Morgen (16. Juni) soll die offizielle Corona Warn App (https://www.coronawarn.app/de/) herauskommen.
Zu Beginn verfolgte die Bundesregierung einen zentralen Ansatz, der für alle, denen Datenschutz und Privatsphäre am Herzen liegen einem Albtraum glich. Doch nach Protesten wurde nun auf einen dezentralen Ansatz gesetzt, der Privatsphäre und Datenschutz respektiert. Unter anderem hatte der Chaos Computer Club eine Liste mit Anforderungen an eine solche App erstellt (https://www.ccc.de/de/updates/2020/contact-tracing-requirements), diese sind unserer Einschätzung nach erfüllt.
Die App, wie sie jetzt besteht lässt dabei keinerlei Rückschlüsse auf Kontakte oder Personen zu und kann bedenkenlos genutzt werden. Da ein Großteil der Bevölkerung die App nutzen muss, damit sie ihre volle Wirkung entfaltet, wünschen wir uns eine große Beteiligung. Und können dies (Stand heute) nach bestem Wissen und Gewissen empfehlen.
Update
Mittlerweile wurde die App veröffentlicht. Download unter:
Android: https://play.google.com/store/apps/details?id=de.rki.coronawarnapp
iOS: https://apps.apple.com/de/app/corona-warn-app/id1512595757
Wozu braucht es eine Corona Tracing App?
Die herkömmliche Art der Kontaktverfolgung dauert relativ lange und so bleiben potenziell angesteckte Kontakte lange uninformiert und können weitere Personen anstecken. Durch eine solche App können die Kontakte quasi sofort nach der Diagnose informiert werden und entsprechende Maßnahmen ergreifen. Darüber hinaus können auch unbekannte, mit denen man Kontakt hatte informiert werden, was auf herkömmliche Weise nicht möglich ist.
Wie funktioniert die App?
Jede App generiert eine zufällige ID, die sich täglich ändert. Diese wird kontinuierlich via Bluetooth gesendet. Empfängt die App eine solche ID, so wird sie lokal abgespeichert.
Wird ein Nutzer positiv getestet, so kann er die von ihm genutzten IDs auf einen Server hochladen. Diese IDs sind für alle sichtbar, allerdings völlig bedeutungslos (da zufällig generiert), wodurch keiner Rückschlüsse auf die Person ziehen kann. Die App eines anderen Nutzers kann nun die Liste aller IDs positiv Getesteter herunterladen und abgleichen, ob eine dieser IDs in letzter Zeit empfangen wurde und ermitteln wie lange der Kontakt gedauert hat und wie dicht er war, hierzu wird die Sendeleistung verwendet. Ist dies der Fall, so bestand ein Kontakt und der Nutzer wird abhängig von Infektionsrisiko (Dauer, Abstand) informiert.
Welche Daten sendet die App genau?
Nur zufällig generierte IDs, sowie verschlüsselt die Sendeleistung und eine Versionsnummer. Beides kann erst entschlüsselt werden, wenn ein positiv getesteter Nutzer seine Daten hochlädt, da hierbei erst der Schlüssel veröffentlicht wird. Die Sendeleistung ist relevant, damit andere Apps den Abstand richtig einschätzen können.
Was passiert, wenn ich positiv getestet wurde?
Dann hat man die Möglichkeit andere Kontakte darüber zu informieren. Hierzu erhält man, um Missbrauch zu vermeiden, ein Passwort oder QR-Code, den man einscannt. Anschließend lädt die App die IDs und den Schlüssel für die Metadaten (Signalstärke, Versionsnummer) hoch.
Bleibe ich Anonym?
Es können keinerlei Rückschlüsse auf die eigene Person gezogen werden.
Selbst wenn man positiv getestet wurde, könnte höchstens von Kontakten mit erheblichem Aufwand ermittelt werden, wann diese Kontakt zu einem positiv getesteten hatten.
Solange man sich nicht als positiv getesteter dazu entschließt dies zu teilen, werden keinerlei für sinnvolle Daten nach außen gegeben, selbst die IDs und Metadaten, die über Bluetooth gesendet werden ergeben für andere keinen Sinn.
Der Quellcode der App ist öffentlich einsehbar und überprüfbar. Für genauere Informationen steht eine Dokumentation zur verfügung https://github.com/corona-warn-app/cwa-documentation, https://github.com/corona-warn-app/cwa-app-android/blob/master/Corona-Warn-App/src/main/assets/privacy_en.html
