Corona-Warn-App will mit neuen Funktionen punkten

Die offizielle Corona-Warn-App kann nun auch als Nachweis über eine Corona-Impfung eingesetzt werden. Nach der zuvor eingefügten Option zur Nutzung für digitale Check-Ins erhält die App damit erneut eine wichtige Erweiterung und soll damit weitere Nutzergruppen erreichen. Alternative Nachweis-App ist der CovPass.

Mit fortscheitenden Impfungen wird der Impfnachweis immer wichtiger. In diesem Zusammenhang gewinnt die Corona-Warn-App (CWA) wieder an Attraktivität. Eine Alternativ-App bietet der CovPass. 

Impfstatus über die CWA nachweisbar

Mit dem Update auf die Version 2.3.1 erhält die Corona-Warn-App jetzt die von vielen Anwendern erwünschte Funktion zur Anzeige des digitalen Impfnachweises. Über das neue Widget Impfzertifikat hinzufügen können die Nutzer einen QR-Code mit den Informationen scannen und müssen dann nicht mehr einen Ausdruck dieses QR-Codes mit sich führen oder eine zusätzliche App verwenden.

Wer die CWA nicht verwendet, kann alternativ auch eine auf den Impfnachweis spezialisierte App namens CovPass nutzen. Nach wie vor gültig bleiben auch die konventionellen gelben Impfpässe.

QR-Code zum Impfnachweis: Mit dem Impfpass in eine berechtigte Apotheke

Die Zertifikate, mit denen der Impfstatus nachgewiesen wird und die den QR-Code enthalten, sollen ab Mitte Juni ausgegeben werden. Wenn Sie bereits geimpft wurden, können Sie beispielsweise nach Vorlage Ihres gelben Impfbuchs und Überprüfung der bei der Impfung hier vorgenommenen Einträge bei einer entsprechend berechtigten Apotheke ein solches Zertifikat erhalten.

Neben der bereits seit längerem bestehenden Option zum Nachweis negativer Corona-Tests lässt sich auch der Status als Genesener in der App eintragen.

Beim Impfstatus wird man über eine blaue Statusmeldung als vollständig geimpft eingestuft, sobald das Datum der zweiten Impfung mindestens 14 Tage zurückliegt, bis dahin informiert eine graue Statusmeldung über den noch nicht vollständig erreichten Impfschutz.

Corona-Warn-App oder CovPass-App gelten auch bei Auslandsreisen innerhalb der EU

Sowohl mit der Corona-Warn-App als auch mit der CovPass-App können Sie auch bei Auslandsreisen innerhalb der EU Ihren Impfstatus nachweisen, da die Zertifikate europaweit anerkannt werden. Bei der Entwicklung der Zertifikate wurde darauf geachtet, dass nur die wirklich benötigten Daten enthalten sind. Neben dem eigentlichen Impfstatus gehören dazu etwa Name und Geburtsdatum. Zur Überprüfung der Angaben ist daher nach wie vor ein gültiges Ausweisdokument notwendig.

Digitale Check-Ins möglich

Seit Mitte April 2021 beherrscht die Corona-Warn-App mit der Version 2.0 auch die seit langem geforderte Funktion für ein digitales Check-In. Damit soll die Kontaktverfolgung bei Events, Veranstaltungen oder anderen Gegebenheiten, bei denen mehrere Personen zusammenkommen und somit einer größeren Ansteckungsgefahr ausgesetzt sind, vereinfacht werden.

Die Check-In-Funktion soll zudem die umständliche und unter Datenschutzaspekten ohnehin bedenkliche Zettelwirtschaft in Geschäften, Restaurants, Friseuren etc. ein Ende setzen. Statt umständlich ein Formular auszufüllen und dabei Kontaktdaten anzugeben, kann die Registrierung hier durch das Einscannen eines QR-Codes über die Corona-Warn-App erfolgen.

Bei Nutzung dieser Check-In-Funktion arbeitet die Corona-Warn-App etwas anders als sonst, wo eine Kontaktermittlung anhand der in kurzen Abständen übertragenen Bluetooth-Signale erfolgt. Beim Check-In werden sie immer dann gewarnt, wenn Sie sich zeitgleich mit einer Person an einem Event bzw. an einem Ort (Restaurant, Geschäft oder sonstige Veranstaltung) aufgehalten haben, diese Person später dann positiv getestet wurde und daraufhin die Warnung per App auslöst. Ein direkter Kontakt, der über Bluetooth registriert wird, ist hierbei somit nicht notwendig. So können etwa auch Warnungen erfolgen, wenn man in einem Raum war, an dem sich kurz zuvor eine infizierte Person aufgehalten hatte, sofern diese Person hier ebenfalls eingecheckt war.

Noch keine offizielle Freigabe

Offiziell freigegeben ist die Corona-Warn-App für die Kontaktnachverfolgung in Restaurants, Geschäften oder sonstigen Veranstaltungen bislang jedoch nicht. Allerdings hat sich jetzt etwa der Bundesdatenschutzbeauftragte Ulrich Kelber dafür ausgesprochen, die App für diesen Zweck einzusetzen.

Grund für die bislang fehlende offizielle Freigabe ist, dass die Corona-Warn-App auch bei der Check-In-Funktion eine anonyme Nutzung vorsieht, während die Infektionsschutzgesetze der Bundesländer die Erfassung der Namen und Kontaktdaten der Gäste zwecks Nachverfolgung durch die Gesundheitsämter vorschreiben. Erst mit der offiziellen Freigabe wäre die Corona-Warn-App dann eine vollwertige Alternative zu spezialisierten Check-In-Apps wie etwa der populären Luca-App.

Anonymität und Datensparsamkeit bleiben erhalten

Anders als bei anderen Check-In-Apps bleiben bei der Verwendung dieser Funktion in der Corona-Warn-App die Daten also weiterhin anonym und es werden keine zusätzlichen Personendaten erhoben oder etwa an die Gesundheitsämter weitergeleitet.

Die Art der Warnung in der App bleibt auch bei der Check-In-Funktion unverändert. Wird ein Nutzer der Warn-App positiv getestet und meldet dies über die App kann die Warn-App neben den Kontakten, die über den Bluetooth-Datenaustausch ermittelt werden, nun auch die Check-In-Informationen anhand der Event-ID überprüfen.

Damit werden dann automatisch alle anderen Nutzer, die gleichzeitig mit bzw. kurz nach der infizierten Person am selben Ort eingecheckt waren, gewarnt.  Nach wie vor sind also die Nutzer selbst in der Verantwortung bzw. Pflicht, ihren positiven Testbefund selbst weiterzuleiten, um hierüber ihre Kontakte zu warnen.

Die Warnung der Kontaktpersonen in der Corona-Warn-App erfolgt wie bisher über bisher schon verwendeten Hinweise. Gab es beispielsweise nur eine kurze zeitliche Überschneidung von unter 10 Minuten bei einem Event wird dies als ein geringes Risiko eingestuft und die Status-Anzeige bleibt noch grün, erst bei längeren Kontakten erscheint der rote Hinweis auf ein erhöhtes Risiko.

Unterschied zu anderen Kontakt-Nachverfolgungslösungen

Die meisten anderen Apps zur Kontaktnachverfolgung wie etwa die Luca-App, die in vielen Kommunen und Bundesländern zum Einsatz kommt, verfolgen dagegen einen anderen Ansatz und setzen insbesondere eine Registrierung mit den persönlichen Daten voraus. Zudem besitzt etwa die Luca-App eine Anbindungsmöglichkeit für Gesundheitsämter, sodass diese die Informationen zu einer Kontaktnachverfolgung verwenden können und die Warnung daher unabhängig von den Infizierten selbst vorgenommen werden kann.

Auch bei der Luca-App ist ein einfaches Einchecken durch Einscannen eines QR-Codes vorgesehen, wobei die QR-Codes ab etwa Mitte Mai kompatibel zu denen für die Corona-Warn-App sein sollen, sodass Veranstalter, Geschäftsinhaber etc. lediglich einen einzigen QR-Code anfertigen und zur Verfügung stellen müssen, um Nutzern unabhängig von der jeweils genutzten App das einfache Einchecken ermöglichen zu können.

Während die Corona-Warn-App von nahezu allen IT-Experten vor allem aufgrund ihres dezentralen und datensparsamen Ansatzes im Hinblick auf Sicherheit und Datenschutz als völlig unbedenklich und sicher eingestuft wird, schneidet die Luca-App in dieser Hinsicht deutlich schlechter ab. So wurden bereits mehrere relevante Schwachstellen entdeckt und jüngst kritisierten mehr als 70 führende Sicherheitsforscher die Grundkonzeption der App, bei der Bewegungs- und Kontaktdaten in großem Umfang gesammelt und an zentralen Stellen gespeichert werden.

DSGVO macht Anonymität und Freiwilligkeit zur Voraussetzung für Corona-App

Eine einfache Übernahme der in Ländern wie China oder Südkorea eingesetzten Apps war aus Datenschutzgründen von vornherein ausgeschlossen. Die weitreichenden Konsequenzen einer permanenten Standortüberwachung aller Smartphone-Nutzer durch derartige Apps verursachten nicht nur Datenschützern Kopfschmerzen, auch in der Politik war von Anfang an klar, dass solche Tools in Deutschland bzw. in Europa nur dann akzeptabel sind, wenn diese die strengen Vorgaben der Datenschutzgrundverordnung erfüllen können.

Ganz wesentlich waren in diesem Zusammenhang Forderungen nach Anonymität der Nutzer, nach weitreichender Transparenz und vor allem auch nach der Freiwilligkeit der Nutzung. Einen entsprechenden Anforderungskatalog stellte etwa der frühere Bundesbeauftragte für den Datenschutz, Peter Schaar, auf. Demnach müsse eine solche App-Lösung etwa folgende Anforderungen erfüllen:

  • Installation und Verwendung auf freiwilliger Basis und unter Kontrolle durch die Nutzer.
  • Transparenz: Jeder, der die App installiert, muss wissen, auf was er sich einlässt.
  • Nur, wenn ein Nutzer positiv auf COVID-19 getestet wird, sollten die Daten an eine zentrale Stelle hochgeladen und dort ausgewertet werden, um mögliche Kontaktpersonen festzustellen und diese zu informieren.
  • Die Daten sollten möglichst anonym verarbeitet werden.
  • Die Nutzeridentifikation könnte über eine nicht namentlich zugeordnete ID stattfinden.
  • Die Daten sollten nur für einen begrenzten Zeitraum gespeichert und anschließend rückstandslos gelöscht werden.
  • Die Gestaltung der technischen Lösungen (Apps und Server-Systeme) müsse so gestaltet sein, dass ein Missbrauch durch Dritte weitestgehend ausgeschlossen werden könne und die Sicherheit der IT-Systeme gewährleistet sei.

So funktioniert die Corona-Warn-App

Die Überwachung der Kontakte durch die Corona-App erfolgt dadurch, dass die Smartphones über Bluetooth miteinander kommunizieren und dabei anonymisierte bzw. verschlüsselte ID-Nummern austauschen.

Warn-App arbeitet mit temporären IDs und lokaler Speicherung

Diese ID-Nummern werden über einen Tagesschlüssel generiert gelten immer nur für 15 Minuten und werden dann neu generiert, um eine Identifikation zusätzlich zu erschweren bzw. unmöglich zu machen. Zur Übertragung an andere Smartphones in der Nähe werden diese temporären IDs in kurzen Abständen von etwa zweieinhalb bis fünf Minuten jeweils kurz hintereinander mehrmals ausgesendet. Diese empfangenen temporären IDs werden lokal auf dem Smartphone 14 Tage lang gespeichert.

Wie gelingt die sinnvolle  Speicherung?

Anhand der Signalstärke, mit der diese Signale empfangen werden, kann bei den Begegnungen auf die Entfernung der beteiligen Smartphones und damit der anwesenden Personen geschlossen werden. Die verwendete Bluetooth-Technik (Bluetooth LE) zeichnet sich dabei durch einen relativ geringen Energiebedarf aus, sodass die Akku-Laufzeiten durch die Verwendung der App nur minimal verringert werden.

Was geschieht nach der positiven Testung eines Nutzers?

Wird ein Nutzer später dann positiv auf Covid-19 getestet, kann er dies in der App eingeben. Die App nimmt daraufhin mit einem Server Kontakt auf und teilt diesen Umstand mit und übermittelt zudem die Tagesschlüssel sowie einige weitere verschlüsselte Metadaten, etwa zur Dauer des Kontakts oder der Signalstärke. Diese Informationen werden hier in einer Datenbank erfasst. Die Apps der Nutzer rufen diese Datenbank mittlerweile mehrmals täglich ab und laden die Liste mit den Tagesschlüsseln der Infizierten herunter.

Warnhinweise bei Kontakten

Lokal auf den Smartphones erfolgt dann der Abgleich, ob man einen Kontakt mit einer aus diesen Tagesschlüsseln ableitbaren temporären IDs hatte. Stellt sich dabei heraus, dass dies der Fall ist und man also einer infizierten Person über einen längeren Zeitraum zu nahe gekommen ist oder wird über die Check-In-Funktion anhand der Event-ID festgestellt, dass man mit einer infizierten Person gemeinsam bei einer Veranstaltung bzw. in einem Raum war, gibt die App einen entsprechenden Warnhinweis aus.

Viele Nutzer haben Probleme mit den Warnhinweisen

Viele zur App befragte Nutzer wünscht sich allerdings genauere Hinweise zu Zeitpunkt, Ort oder Dauer gemeldeter Risikokontakten, was nicht zuletzt auf den hohen Datenschutzvorgaben beruhen dürfte. Allerdings will man in diesem Punkt in den kommenden Updates nachbessern und versuchen, mehr Informationen unter Beibehaltung des Datenschutzniveaus bereitzustellen.

Coronavirus

Infektions-Risikoberechnung der Corona-Warn-App

Wie groß das Risiko durch den jeweiligen Kontakt ist, berechnet die App anhand von vier Faktoren, die zudem jeweils in acht Stufen unterteilt sind. Die Faktoren sind etwa

  • die Zahl der Tage, die der Kontakt zurückliegt,
  • die Dauer des Kontakts,
  • die Entfernung (gemessen durch die Signalstärke)
  • sowie ein Ansteckungsfaktor, der von den Gesundheitsämtern aus dem Krankheitsverlauf des Infizierten errechnet wird.

Neben dem Risikowert zeigt die App zudem noch den Tag des Kontakts an und man erfährt auch, ob es gegebenenfalls mehrere Kontakte zu Infizierten gab, weitere Informationen wie etwa die genaue Uhrzeit gibt es nicht, um die Identität des bzw. der Infizierten zu schützen. 

Schutz gegen App-Missbrauch

Damit die App nicht missbraucht werden kann, ist die Eingabe eines Nutzers zu einer Infektion nur über dann möglich, wenn dies entweder über einen QR-Code oder eine TAN nachgewiesen wird, den die Gesundheitsämter bzw. Testlabore nach einem positiven Test den Smartphone-Nutzer zukommen lassen. Ist dies nicht auf elektronischem Wege möglich, weil es den Laboren oder Behörden noch an der technischen Ausstattung fehlt, kann eine TAN auch telefonisch über eine Hotline übermittelt werden.

Gute Noten für den Datenschutz

Selbst kritische Datenschützer sehen alle wichtigen Anforderungen, die sie an eine solche Corona-App gestellt haben, als erfüllt an, und auch Sicherheitsexperten haben keine besonders gravierenden Schwachstellen gefunden bzw. entdeckte Lücken konnten bereits von den Entwicklern geschlossen werden.

Nach unabhängigen Entwicklern, die der Corona-App bereits gute Bewertungen gegeben hatte, nachdem der komplette Programm-Code veröffentlicht wurde, kamen auch die Prüfer des TÜV Informationstechnik (TÜVit) zu einem positiven Fazit. Selbst die bekanntermaßen skeptischen Experten des Chaos Computer Clubs halten Datenschutz und Sicherheit der Corona-Warn-App für geradezu vorbildlich und empfehlen die Verwendung der Anwendung.

Nutzer würden nicht ausspioniert, fasste der Geschäftsführer des TÜVit gegenüber der Nachrichtenagentur dpa die Prüfergebnisse zusammen.

Sicherheitsschloss mit Binärcode und Bildschirmen

Wo ist die Corona-App erhältlich?

Die Corona-App ist in den Stores von Google und Apple verfügbar. Die Hersteller weisen darauf hin, dass trotz der gut verlaufenden letzten Tests bei einem neuen Software-Produkt immer noch kleinere Probleme auftreten könnten. Auch werde sich jetzt erst in der Praxis zeigen, inwieweit etwa die Entfernungsberechnung anhand der Bluetooth-Signalstärke im Alltag zufriedenstellende Ergebnisse liefern könne.

Umfangreiche, permanent aktualisierte FAQ-Liste zur Corona-Warn-App

Eine umfangreiche, permanent aktualisierte FAQ-Liste, die auch Fragen zu technischen Aspekten oder Problemen beantwortet, bietet das RKI als Herausgeber der App auf einer eigens eingerichteten Website an.

Akzeptanzprobleme für die Corona Warn-App

In der Einführungsphase der Corona-Warn-App zeichnete sich zunächst ein recht großes Interesse an der Anwendung ab. Innerhalb von nur zwei Wochen nach der Veröffentlichung Mitte Juni 2020 wurde die App rund 14 Millionen Mal heruntergeladen, und auch in den nächsten Wochen stiegen die Nutzerzahlen weiter deutlich an. Die Corona-Warn-App war damit zunächst deutlich beliebter als die meisten ähnlichen Apps in anderen Staaten.

Ab dem Herbst flachte das Wachstum jedoch deutlich ab und nach rund 25 Millionen Downloads zum Jahresende ist die Zahl der Abrufe bis zum April 2021 lediglich auf etwas über 27 Millionen gestiegen, obwohl die App permanent weiterentwickelt wurde und etwa auch für ältere Smartphone-Modelle nutzbar wurde und aufgetretene Probleme meist relativ schnell behoben werden konnten. Auch die Einführung der Check-In-Option konnte kurzfristig noch nichts an der Situation ändern.

Weitere News zum Thema:

Welche Behördenmaßnahmen zum Coronavirus sind zulässig

Corona-Bußgeldkataloge für verschiedene Bundesländer

Hintergrund: Corona-Warn-App auf dem Diensthandy

Würde die Nutzung der App seitens des Arbeitgebers auf dem Diensthandy der Mitarbeiter ins Auge gefasst, sind die Mitbestimmungsrechte des Betriebsrats zu beachten, da das Verhalten des Arbeitnehmers und die Ordnung des Betriebs betroffen wäre, was ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 1 BetrVG eröffnet.

Da nach § 75 Abs. 2 BetrVG die Persönlichkeitsrechte der Mitarbeiter zu wahren sind, könnte die Nutzung auch durch eine Betriebsvereinbarung nur für Arbeitnehmergruppen angeordnet werden kann, die im ständigen Kontakt zu Dritten wie Kunden stehen oder an Arbeitsplätzen arbeiten, bei denen die strikte Einhaltung des Mindestabstands schwierig ist.

Schlagworte zum Thema:  Coronavirus, Datenschutz