Kontaktnachverfolgung: Corona-Warn-App lässt sich leichter trollen als Luca-App

Die neue Check-in-Funktion der Corona-Warn-App lässt sich auf einfache Weise für falsche Warnungen missbrauchen. Da sich per QR-Code in beliebigen Veranstaltungen einchecken lässt, könnten bei einer nachgewiesenen Infektion eines Nutzers automatisch alle Personen gewarnt werden, die zum gleichen Zeitpunkt ebenfalls dort per Corona-Warn-App angemeldet waren. Anders als bei Systemen wie der Luca-App gibt es keine Überprüfung der Eventlisten durch die Gesundheitsämter.

Der Moderator des ZDF-Magazins Royale, Jan Böhmermann, hatte eine solche missbräuchliche Nutzung der Luca-App vor gut einem Monat demonstriert und sich vom heimischen Sofa aus im Zoo Osnabrück eingecheckt. Böhmermann schreibt dazu auf Twitter: "Ich habe mich soeben um 0:40 Uhr über diesen QR-Code mit der Luca-App als Michi Beck von Berlin aus im Zoo Osnabrück eingecheckt und verbringe jetzt eine Nacht virtuell in Gedanken bei Elefantenbaby Yaro." Sarkastisch schob er nach: "Würde sagen, die App funktioniert!"

Einchecken aus der Ferne möglich

Eine solche Anmeldung auf Distanz ist inzwischen auch mit der Corona-Warn-App möglich. Die entsprechende Funktion wurde in der vergangenen Woche veröffentlicht. Zu empfehlen ist ein solches Vorgehen jedoch nicht, denn dadurch ließen sich unbegründete Warnungen vor Risikobegegnungen generieren.

Das könnte der Fall sein, wenn eine Person sich nachträglich infiziert hat und diese Veranstaltung zum Hochladen freigibt. Dann könnten alle anderen Personen gewarnt werden, die sich zum gleichen Zeitpunkt dort eingecheckt hatten und möglicherweise tatsächlich anwesend waren. Es gibt keinerlei Möglichkeit, zu überprüfen, ob ein infizierter Nutzer überhaupt an der Veranstaltung teilnehmen konnte. Selbst zeitlich parallele Check-ins sind möglich.

Datenschutzbeauftragter fordert behördliche Zulassung

Wer jedoch auf diese Weise das System trollt, läuft Gefahr, selbst unbegründet vor einer Risikobegegnung gewarnt zu werden. Das wäre der Fall, wenn ein anderer Teilnehmer der Veranstaltung positiv getestet wurde und dann seine Daten hochlädt. Hierbei spielt es natürlich auch keine Rolle, ob er sich tatsächlich an dem Ort aufgehalten hat. Wer also aus welchen Gründen auch immer solche Check-ins sammelt, torpediert für sich und andere die sinnvolle Nutzung der Clustererkennung in der Corona-Warn-App.

Dennoch gibt es Bestrebungen, die neue Funktion der Corona-Warn-App als ausreichendes Verfahren zur Kontaktnachverfolgung in Geschäften und Gastronomie zuzulassen. So forderte der Bundesdatenschutzbeauftragte Ulrich Kelber am Freitag: "Seit dem Update 2.0 hat die Corona-Warn-App eine gut funktionierende und gleichzeitig datenschutzfreundliche Clustererkennung. Das müssen wir jetzt nutzen. Die Bundesländer sollten ihre Verordnungen so öffnen, dass auch ein pseudonymes digitales Einchecken rechtlich möglich ist."

Nach Ansicht Kelbers erlaubt das Infektionsschutzgesetz den Bundesländern zwar die Erhebung personenbezogener Daten zur Pandemiebekämpfung, doch ein Zwang ergebe sich daraus nicht. "Die Corona-Warn-App hat bereits über 27 Millionen Nutzerinnen und Nutzer, die schneller und unkomplizierter als über jeden anderen Weg gewarnt werden können. Wenn die Länder ihre Verordnungen anpassen, verbessern wir gleichzeitig Gesundheitsschutz und Datenschutz", sagte Kelber.