Die Kontaktverfolgung mittels "Tracing" ist von vornherein deutlich datenschutzfreundlicher als bei Tracking-Apps, die in anderen Ländern eingesetzt werden – zum Beispiel um soziale Ketten der ganzen Bevölkerung mithilfe der Ortungsfunktion nachzuvollziehen. Das ist in Deutschland nicht denkbar und würde gegen Grundrechte verstoßen.
Ein solch rigider Tracking-Ansatz, wie er vor allem in autoritären Staaten zum Einsatz kommt, wäre unverhältnismäßig, weil es eben auch datenschutzkonforme Lösungen geben kann. Die Idee von Tracing per Bluetooth ist auf jeden Fall ein vielversprechender Ansatz, um Pandemiebekämpfung und Datenschutz gut miteinander in Einklang zu bringen.
Wer kann die Corona-Warn-App nutzen?
Grundsätzlich kann jeder, der ein Smartphone besitzt, die Corona-Warn-App aus dem offiziellen Store von Google (Playstore) oder Apple (Apple App-Store) herunterladen. Besitzer von Android-Geräten benötigen mindestens Version 6.0 (Marshmallow), Apple-Nutzer benötigen ein Gerät mit iOS 13.5. Mitte Dezember hat Apple seine Schnittstelle auch für die iOS-Version 12.5 bereitgestellt. Die Entwickler der CWA wollen die App dadurch auch für iPhones 5s und 6 zur Verfügung stellen. Einen Termin dafür nennen sie aber noch nicht.
Voraussetzung für die Nutzung der App ist außerdem, dass auf dem Smartphone die COVID-19-Funktion aktiviert ist. Erst dann können zufällig generierte IDs unter den Geräten über Bluetooth ausgetauscht werden (Erklärung dazu im Abschnitt "Welche Rolle spielen Google und Apple bei der App?").
Technisch setzt die Corona-Warn-App voraus, dass Ihr Smartphone über die Funktechnologie Bluetooth verfügt (sog. "Bluetooth Low Energy" oder abgekürzt "BLE"), das für die Nutzung der App außerdem permanent eingeschaltet sein muss. Andere Geräte wie Kopfhörer, Smartwatches etc. können über Bluetooth auch mit aktiver Corona-Warn-App verwendet werden. Zudem setzt die App voraus, dass auf dem Smartphone mindestens 10 MB Speicherplatz vorhanden sind.
Laut Telekom-Vorstand Timotheus Höttges soll die Corona-Warn-App auf 50 Millionen Smartphones in Deutschland funktionieren. Aktuell würden 58 Millionen Smartphones in Deutschland genutzt, sagte Höttges auf der Bundespressekonferenz am 23. September.
Außerdem können Verbraucher ohne Smartphone die App ebenfalls nicht nutzen. Es bleibt aber abzuwarten, ob es künftig auch Alternativen zum Tracing per Smartphone gibt. Denn die Bluetooth-Technologie funktioniert nicht nur auf Smartphones, sondern auch in anderen Geräten. Das technische Werkzeug könnte man z.B. auch als sogenannten "Beacon" in einen Schlüsselanhänger einbauen, den man bei sich trägt. Das hätte den gleichen Effekt und den Vorteil, dass man eben kein Smartphone benötigt oder das Tracing eben auch nutzen kann, ohne dass man zwangsläufig ein Smartphone besitzt. Allerdings könnten Sie dann nicht über Ihre Smartphone-App gewarnt werden, das müsste ebenfalls anders umgesetzt werden.
Kann ich die App auch im Ausland nutzen?
Die Corona-Warn-App ist zunächst nur in Deutschland verfügbar gewesen. Mittlerweile ist sie in den nationalen App-Stores aller EU-Mitgliedsstaaten sowie in denen der Schweiz, Türkei, Norwegens und Großbritanniens verfügbar.
Einige europäische Corona-Warn-Apps können grenzüberschreitend miteinander kommunizieren und Warnungen austauschen. Zu diesen Ländern gehören (Stand 19. Oktober 2020): Deutschland (Corona-Warn-App), Irland (COVID-Tracker), Italien (Immuni), Littauen (Apturi Covid), Spanien (Radar Covid), Dänemark (Smitte Stop), Kroatien (Stop Covid19), Polen (Stop Covid), Niederlande (CoronaMelder) und Kroatien (CovTracer). Weitere Infos auf der Seite der Europäischen Kommission.
Durch die Erweiterung der Apps könne das Reisen innerhalb der Europäischen Union sicherer werden. Auch hier werden die Daten anonym erhoben und der Datenschutz des Einzelnen geschützt.
Ist die App auch für Kinder sinnvoll?
In den Nutzungsbedingungen der App heißt es, Anwender sollen mindestens 16 sein. Das hat damit zu tun, dass Kinder und Jugendliche ohne Zustimmung ihrer Eltern nicht einwilligungsfähig sind. Auch für Kinder und Jugendliche kann die App dann sinnvoll sein, wenn sie sich alleine draußen aufhalten und ohne Eltern unterwegs sind, zum Beispiel auf dem Schulweg. Handyverbote in der Schule stehen einem sinnvollen Einsatz der App nicht entgegen: Vor allem geht es ja darum, die Begegnungen mit unbekannten Menschen zu erfassen. Die Menschen an einer Schule sind aber bekannt und lassen sich durch die Gesundheitsämter im Falle einer Infektion leicht erreichen.
Muss ich die Corona-Warn-App nutzen?
Bei der App setzt die Politik auf Freiwilligkeit. Sie sind also nicht verpflichtet, die App zu installieren oder auch tatsächlich zu nutzen. Die Tracing-App wird auch nicht automatisch auf Ihrem Smartphone installiert. Sie müssen die Corona-Warn-App aktiv im App Store oder Play Store herunterladen und auf Ihrem Smartphone installieren. Auch wenn Sie die App heruntergeladen haben und nutzen, sind Sie frei darin, wie Sie die App verwenden. Es gibt weder eine Pflicht, ein positives Testergebnis in der App einzutragen, noch im Falle einer Warnung bestimmte Maßnahmen zu ergreifen.
Wer die App nicht nutzen kann, darf aus unserer Sicht keine Nachteile erfahren. Das bedeutet nach unserer Auffassung, dass etwa Unternehmen kein Betretungsverbot für ihre Geschäftsräume aussprechen sollten, wenn ein Kunde die Corona-Warn-App nicht nutzt.
Eine App-Pflicht darf auch nicht indirekt durch die Hintertür eingeführt werden: Einige Verbraucher werden die App schon deshalb nicht nutzen können, weil sie gar kein Smartphone besitzen oder ihr Gerät über keine geeignete Bluetooth-Technik verfügt. Eine App-Pflicht würde hier nicht weiterhelfen und könnte die Akzeptanz der App gefährden.
Kontrolliert die Corona-Warn-App die Einhaltung von Quarantäne-Maßnahmen?
Ihren Namen oder andere persönliche Daten von Ihnen kennt die Corona-Warn-App nicht und Ihr Aufenthaltsort wird von ihr nicht kontrolliert – auch dann nicht, wenn Sie Kontakt mit einer infizierten Person hatten. Der Sinn der App ist es lediglich, Sie schnell und genau über eine mögliche Infektion informieren zu können. Eine Quarantäne wird dadurch nicht angeordnet, das kann nur durch das zuständige Gesundheitsamt erfolgen. Auch die Einhaltung von Kontaktverboten kann durch die App nicht kontrolliert werden.
Es steht jedem Nutzer der Corona-Warn-App frei, selbst zu entscheiden, Maßnahmen zum Schutz seiner Mitmenschen zu ergreifen. Auch welche Vorsorgemaßnahmen Sie im Anschluss an eine Warnmeldung treffen, wird nicht erfasst.
Kann mich die App warnen, wenn sich eine infizierte Person in meiner Nähe aufhält?
Nein, die App kann nur zurückliegend warnen. Gibt ein Nutzer an, positiv getestet worden zu sein, werden seine bis dahin erzeugten App-Schlüssel an einen Server und von dort an alle anderen App-Nutzer gesendet. Nach der Positiv-Meldung werden neue Schlüssel erzeugt, die nicht gesendet werden. Erst ein neuer positiver Test löst ein erneutes Senden von Schlüsseln aus.
Wer positiv auf COVID-19 getestet wurde, sollte sich ohnehin in Quarantäne befinden und keinen anderen Menschen begegnen. Wer trotz Infektion die Quarantäne verlässt, riskiert eine Geld- oder sogar Haftstrafe.
Kontrolliert die App die Einhaltung von Kontaktverboten?
Das ist nicht vorgesehen und wäre auch nicht so einfach zulässig oder sinnvoll. Schließlich soll die Bevölkerung der Corona-Warn-App vertrauen können, damit sie auch tatsächlich genutzt wird. Wenn Nutzer aber fürchten müssen, dass sie dann mit Bußgeldern rechnen müssen, würde vermutlich eher das Gegenteil erreicht.
Die App ist auch technisch gar nicht zu so einer Kontrolle in der Lage: Sie erfasst keine Standortdaten. Zudem wissen die Behörden nicht, welche Person sich hinter einer ID versteckt. Durch den dezentralen Ansatz werden genau solche Rückschlüsse stark erschwert. Rechtlich bräuchte es für personenbezogene Rückschlüsse eine spezielle gesetzliche Grundlage, die es aber derzeit nicht gibt und die wohl auch nicht verfassungskonform wäre.
Wird durch die App mein Datenvolumen belastet?
Für das Senden und Empfangen der IDs über Bluetooth werden keine Mobilfunkdaten benötigt. Das funktioniert also auch, wenn Ihr Smartphone kein Netz hat. Zusätzlich werden für die Risikobestimmung in der Corona-Warn-App mindestens einmal am Tag Daten von einem Server heruntergeladen. Weil dabei ausschließlich Zeichenfolgen auf die Smartphones geladen werden, dürfte die Datenmenge sehr gering sein. Auf der Pressekonferenz zur Vorstellung der App am 16. Juni betonte Telekom-Vorstandsvorsitzender Timotheus Höttges außerdem, dass sich alle deutschen Netzanbieter bereiterklärt hätten, den Datenfluss nicht vom mobilen Datenvolumen abzuziehen. Die Telekom-Tochter T-Systems hat die App mit entwickelt.
Wer skeptisch ist und gar keine mobile Datenverbindung nutzen möchte, kann sein Gerät auch einmal am Tag in einem WLAN nutzen. Die App aktualisiert ihre Daten dann darüber automatisch.
Was passiert, wenn ich Bluetooth ausschalte?
Wenn Sie die Corona-Warn-App nutzen und Bluetooth abschalten, läuft die App weiter. Allerdings können bei ausgeschaltetem Bluetooth keine Begegnungen erfasst werden und in die Berechnung Ihres Infektionsrisikos einfließen. Es spricht aber nichts dagegen, Bluetooth bei Ihnen zu Hause z.B. nachts zum Schlafen abzuschalten.
Wer hilft mir bei technischen Problemen?
Hilfe bei technischen Problemen mit der Corona-Warn-App erhalten Sie unter der kostenfreien Telefonnummer 0800 754 0001. Die Mitarbeiter der Hotline sprechen Deutsch, Englisch und Türkisch und sind montags bis samstags (außer an bundesweiten Feiertagen) von 7 Uhr bis 22 Uhr zu erreichen.
Wie steht es um den Datenschutz und die Sicherheit der Daten?
Tracing per Bluetooth-Technologie nach dem dezentralen Ansatz, wie bei der Corona-Warn-App, ist unter den möglichen Alternativen die datenschutzfreundlichste. Zudem wurde der Quellcode der App öffentlich gemacht und konnte so auf Sicherheitslücken getestet werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat TÜV-IT damit beauftragt, die Corona-Warn-App auf Sicherheitslücken und Schwächen im Datenschutz zu prüfen. Die Berichte gibt es hier. Auch Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), hat kaum Bedenken: "Aus Sicht des Datenschutzes sehe ich keinen Grund, der gegen eine Installation spricht." Allerdings müssten auch noch bestehende Schwachstellen behoben werden. Die Erklärung des BfDI lesen Sie hier.
Es ist ebenso wichtig, dass über die App möglichst keine Rückverfolgung auf die Identität eines infizierten Nutzers möglich ist. Dafür werden die Daten stark pseudonymisiert. Das heißt, das Smartphone generiert einen bestimmten Zeichenwert nach dem Zufallsprinzip, der sich alle paar Minuten automatisch ändert (temporäre ID). Jede ID wird aus einem Schlüssel abgeleitet, der wiederum alle 24 Stunden nach dem Zufallsprinzip neu erzeugt wird. Darüber hinaus können Nutzer die ID auch zusätzlich selbst in kürzeren Zeitabständen ändern. Rückschlüsse auf eine Person sind damit weitestgehend ausgeschlossen.