Corona-Warn-App – mit verantwortbarem Datenschutz

Die App dient dem Zweck, Risiko-Kontakte zu erkennen und Infektionsketten nachzuverfolgen sowie potenziell Infizierte zu warnen und zu veranlassen, Isolierungsmaßnamen zu ergreifen. Sie ergänzt dadurch die Möglichkeiten der Gesundheitsämter. Diese werden erst tätig, wenn eine infizierte Person starke Symptome wie Husten oder Fieber bei sich erkannt, deswegen eine Arztpraxis aufgesucht und diese die Infektion dem Gesundheitsamt gemeldet hat. Dann kann dieses versuchen, den Kontakten der infizierten Person nachzuspüren. Gegenüber dieser analogen Verfolgung der Infektionsketten hat die App drei entscheidende Vorteile: Sie ist schneller, sie vergisst nichts und sie erfasst auch die „Dunkelziffer“.

Erfassung vor Auftreten der Symptome

Infizierte Menschen spüren erst nach 4 bis 5 Tagen die ersten Symptome, können aber zuvor schon andere Menschen anstecken. Vermutlich die Hälfte aller Infektionen erfolgt in diesem Zeitraum. Daher müssen auch alle die Menschen ihre Kontakte beschränken, die von dem Symptomträger in der präsymptomatischen Zeit angesteckt worden sein können, damit sie nicht ihrerseits vor dem Auftreten eigener Symptome andere Menschen infizieren. Ein besonders hohes Risiko, sich zu infizieren, haben die Menschen, die sich etwa 15 Minuten im Umkreis von etwa 1,5 bis 2 Metern um eine infizierte Person aufgehalten haben. Indem die App festhält, mit welchen Personen ein infizierter Mensch in den letzten Tagen solche Risikokontakte hatte, kann sie unmittelbar nach einem positiven Test der infizierten Person deren Kontaktpersonen warnen und veranlassen, sich in Quarantäne zu begeben, bevor sie andere Menschen angesteckt haben – oft Tage, bevor das Gesundheitsamt dies könnte.

Erfassung aller Risikokontakte – auch der vergessenen oder unbekannten

Das Gesundheitsamt kann mögliche Infektionsketten nur nachverfolgen, wenn die infizierte Person sich erinnern kann, mit wem sie in der letzten Woche einen Risikokontakt hatte. Dies ist aber oft unmöglich für Situationen mit vielen anonymen Beteiligten, wie im Zug, in der Straßenbahn, in einer Versammlung, einer Veranstaltung, im Kaufhaus, auf einer Demonstration oder einem anderen Superspreading-Ereignis (siehe Beitrag Superspreading – wie die Tracing-App eine neue Strategie unterstützen kann). Die App tauscht mit jeder Risikokontaktperson pseudonyme IDs aus, die eine Warnung aller sicherstellen.

Erfassung der „Dunkelziffer“ – auch der symptomlosen Infizierten

Dem Gesundheitsamt werden nur die Personen gemeldet, die wegen ihrer Symptome eine meldepflichtige Stelle aufgesucht haben und positiv getestet worden sind. Die meisten Infizierten haben keine oder nur leichte Symptome. Sie sind aber dennoch infektiös. Dadurch entsteht eine „Dunkelziffer“ von Infizierten, die dem Gesundheitsamt unbekannt sind. Sie liegt vermutlich um das Fünf- bis Zehnfache höher als die Zahl registrierter Fälle. Hat etwa eine Person auf einer Versammlung zehn andere Personen angesteckt, die sie nicht kennt, wird das Gesundheitsamt nur von den Personen erfahren, die wegen Symptomen eine Arztpraxis aufsuchen. Alle anderen infizierten und infektiösen Personen verbreiten das Virus „im Dunkeln“. Dagegen warnt die App alle Risikokontaktpersonen.

Aufgrund ihrer Vorteile hilft die App, die Pandemie zu bekämpfen. Neben anderen Maßnahmen wie Kontaktbegrenzungen und Schutzmasken und vor allem den Maßnahmen der Gesundheitsämter trägt sie dazu bei, Infektionen zu begrenzen und Lockerungen im Zusammenleben zu ermöglichen. Alle diese Argumente sprechen dafür, die App auf das eigene Smartphone herunterzuladen und sie zu nutzen. Ist sie aber auch datenschutzgerecht und schützt die Grundrechte ihrer Nutzenden? Diese Frage ist zu bejahen, wenn sie die wesentlichen Anforderungen des Datenschutzes (siehe Beitrag Kriterien für eine datenschutzgerechte Corona-App) erfüllt:

• Freiwilligkeit: Die App herunterzuladen, sie zu nutzen und eine Infektion einzugeben, ist jeweils freiwillig. Die Nutzung kann jederzeit beendet und die App aus dem Smartphone entfernt werden. Nach dem Ende der Corona-Krise soll das gesamte System der App vollständig entfernt werden.
• Zweckfestlegung und Zweckbegrenzung: Die App dient nur dem Zweck, Kontakte nachzuverfolgen und ihre Nutzenden zu warnen. Allen Beteiligten verwenden die entstehenden Daten ausschließlich zu diesem Zweck. Das RKI wird dies in seinen Nutzungsbedingungen erklären, Apple und Google haben dies zugesagt.
• Transparenz: Der gesamte Sourcecode der App ist auf der Plattform Github offengelegt und kann von allen daraufhin geprüft werden, welche Funktionen der App programmiert sind.
• Datenvermeidung: Es werden nur so viele Daten verarbeitet, wie für die Nutzung der App für den Zweck, Nutzende zu warnen, benötigt werden. Diese Daten sind gegen Ausforschung geschützt. Die Apps tauschen bei einem Risikokontakt untereinander dynamisch wechselnde IDs aus, aus denen niemand Informationen über die Nutzenden ableiten kann. Gespeichert wird außerdem nur der Tag des Kontakts, nicht aber Ort und Zeit. Insofern kann auch der Gewarnte nur im Ausnahmefall aus seiner Erinnerung darauf schließen, mit wem er den Risikokontakt hatte. Ob dieser zu einer Infektion führte, bleibt offen.
• Datensparsame Architektur: Es wurde diejenige Gestaltungsoption gewählt, die Datenschutz am besten gewährleistet. Die IDs werden nur in den Endgeräten der Nutzenden gespeichert. Nur dort findet auch der Abgleich statt, ob die gespeicherten IDs der Kontaktpersonen mit einer ID eines Infizierten identisch sind. Im zentralen Server beim RKI werden nur die IDs der als infiziert Gemeldeten zum Abruf durch alle anderen Apps bereitgehalten. Missbrauch ist extrem erschwert, weil zentral nur wenige, für Angreifer anonyme Daten gespeichert und die Millionen Endgeräte für Missbrauch kaum erreichbar sind.

Die wichtigsten Datenschutzanforderungen sind also erfüllt. Die verbleibenden Risiken sind so gering, dass angesichts der Vorteile der App ihre Nutzung empfohlen werden kann.

Was noch fehlt, ist die gesetzliche Grundlage

Dennoch sind einige Nachbesserungen erforderlich, insbesondere hinsichtlich der gesetzlichen Absicherung der Datenschutzanforderungen und der Rahmensetzung einer sinnvollen Nutzung der App (siehe Beitrag Notwendige datenschutzgesetzliche Regelungen zur Einführung der Tracing-App). Die Datenverarbeitung benötigt eine gesetzliche Erlaubnis. Die Freiwilligkeit der Nutzung ersetzt keine datenschutzrechtliche Einwilligung (siehe Beitrag Bedürfen Corona-Tracing-Apps einer gesetzlichen Grundlage?). Um die Freiwilligkeit zu sichern, ist sicherzustellen, dass niemand rechtlich oder faktisch gezwungen werden darf, die App zu nutzen, um gravierende Nachteile zu vermeiden. Weiterhin ist der Zweck gesetzlich festzulegen. Die Verwendung der IDs für andere Zwecke ist ausdrücklich auszuschließen. Außerdem ist zu gewährleisten, dass die App nur temporäre und kryptografisch geschützte IDs erheben, speichern und abgleichen darf. Festzuhalten ist, dass das RKI nur IDs auf seinem Server speichern und zum Abruf anbieten darf, die Infizierte über ihre App dem RKI gemeldet haben. Ein Zugriff der Smartphone-Betriebssysteme auf die IDs ist gesetzlich zu untersagen. Gesetzliche Rahmenbedingen sind außerdem notwendig für die Folgen der App-Nutzung. So ist z.B. festzulegen, ob die App die Gewarnten dazu anhalten darf, sich testen zu lassen und sich in Quarantäne zu begeben, ob diese Warnung ausreicht, um sich wenigsten für drei Tage „krank“ melden zu können und wie diese Meldung ansonsten zur Rechtfertigung genutzt werden kann, bestimmte private oder öffentliche Pflichten wegen der selbst auferlegten Quarantäne zu vernachlässigen.

Das gesamte System der Corona-Warn-App ist durchgängig nach Kriterien des Datenschutzes entworfen und umgesetzt worden

Insgesamt ist festzuhalten, dass das gesamte System der Corona-Warn-App durchgängig nach Kriterien des Datenschutzes entworfen und umgesetzt worden ist. Das ist für solche großen gesellschaftsweiten IT-Systeme einmalig und beispielgebend. Die staatlichen Instanzen zeigen in diesem Fall, dass sie auch in einem mehrdimensionalen und hochkomplexen Interessengeflecht alle beteiligten Grundrechte schützen und den Interessenkonflikt nicht einseitig – etwa allein zugunsten staatlicher Gesundheitsfürsorge – auflösen. Durch eine ausgleichende Gestaltung der Informationstechnik ist es gelungen, Gesundheitsschutz und Datenschutz gemeinsam zu gewährleisten.