In Zeiten der Corona-Krise nehmen Digitalisierung und Datenverarbeitung nicht nur im Homeoffice zu, sondern auch die Behörden versuchen, der Ausbreitung des Virus mit digitalen Helfern Herr zu werden. Schon seit einigen Wochen wird in Politik und Medien immer wieder über sogenannte Corona-Apps berichtet, die, wenn es nach dem Willen Deutschlands und der EU geht, ein Kernbestandteil der Exit-Strategie sind. Damit dürften die Programme ein essenzieller Bestandteil sein, um zu einem geregelten öffentlichen Leben zurückzukehren, das aufgrund des Shutdowns in den vergangenen Wochen zum nahezu völligen Stillstand gekommen ist. Doch wo rührt die Idee zur Corona-App her? Und wie funktioniert sie? Und gibt es womöglich sogar Gründe, die dagegensprechen, sie zu verwenden?

Hierzulande wagte vor einigen Wochen Bundesgesundheitsminister Jens Spahn (CDU) den ersten Vorstoß für ein Tracking von Mobilfunk-Standortdaten, um Kontakte mit Corona-Patienten ermitteln zu können. Der Vorschlag wurde jedoch alsbald wieder verworfen, da sich dadurch im Zweifelsfall komplette Bewegungsprofile erstellen lassen, die mit intensiven Eingriffen in die Privatsphäre verbunden sind. Dennoch sollte möglichst schnell eine effektive Lösung gefunden werden, um das zurzeit im Wesentlichen noch manuell durch die Gesundheitsbehörden stattfindende, zeit- und arbeitsintensive Tracking von Covid-19-Kontaktpersonen zu vereinfachen und damit zu beschleunigen.

Zu diesem Zweck wird aktuell eine neue App durch das Pepp-Pt-Konsortium entwickelt. Pepp-Pt steht für „Pan-European Privacy-Preserving Proximity Tracing“, also frei übersetzt eine gesamteuropäische, die Privatsphäre erhaltende Annäherungsverfolgung. An Pepp-Pt arbeitet auch das deutsche Robert-Koch-Institut (RKI) mit. Ziel des neuen technischen Ansatzes ist, die Verbreitung des Coronavirus über Kontaktinformationen einzudämmen, ohne dass dabei wie bei der Verwendung von Standortdaten intensiv in die Privatsphäre eingegriffen wird.

Wie funktioniert das Ganze nun, ohne dass Standortdaten verwendet werden? Wie der Name bereits sagt: Über eine „Annäherung“ zweier Mobiltelefone. Angenommen, Nutzer A hat die App auf seinem Smartphone installiert und kommt mit Nutzer B in Kontakt, der die App ebenfalls hat. Beide haben die Bluetooth-Funktion ihres Telefons eingeschaltet. Sobald sich A und B in ausreichender Nähe zueinander befinden, wird diese Begegnung im Hintergrund durch die App in beiden Mobiltelefonen registriert und gespeichert – ohne, dass die Daten irgendwohin übermittelt werden. Wenn schließlich einige Tage später Nutzer A oder B eine Infektion mit dem Virus bei sich hat feststellen lassen, kann die jeweils andere Person über eine vielleicht kritische Zusammenkunft informiert werden und sich ebenfalls in Isolation begeben. Die Benutzung der App soll dabei grundsätzlich freiwillig sein.

Soweit folglich die Daten zunächst nur auf den Smartphones selbst gespeichert werden, ergeben sich keine nennenswerten datenschutzrechtlichen Bedenken. Deshalb ist dieser Ansatz auch vielversprechender als die Ermittlung von Kontaktpersonen durch die Verwendung von Standortdaten. Freilich wird auch für die Lösung durch Pepp-Pt derzeit unter Fachleuten diskutiert, wie sich nicht nur die Datenspeicherung auf dem Telefon, sondern auch die Nutzerbenachrichtigung im Falle einer Infektion möglichst privatsphärefreundlich ausgestalten lässt. Auf keinen Fall nämlich sollen die gesammelten Daten mit der Telefonnummer kombiniert werden, da auch dies in gewisser Weise wieder zu einer Erstellung von Bewegungsprofilen führen könnte. Ein vielversprechender Ansatz dazu sieht vor, dass die bei den Begegnungen auf den Smartphones gespeicherten Codes nur für den Fall eines positiven Testergebnisses weiter an einen zentralen Server übermittelt werden, und alle anderen Smartphones, auf denen die App installiert ist, diese Codes regelmäßig vom Server abrufen. Wenn hierbei festgestellt wird, dass ein vom Server abgerufener Code mit demjenigen auf dem eigenen Telefon übereinstimmt, gab es eine positive Begegnung. Vorteil: Es müssen weder Warnmeldungen zentral verschickt werden, noch braucht man dafür eine Telefonnummer des Handys, auf dem die App installiert ist. Dem Grunde nach wäre dies also eine „saubere Sache“. Einige Kritiker betonen aber zusätzlich, dass allein schon die Verwendung der mittlerweile in die Jahre gekommenen Bluetooth-Technologie ein Sicherheitsrisiko darstellt. Auch stellt sich die Frage, was mit eventuell zentral gespeicherten Daten langfristig geschieht, wer die Regeln zur Speicherung bestimmt und wer die Speicherung kontrolliert. Nicht zuletzt muss technisch noch geklärt werden, wie mit der App tatsächlich manipulationssicher ein Corona-Infekt nachgewiesen werden kann, damit es nicht zu Fehlalarmen kommt.

Zurzeit wird noch davon ausgegangen, dass die Verwendung der Tracing-App freiwillig ist. Damit das in der Praxis auch wirklich funktionieren kann, müssen in etwa 60 bis 70 Prozent der Bevölkerung das Programm auf ihrem Smartphone verwenden – dies entspricht durchaus einer Dichte, die mit populären Apps aus dem App-Store vergleichbar ist. Was auf den ersten Blick in der konkreten Lage realistisch erscheinen mag, wird mit einem Blick nach Singapur wieder relativiert: In dem technologieaffinen Land hat nur etwa ein Fünftel der Bevölkerung die vergleichbare App installiert. Außerdem hat ja nicht jeder ein Smartphone. An dieser Stelle ist Vorsicht geboten, denn wenn zu wenige das Programm nutzen, führt dies zu einem unvollständigen Bild der Gesamtlage und kann schlimmstenfalls eine Sicherheit suggerieren, die gar nicht vorhanden ist. Von einigen Politikern wird deshalb die zwangsweise Nutzung von Tracing-Apps vorgeschlagen – auch das muss aber letztlich technisch nachprüfbar sein. Die Konkurrenten Google und Apple gehen einen anderen Weg und ziehen hier zumindest zurzeit an einem Strang: So soll über die Betriebssysteme I-OS und Android eine eigene Tracing-App bei einem der nächsten Updates automatisch auf dem Telefon installiert werden. Gleichwohl kann der Nutzer aber auch hier wohl noch die Anwendung der Funktion nachträglich verweigern.

Nicht zu verwechseln ist diese Diskussion um die Corona-Tracing-App mit der Datenspende-App des RKI, die man aktuell schon freiwillig herunterladen kann, und von der mehr als 300 000 Benutzer Gebrauch machen. Diese App dient aber nicht der Verfolgung von Corona-Kontaktketten, sondern soll dem Robert-Koch-Institut dabei helfen, die Viruserkrankung insgesamt besser zu verstehen und ihre Ausbreitung in Deutschland zu beobachten. Zu diesem Zweck können verschiedene Gesundheitsdaten wie der Puls, die Schlafqualität und das Aktivitätsniveau gesammelt werden. Die Datenspende-App enthält dazu Schnittstellen zu Internet-Of-Things-Geräten wie Fitnessarmbändern und Smartwatches.

Wohin geht es also in Sachen Corona-Apps? Momentan ist noch vieles im Fluss und es ist zu früh, um sich hier ein abschließendes Bild zu machen, solange die Pepp-Pt Tracing-App nicht veröffentlicht und durch die Nutzer deutschlandweit getestet wurde. Bund und Länder haben sich jedenfalls schon jetzt darauf geeinigt, das Konzept zum Standard für Corona-Apps zu machen. Deshalb wird das Pepp-Pt-Modul aller Voraussicht nach auch für die Implementierung in weitere Programme zur Verfügung gestellt werden. Auch andere Staaten weltweit setzen auf die App als ein Bestandteil der Strategie zur Eindämmung des Virus, zum Beispiel Österreich mit der Stopp-Corona-App des Roten Kreuzes.

Als Nutzer sollte man in jedem Falle darauf Acht geben, tatsächlich nur diejenigen Apps auf dem Smartphone zu installieren, die tatsächlich von offizieller Stelle freigegeben wurden, wenn man teils sensible, personenbezogene Daten übermitteln möchte. Denn man wird davon ausgehen können, dass sich zu den „richtigen“ Programmen auf absehbare Zeit auch einige falsche Programme in den App-Store gesellen werden, die nur darauf aus sind, persönliche Daten abzugreifen, ohne zur Bekämpfung des Virus beizutragen.

