Wie funktioniert die Corona Warn App?
Die CWA App ist eine mobile Applikation für Smartphones, die im Auftrag der Bundes-regierung von der Deutschen Telekom AG und der SAP SE entwickelt wurde und durch das Robert Koch Institut (RKI) herausgegeben wurde. Die Applikation bezweckt, ein sog. „Privacy-Preserving Contact Tracing“ (Kontaktverfolgung) zu ermöglichen. Hierzu nutzt die CWA App grundsätzlich das von Apple und Google entwickelte Expositionsbenachrichtigungswerkzeug (ENF), welches Bestandteil der Betriebssysteme Android (ab Version 6) und iOs (ab Version 13.5) ist. Smartphones, auf welchen die CWA App installiert ist, tauschen im Hintergrund untereinander wechselnde und zufallsgenerierte Kennnummern sog. Rolling-Proximity-Identifier (RIPs), mittels Bluetooth Low Energy (BLE ) aus. Hierbei findet eine Kontakt-protokollierung außerhalb der eigentlichen CWA App im ENF, also über Google und Apple, statt. In diesem externen Kontaktprotokoll werden beispielsweise neben der RPI Kennzahl auch das Datum des Kontakts, die Kontaktdauer und der Dämpfungswert (Signalstärke) gespeichert. Die CWA App lädt im zweiten Schritt regelmäßig eine Liste mit Krypto Schlüsseln, welche Aufschluss über die RPIs von Positiv gemeldeten Fällen geben (sog. Positivschlüssel) vom Serversystem (CDN-Magenta) über das Internet herunter und speichert diese lokal auf dem jeweiligen Endgerät. In einem dritten Schritt vergleicht die CWA App die empfangenen RPIs mit den heruntergeladenen Positivschlüsseln und meldet bei Überschneidungen ggf. einen Kontakt mit einer infizierten Person. Infizierte Personen müssen ihre Infektion selbst in der App melden. Im Falle eines positiven Testergebnisses, erhält die betroffene Person einen QR-Code von der Gesundheitsbehörde. Im Anschluss muss sich die infizierte Person selbst um die Erfassung ihrer Infektion in der CWA App kümmern. Im Rahmen einer Registrierung muss die betroffene Person ggf. telefonisch vorsprechen und ihren Namen sowie ihre Telefonnummer preisgeben. Spätestens bei diesem letzten Schritt ist eine Anonymität nicht mehr gewährleistet. Dieser Verifikationsprozess wurde unter anderem auch vom Bundesdatenschutzbeauftragten kritisiert, insbesondere im Hinblick auf dem Medienbruch zwischen App und Telefon.
 

Welche Daten erhebt die Corona Warn App?
Die Corona Warn App verarbeitet personenbezogene Daten im Sinne der DS-GVO. Dieser Fakt wird auch vom Robert Koch Institut (RKI) nicht bestritten. Der Personenbezug der einzelnen Daten folgt aus ihrer – wenn auch nur kurzzeitigen – Verbindung mit der IP-Adresse des Endgeräts des Betroffenen, welche für die Übermittlung der Daten an das RKI verwendet wird. Solche IP-Adressen gelten immer dann als personenbezogen, wenn der Empfänger über rechtliche Mittel verfügt, die es ihm erlauben, mit Hilfe der zuständigen Behörden und der Internetzugangsanbieter die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen (vg. EuGH, Urteil vom 19.10.2016 – C-582/14). Das RKI verfügt über eine solche Möglichkeit. Es kann grundsätzlich über die IP-Adresse den einzelnen Nutzer der App in Persona ermitteln lassen. Aus diesem Grund ist die DS-GVO auf die Corona App überhaupt anwendbar und die Nutzung auch nicht anonym.  Neben der IP-Adresse werden durch die App noch folgende Daten erfasst: Datum und Uhrzeit des Abrufs (Zeitstempel), übertragene Datenmenge (bzw. Paketlänge), Meldung über erfolgreichen Abruf, Tages-schlüssel (aus diesem werden die einzelnen RPIs generiert), RPIs, Metadaten zu RPIs (Begegnungsdaten), Liste der Positivschlüssel, Risikowert, Risikostatus, Datum des Kontakts, Dämpfungswert (gemeldete Signalstärke), Dämpfungsbehälter, Dauer der Begegnung mit anderen Nutzern und Bewertungseinstellungen. Im Falle einer Infizierung werden zusätzlich folgende Daten erhoben: tele TANs, Registration Token, QR-Code, Name, Telefonnummer und Antworten auf Plausibilitätsfragen.


Welche datenschutzrechtlichen Bedenken existieren bzgl. der Corona Warn App?
Datenschutzrechtlich existieren bei der CWA App noch mehrere Baustellen. Die CWA App war technisch, ohne die von Apple und Google entwickelte Betriebssoftware (ENF), t nicht umsetzbar. Die Kontaktprotokollierung findet daher außerhalb der eigentlichen CWA App statt. Aus diesem Grund hat das RKI auch keinen Einfluss auf die Löschung dieser Begegnungsdaten (RPIs und Metadaten). Diese Löschung wird von Google und Apple gesteuert. Nach den Angaben der Unternehmen sollen die Daten alle 14 Tage von ihnen gelöscht werden. Eine Kontrolle dieser Löschung durch das RKI oder die Bundesregierung findet nicht statt. Es ist daher insgesamt unklar, ob Google oder Apple während oder nach der vorgegeben Speicherdauer Informationenabgreifen und diese innerhalb ihres eigenen Geschäftsmodells weiterverwendet. Neben dieser drohenden zweckfremden Nutzung der Daten ist auch fraglich, auf welcher Rechtsgrundlage die Datenverarbeitung stattfindet. Nach der DS-GVO ist eine solche Verarbeitung immer nur aufgrund einer ausreichenden Rechtsgrundlage zulässig. Das RKI sieht dieses Problem ebenfalls und versucht die Verarbeitung über eine Einwilligung des jeweiligen Nutzers zu rechtfertigen. Nach Ansicht des RKI haben die jeweiligen Smartphone Nutzer durch die Verwendung eines Android – bzw. iOS-Smartphones zum Ausdruck gebracht, dass sie grundsätzlich Vertrauen zu diesen Herstellern haben oder sich jedenfalls mit den Datenschutzrisiken abgefunden haben. Diese Argumentation überzeugt aber nur bedingt. Datenschutzrechtlich kann der jeweilige Nutzer nur dann in eine Datenverarbeitung einwilligen, wenn dies absolut freiwillig geschieht. Die Nutzung des jeweiligen Betriebssystems auf einem Smartphone geschieht aber meistens einfach aufgrund mangelnder Alternativen und ist dementsprechend gerade nicht freiwillig.
Infolge des begrenzten Einflusses des RKI auf die Datenverarbeitung durch Unternehmen wie Google oder Apple wird in der Bevölkerung auch befürchtet, dass andere Unternehmen, welche Geschäftsbeziehungen zu Google oder Apple führen, oder sogar die Gesundheitsämter mittelbar die gespeicherten Informationen zweckentfremdet nutzen könnten, z.B. zur Erforschung der Verbreitung des Virus oder der Überwachung der Einhaltung von Quarantäneregelungen. Zudem gibt es auch datenschutzrechtliche Bedenken gegen die Reichweite der Datenverarbeitung. Neben dem RKI und Google bzw. Apple sind auch folgende Unternehmen in die Datenverarbeitung involviert: SAP Deutschland SE & Co. KG, T-Systems International GmbH, Deutsche Telekom Regional Solutions & Products GmbH, IT Services Hungary, Deutsche Telekom IT GmbH, Axivas Deutschland GmbH, Deutsche Telekom Individual Solutions & Products GmbH, Deutsche Telekom Technik GmbH.

Nach Ansicht der Bundesregierung und des RKI verstößt die Corona Warn App jedoch nicht gegen die DS-GVO. Eine Datennutzung ist immer dann zulässig, wenn sie sich im Rahmen der allgemeinen datenschutzrechtlichen Grundsätze des Art. 5 DS-GVO bewegt. Die Bundesregierung und das RKI sehen vorliegend sehr wohl das Spannungsverhältnis zwischen Datenschutz und dem Schutz von Leben und Gesundheit. Beide sind jedoch der Auffassung, dass der Datenschutz in gewissen Bereichen zugunsten  Letzterer zurückzutreten hat. Ziel der CWA App ist es, Infektionsketten frühzeitig zu erkennen und unterbrechen zu können.


Wieso ist das Thema Datenschutz im Zusammenhang mit der Corona Warn App überhaupt so wichtig?
Allgemeines übergeordnetes Ziel des Datenschutzes ist es, den Bürger davor zu schützen,  gegenüber dem? Staat bzw. einem Dritten zum "gläsernen Menschen" zu werden. Dieser mysteriös klingende Begriff wurde erstmals Teil der öffentlichen Debatte im Rahmen des sog. Volkszählungsurteils des Bundesverfassungsgerichts (1982). Er beschreibt ein Szenario, in dem der einzelne Bürger nicht mehr weiß und auch nicht mehr nachvollziehen kann, wer welche Informationen über ihn zu welchem Zweck gespeichert hat und nutzt. Dies beinhaltet insbesondere die Gefahr, dass der Staat oder ein Dritter (z.B. Unternehmen) ohne Einwilligung des Betroffenen möglichst viele Daten anlasslos und auf Vorrat speichert. Die gesammelten Daten können sodann auf das einzelne Individuum zur Verhaltensanalyse und -steuerung herabgebrochen werden (Stichwort: Profiling). Unabhängig von der rechtlichen Unzulässigkeit, ist eine solche Überwachung aber auch an technische Hürden geknüpft. Laut den Daten der Verbrauchs- und Medienanalyse besaßen im Jahr 2019 ca. 57,7 Millionen Menschen in Deutschland ein internetfähiges Handy oder Smartphone (Tendenz steigend). Stellt man sich nun vor, dass diese 57,7 Millionen (und zukünftig noch mehr) Personen auf ihrem Handy eine staatliche App installieren würden, dann wäre dies erstmals ein Szenario, in welchem eine staatliche Überwachung auch technisch vereinfacht ermöglicht werden könnte. Aus diesem Grund ist es überaus wichtig, dass die Datennutzung der App nicht frei durch den Staat bestimmt werden kann und zwar auch nicht in den zukünftige Jahren, z.B. nach Ende der Pandemie.
 

Wie effektiv ist die Corona Warn App?
Damit die App wirklich ihren gewünschten Effekt erzielen kann, ist es nach neueren Medienberichten notwendig, dass mindestens 80% der Deutschen diese App auch tatsächlich nutzen. Bei einer geschätzten Einwohnerzahl von 82 Millionen Menschen in Deutschland würde dies bedeuten, dass ca. 65 Millionen hiervon die App installieren müssten. Da aber lediglich ca. 57 Millionen über ein internetfähiges Smartphone verfügen, ist dies rein tatsächlich gar nicht möglich. Unabhängig davon haben derzeit nur rund 17 Millionen die CWA App installiert. Zudem ist auch bei Installation der App nicht gewährleistet, dass man ausreichend gegen ein Infektionsrisiko geschützt ist. Die CWA App ist nämlich stets von der Eigeninitiative der Nutzer abhängig. Dass jemand positiv infiziert ist, erfährt die App ausschließlich dadurch, dass der positiv getestete Nutzer sich auf Eigeninitiative hin selbst in der App registrieren lässt und den vorgegebenen Verifikationsprozess durchläuft. Aus diesem Grund sind letztlich die jeweiligen Downloadzahlen nur bedingt aussagekräftig, da diese keinen Aufschluss darüber geben, ob der jeweilige Nutzer die App auch nutzt (also z.B. stets sein Bluetooth eingeschaltet hat). Schließlich kann der jeweilige Nutzer die Datenverarbeitung auch jederzeit beendet, indem er z.B. die CWA App wieder löscht oder das ENF deaktiviert. Da die Bluetooth-Technik außerdem nicht für das Messen von Abständen entwickelt wurde, können Fehlalarme nicht ausgeschlossen werden. Ein Problem bei der Technologie ist beispielsweise, dass die Smartphones nicht erkennen, wenn zwischen zwei Nutzern eine Glasscheibe ist und sie sich so gar nicht gegenseitig anstecken können. Genauso gehen Bluetooth-Signale nicht durch Wasser was dazu führt, dass sich zwei Smartphones möglicherweise nicht erfassen können, wenn ein menschliche Körper zwischen Ihnen steht. Bluetooth wurde nicht für diese Zwecke entwickelt und daher können viele Faktoren bei der Signalstärke eine Rolle spielen, z.B. ob man das Smartphone in Räumen oder draußen nutzt, in der Hosentasche oder in der Hand hat. Sogar die verbauten Komponenten im Smartphone selbst haben einen Einfluss auf die Signalstärke. Daher verweisen selbst die Entwickler darauf, dass die App nur einen begrenzten Beitrag zur Normalisierung liefern kann. Sie ist keine Wunderwaffe. Wer sich und andere vor einer Infektion schützen will, sollte auch mit der CWA App Abstand wahren und eine Maske tragen.