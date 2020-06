Nun ist sie da. Nach wochenlanger Entwicklung ist die deutsche Corona-Warn-App nun im Einsatz. Im Zuge unserer Berichterstattung zu diesem Thema erreichten uns immer wieder Fragen zu der App und ihrer Funktionsweise. Wir haben uns an dieser Stelle bemüht, diese Fragen so ausführlich wie möglich zu beantworten, um den geneigten Lesern genug Informationen an die Hand zu geben, um selbst zu entscheiden, ob sie die App installieren sollen oder nicht.

Manche Fragen lassen sich im Moment nicht eindeutig klären. Das liegt vor allem daran, dass das Konzept für diese Art von Contact-Tracing-Apps noch sehr neu ist. Auch wurde die App sehr schnell entwickelt und nur relativ kurz auf Sicherheit und Datenschutzaspekte getestet. Einige der Fragen werden sich deswegen erst verlässlich beantworten lassen, wenn die App einige Zeit unter realen Umständen im Einsatz war.

Was macht die Corona-Warn-App?

Wer die Corona-Warn-App auf seinem Smartphone installiert und aktiviert, erklärt sich bereit im Hintergrund in regelmäßigen Abständen über Bluetooth pseudonyme ID-Signale an seine unmittelbare Umgebung zu funken. Dabei zeichnet das eigene Handy außerdem ähnliche Signale auf, die es von anderen Smartphones empfangen hat. Wird man später positiv auf SARS-CoV-2 getestet, kann man sich entscheiden, ob man die Besitzer aller Handys mit der App, die sich in der Umgebung des eigenen Gerätes befunden haben, darüber informieren will. Die Besitzer dieser Handys werden dann unter Umständen gewarnt, dass sie Kontakt mit einer SARS-CoV-2-positiven Person hatten. Sie erfahren aber nicht, wer dieser Kontakt war und wo das Aufeinandertreffen stattgefunden hat.

Wie genau das Ganze technisch funktioniert, können Sie in diesem Hintergrundartikel zu der genutzten Betriebssystem-Schnittstelle von Apple und Google nachlesen.

Die App an sich speichert hauptsächlich Daten, die anfallen, nachdem ein Nutzer sich als positiv-getestet bei der App gemeldet hat. Diese Daten sind pseudonymisiert und können, nach aktuellem Wissensstand, keinen anderen Daten einer Person zugeordnet werden. Die temporären Schlüssel, die über Bluetooth verschickt und empfangen werden, werden von Apples und Googles Betriebssystem-Schnittstelle erzeugt und verwaltet. Die App speichert keine Kontaktdaten des Handy-Besitzers oder anderer Personen. Es werden keine Standortdaten erhoben, ausgewertet oder gespeichert.

Wer hat die App entwickelt?

Die App wurde von der Bundesregierung in Auftrag gegeben und wird von Entwicklern von SAP und der Deutschen Telekom entwickelt. SAP übernimmt dabei die Programmierung der Software, die Telekom stellt die Server-Infrastruktur des Backends der App. Für die IT-Sicherheit der App ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig, in dessen Auftrag die App unter anderem von der TÜV-Informationstechnik (TÜVit) beim TÜV Nord geprüft wurde. Das Fraunhofer Heinrich Hertz-Institut (HHI) und das Helmholtz-Zentrum für Informationssicherheit (CISPA) unterstützen die Entwickler mit Forschungsergebnissen und Know-How. Der Open-Source-Code der App wird über ein öffentliches GitHub-Repo verwaltet, um das sich eine aktive unabhängige Entwicklergemeinde gescharrt hat, die bei der Entwicklung tatkräftig mithilft.

Schützt mich die App vor einer Infektion mit SARS-CoV-2?

Nein. Sinn der App ist es, beim Schutz der Allgemeinheit zu helfen. Nutzer der App werden nur gewarnt, dass sie eventuell schon infiziert sein könnten. Daraus ergibt sich kein Schutz für die eigene Person, da die Meldung kommt, wenn es schon zu spät ist. Wenn genug Leute die App benutzen und sie funktioniert wie geplant – was sich zum jetzigen Zeitpunkt auf Grund von mangelnder Erfahrung mit dieser sehr neuen Technik nicht sagen lässt – dann schützt man sich eventuell auf lange Sicht indirekt, weil ein weiterer Ausbruch des Virus verhindert werden kann.

Zeigt mir die App auch die Anzahl meiner nicht infizierten Kontakte?

Nein. Die Rohdaten sind der Apple/Google-Schnittstelle, also dem Betriebssystem vorbehalten und können nicht ohne Weiteres ausgelesen werden. Die App zeigt nur an, wie lange sie aktiv war, wann zuletzt Daten über infizierte Kontakte vom Server geladen wurden und eine grobe Risikoeinschätzung, wie gefährdet der Nutzer ist. Diese Risikoeinschätzung kann vom Robert-Koch-Institut (RKI) serverseitig mit Variablen justiert werden, um sie an Änderungen in den statistischen Daten zur Verbreitung des Virus anzupassen. Die Errechnung dieser Risikoeinschätzung findet lokal in der App statt.

Ist die Installation der App freiwillig?

Die Corona-Warn-App wurde von der Bundesregierung unter der Bedingung in Auftrag gegeben, dass eine Nutzung freiwillig sein muss. Allerdings hat Deutschland, im Gegensatz zu anderen Ländern, diese Freiwilligkeit nicht per Gesetz regeln lassen. Es ist also nicht geklärt, ob man rechtliche Handhabe dagegen hat, wenn man durch äußere Umstände unter Druck gerät, die App zu installieren. Etwa weil der einzige Supermarkt in Reichweite nur Kunden in den Laden lässt, die ein Smartphone mit installierter App vorweisen können. Menschen, die die Corona-Warn-App nicht installieren wollen, können sich immerhin auf Aussagen der Bundesregierung berufen, die sich klar dazu geäußert hat, dass es keinen Corona-App-Zwang geben soll.

Wann ist das Tracing aktiv?

Nach Installation der App kann der Nutzer das Bluetooth-Tracking beliebig an- und auch wieder abschalten. Allerdings scheint eine Installation der App nur dann sinnvoll, wenn man sie auch wirklich lückenlos nutzt.