Corona-App & Datenschutz: Antworten auf die wichtigsten Fragen

Die Corona-Warn-App des Bundes kann nun heruntergeladen werden. Wir beantworten die wichtigsten Fragen dazu.

Andere Länder haben sie schon, wir Deutschen nun auch: Die Anti-Corona-App, genannt Corona-Warn-App. In unseren Nachbarländern läuft sie mit Technologien oder Mischformen aus den Technologien wie PEPP-PT oder TCN, in Deutschland mittels DP3T und TCN. Doch abseits von der Technologie-Frage stellt sich vielen Bürger:innen bei der Corona-Warn-App des Robert Koch Instituts vor allem die Frage nach dem Datenschutz. Wir beantworten die wichtigsten Fragen zu Corona-App & Datenschutz:

Corona-App & Datenschutz: Sind meine Daten sicher?

Kurz gesagt: Ja. Es werden keine Standortdaten, Namen oder sonstige Daten geteilt oder verarbeitet. Nur das Smartphone, auf dem die App läuft, wird – vereinfacht gesagt – durch sich ständig ändernde IDs gekennzeichnet, die aus einer zufälligen Zeichenfolge bestehen. Daten werden zunächst auch nur dezentral auf dem eigenen Mobilgeräten und denen der Personen, mit den man länger Kontakt hatte, gespeichert. Nur im seltenen Fall, dass die Person, auf dessen Handy die App läuft, sich als positiv getestet markiert, werden sie an einen zentralen Server gesendet. „Maunzis iPhone“ wird so auf dem Server beispielsweise zur ID „234984743“. Dies erfolgt also mit dem höchstmöglichen Grad an Pseudonymisierung. Gespeichert werden diese Informationen zentral auf einem sicheren Server in Deutschland. Aber weder der Server noch Dritte kennen den/ die dazugehörige:n Smartphone -Halter:in, der/ die hinter einer einzelnen ID steht. Der Server sendet die als infiziert gekennzeichneten IDs im nächsten Schritt an alle Nutzer:innen der App. Auch diesen User:innen ist es bei einer Corona-Warnung nicht einsehbar, wer infiziert ist oder wo sie diese Person getroffen haben.

Zudem ist es wichtig zu wissen, dass für die Nutzung der Corona-Warn-App keinerlei personenbezogene Daten anfallen. Dies erklären wir ausführlich unter dem Punkt „Corona-App: Wie funktioniert sie?“

Corona-App: wie funktioniert sie?

Gleich eines vorweg: Die Corona-Warn-App kommt mit deutlich weniger personenbezogenen Daten aus als beispielsweise ein herkömmliches Formular, das man derzeit bei einem Restaurant- oder Frisörbesuch ausfüllen muss: Für die Nutzung der Corona-App, die die SAP und Telekom zusammen mit der #GesundZusammen-Initiative entwickelt haben, müssen keinerlei persönliche Daten angegeben werden. Bei der Corona-Warn-App handelt es sich um eine sog. Tracing-App, die lediglich pro Smartphone eine ID erstellt, die mit anderen Geräten via Bluetooth Low Energy-Nahfunk ausgetauscht wird, wenn die Smartphones lange genug Kontakt hatten. Andere App-Nutzer:innen können nicht nachvollziehen, wer hinter dieser ID steht. Die App wurde zunächst auf iOS- und Android-Basis entwickelt und wird selbst von den Nutzer:innen als App installiert, die im Hintergrund läuft, und sich anschließend anonym merkt, wer mit wem länger als 15 Minuten Kontakt hatte (beispielsweise in der U-Bahn oder an der Supermarktkasse). Sollte einer dieser Kontakte später der App melden, dass er infiziert ist, werden, vereinfacht erklärt, alle Kontakte, die als verschlüsselte ID gespeichert wurden, darüber informiert: die ID des eigenen Smartphones wird von dem Server, auf dem die Daten gespeichert werden, quasi angepingt und es wird eine entsprechende Warnung verschickt.

Welchen Nutzen / welche Vorteile hat die Corona-Warn-App?

Durch den Gebrauch der Corona-Warn-App des Bundes können Infektionsketten nachvollzogen und Mitmenschen so vor einer potentiellen Ansteckung geschützt werden. Wurde man selbst durch die Corona-App vor dem Kontakt mit einem Infizierten gewarnt, können weitere Schritte ergriffen werden. Die App schlägt verschiedene Hilfestellungen vor, wie einen Corona-Test beim Arzt / Ärztin oder den Gang in die Quarantäne. All diese Maßnahmen können frei und selbstständig getroffen werden. Nutzer:innen der App sind zu nichts verpflichtet.

Tracing-App und Datenschutz – so wird die Corona-Warn-App richtig eingesetzt

Die Corona-App auf dem Handy ist sehr einfach anzuwenden. Nachdem sie von Besitzer:innen eines eigenen Handys heruntergeladen wurde, muss der/ die Anwender:in der App erlauben, dass sie aktiv wird. Dann brauchen die User:innen nichts weiter zu tun. Nur, wenn bei der Person selbst Corona diagnostiziert wird, sollte dies der App mitgeteilt werden. Ein Zwang hierzu besteht aber nicht.

Nutzer:innen können dabei übrigens weder aus Versehen noch aus fehlgeleitetem Spaßverständnis eine Corona-Erkrankung melden, denn eine Meldung an die App kann nur mittels einem vom Gesundheitsamt erteiltem Schlüssel passieren. Um diesen einzugeben, muss zudem ein eigens erzeugter QR-Code gescannt werden. Schlägt die Meldung mittels QR-Code fehl, so können Nutzer:innen die Corona-Infizierung telefonsich melden. Hierzu gibt es eine bestimmte Hotline, die allerdings von Kritiker:innen als mögliche menschliche Schwachstelle der App angesehen wird: Zwar sind die Mitarbeiter:innen der Hotline geschult, mittels Fragenkatalog eine tatsächliche Erkrankung zu erkennen, doch sollte es eimem Troll gelingen, diesen zu umgehen, wäre ein Fehlalarm möglich. Dies sind aber nur theoretische Überlegungen, denn das Meldeverfahren läuft eigentlich über die App selbst ab.

Corona-App Pflicht: Können Unternehmen die Corona-App-Nutzung anordnen?

Mit der Einführung der Corona-Warn App macht auch die Angst die Runde, dass diese als Art Passierschein für Unternehmen, Lokale, Geschäfte und andere Lebensbereiche eingesetzt werden könnte. Einen Gesetzesspruch zur Corona-Warn-App gibt es in diesem Zusammenhang nicht, aber die Aussage hierzu von Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, ist eindeutig: „Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!“
Inzwischen hat sich auch das Landesamt für Datenschutz in Bayern dazu eindeutig geäußert: Sowohl die Vorgabe des / der Arbeitgeber:in zur Nutzung der App als auch die App als „Einlassvoraussetzung“ für Verbraucher:innen ist unzulässig. Zugleich kündigt das BayLDA an, diesbezüglich Prüfungen durchzuführen und schließt auch Bußgelder bei Zuwiderhandlungen nicht aus.

Das heißt, dass es zum jetzigen Zeitpunkt ausgeschlossen werden kann, dass die Corona-Warn-App beispielsweise von Mitarbeiter:innen vom Unternehmen aus installiert werden muss bzw. dass Unternehmen die Mitarbeiter:innen-Daten, die die Warn-App gespeichert hat, einsehen dürfen.

Corona-Warn-App Irrtümer

Darf die Corona-Warn-App ohne Zustimmung laufen?
Nein. Die Corona-App läuft nur auf dem Handy der User:innen, wenn diese sie selbst heruntergeladen und in die Nutzung der App eingewilligt haben.
Ist die Corona-Warn-App verpflichtend bzw. besteht ein Zwang zur Nutzung der Corona-Warn-App?
Nein. Die Nutzung der Corona-App ist freiwillig. Die Corona-Warn-App funktioniert dabei aber umso besser, je mehr Bürger:innen mitmachen. Aber jeder darf selbst entscheiden, ob er mitmacht oder nicht.
Wir die Corona-Warn-App automatisch installiert?
Nein. Nur wer die Corona-App aus dem App-Store herunterlädt und aktiv in die Nutzung einwilligt, hat sie am Ende auch auf seinem Smartphone.
Können Bewegungsmuster durch die Corona-App nachvollzogen werden?
Nein. Alle Daten, die die Corona-App sammelt, sind die Begegnungen mit anderen Smartphones, auf der die gleiche App läuft. Dies erfolgt aber vollkommen pseudonymisiert. Dritte können auf diese Daten nicht zugreifen oder sie entschlüsseln.
Können Bürger:innen einsehen, wie die App läuft?
Ja. Für Interessierte haben die Entwickler:innen den Quellcode veröffentlicht. Wer’s nicht ganz so technisch mag, aber dennoch eine Schwachstelle in der App entdeckt hat, kann diese der Initiative melden.