Was habe ich davon, wenn ich die App nutze?
Die App gibt eine scheinbare Sicherheit, nicht mit Covid 19 infiziert zu sein.
Die App meldet mir, wenn ich in den letzten 14 Tagen „engeren Kontakt“ zu einem später als mit Covid 19 infizierten Menschen hatte, ohne mir einen Hinweis zu geben, wann und wo dies war und wer der/die Infizierte ist. Allerdings nur, wenn es von der erkrankten Person über das Gesundheitsamt verifiziert (mit dem QR-Code des Laborbefundes) eingegeben wurde.
Falls die App eine Warnung anzeigt, kann ich mich kostenlos auf Covid 19 testen lassen, soll aber unabhängig davon in Quarantäne gehen.
Nehmen wir an, eine Person hat täglich mit vielen Menschen „engeren Kontakt“ im Sinne der App, sagen wir mit 100 Personen*. Wenn diese als Covid-19 positiv getestet wird, würden für den zweiwöchigen Zeitraum mehr als 1.000 Personen eine Warnung bekommen.Wenn davon weitere Personen „engeren Kontakt“ hatten, potenziert sich diese Zahl sehr schnell, so dass letztlich in einem Unternehmen/einer Stadt/… sehr viele, wenn nicht sogar alle Personen betroffen wären.
*) Personen, die mit vielen Menschen Kontakt haben sind beispielsweise Lehrer*innen, Polizist*innen oder Verkäufer*innen.
Dieses Szenario zu Ende gedacht, bringt die App relativ wenig.
Genaugenommen bringt sie nur dann etwas, wenn die (1) Kontaktmessung hinreichend genau ist und vor allem (2) wenn es nur vereinzelt infizierte Personen gibt, die in Kontakt mit anderen Personen kommen können.
Zudem fallen alle Personen heraus, die die App nicht nutzen oder bei denen sie nicht korrekt funktioniert.
Da sowohl die App als auch die Eingabe des Infektionsstatus freiwillig sind und -so die offiziellen Aussagen- weder von staatlicher als auch anderen Stellen eingefordert werden dürfen, muss hinterfragt werden, welche Effekte es haben wird.
Halten wir fest:
- Nichts genaues weiß man nicht: Der Zusammenhang der Bluetooth-Abstands-Messung für „engeren Kontakt“ mit einer möglichen Infektion ist weder technisch noch wissenschaftlich belegt. Zudem ist die Bluetooth-Abstands-Messung nicht Open Source, sondern Bestandteil von iOS und Android und damit nicht transparent überprüfbar.
- Wieviele Personen als „engere Kontakte“ identifiziert und daraufhin Quarantäne-Maßnahmen unterworfen werden, ist nicht absehbar. Die Bluetooth-Abstands-Messungen sind ungenau, da die Signalstärke der ausgesendeten Radiowellen durch Wände, Personen oder andere Hindernisse beeinflusst wird. Insofern werden die Fehlerraten hoch sein.
- Behörden, Geschäfte, Restaurants, Nah- und Fernverkehr, Unternehmen, … dürfen in Deutschland nicht verlangen, dass der Infektionsstatus mit der App nachgewiesen wird. Anders sieht es beispielsweise in China und anderen Ländern aus (aber auch das vermeidet keine Infektion).
- App-Nutzer fühlen sich sicher, wenn sie keine Warnhinweise erhalten, ohne dass dafür ein Grund besteht, da die App nicht vor einer Infektion schützen kann.
- Wenn zu viele Nutzer Warnungen erhalten, obwohl sie nicht infiziert wurden, sind die Gesundheitsämter damit beschäftigt und die Kosten für Tests steigen unnötig.
- Die Smartphone-Hersteller erhalten bei Nutzung der App noch mehr Kontakt- und Bewegungsdaten, als sowieso schon von ihnen verarbeitet werden. Auf Android-Geräten muss beispielsweise der Standort dauerhaft aktiviert werden.
Worauf kommt es wirklich an?
Es kommt darauf an, die Infektionsketten zu unterbrechen.
Dazu sollte man/frau wenig Kontakt zu anderen Personen haben und sich und damit auch andere geeignet schützen, z.B. mit Masken. Besondere Rücksicht sollte auf Risikogruppen genommen werden.
Hygiene- und Abstandsregeln zu beachten vermeidet ebenso Infektionen.
Wichtig ist auch, ausreichend viele Tests auszuführen und zwar unabhängig von den Warnungen der App. Auch die mittlerweile verfügbaren Antikörper-Tests können unterstützen.
Die App kann dabei unterstützen, Kontakte nachträglich zu identifizieren, aber sie kann nie die Gewähr geben, dass eine Infektion vermieden wurde.
Die App wirkt eher wie ein Placebo. Man hat ein Mittel gegen die Corona-Angst. Mehr nicht. Leider.
Weitere Informationen
- Blog-Beitrag – Corona Warn-App: Im Wesentlichen alles richtig gemacht? Ein klares Jein!
- The Intercept – The Inventors of Bluetooth Say There Could Be Problems Using Their Tech for Coronavirus Contact Tracing (Achtung: die Webseite bindet Aktivitätenverfolgung und andere externe Inhalte ein)
Offizielle Webseiten zur Corona Warn-App
- RKI – Infektionsketten digital unterbrechen mit der Corona-Warn-App
- Bundesregierung – Corona-Warn-App:
- Bundesregierung – (Achtung: die Webseite bindet externe Inhalte ein)
Nachtrag vom 22.7.2020
Das Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat sich mit der publizierten Datenschutzfolgenabschätzung (DSFA) der Corona Warn App auseinandergesetzt.
- netzpolitik.org – Interview zu Corona-Warn-App „Risiken und Maßnahmen nicht ausreichend dargelegt“
- Forum der InformatikerInnen für Frieden und gesellschaftliche Verantwortung – Analyse und konstruktive Kritik der offiziellen Datenschutzfolgenabschätzung der Corona-Warn-App
Was sagt uns das?
Eine Datenschutzfolgenabschätzung soll die Risiken erfassen, die Gefahren für die Betroffenen darstellen und die zum Schutz notwendigen Mechanismen darlegen. Aus dem Ansatz „Privacy by Design“ folgt, dass sie vor Beginn der Umsetzung erfolgen soll, damit die resultierenden Anforderungen angemessen bei der Implementierung berücksichtigt werden können.
Dieses Vorgehen wurde -auch aus Zeitgründen- bei der Corona Warn App nicht umgesetzt, sondern die Datenschutzfolgenabschätzung wurde erst nachträglich ausgeführt und ist in Teilen nicht ausreichend.
Nichtsdestotrotz kann der weitgehend transparente Prozess der Umsetzung als Vorbild für künftige IT-Projekte dienen, insbesondere bei öffentlichem Interesse.
Zudem führte die offene Diskussion über die zunächst geplante zentrale Lösung zur aus Datenschutzsicht wesentlichen Entscheidung, den datensparsameren dezentralen Ansatz zu verfolgen. Der dezentrale Ansatz kann auch als Software-architektonisch implementierter Schutzmechanismus verstanden werden, der aus einer Datenschutzfolgenabschätzung abgeleitet werden kann und damit die DSGVO-Vorgabe „Privacy by Design“ vorbildlich erfüllt.
Zwei Wermutstropfen:
- Die Betriebssystem-Schnittstellen für die Bluetooth-basierte Kontaktverfolgung sind nicht offen und die gesammelten (Bewegungs-) Daten können -zumindest von Apple und Google- genutzt werden.
- Die zentralen Server-Komponenten für die Kommunikation bei einer Kontakt-Warnung wurden in der Datenschutzfolgenabschätzung ausgespart, sind aber eine wesentliche Komponente, die angreifbar sein kann.