Die Corona-Warn-App und der Datenschutz

Die Corona-Warn-App und der Datenschutz

24. Oktober 2021

Seit nunmehr fast einem Jahr hält uns das Corona-Virus in Schach. Maßnahmen wie Abstand halten, gründliche Hygiene und das Tragen eines Mund-Nasen-Schutzes sollten mittlerweile zu unserem Alltag gehören. Doch immer noch infizieren sich täglich tausende Menschen mit dem Virus.

Im Juni dieses Jahres veröffentlichte das Robert-Koch-Institut (RKI) im Auftrag der Bundesregierung die Corona-Warn-App als digitale Ergänzung zu den bisher getroffenen Maßnahmen. Die App macht unser Handy sozusagen zu einem Warnsystem, das uns darüber informiert, wenn wir Kontakt mit nachweislich Corona-positiv getesteten Personen hatten. Je mehr Menschen die App herunterladen und auch richtig bzw. aktiv nutzen, desto besser soll es gelingen, Infektionsketten schneller nachzuverfolgen und früh zu durchbrechen.

Funktionsweise

Die App erfasst via Bluetooth andere Smartphones in der Nähe, auf denen die App ebenfalls installiert ist. Die Geräte tauschen nun untereinander anonymisierte Zahlen- und Buchstabenkombinationen aus, sogenannte Kurzzeitidentifikationsnummern. Diese Zufalls-IDs ändern sich häufig und lassen sich so keinem bestimmten Handybesitzer direkt zuordnen. Außerdem werden sie nach 14 Tagen automatisch gelöscht.

Wurde ein Anwender positiv auf das Corona-Virus getestet, kann er dies in der App eingeben. Hierzu muss er einen QR-Code des Gesundheitsamtes einscannen. Daraufhin können alle näheren Kontaktpersonen, die die App ebenfalls installiert haben, benachrichtigt werden. Voraussetzung dafür ist natürlich, dass man der Weiterleitung des Testergebnisses über die App zustimmt. Basierend darauf, über welchen Zeitraum und mit welchem Abstand eine Begegnung stattfand, berechnet die App nun das individuelle Infektionsrisiko. Der Risikostatus kann als erhöht, niedrig oder unbekannt angezeigt werden.

Ein nächstes Update der App soll ein Kontakt-Tagebuch beinhalten. Darin können die Anwender dann selbst eintragen, mit wem sie sich wann getroffen haben. Außerdem ist es vorgesehen, Informationen bezüglich der Entwicklung der Pandemie in die App aufzunehmen.

Datenschutz

Die Nutzung der App ist freiwillig. Mittlerweile sollen laut RKI über 24 Millionen Downloads erfolgt sein. Aktiv genutzt wird die App jedoch höchstwahrscheinlich weitaus weniger, da sie entweder wieder deinstalliert oder der Bluetooth-Funk dauerhaft deaktiviert wurde.

Für alle App-Funktionen, die eine Datenweitergabe notwendig machen, werden vorher die jeweiligen Einwilligungen des Anwenders eingefordert. Die Daten werden dabei grundsätzlich nur auf Basis der erteilten ausdrücklichen Zustimmungen verarbeitet. Als Rechtsgrundlage dient hier Art. 6 Abs. 1 S. 1 lit. a DSGVO sowie im Falle von Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO.

Die Corona-Warn-App wurde so programmiert, dass so wenig personenbezogene Daten wie möglich verarbeitet werden. Für die Nutzung der App ist es daher nicht notwendig, sich anzumelden. Es müssen also weder E-Mail-Adresse noch Name hinterlegt werden. Demnach werden keine Daten festgehalten, die es dem RKI oder anderen Nutzern ermöglichen, Rückschlüsse auf die Identität, den Namen, den Standort oder andere persönliche Details zu ziehen. Die Annahme vieler Menschen, es könnten etwa Bewegungsprofile erstellt, das Nutzungsverhalten ausgewertet oder auf private Daten auf dem Handy zugegriffen werden, soll dadurch widerlegt werden.

Datenverarbeitung

Es werden weder personenbezogene Daten gespeichert noch versendet. Die verschlüsselten Informationen der Kontakte werden nicht zentral gespeichert, sondern dezentral auf dem jeweiligen Smartphone. Die eigentliche Prüfung, ob man einer infizierten Person begegnet ist, geschieht somit lokal auf dem Handy.

Laut den Datenschutzangaben in der App werden die verarbeiteten Daten in Zugriffsdaten, Begegnungsdaten und Gesundheitsdaten unterteilt.

Zu den Zugriffsdaten, die bei jedem Internet-Datenaustausch der App mit dem Serversystem des RKI verarbeitet werden, zählen die IP-Adresse, das Datum und die Uhrzeit des Abrufs, die übertragene Datenmenge und die Meldung, ob der Datenaustausch erfolgreich war. Diese Informationen werden verarbeitet, um den technischen Betrieb der App und des Serversystems aufrechtzuerhalten und abzusichern.

Als Begegnungsdaten werden solche Informationen bezeichnet, die ein Smartphone per Bluetooth aussendet und von anderen Smartphones in der Nähe erfasst werden können. Voraussetzung dafür ist, dass das Covid-19-Benachrichtigungssystem des jeweiligen Handys aktiviert ist. Die ausgestrahlten Begegnungsdaten umfassen die Zufalls-IDs, die Bluetooth-Protokollversion und die Bluetooth-Sendeleistung in Dezibel Milliwatt (dBm). Bei den empfangenen Begegnungsdaten werden zusätzlich der Tag, der Zeitpunkt und die Dauer der Begegnung sowie die Bluetooth-Empfangsstärke in dBm erfasst. Sowohl eingehende als auch ausgehende Begegnungsdaten werden auf dem Smartphone gespeichert und jeweils nach 14 Tagen gelöscht.

Zu den Gesundheitsdaten werden schließlich alle Daten gezählt, die Informationen über den gesundheitlichen Zustand einer Person enthalten. Dazu gehören neben den Angaben zu früheren sowie aktuellen Krankheiten auch Krankheitsrisiken einer Person, beispielsweise das Risiko, dass sich eine Person mit dem Corona-Virus infiziert hat. Gesundheitsdaten werden von der App in folgenden Fällen verarbeitet:

wenn eine Risikobegegnung erkannt wird

wenn ein Test oder ein positiver Befundbrief registriert wird

wenn in der App ein positives Testergebnis abgerufen wird

wenn ein Anwender seine Kontakte vor einer möglichen Infektion warnt

wenn der Nutzer Angaben zum Beginn von eventuellen Corona-Symptomen macht

Fazit

Aus datenschutzrechtlicher Sicht bietet die Corona-Warn-App wohl kaum Anlass zu Zweifeln und Kritik. Es gibt aber auch immer mehr Menschen, die weniger Datenschutz im Kampf gegen Corona fordern. Viele Nutzer wünschen sich so beispielsweise genauere Hinweise zum Zeitpunkt, Ort oder der Dauer gemeldeter Risikokontakte.

Ärztevertreter sehen wiederum eine entscheidende Schwachstelle der Warn-App darin, dass eben keine Daten an die Gesundheitsämter weitergegeben werden.

Da stellt sich so manchem die Frage: „Muss der Datenschutz immer an erster Stelle stehen?“

 

Meine Quellen:

https://www.dw.com/de/corona-app-zu-viel-datenschutz-oder-zu-wenig/a-55964585

https://www.haufe.de/compliance/recht-politik/orten-von-corona-infizierten-per-app-und-datenschutz_230132_511524.html

https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Warn_App.html;jsessionid=0830D8C59E65EF5AFB2A585EE02D7C3A.internet061#doc14201188bodyText2

https://www.datenschutz-praxis.de/grundlagen/pro-und-contra-datenschutz-bei-der-corona-warn-app/

https://www.bundesregierung.de/breg-de/themen/corona-warn-app

https://www.tagesschau.de/inland/faq-corona-warn-app-101.html

https://taz.de/Unverstaendliche-Corona-Warn-App/!5735104/

https://de.statista.com/statistik/daten/studie/1125951/umfrage/downloads-der-corona-warn-app/

 

Autorin: Aline Neißner