Kontaktnachverfolgung: Warum die Cluster-Erkennung der Corona-App wenig bringt

Die Corona-Warn-App der Bundesregierung wird demnächst um eine lang erwartete Funktion erweitert: Künftig sollen über die App vor einer möglichen Ansteckung mit dem Coronavirus auch Menschen gewarnt werden, die sich nicht über längere Zeit in unmittelbarer Nähe eines Infizierten aufgehalten, sondern an einer gemeinsamen Veranstaltung mit diesem teilgenommen haben. Doch das von den Entwicklern gewählte Konzept lässt befürchten, dass die Umsetzung zu unzuverlässig ist und weiterhin andere Mittel zur Clustererkennung erforderlich sind.

Bislang basiert die Kontaktnachverfolgung bei Veranstaltungen oder Restaurantbesuchen vor allem auf handschriftlichen Listen oder Zetteln. Besucher müssen dort ihre Daten hinterlassen, um bei nachträglich festgestellter Corona-Infektion eines anderen Besuchers von den Gesundheitsämtern kontaktiert werden zu können. Dies ist nicht nur aufwendig und umständlich. Datenschützer stören sich an der Zettelwirtschaft, weil andere Gäste die Daten einsehen können oder die Polizei die Listen für andere Zwecke auswertet. Zudem können die Besucher Fantasienamen oder falsche Telefonnummern eintragen, so dass sie nicht gewarnt werden können.

Corona-Warn-App sehr datenschutzfreundlich

Diese Probleme sollen digitale Anwendungen lösen, von denen seit Beginn der Coronapandemie Dutzende entwickelt wurden. Zuletzt haben sich aber mehrere Bundesländer entschieden, die sogenannte Luca-App zur digitalen Kontaktnachverfolgung einzusetzen. Allerdings warnen Datenschützer in diesem Fall vor den Gefahren einer zentralen Datenspeicherung trotz doppelter Verschlüsselung. Zudem verhielten sich die Betreiber der App, die Culture4life GmbH, bei der Veröffentlichung des Quellcodes alles andere als professionell.

Eine datenschutzfreundliche Alternative könnte daher die Corona-Warn-App der Bundesregierung darstellen. Denn in diesem Fall werden nirgendwo personenbezogene Daten hinterlegt oder zentral gespeichert. Der Quellcode der App und der Backend-Server ist zudem völlig offen. Doch eine zuverlässige Kontaktnachverfolgung dürfte häufig an einem unüberwindbaren Hindernis scheitern: dem infizierten Nutzer.

Warnung nur durch Infizierte möglich

Auf Anfrage von Golem.de erläuterten die App-Entwickler von SAP und Deutscher Telekom, dass die Kontaktnachverfolgung ein Verfahren nutzt, das sehr nah am sogeannten Crowdnotifier-Konzept angelehnt ist. "Es funktioniert zusammengefasst so, dass jede Person anonym, ohne Angabe von Kontaktdaten, einen QR-Code scannen kann. Auf dem entsprechenden Gerät werden dann die ID der Lokalität und der Zeitraum gespeichert. Bei einem positiven Test werden diese anonymen IDs und Zeiträume anonym geteilt, so dass andere gewarnt werden", erläuterte ein SAP-Sprecher.

Das bedeutet: Weder der Veranstalter, der über die App den QR-Code generiert, noch die Gesundheitsämter sind in die Datenweitergabe involviert. "Die Warnungen im Kontext der Eventregistrierung sind vollautomatisch und benötigen keine Freigabe Dritter", heißt es weiter. Das geht auch aus der entsprechenden Beschreibung der Event-Registrierung hervor.

Das ist in der Tat sehr datenschutzfreundlich, hat aber große Nachteile.