Fragen und Antworten zur Corona-Warn-App der Bundesregierung

Wie funktioniert die deutsche Corona-Warn-App? Welche Bedenken gibt es? Sollte ich sie installieren? Was passiert, wenn ich durch die App eine Warnung erhalte?

Lesezeit: 11 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1561 Beiträge

(Bild: Marco.Warm / Shutterstock.com)

Von
Inhaltsverzeichnis

Nun ist sie da. Nach wochenlanger Entwicklung ist die deutsche Corona-Warn-App nun im Einsatz. Im Zuge unserer Berichterstattung zu diesem Thema erreichten uns immer wieder Fragen zu der App und ihrer Funktionsweise. Wir beantworten diese Fragen so ausführlich wie möglich, damit Sie selbst entscheiden können, ob sie die App installieren.

Manche Fragen lassen sich im Moment nicht eindeutig klären. Das liegt vor allem daran, dass das Konzept für diese Art von Contact-Tracing-Apps noch sehr neu ist. Auch wurde die App sehr schnell entwickelt und nur relativ kurz auf Sicherheit und Datenschutzaspekte getestet. Einige der Fragen werden sich deswegen erst verlässlich beantworten lassen, wenn die App einige Zeit unter realen Umständen im Einsatz war.

Wer die Corona-Warn-App auf seinem Smartphone installiert und aktiviert, erklärt sich bereit im Hintergrund in regelmäßigen Abständen über Bluetooth pseudonyme ID-Signale an seine unmittelbare Umgebung zu funken. Dabei zeichnet das eigene Handy außerdem ähnliche Signale auf, die es von anderen Smartphones empfangen hat. Wird man später positiv auf SARS-CoV-2 getestet, kann man sich entscheiden, ob man die Besitzer aller Handys mit der App, die sich in der Umgebung des eigenen Gerätes befunden haben, darüber informieren will. Die Besitzer dieser Handys werden dann unter Umständen gewarnt, dass sie Kontakt mit einer SARS-CoV-2-positiven Person hatten. Sie erfahren aber nicht, wer dieser Kontakt war und wo das Aufeinandertreffen stattgefunden hat.

Wie genau das Ganze technisch funktioniert, können Sie in diesem Hintergrundartikel zu der genutzten Betriebssystem-Schnittstelle von Apple und Google nachlesen.

Die App an sich speichert hauptsächlich Daten, die anfallen, nachdem ein Nutzer sich als positiv-getestet bei der App gemeldet hat. Diese Daten sind pseudonymisiert und können, nach aktuellem Wissensstand, keinen anderen Daten einer Person zugeordnet werden. Die temporären Schlüssel, die über Bluetooth verschickt und empfangen werden, werden von Apples und Googles Betriebssystem-Schnittstelle erzeugt und verwaltet. Die App speichert keine Kontaktdaten des Handy-Besitzers oder anderer Personen.

[Update 16.06.2020, 11:00 Uhr] Die Android-App verlangt, dass die Standortermittlung aktiviert wird. ("Die Standortermittlung Ihres Smartphones muss aktiviert sein, damit ihr Gerät nach Bluetooth-Signalen anderer Smartphones sucht. Standortdaten werden dabei jedoch nicht erhoben."). Weil Bluetooth dazu genutzt werden kann, Informationen über den Standort zu sammeln, muss diese Berechtigung pro forma eingeholt werden (siehe dazu in c't 3/20: Location-Berechtigung für Kopfhörer?). Die Überprüfung des offengelegten Quellcodes zeigt jedoch eindeutig, dass auch unter Android keine Standortdaten erhoben werden. [/Update]

Die App wurde von der Bundesregierung in Auftrag gegeben und wird von Entwicklern von SAP und der Deutschen Telekom entwickelt. SAP übernimmt dabei die Programmierung der Software, die Telekom stellt die Server-Infrastruktur des Backends der App. Für die IT-Sicherheit der App ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, in dessen Auftrag die App unter anderem von der TÜV-Informationstechnik (TÜVit) beim TÜV Nord geprüft wurde. Das Fraunhofer Heinrich Hertz-Institut (HHI) und das Helmholtz-Zentrum für Informationssicherheit (CISPA) unterstützen die Entwickler mit Forschungsergebnissen und Know-How. Der Open-Source-Code der App wird über ein öffentliches GitHub-Repo verwaltet, um das sich eine aktive unabhängige Entwicklergemeinde gescharrt hat, die bei der Entwicklung tatkräftig mithilft.

Nein. Sinn der App ist es, beim Schutz der Allgemeinheit zu helfen. Nutzer der App werden nur gewarnt, dass sie eventuell schon infiziert sein könnten. Daraus ergibt sich kein Schutz für die eigene Person, da die Meldung kommt, wenn es schon zu spät ist. Wenn genug Leute die App benutzen und sie funktioniert wie geplant – was sich zum jetzigen Zeitpunkt auf Grund von mangelnder Erfahrung mit dieser sehr neuen Technik nicht sagen lässt – dann schützt man sich eventuell auf lange Sicht indirekt, weil ein weiterer Ausbruch des Virus verhindert werden kann.

Nein. Die Rohdaten sind der Apple/Google-Schnittstelle, also dem Betriebssystem vorbehalten und können nicht ohne Weiteres ausgelesen werden. Die App zeigt nur an, wie lange sie aktiv war, wann zuletzt Daten über infizierte Kontakte vom Server geladen wurden und eine grobe Risikoeinschätzung, wie gefährdet der Nutzer ist. Diese Risikoeinschätzung kann vom Robert-Koch-Institut (RKI) serverseitig mit Variablen justiert werden, um sie an Änderungen in den statistischen Daten zur Verbreitung des Virus anzupassen. Die Errechnung dieser Risikoeinschätzung findet lokal in der App statt.

Die Corona-Warn-App wurde von der Bundesregierung unter der Bedingung in Auftrag gegeben, dass eine Nutzung freiwillig sein muss. Allerdings hat Deutschland, im Gegensatz zu anderen Ländern, diese Freiwilligkeit nicht per Gesetz regeln lassen. Es ist also nicht geklärt, ob man rechtliche Handhabe dagegen hat, wenn man durch äußere Umstände unter Druck gerät, die App zu installieren. Etwa weil der einzige Supermarkt in Reichweite nur Kunden in den Laden lässt, die ein Smartphone mit installierter App vorweisen können. Menschen, die die Corona-Warn-App nicht installieren wollen, können sich immerhin auf Aussagen der Bundesregierung berufen, die sich klar dazu geäußert hat, dass es keinen Corona-App-Zwang geben soll.

Nach Installation der App kann der Nutzer das Bluetooth-Tracking beliebig an- und auch wieder abschalten. Allerdings scheint eine Installation der App nur dann sinnvoll, wenn man sie auch wirklich lückenlos nutzt.