minuten hinweg" bewertet worden.

Parallel habe man "auf Augenhöhe mit Chefentwicklern von Google und Apple zusammengearbeitet" und auch diesen "viel beibringen" können, um deren Bluetooth-Schnittstelle zu verbessern, berichtete Müller. Da alle zweieinhalb bis fünf Minuten verschlüsselte Gerätecodes versendet würden und diese sich alle zehn bis 20 Minuten änderten, sei es "fast unmöglich, Geräte zu tracken".

Hinter dem Benachrichtigungsmechanismus bei einem potenziell gefährlichen Kontakt "steht ein sehr komplexes Modell", erläuterte RKI-Präsident Lothar Wieler. Über einen Algorithmus, den Wissenschaftler des die Apps herausgebenden Instituts [4] erarbeitet hätten, werde ein Risikoscore ermittelt. Darin fließt die Zeit ein, wie lange es her ist, dass ein Nutzer eine "Corona-positive Person" getroffen hat, wie lang der Kontakt bestanden hat, wie nah sich die Personen gekommen sind und welches Übertragungsrisiko voraussichtlich durch Tröpfchen und Aerosole bestand. Überschreitet dieser Wert eine Schwelle, bekommt der Anwender eine Warnung auf dem Bildschirm angezeigt mit erläuternden Hinweisen zum weiteren Verfahren.

"Wir haben sichergestellt, dass sowohl die Ärzte als auch der öffentliche Gesundheitsdienst Tests finanziert bekommen", hielt Bundesgesundheitsminister Jens Spahn (CDU) fest. Wer eine Risikoeinschätzung bekomme, "wird eingeladen, sich zu melden". Minderjährige bräuchten formal die Genehmigung der Eltern, um die App zu installieren, wie bei allen anderen Mobilanwendungen auch. Kanzleramtschef Helge Braun (CDU) fügte an: "Wenn jemand frühzeitig in Quarantäne geht, ist das ab sofort ein absoluter Gewinn." Es gebe "keine Mindesterfolgsgrenze".

Schon aufgrund der Lebenswirklichkeit bleibe die Freiwilligkeit des App-Einsatzes gewahrt, meinte Bundesjustizministerin Christine Lambrecht (SPD). Ein Gastwirt etwa habe gar keinen Grund, einem Nicht-Nutzer den Zugang zu verwehren, da am Abend voraussichtlich ja noch gar keine Meldung auf dem Handy vorliege und es auch "in meiner Verantwortung" liege, "was ich mit den Daten mache". Auch beim Arbeitgeber und dessen Weisungsrecht für Dienst-Handys überwiege ausdrücklich der Aspekt der Freiwilligkeit.

"Aus Sicht des Datenschutzes sehe ich keinen Grund, der gegen eine Installation spricht", ergänzte der Bundesdatenschutzbeauftragte Ulrich Kelber. "Aber es gibt noch Schwachstellen", die die verantwortlichen Behörden und Unternehmen beheben müssten. Der Medienbruch von der App zur telefonischen Hotline bei Testlabors [5], die noch nicht komplett an das System digital angebunden sind, sei etwa keine gute Lösung. Dieser Weg könne "nicht mit einer vollständig pseudonymen Nutzung der App über das automatisierte Verfahren mithalten". Höttges zeigte sich zuversichtlich, dass in den nächsten vier Wochen alle Labore integriert würden.

Dritte dürften zudem keinesfalls Einblick in die Anwendung fordern, unterstrich Kelber. Die Datenschutzbehörde übernehme mit dem Start der App die Aufsicht über deren Betrieb und werde bei Mängeln einschreiten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) befand, dass die Anwendung ein "Höchstmaß an Informationssicherheit" biete. Im Zuge der Tests entdeckte kritische Schwachstellen seien "transparent gemacht und gemeinsam mit den Entwicklern behoben" worden.

Die Rufe nach einem Begleitgesetz, um Aspekte wie die Freiwilligkeit und die Zweckbindung abzusichern, verstummen derweil nicht. Arbeitgeber, Händler oder auch Veranstalter könnten die App zur Zugangs- oder Teilnahmebedingung machen [6], warnten der Verein Digitale Gesellschaft und das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF). Damit drohten Personen erhebliche Nachteile, wenn sie die Anwendung nicht nutzen könnten oder wollten – oder wenn ihnen aufgrund eines "hohen Risikostatus" Orte oder Leistungen verwehrt blieben. So könne die App nicht im Einklang mit der Datenschutz-Grundverordnung (DSGVO [7]) verwendet werden, bis ihre Nutzung gesetzlich geregelt werde. Einschlägige Entwürfe [8] gebe es bereits aus Politik und Zivilgesellschaft [9].

Neben den grünen Justizministern der Länder [10] macht auch die Bundestagsfraktion der Grünen weiter Druck, den Einsatz der App gesetzlich zu regeln. Sie wollte dazu am Dienstagnachmittag einen heise online vorliegenden Entwurf für ein Gesetz "zur zivil-, arbeits- und dienstrechtlichen Sicherung der Freiwilligkeit der Nutzung mobiler elektronischer Anwendungen zur Nachverfolgung von Infektionsrisiken" beschließen und anschließend in den Bundestag einbringen.

Die Freiwilligkeit würde unterlaufen, wenn etwa sozialer oder wirtschaftlicher Druck eine Nutzung erzwingen könnten, heißt es in dem Papier. Deshalb sollte diese bestmöglich abgesichert werden durch begleitende Regeln zum Verbraucherschutz. Auch einen Schadensersatzanspruch sowie ein "Beschlagnahme- und Verwertungsverbot" installierter Anwendungen ist vorgesehen. Fraktionsvize Konstantin von Notz verwies darauf, dass sich den Forderungen prinzipiell neben den Linken etwa auch Gewerkschaften und die Arbeitgeberverbände angeschlossen hätten.

Das technische Konzept sei zwar so umgestellt worden, "dass der Datenschutz in beispielhafter Weise gewährleistet werden kann", erkannte der Hamburgische Datenschutzbeauftragte Johannes Caspar an. "Dennoch hätte eine besondere gesetzliche Regelung davor schützen können, dass die App im täglichen Leben als Voraussetzung für bestimmte Aktivitäten abgefordert wird". Mögliche Missbräuche der Freiwilligkeit seien auch ein Fall für die Datenschutzaufsichtsbehörden. Verstöße könnten gegebenenfalls auch "zu empfindlichen Bußgeldern führen".

Die Bundesregierung habe noch nie zuvor eine digitale Gesundheits-App für die gesamte Bevölkerung entwickeln lassen, gab der Bundesverband Digitale Wirtschaft (BVDW) zu bedenken. Nötig sei es, die Anwendung und ihren Nutzen zu erklären, um "auch Ängste und Vorbehalte, beispielsweise Datenschutzbedenken, nehmen" zu können. Gerade angesichts einer potenziellen zweiten Infektionswelle sei die Lösung prädestiniert "im Notfall die kommenden Maßnahmen sinnvoll" zu erweitern und "das Bewusstsein in der Bevölkerung für Corona" zu unterstützen. Die Digitalverbände Bitkom und eco stellten sich hinter das Prestigeprojekt, das bei einem Durchbruch Leben retten könne.

(mho [11])


URL dieses Artikels:
https://www.heise.de/-4785439

Links in diesem Artikel:
[1] https://www.heise.de/newsletter/manage/ho?wt_mc=nl.red.ho.daily.meldung.link.link
[2] https://www.coronawarn.app/de/
[3] https://www.heise.de/news/Informatiker-Die-Corona-App-ist-wie-ein-trojanisches-Pferd-4764560.html
[4] https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Warn_App.html
[5] https://www.heise.de/news/Bedrohte-Pseudonymitaet-Hotline-soll-bei-Corona-App-Trolle-stoppen-4776435.html
[6] https://www.heise.de/news/Karlsruher-Verfassungsgespraech-Tausche-Oktoberfest-gegen-Corona-App-4727390.html
[7] https://www.heise.de/thema/DSGVO#liste
[8] https://www.heise.de/meldung/Opposition-und-Buergerrechtler-fordern-Gesetz-fuer-Corona-App-4716653.html
[9] https://www.heise.de/news/Gruene-Justizminister-Freiwilligen-Einsatz-der-Corona-App-gesetzlich-verankern-4773251.html
[10] https://www.heise.de/news/Gruene-Justizminister-Freiwilligen-Einsatz-der-Corona-App-gesetzlich-verankern-4773251.html
[11] mailto:mho@heise.de