Corona-Warn-App

Im Frühjahr 2020 entstand auf dem Hintergrund der COVID-19-Pandemie der Bedarf, eine Warn-App zur Prävention gegen Ausbreitung der Pandemie zu entwickeln. Im Verlauf der Entwicklung und zum Einsatz der Corona-Warn-App kam es zu zahlreichen Kontroversen und teils auch zu Wettbewerb mit vergleichbaren Apps anderer Länder.

Durchsetzung des dezentralen Ansatzes

Zentraler Ansatz

Am 15. April 2020 entschieden sich die Regierungschefs von Bund und Ländern für die Unterstützung der Initiative PEPP-PT, die Software entwickeln wollte, auf deren Grundlage mit zentraler Speicherung der Kontaktdaten unterschiedliche nationale Contact-Tracing-Apps in Europa entstehen können. Als Teil des Leadership Teams wurde Chris Boos in der Öffentlichkeit bekannt, wohl auch, weil er zuvor schon Mitglied im Digitalrat der Bundesregierung^[14][15] und auf der Bilderberg-Konferenz 2019 war.^[16] Unter diesem Dach versammelten sich mehrere Entwicklergruppen, wobei auch konkurrierende Ansätze verfolgt wurden. Anfangs schien es so, dass sich dank der Unterstützung der Bundesregierung der „zentrale Ansatz“ für eine deutsche Contact-Tracing-App durchsetzen würde.Auf Nachfrage^[17] in einer Pressekonferenz vom 16. April 2020 wollte die Bundesregierung trotz des gemeinsamen Vorstoßes von Apple und Google weiter auf Chris Boos’ Projekt setzen.^[18][19]

Als diese Vorentscheidung der Bundesregierung öffentlich deutlich wurde, setzte Kritik daran ein. Im Verlaufe der Diskussion wurde von Seiten der Bundesregierung gesagt, dass über die App zusätzliche Erkenntnisse für die epidemiologische Forschung gewonnen werden sollen.^[20]

Auf eine schriftliche Frage von Anke Domscheit-Berg wurde am 20. April 2020 mitgeteilt, dass weiterhin verschiedene Alternativen betrachtet werden (DP-3T, PEPP-PT sowie die in Österreich eingesetzte Lösung Stopp Corona der Accenture GmbH).^[21]

Die beiden US-Technologieriesen Apple und Google folgten dem Protest einer Reihe deutscher Start-Ups, den diese am 14. April 2020 zugunsten dezentralen Speicherlösung für Corona-Apps äußerten.^[22] Das hatte Gewicht, denn 99 Prozent aller Smartphones weltweit nutzen ein Betriebssystem von Apple oder Google.^[23] Zumal auf Apple-Smartphones die Funktechnik Bluetooth Low Energy normalerweise nicht im Hintergrund läuft, wie es bei dieser Anwendung sinnvoll und mit Nutzung der von Apple aktuell programmierten Software möglich ist, bekamen die Vertreter des „dezentralen Ansatzes“ durch die Festlegung von Apple und Google, ihre Betriebssysteme für Contact-Tracing-Apps anzupassen, mächtige Unterstützer.

Wechsel zum dezentralen Ansatz

Technisch war die Bundesregierung also auf ein Entgegenkommen der beiden Unternehmen angewiesen. Noch am 24. April 2020 hatte aber eine Sprecherin der Bundesregierung die Präferenz für das zentrale Konzept von PEPP-PT bekräftigt. Am selben Tag veröffentlichten unter anderem der Chaos Computer Club, die Gesellschaft für Informatik sowie weitere Organisationen, die sich mit netzpolitischen Fragen beschäftigen, einen offenen Brief an die Bundesregierung. Darin hieß es: „Das von Ihnen präferierte Konzept für die App ist nicht der richtige Weg.“^[24] In der Nacht zum 26. April 2020 gab die Bundesregierung nach und erklärte am Morgen, sie bevorzuge nun einen dezentralen Ansatz.^[25][26] Sie werde „eine dezentrale Architektur“ vorantreiben, die „die Kontakte nur auf den Geräten speichert und damit Vertrauen schafft.“Eine Pressemitteilung vom 28. April 2020 stellte die Herausgabe der App durch das Robert Koch-Institut nach „Fertigstellung durch die Telekom und die SAP“ in Aussicht.^[27][28]

Am 12. Mai 2020 wurde ein Quellcode-Repository auf GitHub veröffentlicht.^[29][30]

Ziel des Projektes ist eine dezentrale Lösung mit einer Datenspeicherung lokal auf den Smartphones basierend auf dem Privacy-Preserving Contact Tracing Protokoll (PPCP) von Apple und Google mittels Bluetooth. Die Technik ist stark inspiriert von den DP-3T- und TCN-Protokollen und wie diese werden Apps und Backend-Infrastruktur vollständig quelloffen unter Apache-2.0-Lizenz gestellt werden.^[29]

Ende der Weiterentwicklung

Angesichts der gewachsenen Immunität der Bevölkerung und Aufhebung der meisten Corona-Maßnahmen und dem dementsprechenden Entfall an Bedarf an einer App zur Kontaktnachverfolgung wurde die Corona-Warn-App am 1. Juni 2023 in einen Ruhemodus versetzt und wird seitdem nicht mehr weiterentwickelt. Die App bleibt auf den Endgeräten der Nutzenden erhalten, sodass Impfzertifikate damit bei Bedarf weiterhin genutzt werden können.^[31] Die Anwendung soll bis zu ihrer Einstellung mehr als 48 Millionen Mal installiert worden sein, knapp neun Millionen Menschen teilten positive Testergebnisse, um andere Nutzer zu warnen. Die Verträge mit den Dienstleistern SAP und T-Systems endeten zum 31. Mai 2023.^[32]

Die Systemarchitektur umfasst vor allem die auf den einzelnen Smartphones durch die Nutzer freiwillig installierte App, die Schnittstelle Exposure Notification Framework (ENF) zwischen App und Betriebssystem im Smartphone, unterschiedliche Hotlines für technische Fragen und zur Autorisierung der Meldung „positiver Corona-Tests“ und mehrere in der Open Telekom Cloud installierte Webserver.

Die App besitzt vier Hauptfunktionen: Die Risiko-Ermittlung, die Meldung des positiven Corona-Tests, die Risikobewertung sowie die Information und Handlungsempfehlung.^{[33][34][35][36][37][38]}

Wie diese Hauptfunktionen konkret durch den Code der App implementiert und durch dessen Zusammenspiel mit dem Code der Google Apple Exposure Network API und der Betriebssysteme von Google und Apple verwirklicht werden, ist für die Öffentlichkeit aufgrund ihrer Komplexität nur schwer nachzuvollziehen. Die beim Nutzer an der Teststation eingeforderte Entscheidung über die Erlaubnis zur Datenübermittlung setzt jedoch ein entsprechendes Verständnis voraus, sodass viele Nutzer vorsichtshalber der Datenübermittlung nicht zustimmen und in der Folge positive Testergebnisse häufig nicht erfolgreich in der App eingetragen werden (können).^[39]

Webserver

Entsprechend dem Client-Server-Modell betreibt die Deutsche Telekom für die App vier Server:^[40]

• den Corona-Warn-App-Server. Er speichert die autorisierten Meldungen positiver Corona-Tests, so lange sie nicht älter als 14 Tage sind.
• den Verifikations-Server. Er dokumentiert, dass ein Nutzer freiwillig zugestimmt hat, die Meldung über seinen positiven Corona-Test einzureichen, und dass diese Meldung vom Labor als zutreffend bestätigt („verifiziert“) wurde.
• den Portal-Server. Er erzeugt teleTANs für noch nicht digital an das App-System angeschlossene Gesundheitsämter und Labore.
• den Testergebnis-Server. Er stellt die Ergebnisse der Labors zur weiteren Verwendung bereit.

Die Verteilung der Daten auf mehrere Server soll dazu dienen, diese Daten zu entkoppeln und so eine Rückverfolgung zu einzelnen Nutzern zu erschweren.

Risiko-Ermittlung

Sofern im Menü der App die Funktion „Risiko-Ermittlung“ eingeschaltet ist, sendet das Smartphone mit Bluetooth Low Energy (BLE) bis zu vier Mal pro Sekunde RPI-Kennungen (Rolling Proximity Identifiers, Zufalls-IDs), die alle 10 bis 20 Minuten neu aus einem „Tagesschlüssel“ (Temporary Exposure Key, TEK, Diagnoseschlüssel) abgeleitet werden.^[36] Damit kann grundsätzlich von außen erkannt werden ob in der Nähe ein anderes Smartphone die App verwendet. Durch die regelmäßige Änderung der gesendeten Kennungen wird jedoch verhindert, dass man auf die Identität des sendenden Smartphones oder dessen Nutzers schließen kann. Jeweils um Mitternacht UTC wird ein neuer „Tagesschlüssel“ erzeugt.

Andererseits überprüft die App in Abständen von 4 bis 5 Minuten jeweils ungefähr 4 Sekunden lang, ob andere Smartphones ebenfalls solche Kennungen aussenden und speichert sie, die Signalstärke und den Zeitpunkt des Empfangs für eine Dauer von 14 Tagen.

Meldung des positiven Corona-Tests

Die App enthält im Menü „Überblick“ vor allem die Funktion „Benachrichtigung anderer“.^[41] Damit kann ein Test, der eine aktuelle Infektion mit dem SARS-CoV-2-Erreger wahrscheinlich gemacht hat („positiver Corona-Test“), freiwillig und auf anonyme Weise zur Warnung von Kontaktpersonen im Corona-Warn-App-Server registriert werden: In der Regel handelt es sich bei diesem Test um einen RT-PCR-Test. Eine Person mit einem solchen Testergebnis wird als „Corona-positiv getestet“ bezeichnet (vereinfachend „aktuell infiziert“ oder „Neu-Infektion“ genannt).

Sofern das Gesundheitsamt oder Testlabor bereits in die Struktur des für die App eingerichteten Systems digital eingebunden ist,^[41] bekommt man bei der Probenabgabe einen QR-Code, den man mit der App einscannen kann. Im Menü „Überblick“ kann damit der Status und das Ergebnis des Tests abgefragt werden.

Falls das Gesundheitsamt oder Testlabor noch nicht digital in das App-System eingebunden ist, muss die Meldung des positiven Corona-Tests per teleTAN über eine Verifikations-Hotline erfolgen.

In beiden Fällen lädt die App erst nach Zustimmung durch den Nutzer die Tagesschlüssel der letzten 14 Tage, versehen mit dem Gültigkeitstag und dem „Übertragungsrisiko“, in den Corona-Warn-App-Server hoch.

Übertragungsrisiko

Das „Übertragungsrisiko“ (Transmission Risk Level, TRL) wurde anfänglich anhand des Zeitpunkts des Hochladens der Tagesschlüssel geschätzt. Inzwischen kann es genauer geschätzt werden, wenn der Nutzer den Tag erster Symptome angibt. Es wird quantifiziert in die Stufen I (geringstes Risiko) bis VIII (höchstes Risiko) und Teil des Diagnoseschlüssels.^[42]

Risikobewertung

Die Risikobewertung wird mit der Schnittstelle „Exposure Notification Framework“ (ENF), die von Apple und Google eigens für COVID-19-Apps eingeführt wurde, durchgeführt.

Risiko-Begegnungen

Die App lädt mindestens einmal täglich vom Corona-Warn-App-Server die Liste aller Tagesschlüssel (Diagnoseschlüssel) derjenigen Smartphones herunter, zu denen dort in den letzten 14 Tagen positive Testergebnisse gespeichert wurden. Die heruntergeladenen Tagesschlüssel werden dann an das ENF übergeben. Zunächst werden aus jedem Tagesschlüssel mit dem gleichen Verfahren wie bei der Aussendung die 144 möglichen RPI-Kennungen (Zufalls-IDs) berechnet. Dann wird herausgesucht, ob davon welche von benachbarten Smartphones empfangen und gespeichert wurden.^[43] Die Risiko-Begegnung kann bis zu 14 Tage zurück liegen, da ein positiv Getesteter erst am Vortag seine 14 Tagesschlüssel hochgeladen haben kann. Der Zeitpunkt der Begegnung wird zwar sekundengenau abgespeichert. Aber um einen Rückschluss auf die Person zu erschweren, welche von der App als Risiko eingeschätzt wurde, kann über das ENF allenfalls das Datum der Begegnung abgefragt werden.

Ansteckungswahrscheinlichkeit

Im zweiten Schritt wird mit dem ENF berechnet, wie groß das Risiko war, dass man sich bei der Begegnung infiziert hat. Das mehrstufige Verfahren zur Risikobewertung macht eine Reihe von Annahmen, durch welche das Risiko von Begegnungen mit einzelnen Risiko-Personen an einzelnen Tagen bewertet wird.^[43][44]Dafür wird die Dauer der Begegnung bestimmt, die Nähe des Infizierten anhand der Signalstärke des Bluetooth-Signals abgeschätzt, das Übertragungsrisiko des Infizierten aus den Tagesschlüssel-Daten und die Zeitspanne seit dem Kontakt berücksichtigt. Vor der Berechnung werden vom Corona-Warn-App-Server die aktuellen Konfigurationsdaten heruntergeladen, die Wichtungsfaktoren für diese Parameter enthalten. Auf diese Weise kann das RKI auf einfache Weise die Risikoabschätzung anpassen.^[45] Wenn am Ende der Bewertung aller Risiko-Begegnungen die Wahrscheinlichkeit für eine Ansteckung einen Grenzwert überschritten hat, wird eine Warnung „Erhöhtes Risiko“ ausgegeben.

Derzeitiges Verfahren der Risikobewertung

Seit Einführung der Version 1.9 der Corona-Warn-App im Dezember 2020 wird Version 2.0 des Exposure Notification Frameworks (ENF) von Apple/Google verwendet. Es brachte einige Änderungen in der Risikobewertung mit sich. Um als Begegnung berücksichtigt zu werden, müssen seitdem folgende Bedingungen innerhalb eines Zeitfensters von 30 Minuten erfüllt sein:^[46]

• Mindestens 5 Minuten innerhalb des 30-minütigen Fensters muss die Signaldämpfung unter 79 dB gelegen haben
• Das Transmission Risk Level muss mindestens III (3) betragen.

Ist zumindest eine dieser beiden Kriterien nicht erfüllt, erfolgt keine Zählung innerhalb der App. Es handelt sich um eine „Nicht-Risiko-Begegnung“.
Sind aber beide Bedingungen erfüllt, erfolgt zusätzlich eine Gewichtung der Kontaktzeiten, abhängig von der Signaldämpfung:

• Zeiten mit einer Dämpfung < 63 dB werden mit 80 % gewichtet.
• Zeiten mit einer Dämpfung >= 63 dB und <73 dB werden mit 100 % gewichtet.
• Zeiten mit einer Dämpfung >= 73 dB und <79 dB werden mit 10 % gewichtet.

Basierend auf dem Transmission Risk Level (III bis VIII) wird nun ein Faktor zwischen 0,6 und 1,6 ermittelt. Mit diesem Faktor wird die gewichtete Zeit aus dem vorherigen Schritt multipliziert, woraus sich dann die „normalisierte Kontaktzeit“ ergibt. Abschließend werden innerhalb des jeweiligen Zeitfensters von 30 Minuten alle gewichteten Kontaktzeiten mit im Einzelnen zumindest „niedrigem Risiko“ durch dieselbe oder durch unterschiedliche Personen aufsummiert. Anhand dieser Summe der gewichteten Kontaktzeiten wird nun der endgültige Risikostatus bestimmt:

• Summe der Kontaktzeiten <5 Minuten: Nicht-Risiko-Begegnung(en) (grün)
• Summe der Kontaktzeiten >=5 Minuten und <9 Minuten: Begegnung(en) mit niedrigem Risiko (grün)
• Summe der Kontaktzeiten >=9 Minuten: Begegnung(en) mit hohem Risiko (rot)

Information und Handlungsempfehlung

Beginnend etwa einen Tag nach Installation zeigt die App das Ergebnis der Risikobewertung an:^[47][48]

• erhöhtes Risiko: falls innerhalb der vergangenen 14 Tage Risiko-Begegnungen mit mindestens einer Corona-positiv getesteten Person stattgefunden haben.^[49] Um eine Identifikation der Risiko-Person zu erschweren, wird nur der Tag, aber nicht Uhrzeit oder Ort der Begegnung mitgeteilt. Man erhält außerdem die Empfehlung, sich in Quarantäne zu begeben.

• niedriges Risiko: diese Meldung erfolgt, wenn die Risiko-Bewertung nicht zum Ergebnis „erhöhtes Risiko“ geführt hat,^[43] entweder weil keine Begegnungen mit Corona-positiv getesteten Personen festgestellt wurden oder falls es Begegnungen gegeben hat, die nicht über dem definierten Schwellenwert gelegen haben.^[49] Bei Begegnungen mit niedrigem Risiko wird nicht angezeigt, wann und wo sie stattgefunden haben.
• unbekanntes Risiko: diese Meldung erfolgt, wenn noch nicht genügend Zeit seit Installation der App und Aktivierung der Option „Risiko-Ermittlung“ vergangen ist.

Sprachen und Einsatz in anderen Staaten

Seit Anfang Juli 2020 ist die App im Google Play Store und Apple App Store aller EU-Staaten sowie von Großbritannien, Norwegen und der Schweiz herunterladbar.^[50] Nach dem russischen Überfall auf die Ukraine 2022 wurde die App in den ukrainischen Apple- und Google-Stores freigeschaltet. Die Nutzung mit ukrainischen Zertifikaten ist möglich.^[51] Die App steht auf sieben Sprachen, unter anderem Deutsch, Englisch, Türkisch und Ukrainisch zur Verfügung.^[52]

Die deutsche App und die technisch vergleichbaren Apps einiger anderer europäischen Staaten können bei Auslandsreisen die Bluetooth-Codes anderer COVID-19-Apps aufzeichnen.^[53] Seitdem Mitte Oktober 2020 ein europäischer Gateway-Service in Betrieb gegangen ist, ist auch eine länderübergreifende Risiko-Ermittlung möglich.^[54] Die Risiko-Ermittlung der Corona-Warn-App funktioniert aktuell (Version 2.22) auch mit den Apps der folgenden Ländern: Belgien, Finnland, Irland, Italien, Kroatien, Lettland, Litauen, Malta, Niederlande, Slowenien und Spanien.^[55]

Erweiterungen

Die CWA wurde kontinuierlich weiterentwickelt und um zusätzliche Funktionalität erweitert. Es folgt eine unvollständige Übersicht über Funktionserweiterungen der Corona-Warn-App.

Freiwillige Datenspende

Um die Wirksamkeit der App zu beurteilen und zu verbessern wurde mit der Version 1.13 im März 2021 die freiwillige Datenspende eingeführt.^[56] Wenn die Benutzer eingewilligt haben, wird unter strikter Wahrung der Anonymität gemeldet, sobald Warnungen mit niedrigem oder erhöhtem Risiko (Grün- oder Rot-Warnungen) angezeigt werden.

Eventregistrierung

Zur möglichst umfassenden Kontakterfassung bei Veranstaltungen wurde die CWA-Version 2.0 um die Möglichkeit der Eventregistrierung erweitert.^[57] Wenn ein Nutzer positiv getestet wird und er seine Diagnoseschlüssel teilt, werden gleichzeitig seine Check-Ins veröffentlicht und auf diese Weise die Beteiligten der entsprechenden Veranstaltungen gewarnt.

Schnelltests

Seit Mai 2021 können auch Schnelltests mit der CWA ab Version 2.1 erfasst werden und falls der Schnelltest positiv ausgefallen ist, die Personen gewarnt werden, zu denen ein Kontakt bestanden hatte.^[58]

Impfzertifikate

Ab der Version 2.3 der CWA, die im Juni 2021 veröffentlicht wurde, können Impfnachweise abgespeichert, überprüft und angezeigt werden.^[59]

Position des Europäischen Parlaments

In der Entschließung des EU-Parlaments vom 17. April 2020 zu „abgestimmten Maßnahmen der EU zur Bekämpfung der COVID-19-Pandemie und ihrer Folgen“ wurde gefordert:^[60]

• die Nutzung von Anwendungen, die von nationalen und EU-Behörden entwickelt wurden, darf nicht verpflichtend sein – ein Ausschluss der Verpflichtung durch Gesetz wurde in Deutschland diskutiert
• die gesamte Datenspeicherung muss dezentralisiert erfolgen – lediglich die Tagesschlüssel von Smartphones, zu denen eine Infektion autorisiert gemeldet wurde, werden 14 Tage lang auf dem Corona-Warn-App-Server gespeichert, ihre Verschlüsselung soll eine Identifikation des Smartphones verhindern
• es müssen klare Prognosen darüber vorgelegt werden, wie die Verwendung von Apps zur Ermittlung von Kontaktpersonen durch einen Teil der Bevölkerung in Verbindung mit spezifischen anderen Maßnahmen zu einer deutlich geringeren Zahl infizierter Personen führen wird – solche Prognosen und auch erste Auswertungen aus anderen Staaten, die Tracing-Apps ebenfalls eingeführt haben, kommen zu widersprüchlichen Ergebnissen

Deutsches Recht

• Behörden, Regierung und Anbieter verweisen darauf, dass die Nutzung der App freiwillig ist und Personen ohne Nutzung nicht diskriminiert werden dürften. Eine gesetzliche Klarstellung in dieser Richtung wurde durch die Bundesregierung abgelehnt.
• Zur Altersgrenze gibt es verschiedene Angaben:^[61] Laut dem Apple App-Store sollte die App zunächst nur von Personen ab 17 Jahren genutzt werden, später ab 12 Jahren.^[4] Für Android-Geräte dagegen ist die App im Google Play-Store mit „FSK; ab 0 Jahren“ eingestuft.^[3] In der App selbst heißt es in den Nutzungsbedingungen:^[62] „Die App richtet sich an Personen, die mindestens 16 Jahre alt sind. Personen unter 16 Jahren dürfen die App nur mit Zustimmung ihres/ihrer Sorgeberechtigten verwenden“. In der Datenschutzerklärung heißt es sowohl für die Android-Version^[63] als auch für die iOS-Version:^[64] „Die App richtet sich an Personen, die sich in Deutschland aufhalten und mindestens 16 Jahre alt sind“.
• Auf Android-Geräten kann die App regulär nur über Länderversionen des Play-Stores installiert werden, für die das RKI inzwischen die nationalen Rechtsgrundlagen erfüllen konnte. Android-Nutzern aus anderen Ländern steht sie daher über den Play-Store nicht zur Verfügung, selbst wenn sie sich in Deutschland aufhalten. Als Gründe werden (datenschutz-)rechtliche Erwägungen angegeben.^[50]
• Die Nutzung der App ersetzt nicht Maßnahmen, die hinsichtlich COVID-19 im Infektionsschutzgesetz (IfSG) vorgeschrieben sind, darunter die Erfassung umfangreicher personenbezogener Daten von Personen, bei denen der begründete Verdacht einer Erkrankung, die Erkrankung sowie der Tod durch COVID-19 festgestellt wurde, und die Meldung dieser Daten an die Landesbehörde und von dort (außer bloße Verdachtsfälle) an das RKI oder bei bestimmten Personen an die Bundeswehr.^[65]
• Eine Warnung durch die App
  • ist arbeitsrechtlich keine Krankschreibung, sondern nur ein Hinweis, Kontakt zum Gesundheitswesen aufzunehmen.^[48]
  • bedeutet nicht, dass die gewarnte Person eine „Kontaktperson der Kategorie I, II oder III“ ist, wie sie das RKI für andere Zwecke definiert. Diese Einstufung erfordert weitere Daten.^[66]
• Stellt die App ein „erhöhtes Infektionsrisiko“ fest, dann
  • können die Betroffenen beim Arzt einen Abstrich vornehmen lassen, um sich ebenfalls auf das Coronavirus zu testen. Die Kosten dafür tragen die Krankenkassen.^[67]
  • ist die Empfehlung, sich nach Hause zu begeben bzw. zu Hause zu bleiben, keine amtliche Anordnung von Quarantäne.^[48]
  • erfüllt dies allein noch nicht die Definition eines begründeten Verdachtsfalls im Sinne des IfSG. Es ist vielmehr Aufgabe des aufgesuchten Arztes, hierüber aufgrund von Befragung und Untersuchung zu entscheiden und darauf begründet weitere Maßnahmen zu veranlassen.^[68]

Technische Voraussetzungen

Allgemein

• Geräte vom Format Smartphone: bisher ist das Layout der App-Oberfläche nicht für Tablets oder Wearables angepasst^[69]
• Bluetooth Low Energy (BLE) senden und empfangen: Austausch der Kennungen.
• Internetverbindung: zum Abfragen der Tagesschlüssel und im Falle einer Infektion zum Hochladen der Tagesschlüssel
• Telefonnummer (optional): bei Nutzung der Verifikations-Hotline für den Empfang einer SMS mit der TeleTAN
• Kamera (optional): zum Einlesen des QR-Codes zur Infektionsbestätigung, alternativ kann der Code auch eingetippt werden

Android

• ein Google-Benutzerkonto: zur Nutzung des Google Play Stores. Alternativ kann auch der freie Fork Corona Contact Tracing Germany aus F-Droid heruntergeladen werden.
• etwa 13 MB Speicherplatz zur Installation der App unter Android^[3]
• Android-Version 6.0 („Marshmallow“) oder neuer: da erst die im Oktober 2015 veröffentlichte API-Level 23 das Exposure Notification Framework unterstützt.
• Die proprietären Google-Play-Dienste, oder bei neueren Huawei-Geräten aus Lizenzgründen die Huawei Mobile Services,^[70][71] oder die Open-Source-Implementierung der Google-Play-Dienste microG^[72].
• die „grobe Standortermittlung“ anhand von WLAN- oder Mobilfunkdaten muss bei einigen Geräten (speziell allen Android-Versionen vor Version 11^[73]) aktiviert sein, da Bluetooth-Geräte in der Nähe grundsätzlich nur gefunden werden können, wenn die „grobe Standortermittlung“ auf dem Gerät aktiviert ist. Die App ist jedoch mangels Berechtigung nicht in der Lage, auf den Standort zuzugreifen.^[74]

Apple

• ein Apple-Benutzerkonto: zur Nutzung des App Stores
• zunächst deutsche Apple-ID: die App wurde zunächst nur im deutschen App Store geführt, was die Nutzung beispielsweise für Reisende und Auslandsstudenten unmöglich machte^[75]
• etwa 62 MB Speicherplatz zur Installation der App benötigt unter iOS
• iPhone mit iOS 12.5.1 oder neuer: Apple führte das für die Nachverfolgung von Begegnungen erforderliche „Exposure Notification Framework“ mit iOS 13.5 ein. Ab der Version 1.9 nutzt die Corona-Warn-App die weiterentwickelte Version 2 des „Exposure Notification Frameworks“, die von Apple ursprünglich erst ab iOS 13.7 bereitgestellt wurde.^[76] Nachdem Apple im Dezember 2020 die Version 2 des „Exposure Notification Framework“ für iOS 12.5 bereitgestellt hat, kündigten Telekom und SAP an, die Nutzung der App in einer zukünftigen Version auch unter dieser älteren Betriebssystemversion zu ermöglichen.^[77] Ab der Version 1.12.1 vom 10. Februar 2021 kann die Corona-Warn-App ab iOS 12.5.1 genutzt werden.^[78]
• App-Kindersicherung muss deaktiviert sein: die App trägt im App Store von Apple die Altersfreigabe „12+“

Die große Aufmerksamkeit, die der App bereits am Tag ihrer Vorstellung zuteilwurde, führte auch in den darauffolgenden Tagen zu hohen Downloadzahlen im App Store von Apple^[4] und Play Store von Google.^[3] Bis zum 17. Juni, einen Tag nach dem Start der App, gab es 6,5 Millionen Downloads und bis zum 12. August 2021 insgesamt 32 Millionen Downloads.^[79] Die Download-Zahlen werden vom RKI auf der Seite mit den „Kennzahlen zur Corona-Warn-App“ berichtet.^[80]

Die Darstellung von Grafiken ist aktuell auf Grund eines Sicherheitsproblems deaktiviert.

Die App wurde am 16. Juni 2020 nahezu zeitgleich für Googles Android und Apples iOS erstmals zum Download angeboten. In den ersten fünf Tagen verteilten sich die damals zwischen 10 und 11 Millionen Downloads etwa gleich auf beide Betriebssysteme. Marktforscher schätzen aber, dass Googles Android einen Anteil von rund 75 Prozent des deutschen Smartphone-Marktes hält, Apples iOS nur die restlichen 25 Prozent. Damit lagen die Downloads für iPhones etwa doppelt so hoch wie es ihrem Marktanteil entsprach. Für diesen erheblichen Unterschied werden soziale und technische Gründe vermutet: iPhone-Nutzer könnten häufiger „Update-und App-freudig“ sein als Nutzer von Android-Geräten und Apple-Geräte waren häufiger kompatibel zur App als Android-Geräte.^[81]

Nicht jeder Download führt zu einer mehr oder weniger regelmäßigen Nutzung aller oder einiger der unterschiedlichen Funktionen der App. So gibt es Gründe, die App mehr als ein Mal herunterzuladen, etwa wenn jemand mehr als ein Smartphone besitzt oder zu Test-Zwecken. Außerdem führt nicht jeder Besitzer sein Smartphone eingeschaltet und mit aktivierter Funktion „Risiko-Ermittlung“ mit sich. Zudem dürfte der Besitz und die Nutzung von Smartphones und die Installation und Nutzung der App je nach sozialen Randbedingungen unterschiedlich sein,^[82][83] etwa bei Älteren seltener als bei Jüngeren.

Tatsächliche Nutzung

Ab dem 22. September 2020 gab das RKI jede Woche verschiedene „Kennzahlen“ der App an. Darunter befand sich in den ersten Ausgaben auch eine Schätzung der Anzahl „aktiver Nutzerinnen und Nutzer“. Demnach würden 75 bis 80 Prozent der Personen, die die App heruntergeladen haben, sie auch tatsächlich nutzen.^[84] Das würde bedeuten, dass die App im Oktober 2020 höchstens von ungefähr 20 Millionen Menschen, knapp 25 Prozent der Bevölkerung, aktiv eingesetzt wurde.

Am 26. August 2021 teilte das RKI mit, dass 500.000 Menschen über die Warn-App ihr positives Testergebnis mitgeteilt hätten. Überprüfbare Angaben, wie oft dadurch Infektionsketten unterbrochen wurden, fehlen. Nach Schätzungen könnte das in über 200.000 Fällen geschehen sein.^[85]

Digitale Einbindung der Labore

An die CWA sind alle 270 relevanten niedergelassene und klinische Labore die PCR-Tests durchführen angeschlossen. Daneben sind ungefähr 20.000 Schnellteststellen wie Apotheken oder Arztpraxen angebunden: ca. 7600 über das CWA-Schnelltestportal und 12.000 über 323 Schnittstellenpartner (Stand Ende 2021).^[86]

Positive Corona-Tests im Warn-Server

Die Anzahl der positiven Corona-Tests im Server der Corona-Warn-App lassen sich auf dem offiziellen Dashobard zur Corona-Warn-App abrufen.^[87]

Abruf der Diagnoseschlüssel

Im fünften Science-Blog des Corona-Warn-App Teams, veröffentlicht im März 2022, findet sich ein Abschnitt „Kennzahlen aus dem CWA-Backend“, der Informationen zum Abruf von Diagoneseschlüssel beinhaltet.^[88]

Erhalt von Warnungen

Bei wie viel Nutzern die App nach Herunterladen und Auswerten der Diagnoseschlüssel eine Warnung anzeigt, ist aus Daten des App-Systems nicht feststellbar, da die Auswertung dezentral im Smartphone erfolgt und das Ergebnis nicht in das App-System rückgemeldet wird.^[89] Nur aus der freiwilligen Nutzung der Datenspende können somit Rückschlusse auf die Anzahl der erhaltenen Warnungen gezogen werden. Die Anzahl der Warnungen, die Teilnehmer der Datenspende bekommen haben, ist auf dem offiziellen Dashboard zur Corona-Warn-App abrufbar.^[87]

Rote Warnungen

Jedes Mal wenn ein positives Testergebnis geteilt wird, wird bei vielen Personen eine rote Meldung der CWA ausgelöst. So wurden beispielsweise im März/April 2021 jeweils ca. 6 andere Nutzende gewarnt.^[91] Wenn zu dieser Zeit die CWA von allen, und nicht nur von geschätzten 35 % der Bevölkerung genutzt worden wäre, hätten im Mittel sogar 17 Personen eine Rot-Meldung bekommen. Bei einem R-Wert von ungefähr 1, so wie damals, steckt jedoch ein Infizierter im Mittel nur eine weitere Person an. Schätzungsweise müsste sich demnach durchschnittlich 1 von 17 rot-Gewarnten (5,9 %) beim Kontakt angesteckt haben. Tatsächlich haben damals Benutzerbefragungen ergeben, dass in Folge von 13.493 roten Warnungen 792 (6 %) positiv auf SARS-CoV-2 getestet wurden.^[91]

Die Anzahl der Risikokontakte jedes einzelnen hat, wie man nebenstehender Abbildung entnehmen kann, ab September 2021 stark zugenommen. Aufgrund der Impfungen, der stärkeren Grundimmunität und der veränderten Eigenschaften des Virus blieb dennoch der R-Wert weiterhin bei ungefähr 1. Deswegen hat die Wahrscheinlichkeit sich bei einer Risikobegegnung zu infizieren entsprechend abgenommen.Im Februar 2022 wurden jedes Mal im Schnitt 23 Personen alarmiert, wenn ein positives Testergebnis geteilt wurde.^[90]

Im April 2023 gab es im Schnitt bei ungefähr 60 CWAs eine rote Warnung, wenn ein positiver Test geteilt wurde. Wie oben lässt sich abschätzen, dass ein Infizierter durchschnittlich ca. 170 Risikokontakte hatte.Da dabei jedoch nur im Schnitt ein weiterer infiziert wurde, beträgt bei einer roten Warnung die Wahrscheinlichkeit, dass man tatsächlich infiziert wurde, nur noch ungefähr 1:170, also weniger als 0,6 %. Somit war die Aussagekraft einer roten Warnung am Ende durch die gegebenen Umstände nur noch äußerst gering.

Die Wirksamkeit der App ist danach zu beurteilen, in welchem Umfang sie die beiden ihr gesetzten Ziele erfüllt: einerseits zu verhindern, dass App-Nutzer ihre Infektion an Dritte weitergeben, andererseits die Gesundheitsämter zu unterstützen, Infektketten aufzuklären und daraus amtliche Maßnahmen abzuleiten.^[48][92]In welchem Maße die App diese Ziele erfüllt, ist abhängig davon, in welchem Umfang die Hauptfunktionen der App zuverlässig und rechtzeitig zur Verfügung stehen und genutzt werden.

Die vom RKI im Jahr 2021 geplante Untersuchung zur Evaluierung der epidemiologischen Wirksamkeit der CWA wurde bisher noch nicht durchgeführt.^[93]

Beziehung zum Datenschutz

Die Wirksamkeit der App bestimmt ihren Nutzen. Der Nutzen wiederum muss in angemessenem Verhältnis zu möglichen Nachteilen und Risiken der App und der von ihr genutzten Strukturen hinsichtlich des Datenschutzes stehen, damit Konformität zum Datenschutz besteht.^[40]

Einfluss der Nutzung auf die Wirksamkeit

Der Sachverständigenrat für Verbraucherfragen (SVRV) wies in seinem Gutachten zwei Wochen vor Veröffentlichung der App auf den Zusammenhang zwischen Nutzung und Wirksamkeit hin:^[82] Selbst bei einer Nutzungs-Quote („Coverage“) von 60 Prozent und unter zahlreichen günstigen Annahmen, die für Deutschland nicht zutreffen, würden noch 64 Prozent der kritischen Kontakte von der App „übersehen“. App-Nutzer könnten glauben, dass die daraufhin fehlenden Warnungen („grüner Bereich“) ein Zeichen dafür seien, dass sie nicht infiziert sein können. Eine Möglichkeit dagegen sei, dass „die App den Anteil nicht erfasster potentiell infektiöser Kontakte jedem App-Nutzer täglich mitteilt“. Bisher wird allerdings ein derartiger Hinweis nicht angezeigt.

Der SVRV empfahl eine schnelle Einführung der App in erster Linie, um daraus frühzeitig für eine zweite Infektionswelle zu lernen. Für ein effektives Lernen hielt der SVRV eine Coverage von zumindest 33 Prozent für nötig. Für eine wirksame Eindämmung von Infektionen wäre dementsprechend mit einem erheblich höheren Wert zu rechnen.^[82] Lucie Abeler-Dörner, eine Co-Autorin der Oxford-Studie, kam zwar in einem Interview mit der Süddeutschen Zeitung zu einer wesentlich optimistischeren Einschätzung. Sie folgerte, dass eine App unter den in der Studie simulierten Bedingungen zu wirken beginne, wenn nur 15 Prozent der Bevölkerung sie nutzten.^[94] Diese Aussage wurde von anderen deutschen Medien aufgegriffen, ohne dass die bei Einführung der hiesigen App grundsätzlich anderen Bedingungen berücksichtigt wurden.^[95] Zudem ist der von den Autoren geschätzte Effekt nur gering: bei einer Nutzung in voller Höhe der Download-Quote der deutschen App (Anfang August etwa 20 Prozent) würde die App laut dem britischen Modell den Reproduktionsfaktor R lediglich um etwa 0,08 senken, was innerhalb der regelmäßigen Schwankungsbreite des R-Wertes einer Woche liegt^[96] und damit kurzfristig kaum bemerkbar wäre. Außerdem wurde auch in Beiträgen renommierter Zeitungen die Download-Quote mit der (unbekannten) Nutzungs-Quote zu Unrecht gleichgesetzt.^[97][98]

In einer Studie im Harvard Business Review^[99] vom Juli erklären die Autoren: Das Problem sei, dass die App, um wirksam zu sein, nahezu überall im Einsatz sein müsse. („The problem is that to be effective, apps need to be nearly ubiquitous.“) „Falls nur ein kleiner Prozentsatz der Personen, mit denen der Benutzer in Kontakt kommt, die App benutzen, ist die App wertlos oder sogar schädlich: die Anzeige der App ist hochgradig ungenau und könnte ein falsche Gefühl von Sicherheit vermitteln.“ („If only a small proportion of people a user comes in contact with are using the app, the app is worthless or even harmful: The app’s indications will be highly inaccurate and could even instill a false sense of security.“) Daher sollten Gemeinschaften wie etwa Unternehmen, Universitäten, Religionsgemeinschaften, Restaurants und Verkehrsmittel die Nutzung der App „sicherstellen“, („ensure“) notfalls auch durch Verpflichtung („mandate“).

Ende August 2020, zur Zeit des Wiederanstiegs der Neuinfektionen, wiederholte der Sachverständigenrat für Verbraucherfragen seine Einschätzung aus dem Juni 2020: „Damit die Corona-Warn-App wirklich etwas bringe“, sollte sich die Zahl der Downloads verdoppeln. Dann sei man auf eine zweite Welle viel besser vorbereitet. Rein rechnerisch liege derzeit bei einem Kontakt eines Infizierten mit einem Unbekannten die Wahrscheinlichkeit, dass beide Personen die App haben, bei nur sechs Prozent. Auch wenn sich die Zahl der Nutzer auf 50 Prozent verdoppeln würde, sei deren Einfluss begrenzt: Nur 25 Prozent der Infektionen würden dann durch die App aufgedeckt – vorausgesetzt, dass alle Nutzer mit positivem Corona-Test diesen über die App melden.^[100]

Demografische und sozio-ökonomische Hürden

In Deutschland besitzen bei Einführung der App etwas mehr als 50 Millionen Menschen, also nur etwa 60 Prozent der Bevölkerung, ein Smartphone, das technisch geeignet ist, die Corona-Warn-App zu nutzen. Der überwiegende Teil der Menschen, deren Smartphone für die Installation der App ungeeignet ist, ist älter als 65 Jahre.^[101] Mehr als zehn Millionen Menschen über 65 besitzen kein Smartphone.^[102]Menschen, die in einem sozialen Brennpunkt unter ärmlichen Verhältnissen und teilweise auch „bildungsfern“ und in einer gewissen Abschottung von anderen leben, mögen zwar nach Erfahrung des Leiters eines Gesundheitsamtes Handys besitzen, werden aber von der Corona-Warn-App nicht profitieren.^[103]

Politiker wie Robert Habeck und Franz Müntefering kritisierten daher, dass die App ausgerechnet Ältere oder Menschen mit wenig Geld außen vor lasse.^[104]

Unzureichende Schnelligkeit

Die App kann zwar von ihrer Konzeption her nicht verhindern, dass eine Person („Index-Patient“) vor der App-Warnung Kontakt-Personen infiziert hat (Generation 1). Aber Ziel der App ist, dass solche Kontakt-Personen aufgrund der App-Warnung noch vor eigenen Symptomen in Quarantäne gehen und so verhindern, dass sie ihrerseits weitere Personen (Generation 2) anstecken, also die Infektionskette fortsetzen. Damit dies möglich ist, müssen die App-Warnungen rechtzeitig in Bezug zur Infektiosität erfolgen:

Beginn und Ende der Infektiosität

Beim ursprünglichen Erreger SARS-CoV-2 betrug die Dauer von der Infektion bis zum Beginn der Infektiosität für Dritte, die Latenzzeit, nach Schätzung des RKI im Durchschnitt nur etwa 2 bis 3 Tage.^{[105][106][107][108]} Im ersten COVID-19-Hotspot Deutschlands unter Beschäftigten des Unternehmens Webasto und deren Angehörigen waren es sogar nur 1 bis 2 Tage.^[109][110] Dagegen war die Inkubationszeit bei diesem Virus mit im Median 6 Tagen durchschnittlich etwa 4 Tage länger. Das RKI geht daher davon aus, dass bei COVID-19 „ein beträchtlicher Anteil“ der Infizierten schon vor Auftreten von Symptomen andere Personen angesteckt hat,^[105] nach einer großen Studie sind es etwa 44 Prozent.^[111]

Die Inkubationszeit bei den neueren Varianten hat kontinuierlich abgenommen: von 6,6 Tagen bei der ursprünglichen Variante (vorherrschend bis Februar 2021), 5,0 Tage bei der Alpha-Variante (März bis Juni 2021), 4,4 Tage bei Delta (August bis Dezember 2021), und 3,4 Tage bei den Omikron-Varianten BA.1/BA.2 (Januar bis Juni 2022)^[112] bis auf 3 Tage^[113] bei der Omikron-Variante BA.5 (ab Juni 2022).

Gründe für Verzögerungen

Selbst wenn die Warnung die Kontakt-Person am selben Tag erreichen würde, an dem die Risiko-Person erste Symptome wahrgenommen hat, wäre das Zeitfenster für eine rechtzeitige Warnung in etwa der Hälfte der Fälle bereits geschlossen. Daher weist auch die Oxford-Studie in ihrer dritten Version auf die Notwendigkeit eines möglichst geringen Verzugs („delay“) zwischen Bemerken erster Symptome durch die Risiko-Person und Warnung ihrer Kontakt-Personen in ihren Simulationen hin. Im Rahmen der von den Autoren propagierten sofortigen Kontaktverfolgung („instantaneous contact tracing“) soll am Tag erster Symptome der Risiko-Person nicht nur bei ihr ein Corona-Test durchgeführt, sondern dessen Ergebnis auch der Risiko-Person mitgeteilt und alle Kontakt-Personen durch die App gewarnt werden. Die Gewarnten sollen dann ebenfalls an jenem Tag ihrerseits einen Corona-Test erhalten und sich für 14 Tage in Selbst-Quarantäne begeben.^[114]

In der deutschen Realität allerdings benötigen die Vorgänge zwischen Auftreten von Symptomen bei der Risiko-Person und der Warnung ihrer Kontakt-Personen selbst bei regulärem Ablauf in der Regel mehrere Tage: Die Risiko-Person wird je nach Deutlichkeit der Symptome mehr oder weniger schnell Kontakt zu einem Arzt oder dem Gesundheitsamt aufnehmen. Dort erfolgt der Abstrich. Bis der Befund im Labor vorliegt und die getesteten Personen die Nachricht über ihr Ergebnis nach Hause bekommen, kann es zwei Tage und länger dauern.^[115] Für den Entschluss zur Meldung dieser Diagnose, die Autorisierung der Diagnose per QR-Code oder per Hotline mit Abgleich im Verifikations-Server, die Einspeicherung der Tagesschlüssel in den Corona-Warn-App-Server und die nur ein Mal täglichen Abrufe der Tagesschlüssel durch die Smartphones der Kontakt-Personen vergeht weitere Zeit, darunter noch vor Symptombeginn die Tage mit der höchsten Virus-Last.^[105]

Bei der Übergangslösung Hotline kommen nach Angabe von Timotheus Höttges „bis zu vier Tage“ hinzu, die „superkritisch (sind), wenn es um die Verbreitung des Virus geht, um Maßnahmen durchzuführen“.^[41]

Tatsächlich kam es aber selbst Ende Mai 2020, also in den epidemiologisch ruhigen Zeiten nach Abklingen der ersten Pandemie-Welle in Deutschland, bundesweit aus zusätzlichen Gründen dazu, dass die Informationen über positive Corona-Tests sehr häufig verspätet eintrafen: Von den ersten Symptomen bis zur Meldung beim Gesundheitsamt verging damals in fast 40 Prozent der Landkreise durchschnittlich mindestens eine Woche. In manchen Fällen dauert es sogar länger als zwei Wochen. Die Gründe waren vielfältig: Verspätungen bei den Tests, den Meldungen und der Datenübermittlung oder aber auch einfache Eingabefehler, auch Verspätungen in Arztpraxen und Laboren, fehlende Testkapazitäten und das Verhalten der Patienten selbst, die unter Umständen erst nach Tagen zum Arzt gehen.^[116]

Anfang August 2020, zu Beginn der Rückreise-Welle vieler Bürger aus dem Urlaub in ausländischen Risiko-Gebieten, kam es vor allem in Bayern zu weiteren massiven Verzögerungen und zu Datenverlusten bei der Information über das Ergebnis von Corona-Tests. Der Grund hierfür lag vor allem in mangelhafter EDV-technischer Ausstattung.^[117] Etwa 44.000 Reiserückkehrer erhielten ihre Testergebnisse erst nach Wochen, davon mehr als 900 positive Fälle.^[118] Fast 50 positive Befunde konnten keiner Person mehr zugeordnet werden.^[119]

Kurz darauf schlugen einzelne Labore und deren Verband aus einem anderen Grund Alarm: Die Zahl der wöchentlich eingeschickten Tests war von fast 600.000 Ende Juli auf fast 900.000 Mitte August gestiegen, unter anderem wegen der teils freiwilligen, teils vorgeschriebenen Tests bei Reiserückkehrern und bei Beginn des Schuljahres. Das war zwar vorhersehbar, angekündigt und politisch gewollt. Aber in der Woche vom 10. bis 16. August gaben die registrierten Labors einen Rückstau von 17.142 abzuarbeitenden Proben an. Als Gründe wurden Überlastungen der Kapazitäten und Lieferschwierigkeiten für Reagenzien der PCR-Tests genannt.^[120] Die Positivenrate pro Test betrug Anfang April 2020 rund neun Prozent, seit Anfang Juni 2020 liegt sie dagegen als Folge der Ausweitung der Tests nur noch bei etwa ein Prozent. Der Interessenverband der akkreditierten medizinischen Labore in Deutschland (ALM) kritisierte eine „unkritische und nicht-gezielte Ausweitung“ der PCR-Tests. Dies könne die fachärztlichen Labore in Bedrängnis bringen.^[121] Das RKI erklärte, es erscheine geboten, den Einsatz der Tests zu priorisieren.^[120]

Die folgenden Wochen brachten statt einer Entspannung eine Verschlimmerung. Der Rückstau an PCR-Proben nahm seit Anfang August weiter zu. Es kam zeitweise zu mehr als 30.000 angestauten Tests. Ende September 2020 meldeten 32 von 168 Laboren mehr als 8.000 Proben, die noch abzuarbeiten waren. In seinem Lagebericht vom 7. Oktober schrieb das RKI, es könne bei Verbrauchsmaterialien und Reagenzien in den Laboren in den nächsten Wochen wegen weltweit steigender Nachfrage und Abhängigkeiten von einzelnen Herstellern zu Engpässen kommen. Das RKI warnte in seinem Lagebericht vom 14. Oktober 2020 „vor möglichen Konsequenzen für die zeitnahe Mitteilung des Ergebnisses an die betroffenen Personen sowie einem größeren Verzug bei der Meldung an das Gesundheitsamt“. Antigen-Schnelltests könnten vermutlich das Problem entschärfen, da sie einfacher und schneller zu Resultaten führen als PCR-Tests, sind aber bisher kaum in Einsatz.^[122]

Mangelhafte digitale Einbindung

Anfang 2012 hatte der Deutsche Bundestag die Einrichtung eines EDV-Systems für den Infektionsschutz beschlossen, das schließlich den Namen Deutsches Elektronisches Melde- und Informationssystem für den Infektionsschutz (DEMIS) erhielt, Anfang 2016 begann das Projekt. Am 4. Juni 2020 gab das RKI bekannt, DEMIS werde zwar derzeit vom RKI und dem Bundesministerium für Gesundheit (BMG) gemeinsam mit der gematik und dem Fraunhofer FOKUS „unter Hochdruck“ entwickelt, es sei aber noch nicht einsatzbereit. Aufgrund der großen Anzahl von SARS-CoV-2 Testergebnissen müssten die gemäß § 7 Abs. 4 IfSG vorgeschriebenen nicht-namentlichen Meldungen „zunächst nicht erfolgen“, weil die Meldungen ohne DEMIS „nicht praktikabel verarbeitet“ werden können.^[123] Am 17. August meldet die an der Implementation beteiligte CompuGroup Medical, dass nach einer Test- und Erprobungsphase ein erstes Pilotlabor seine Resultate über die DEMIS-Schnittstelle an die Gesundheitsämter senden kann, soweit diese ebenfalls schon an DEMIS angeschlossen sind.^[124]

Am 16. Juni 2020 gab Timotheus Höttges, Vorstandsvorsitzender der Deutschen Telekom, ohne Bezug auf DEMIS an, es würden „alle Testlabore und alle Gesundheitsämter innerhalb von vier Wochen“ in den Digitalisierungsprozess integriert. Dadurch würden bis zu vier Tage gewonnen, die hinsichtlich der Maßnahmen gegen die Verbreitung des Virus „superkritisch“ seien. Bisher seien knapp 80 Prozent der großen Testkapazitäten noch nicht digital an das App-System angepasst.^[41][125] Nach Angabe des RKI waren damals 85 Prozent der niedergelassenen Labore, Mitte Juli 2020 nur noch weniger als 40 Prozent nicht digital angeschlossen.^[126] Die untersuchten Personen erhalten in solchen Fällen den Hinweis auf den positiven PCR-Test per Brief und müssen dann eine „Verifikations-Hotline“ anrufen: 0800 754 000 2 (von Deutschland aus kostenlos). Diese ist nicht identisch mit der Hotline für technische Fragen (Endziffer 1).^[127][128] Psychologisch geschulte Mitarbeiter von einem als externer Dienstleister verpflichteten Callcenter prüfen dann die Angaben der anrufenden Personen zu ihrem positiven PCR-Test. Dies soll sicherstellen, dass Kontakt-Personen nur dann benachrichtigt werden, wenn ein Test tatsächlich positiv ausgefallen ist, die Meldung also nicht irrtümlich oder missbräuchlich erfolgte. Schließlich wird die untersuchte Person um Angabe der Rufnummer eines SMS-fähigen Telefons oder Smartphones gebeten. An dieses Gerät sendet die Hotline als SMS eine „TeleTAN“, welche die untersuchte Person in die App überträgt, worüber dann der Eintrag im Verifikations-Server erfolgt. Der Anruf, die Beantwortung der Fragen und die Angabe der Rufnummer eines TeleTAN-fähigen Geräts lassen allerdings eine Anonymität nicht zu. Dies ist aus Sicht des Datenschutzes „keine gute Lösung“. Das RKI und das Bundesgesundheitsministerium müssten daher „so schnell wie möglich“ die notwendigen Voraussetzungen dafür schaffen, dass das anonyme Verfahren über den QR-Code von möglichst allen App-Anwendenden genutzt werden kann.^[129][130]

Ende Juli 2020 wurde bekannt, dass DEMIS zwar in die Testphase übergegangen ist und der Rollout in den Gesundheitsämtern begonnen hat. Aktuell seien aber nur rund zehn Labore an das DEMIS angebunden. Man sei „hoffnungsfroh, dass sich im Frühherbst, etwa Mitte August, der Meldeweg zwischen Laboren und Gesundheitsämtern etabliert“ habe. Bis dahin basiere die Datenweitergabe meldepflichtiger Erkrankungen in der Regel weiterhin auf per Fax gesendeten Formularen, die jeweils in Empfang genommen, in die eigenen Systeme eingetragen und dann wieder weitergeleitet werden müssten.^[131]

Beitrag zur Aufdeckung von Infektionen

Die Gesundheitsämter können seit Herbst 2020 über das Infektionsschutzgesetz-Meldesystem SurvNet erfassen, was der Auslöser eines als positiv bewerteten Corona-PCR-Tests war. Demnach wurden Ende 2020 nur 106 Infektionen durch Tests nach Warnung durch die App amtlich bekannt, aber mehr als 32.000 durch anders bedingte Tests, beispielsweise Reihentests.^[132]

Lücken im Empfang

Die App veranlasst zwar, dass BLE vier Mal je Sekunde die eigene Kennung (RPI) sendet. Aber um die Belastung des Akkus zu begrenzen, geht die App nur jeweils 2 bis 4 Sekunden lang mit Pausen von bis zu 5 Minuten auf Empfang, um Kennungen aus der App anderer Smartphones zu erfassen. So können selbst in nächster Nähe erfolgte Kontakte von hoch infektiösen Personen der Entdeckung entgehen.^[36] Diese Vorgehensweise ist Teil der vom Betriebssystem bereitgestellten Schnittstelle und kann nicht durch die App selbst verändert werden.

Verhindern von Infektionen durch gewarnte App-Nutzer

Den App-Nutzern werden bei Feststellung einer Risiko-Begegnung Handlungsempfehlungen gegeben, durch die verhindert werden soll, dass sie im Fall eigener Infektion ihrerseits weitere Personen infizieren. So sollen sie sich testen lassen und bis zum Vorliegen eines negativen Testergebnisses das Risiko einer Weiterverbreitung durch häusliche Quarantäne vermindern. Bisher gibt es keine Angaben dazu, ob und inwieweit die App diese präventive Wirkung hatte.^[89]

Unterstützung der Gesundheitsämter

Das andere Ziel der App ist es, den Gesundheitsämtern die Ermittlung von Kontaktpersonen zu erleichtern. Entsprechend schätzte ein Vertreter des Deutschen Städte- und Gemeindebunds vor Einführung der App, sie werde ein nützliches Hilfsmittel bei der Verfolgung der Kontaktketten, indem sie die Nachverfolgung der Gesundheitsämter ergänzen könne. Von Vertretern der Gesundheitsämter dagegen kam Kritik: Sie seien mangelhaft eingebunden und über die Funktionsweise der App zu kurzfristig informiert worden. Durch die App sei zudem mit mehr Arbeit statt mit einer Entlastung zu rechnen.^[133][134] Diese Sorge wurde nach Einführung der App durch eine Vertreterin des Bundesverbandes der Ärztinnen und Ärzte des öffentlichen Gesundheitsdienstes bestätigt: Zu den Aufgaben der Gesundheitsämter gehört zwar die gesundheitliche Information, die Aufklärung und Beratung der Bevölkerung. Aber die Einführung der Corona-Warn-App habe den Gesundheitsämtern eine Flut von Anfragen in Bezug auf medizinische Fragen, aber auch zur Technik der App beschert. Das habe „alle Dimensionen gesprengt, die wir je hatten“.^[135]

Anfang Juli 2020 erfuhr das Handelsblatt aus Gesundheitsämtern von Hannover, Hamburg und dem damaligen Hotspot Gütersloh, dass sich dort bisher keine Person nach Warnung durch die App gemeldet habe. Beim Gesundheitsamt in Köln habe sich zwar eine Person gemeldet, der daraufhin durchgeführte Corona-Test sei aber negativ gewesen. Markus Mempel, Sprecher des Deutschen Landkreistags, kommentierte, in einer Zeit mit geringen Zahlen an Neuinfektionen dürfte es nur wenige Alarme durch die App geben. Trotz App komme es zur Durchbrechung von Infektionsketten nach wie vor entscheidend auf die Kontaktnachverfolgung durch die Gesundheitsämter an. Die App sei „keine Wunderwaffe“.^[89] Sofern aber die App tatsächlich dazu führt, dass durch die App gewarnte Nutzer sich wie gewünscht an das Gesundheitssystem wenden, wird nach Einschätzung durch Gérard Krause die Rolle des Kontaktpersonenmanagements durch den Öffentlichen Gesundheitsdienst sogar steigen.^[95]

Mitte Juli 2020 teilte das Landesamt für Gesundheit und Soziales in Mecklenburg-Vorpommern (LAGuS MV) mit, bisher hätten die Gesundheitsämter in Mecklenburg-Vorpommern – noch – keine Entlastung erfahren. Durch die niedrige Zahl an Neuinfektionen gebe es für die einzelnen Gesundheitsämter aktuell kaum Berührungspunkte mit der Warn-App.^[136]

Die Wirksamkeit der App wird auch dadurch beeinflusst, welchen Aufwand die Gesundheitsämter bei der Bearbeitung der Meldung positiver Corona-Tests betreiben können: Anfang August 2020, als es zu Beginn der Rückreisewelle vieler deutscher Urlauber aus dem Ausland zu Verzögerungen bei Corona-Tests kam, teilte auf Anfrage des FDP-Abgeordneten Sebastian Körber das Bayerische Staatsministeriums für Gesundheit und Pflege mit, in Bayern gebe es abweichend von einer Vereinbarung mit dem Bund statt 650 „Contact-Tracing-Teams“ nur 228.^[117] Ende September 2020 ergaben sich nach Auskunft von etwa der Hälfte der bundesdeutschen Gesundheitsämter große Unterschiede beim Umfang der Kontaktverfolgung: je gemeldetem Fall wurden je nach Gesundheitsamt zwischen 25 und lediglich etwa 2 enge Kontaktpersonen ermittelt.^[137] Angesichts steigender Infektionszahlen im Oktober 2020 wies Kanzleramtschef Helge Braun auf die Überforderung der Gesundheitsämter in Schwerpunkten der Pandemie hin und rief zur Nutzung der Corona-Warn-App auf: „Da, wo die Gesundheitsämter in den Hotspots mit der Kontaktnachverfolgung nicht mehr hinterherkommen, ist die Corona-Warn-App das einzige Instrument, was einen noch auf Corona-Kontakte hinweist“.^[138]

Erfassung von Dauer und Nähe des Kontakts

Da Smartphones mit dieser App allein anhand der Stärke des Bluetooth-Signals den Abstand zueinander schätzen, können Fehler entstehen. Vertreter von SAP und Deutscher Telekom gaben bei Einführung der App an, dass in Tests, in denen mehrere typische Situationen simuliert wurden, „wie eine Bahnfahrt“ oder eine Cocktailparty, insgesamt etwa 20 Prozent der Begegnungen falsch klassifiziert worden seien. Zudem sei die App „auf sämtlichen derzeit verfügbaren Endgeräten“ getestet worden.^[343][344] In derselben Zeit hatten allerdings zwei Studien durch Untersucher am Trinity College Dublin schwere Mängel bei der Abstandsmessung im Bus und in der Straßenbahn ergeben:^[345][346] In Entfernungen und in Zeitdauern, die nach den Regeln der deutschen wie der Schweizer App zu Aufzeichnungen von Kontakten hätten führen müssen, blieben diese vollständig aus. Die Autoren führten dies auf Störungen durch Reflexe an Metallstrukturen der Fahrzeuge zurück. Erst etwa zwei Monate später berichteten deutsche Medien über die beiden irischen Studien. Das Ergebnis sei „vernichtend“: Unter optimalen Bedingungen, in denen alle Passagiere die Corona-Warn-App aktiviert haben, würde kein einziger Kontakt registriert. Das RKI nahm hierzu zunächst nicht Stellung, entfernte aber auf seiner Website kommentarlos die Angabe, dass die App Kontakte „zum Beispiel im öffentlichen Nahverkehr“ erfassen könne.^[347] Anschließend wandte das RKI ein, die irischen Studien seien bisher nicht durch Peer-Review überprüft worden, und räumte ein, es seien weitere Messungen in unterschiedlichen Testszenarien geplant, „um die Zuverlässigkeit der App zu verbessern“. Eine Risikobewertung durch gesunden Menschenverstand werde die App dennoch nie ersetzen können.^[348]

Grundsätzlich kann es beim Einsatz von BLE für Kontakt-Ermittlungen einerseits zu falsch positiven Meldungen kommen, etwa wenn die Personen mit den Smartphones durch eine dünne Wand oder Glasscheibe getrennt sind. Die Apps der Geräte könnten dies als kritischen Kontakt registrieren, obwohl die Wand bzw. Glasscheibe eine Übertragung des Virus verhindert. Zu falsch negativen Meldungen kann es beispielsweise kommen, weil Bluetooth durch die Smartphones nicht ideal kegel-, sondern keulenförmig ausgestrahlt wird. Das empfangende Smartphone kann daher aus der Signalstärke einen größeren Abstand schätzen, als sie tatsächlich ist, falls es sich querab vom Sendekegel befindet. Ebenfalls wird der Abstand zu hoch geschätzt, wenn die Smartphones durch die Benutzer so mitgeführt werden, dass das Bluetooth-Signal auf dem Weg zum empfangenden Smartphone beispielsweise den Körper der Besitzer oder eine Tasche passieren muss.^[83] Schließlich kann die App nicht erfassen, ob eine Begegnung unter Bedingungen erfolgt, welche die Erregerübertragung erschweren: unter freiem Himmel, in körperlicher Ruhe und bei ruhiger Luft. Das Risiko wird dagegen erhöht beispielsweise in einem geschlossenen Raum (Restaurant, Verkehrsmittel) und durch eine Luftströmung von der infektiösen zur Kontaktperson (Ventilator, ungeeignete Umluft-Klima-Anlage).^[349] Auch sind die beim Ausatmen verteilten Aerosole bei lautem Sprechen, Singen und Sport zahlreicher und werden weiter verteilt.^[350]

Naturgemäß sind durch die Sensorik technische Grenzen bei der Erfassung von Dauer und Nähe des Kontakts Grenzen gesetzt. Einige prominente Medien haben sehr früh begonnen, das „Alltagsverhalten“ der App mit der Teilnahme von Anwendern zu testen.^[351] Dabei wurde die grundsätzliche Funktion des Warnens bestätigt aber auch deutlich auf Verbesserungspotential hingewiesen. Den Entwicklern sind offenbar die technischen Grenzen der BLE-Technik bewusst^[352] und natürlich klar, dass die Parameter zur Risikoberechnung durchaus angepasst werden, wenn Mutationen des Virus mit einer anderen Übertragbarkeit einhergehen.^[353]

Gestörtes Herunterladen der Tagesschlüssel

Am 22. Juli 2020 wurde berichtet, dass auf Smartphones beispielsweise der Hersteller Samsung und Huawei (Android-Betriebssystem) der Schlüsselabgleich „im Hintergrund“, also automatisch ohne Zutun des Nutzers, teilweise nicht richtig funktioniert hat und es deswegen keine automatischen Warn-Benachrichtigungen gab.^[354][355] Im Rahmen der „battery optimisation“ durch das Betriebssystem, also um den Stromverbrauch dieser Geräte zu senken, hatte die App sowohl in der Android- als auch in der Apple-Version über Wochen hinweg nicht automatisch die Tagesschlüssel vom Corona-Warn-App-Server heruntergeladen. Zur Behebung des Problems wurde für die Android-Variante der App die Version 1.1.1 bereitgestellt. Bei iPhones ist die Störung ab Version 1.1.2 behoben.^[356]

Risiko-Ermittlung unmöglich

Nach dem empfohlenen Update auf die iOS-Version 13.6 war ein „häufiges Problem“, dass die Risiko-Ermittlung nicht mehr aktiviert werden konnte, weil „Begegnungsaufzeichnungen in ihrer Region nicht verfügbar“ seien. Das Problem wurde mit iOS-Version 13.6.1 behoben.^[357]

Risiko-Ermittlung nicht mitgeteilt

Anfang Juli 2020 wurde bekannt, dass die Google-Version der App das Ergebnis der Risiko-Ermittlung teilweise deutlich mehr als 24 Stunden lang nicht mitteilte. Man erhielt stattdessen die Nachricht „Risiko-Ermittlung nicht möglich“. Dieser Fehler ist mit Version 1.5 der Corona-Warn-App behoben.^[358]

Probleme bei der Risiko-Ermittlung bei Android-Smartphones

Am 13. Januar 2021 wurde bekannt, dass die Risiko-Ermittlung bei Android-Smartphones nicht mehr funktionierte.^[359] Bereits am nächsten Tag wurde von Google der Fehler im ENF-API behoben und alle betroffenen Geräte ohne weitere Nutzer-Eingriffe aktualisiert.^[360] Das demonstriert eindrücklich die tiefgreifenden Zugriffsmöglichkeiten, die Google auf die Android-Smartphones hat.

In einem noch vor der Einführung der App von Infratest-Dimap durchgeführten ARD-Deutschlandtrend kündigten 42 Prozent der Befragten an, dass sie eine solche App nutzen würden. Der häufigste Grund für die Ablehnung war der Datenschutz.^[361]

Umfragen, die nach Einführung der App zum Umfang von Download, beabsichtigter und tatsächlicher Nutzung durchgeführt wurden, zeigen, dass viele Antworten im Sinne der sozialen Erwünschtheit deutlich von der Wirklichkeit abwichen: Das Umfrage-Institut YouGov führte in der Zeit vom 17. bis 19. Juni 2020 in Deutschland eine bevölkerungsrepräsentative Umfrage durch. Zwar gaben damals 25 Prozent der Befragten an, die Corona-Warn-App bereits auf ihrem Smartphone installiert zu haben. Tatsächlich betrug damals aber die Zahl der Downloads erst weniger als 14 Millionen, also bei gleichmäßiger Verteilung auf 83 Millionen Einwohner nur 17 Prozent.^[362] Unter denjenigen Befragten, die bisher die App noch nicht installiert hatten, war mit 27 Prozent die häufigste Begründung „Ich glaube nicht, dass die App etwas nützt“, dicht gefolgt von 26 Prozent, die sich um ihre Daten sorgen, und 25 Prozent, die sich durch den Staat überwacht fühlen würden. Mit etwas Abstand folgt mit 21 Prozent die Begründung, dass das Bluetooth des Smartphones für die Nutzung der App dauerhaft angeschaltet sein müsse. Weitere oft genannte Gründe, die App bisher nicht installiert zu haben, waren mit jeweils 19 Prozent „Ich will nicht, dass die App verfolgt, wen ich treffe“, „Ich finde das Thema Corona wird übertrieben“ sowie „Ich will erst abwarten bis andere die App getestet/von ihren Erfahrungen berichtet haben“. Erst im Anschluss folgen Begründungen wie ein zu altes oder kein Smartphone (13 Prozent) und Befürchtungen zum Akkuverbrauch (13 Prozent). 10 Prozent fühlten sich bisher nicht ausreichend informiert. Lediglich 8 Prozent wollten damals die App noch installieren.^[362] Ähnliche Ergebnisse und Gründe für die Nichtnutzung lieferte eine von gfu Consumer & Home Electronics am 2. September 2020 präsentierte Umfrage.^[363]

In einer Telefon-Umfrage am 23. und 24. Juni 2020 bei Personen ab 18 Jahren durch das Bundesinstitut für Risikobewertung gaben 28 Prozent der Befragten an, die App tatsächlich zu „nutzen“.^[364] Tatsächlich lag damals aber die Quote der Downloads noch unter 16 Prozent. Auch in einer repräsentativen Telefon-Umfrage in der ersten Juli-Woche 2020 bei Personen ab 16 Jahren im Auftrag des Digitalverbands Bitkom gaben zwar 53 Prozent der Smartphone-Nutzer an, sie wollten die App dauerhaft nutzen, das entspricht 28 Millionen Menschen. Mehr als 1 Woche später liegt aber selbst die Zahl der Downloads nur bei etwas mehr als der Hälfte dieser Absichtserklärung.^[365]

Laut einer Umfrage des ZDF-Politbarometers vom 26. Juni 2020 gehen nur 38 Prozent davon aus, dass die Corona-Warn-App einen großen Beitrag zur Begrenzung der Pandemie in Deutschland leisten wird, aber eine Mehrheit von 56 Prozent bezweifelt das.^[366] In einer YouGov-Umfrage von Anfang Juli 2020 gaben 63 Prozent der 2.501 Befragten ab 18 Jahre an, die Corona-Warn-App nicht zu nutzen. Nur 15 Prozent der Befragten haben nach eigener Angabe die App zum Zeitpunkt der Erhebung genutzt und waren überzeugt, dass sie dabei hilft, Infektionsketten nachzuverfolgen. Währenddessen nutzten nach eigener Angabe etwa 5 Prozent die App, glaubten jedoch (eher) nicht, dass sie beim Kampf gegen das Virus eine Hilfe ist.^[367]

Von 1.972 Personen, die an der Bochum-Berlin-COVID-19-Studie teilgenommen haben, nutzten 1.291 Personen die App. Als Gründe die App nicht zu nutzen wurden am häufigsten Datenschutz-Bedenken, Zweifel am Nutzen sowie mangelnde technische Ausstattung angegebenen.^[368]

Anfänglich erhielt die Android-Version der App gute Wertungen im App Store von Apple und bei Google Play. Bis Anfang August 2020 aber kam es bei Nutzern der Android-Version zu einer Verschlechterung auf zuletzt nur noch 3,0 von maximal 5,0 Punkten in über 100.000 Bewertungen.^[3][369] Zur selben Zeit wurde die Apple-Version der App dagegen mit 4,2 von ebenfalls maximal 5,0 Punkten in über 57.000 Rezensionen deutlich besser bewertet.^[4] Der Unterschied zu Gunsten der Apple-Version verringerte sich etwas, blieb aber erhalten: Bis Mitte Oktober 2021 wurde die App durch etwa 134.000 Nutzer der Android-Version mit 3,6 bewertet,^[370] durch etwa 63.000 Nutzer der Apple-Version dagegen mit 4,1.^[371]

Die Corona-Warn-App ist ein System, für dessen technische, rechtliche, medizinische und organisatorische Funktionen, und ein fortwährender Prozess, für dessen Abstimmung, Anpassung und kontinuierliche Verbesserung zahlreiche Organisation beitragen und zuständig sind:^[34][372]

• Herausgeber und Datenschutz-Verantwortlicher der App: Deutsche Bundesregierung, vertreten durch das RKI^[63][64]
• Eigentum an der App (einschließlich des Quellcodes): SAP SE & Co. KG
• Autoren des Quell-Codes der App: zahlreiche Professionelle und Freiwillige, darunter SAP, Deutsche Telekom, Fraunhofer-Gesellschaft; HealthyTogether; Helmholtz-Gemeinschaft Deutscher Forschungszentren einschließlich CISPA – Helmholtz-Zentrum für Informationssicherheit; RKI; TÜV IT; mehr als 7.000 Eingaben aus der übrigen IT-Szene
• Autoren des Quell-Codes der Schnittstelle Exposure Notification Framework: Google und Apple, unterstützt unter anderem durch Fraunhofer
• Verantwortlich für den Datenschutz der Schnittstelle zum Betriebssystem und des Betriebssystems: Google und Apple
• Verantwortlich für Aspekte des Infektionsschutzes und der Epidemiologie: RKI
• Betrieb und Wartung eines Teils der technischen Infrastruktur (Auftragsverarbeiter gem. Art. 28 DSGVO): T-Systems International GmbH und SAP Deutschland SE & Co. KG^[63][64], Runtime-Umgebung in der Open Telekom Cloud
• Betrieb der Hotline: kommerzielle Call-Center als Sub-Unternehmer von T-Systems

Stellungnahmen vor Veröffentlichung der App

Digitalcourage

Rena Tangens und Nils Büschke vom Verein Digitalcourage veröffentlichten am 8. April 2020 eine Einschätzung zu der geplanten Contact-Tracing-App nach dem Konzept von PEPP-PT.^[373] Nach dessen Einschätzung sei das Konzept nicht „anonym“, sondern bestenfalls pseudonym. Diese Einschätzung basierte aber auf der falschen Annahme, dass „potenziell gefährdete Personen informiert werden“.^[374] In Wirklichkeit aber ruft die App nur die anonymisierten Daten von infizierten Personen von einem Server ab, um dann rein lokal auf dem persönlichen Gerät zu berechnen, ob Kontakt zu infizierten Personen bestanden hat, so dass das Verfahren komplett anonym ist.^[375]

Verbraucherzentrale Bundesverband

Klaus Müller, der damalige Chef der Verbraucherzentrale Bundesverband e. V. (vzbv) mahnte am 11. April 2020, „der Einsatz [müsse] freiwillig, verhältnismäßig und zeitlich befristet sein. […] Die Corona-Krise dürfe nicht als Einfallstor dienen, um Unternehmen neue Zugriffe auf private Daten zu geben.“^[376][377]

Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung

Am 14. April 2020 hat das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) eine umfassende Datenschutz-Folgenabschätzung für die Corona-App veröffentlicht.^[378]

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Etwa einen Monat vor Veröffentlichung der App äußerte der Bundesbeauftragte für Datenschutz Ulrich Kelber in einem Schreiben an den Bundesminister für Gesundheit: Wenn eine über den ursprünglichen Zweck hinausgehende Verarbeitung von Gesundheitsdaten im Sinne des Artikels 9 Absatz 1 DSGVO erfolgen solle, „insbesondere wenn die Nutzung seiner Daten für den Nutzer der App nicht absehbar sei“, halte er die Verarbeitung der mit der Corona-Warn-App gesammelten Daten aufgrund einer Einwilligung nicht für ausreichend legitimiert. Dann bedürfe es einer gesetzlichen Regelung, bei der der Gesetzgeber insbesondere die Verhältnismäßigkeit und damit auch die Erforderlichkeit sowie die Geeignetheit der Datenverarbeitung zu einem legitimen Zweck darzulegen habe. Eine gesetzliche Grundlage der App ist bisher nicht geschaffen worden. Grundsätzlich, so Kelber, sei bei ihm aber ein „solider Eindruck“ entstanden. Im November 2020 warf ihm der Journalist Jan Fleischhauer im Focus vor, durch den Datenschutz die Effektivität der App zu behindern.^[379]

TÜV Informationstechnik

Der TÜV Informationstechnik schätzte, „die App werde stabil und sicher laufen, ohne die Anwender auszuspionieren. Unbefugte könnten keine Daten abgreifen“.^[380]

Bundesministerium des Innern, für Bau und Heimat

Erstmals einen Tag vor Veröffentlichung der App stellte das Ministerium einen Katalog von Fragen und Antworten zur App in das Internet, der durch die SAP Deutschland SE & CO, KG verfasst worden war.^[381] Hierin und in den folgenden Versionen wird dem App-Nutzer zur Datensicherheit und Datenschutz bei der Corona-Warn-App versichert: „Der Schutz Ihrer Privatsphäre hat für die Bundesregierung höchste Priorität. Deshalb wurde bei der Entwicklung der Corona-Warn-App sichergestellt, dass sie den hohen deutschen Datenschutz-Anforderungen entspricht. […] Zusätzlich wurde der komplette Quellcode, auf dem die App basiert, öffentlich zugänglich gemacht.“ Die dezentrale Datenspeicherung auf den Geräten „garantiert Datenschutz“. Es sei „gewährleistet“, dass man bei der Nutzung der Corona-Warn-App anonym bleibe. Der Einfluss auf Datenschutz und Privatsphäre, den diejenigen Komponenten haben, die für die Funktion der App unverzichtbar sind, aber von Apple und Google stammen und von diesen für Überprüfungen nur teilweise transparent gemacht wurden, wird in dem Katalog nicht behandelt.

Datenschutz-Folgenabschätzung vom 14. Juni 2020 des RKI

Erst am 14. Juni 2020 wurde die finale Version 1.0 der durch Datenschutz-Grundverordnung Art. 35^[382] geforderten Datenschutz-Folgenabschätzung (DSFA) fertiggestellt und erst am Vortag der Veröffentlichung der App öffentlich ihrerseits zur Verfügung gestellt.^[383] Das RKI erstellte diese und bisher alle weitere Versionen der DSFA nicht selbst, sondern ließ sie durch die T-Systems International GmbH und die SAP Deutschland SE & CO, KG verfassen.^[384] Wie gefordert wurden darin die Risiken benannt und bewertet, die die Verarbeitung der personenbezogenen Daten nach sich ziehen. Als besonders hoch wurden die Risiken eingeschätzt, die durch Verwendung von Dritt-Technologien entstehen: „Der Umstand, dass die CWA App die Konnektivitäten und das ENF von Google und Apple verwendet, stellt ein erhebliches Risiko dar, welches durch das RKI jedoch praktisch nicht beseitigt und auf technischer Ebene auch nicht reduziert werden kann.“^[385] Die Autoren stellten fest, der Nutzen von Corona-Tracing-Apps sei noch unbekannt und die Hinnahme von Grundrechtseinschränkungen somit „möglicherweise umsonst“. Derartige Risiken bestünden allerdings bei jeder Drittanbieter-App, die Schnittstellen einesBetriebssystems oder technische Komponenten des Smartphones nutze. Außerdem hätten die Nutzer durch die Verwendung eines Android- bzw. iOS-Smartphones zum Ausdruck gebracht, dass sie grundsätzlich Vertrauen zu diesen Herstellern haben oder sich jedenfalls mit den Datenschutzrisiken, die mit der Verwendung eines Smartphones dieser Hersteller für persönliche Zwecke einhergehen, „abgefunden oder andernfalls ihr Nutzungsverhalten entsprechend angepasst“. Hinsichtlich der Angemessenheit des Datenschutz-Risikos sei zu bedenken, dass „ein erheblicher Teil der Bevölkerung gar kein oder kein geeignetes Smartphone besitze“, insbesondere wenn es sich um besonders junge, alte oder kaufschwache Personen handele. Die Autoren erläutern, dass die datenschutzrechtlichen Nachteile und Gefahren der App so lange zu rechtfertigen sind, als ihnen ein verhältnismäßig überwiegender Nutzen der App gegenübersteht. Allerdings müsse die Verhältnismäßigkeit „fortwährend weiterbewertet“ werden für den Fall, dass sich die hier zugrunde gelegten Umstände ändern.

Veröffentlichungen zum Datenschutz nach Einführung der App

Analyse und Kritik des FiFF

Etwa zwei Wochen nach Veröffentlichung der App urteilt das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, dass die durch das RKI vorgelegte DSFA ganz wesentliche grundsätzliche Schwächen aufweise: Vor allem die Konzentration nur auf die App selbst, nicht auf das ganze Verfahren, das Fehlen der Einbeziehung der Verantwortlichen als datenschutzspezifischer Angreiferïn, die geringe datenschutzrechtliche Durchdringung der Verarbeitung sowie die unzureichende Diskussion effektiver Schutzmaßnahmen zu allen Risiken. Das FiFF unterbreitet sodann Anmerkungen und Vorschläge, die einen Weg zur Behebung dieser Mängel im Rahmen des notwendig zu betreibenden Datenschutz-Managementsystems weisen sollen.^[386]

Nachweis umfassender Datenweitergabe an Google

In Irland wurde im Sommer 2020 durch die dortigen Gesundheitsdienst-Behörde HSE mit der „COVID Tracker app“ eine Corona-App eingeführt, die in ihrer Abhängigkeit von der durch Google bereitgestellten Schnittstelle zu Bluetooth und den Google-Play-Diensten mit dessen Exposure Notification Framework der deutschen Corona-Warn-App entspricht. Eine Arbeitsgruppe um Douglas Leith und Stephen Farrell in der School of Computer Science & Statistics (SCSS) am Trinity College Dublin veröffentlichte Mitte Juli 2020,^[387] dass Google alle 20 Minuten, auch während der Nutzung dieser irischen App, in großem Umfang Daten auf die eigenen Server weiterleitet, welche datenschutzrechtlich sensibel sind, weil sie sowohl die Smartphones als auch deren Nutzer eindeutig und langfristig identifizieren, so vom Smartphone dessen Seriennummer, IMEI und die WiFi-MAC-Adresse, vom Nutzer die Nummer der SIM-Karte und der Rufnummer des Telefons, die Gmail-Adresse und detaillierte Daten auch von installierten Gesundheits-Apps. Die Autoren betonten, dass Apps wie die deutsche Corona-Warn-App aus zwei Komponenten bestehen: einerseits der von den jeweiligen Behörden angebotenen eigentlichen App, andererseits dem „Google/Apple Exposure Notification“-Dienst (GAEN), der bei Geräten mit Android Betriebssystem durch Google programmiert wird und Teil der Google-Play-Dienste ist. Die Autoren fassen das Ergebnis ihrer Untersuchung des Datenverkehrs solcher Apps so zusammen: Die von den Behörden der meisten Staaten zur Verfügung gestellten Apps einschließlich der deutschen Corona-Warn-App verhielten sich hinsichtlich des Datenschutzes korrekt, sie entsprächen insofern dem Stand der Technik („best practice“). In deutlichem Gegensatz dazu sei die von Google beigesteuerte Komponente hinsichtlich des Datenschutzes extrem beunruhigend („extremely troubling from a privacy viewpoint“). Für das Vertrauen der Nutzer in das gesamte Verfahren sei es dringend nötig, dass sich die staatliche Aufsicht nicht wie bisher auf die App beschränkt, sondern auf das Gesamtsystem („full contact tracing ecosystem“) erstrecke. Die fehlende Möglichkeit für Anwender, die Google-Einstellungen zu ändern, stünde wohl im Konflikt mit der Datenschutz-Grundverordnung der Europäischen Union.^[388] In ihrer Kombination seien diese Daten geeignet, eine sehr detaillierte Darstellung des Lebens und der Aktivitäten der Nutzer zu liefern, was aus Sicht der Privatsphäre extrem beunruhigend („extremely troubling“) sei.^[389] Auch die offizielle irische Menschenrechtskommission Irish Council for Civil Liberties äußerte, sie habe ernste Bedenken („serious concerns“) wegen dieser Datensammlung durch Google. Ein Deaktivieren der Google-Play-Dienste sei zwar möglich, dann funktioniere aber die App nicht.^[390] Google dagegen wandte damals ein, das Sammeln solcher persönlicher Daten sei eine langfristige Praxis („a long-term practice“) und habe nichts zu tun („nothing to do“) mit der App.^[389] Wenige Tage später berichtete auch der Deutschlandfunk über die Untersuchung der irischen Corona-App. Eine derart breite Datensammlung mache Google nicht nur bei Anwendern der Corona App, sondern bei allen Apps, die auf die Play-Dienste zugreifen. Ralf Bremer von der Google Germany GmbH habe das so begründet: „Jegliche Geräte (nicht nur Android) benötigen diese Informationen, um auf dem neuesten Stand zu bleiben und Menschen und Systeme vor Angriffen schützen.“^[391]

Unvollständige Offenlegung wichtiger Funktionen

Auch von anderen wird insbesondere bei Android-Geräten das Tracking über die Google-Play-Dienste kritisiert und eine transparente Dokumentation des Zusammenspiels des GAEN-Frameworks (Google Apple Exposure Notification) mit den Play-Diensten gefordert.^[392] Google hat den Quellcode der beteiligten Software bisher nur teilweise veröffentlicht, aber beispielsweise nicht hinsichtlich der Bluetooth-Funktionalität, der Speicherung der IDs, des Key-Matching und der Telemetrie.^[393]

Datenschutz-Folgenabschätzung des RKI von Oktober 2020

Die Version 1.1 vom 16. Oktober 2020 wurde wie die vorige nicht durch das RKI, sondern durch die T-Systems International GmbH und die SAP Deutschland SE & CO, KG erstellt. In ihr wird zwar allgemein geäußert, es liege „nahe anzunehmen, dass Apple und Google – entgegen ihren öffentlichkeitswirksamen Bekundungen und Zusicherungen – durch eine Änderung des ENF zur Verknüpfung der dort verarbeiteten Tagesschlüssel und RPIs mit einer geräte- (zum Beispiel Werbe-ID) oder nutzerspezifischen Kennung (zum Beispiel Apple-ID oder Google-Konto) auf technischer Ebene leicht in der Lage wären“. Der Text geht aber nicht auf den im Juli 2020 geführten Nachweis der umfangreichen Datensammlung durch Google während der Nutzung der irischen App ein. Erneut wird darauf verwiesen, der Umstand, dass die CWA App die Konnektivitäten und das ENF von Google und Apple verwende, stelle ein „erhebliches Datenschutzrisiko“ dar, welches durch das RKI jedoch „praktisch nicht beseitigt“ und auf technischer Ebene auch „nicht reduziert“ werden könne. Gleiches gelte hinsichtlich des Angewiesenseins der CWA App auf den BLE-Standard sowie die Hardwarekomponenten des Smartphones, die sich „außerhalb des Wirkbereichs des RKI“ befänden. Wie zuvor heißt es, die Nutzer hätten „durch die Verwendung eines Android- bzw. iOS-Smartphones zum Ausdruck gebracht, dass sie grundsätzlich Vertrauen zu diesen Herstellern hätten oder sich jedenfalls mit den Datenschutzrisiken, die mit der Verwendung eines Smartphones oder Betriebssystems dieser Hersteller für persönliche Zwecke einhergingen, akzeptiert oder andernfalls ihr Nutzungsverhalten entsprechend angepasst“.

Missbrauch von Nutzer-Daten möglich

Im Oktober 2020 zeigten Untersuchungen an der TU Darmstadt und den Universitäten Marburg und Würzburg, dass bis dahin nur theoretisch beschriebene Datenschutz- und Sicherheitsrisiken der Bluetooth-Signale und des ENF der App auch praktisch bestehen. Das gelang mit handelsüblichen und preiswerten Geräten und Apps wie Bluetooth-Sniffern.^[394] Obwohl die Corona-Warn-App die wahre Identität der Nutzer nicht explizit erfasst oder aufzeichnet, können Bewegungsprofile erzeugt und zur Identifikation der Personen genutzt werden. Das betrifft vor allem Personen mit positivem Corona-Test, die ihre Tagesschlüssel (Temporary Exposure Keys) auf den App-Server hochgeladen haben. Außerdem können durch das Abfangen und Weiterverwenden der Bluetooth-Signale falsche Kontaktereignisse erzeugt werden.

Aufspüren von App-Nutzern

Das Exposure Notification Framework verwendet für den Bluetooth-Low-Energy-Dienst einen einheitlichen Identifikator (0xfd6f). Daher kann von anderen Bluetooth-Geräten mithilfe handelsüblicher Software vom Typ „Bluetooth-Sniffer“ wie zum Beispiel Wireshark festgestellt werden, ob sich in der Nähe Personen befinden, auf deren Smartphone die Corona-Warn-App aktiv ist, sowie über die Signalstärke geschätzt werden wie weit entfernt diese sind.^[395] Peter Felser, Mitglied der AfD-Fraktion des Deutschen Bundestags, versuchte ein solches Programm unter dem Namen „Anti-Corona-App“ zu verkaufen. Damit sollen nach seiner Angabe die „Aktivitäten der Corona-Warn-App der Bundesregierung sichtbar gemacht werden“. Henning Tillmann, Vorsitzender des digitalpolitischen Vereins D64 und SPD-Mitglied, sagte zu der App: Bluetooth-Scanner gebe es in den App-Stores seit Jahren. Dies sei weder neu, noch bringe es irgendwelche relevanten Informationen. Mit der Information, wie viele Geräte sich im Umkreis befänden, könne man noch nicht viel anfangen. Personenbezogene Daten sind nicht ermittelbar. Die Kurzschlüssel, die über die Corona-Warn-App herausgeschickt werden, ändern sich alle 15 Minuten. Somit sei auch eine Nachverfolgung nicht möglich.^[396]

Auslesen lokaler Daten

Mit einer kostenlosen Open-Source Android-App kann sich der Nutzer der Corona-Warn-App genauere Angaben zu Datum, Uhrzeit, Dauer und Intensität der Risikobegegnungen anzeigen lassen als dies die Schnittstelle des Betriebssystems zulässt. Dafür ist jedoch nötig, dass der Nutzer des Smartphones root-Rechte hat.^[397]

Als Kosten für die CWA bis Ende 2021 waren 67,45 Mio. € veranschlagt. Im Januar 2022 wurde bekannt, dass für die Entwicklung- und Betriebskosten der App bereits 130 Mio. € angefallen waren (davon hatte das Bundespresseamt Werbekosten von 13,7 Millionen Euro und das Gesundheitsministerium von 71 000 Euro).^{[398][399][400]}

Bis Jahresende 2022 kostete die Corona-Warn-App 200 Mio. €, nachdem die Kosten für 2022 noch einmal um 20 Mio. € höher ausgefallen waren, als die im Februar geschätzten 50 Mio. €.^[401]

Für die Entwicklung, Updates, Betrieb und Hotline, die allerdings bereits Ende Januar eingestellt wurde, sind für 2023 noch einmal 23 Mio. € eingeplant. Damit werden die Gesamtkosten für die Corona-Warn-App 223 Mio. € betragen.^[402]

• Die Entwicklungskosten betrugen rund 20 Millionen Euro, von denen gehen 9,5 Millionen Euro an SAP und bis zu 7,8 Millionen Euro an die Telekom-Tochter T-Systems. Bis 10. Juli 2020 wurden 7,5 Millionen Euro für Werbung ausgegeben und etwa 100.000 Euro gingen an Sicherheitstester. Im Juni hieß es noch, es werden 35 Millionen Euro für Werbung ausgegeben. Zusätzlich soll in den kommenden Jahren in Abhängigkeit von der Nachfrage für „Wartung und Pflege der App“ bei SAP bis zu 1,9 Millionen Euro und für den „Betrieb der App“, einschließlich Wartung, Sicherheit, Netzwerk und Hotlines, bis zu fast 43 Millionen Euro für T-Systems ausgegeben werden.^[403][404]

• Die Verifikations-Hotline hatte einen 24/7-h-Betrieb und ist auf Deutsch, Englisch und Türkisch nutzbar, während die technische Hotline nur von 07:00 Uhr bis 22:00 Uhr besetzt und auf Deutsch und Englisch nutzbar war. Die Kosten wurden mit monatlich etwa 2,5 Millionen EUR beziffert.^[372]
• Bei der Vorstellung der App am 16. Juni kündigte Timotheus Höttges (Vorstandsvorsitzender der Deutschen Telekom AG) an, dass die Mobilfunk-Betreiber in Deutschland ihren Kunden keinen Datenverkehr der App berechnen würden und ist damit quasi als zero-rated zu betrachten.^[405]
• Wenn die App die Warnung „Erhöhtes Risiko“ angezeigt hat, wurde seit 9. Juli 2020 im Bereich der Gesetzlichen Krankenversicherung je Patient an Vertragsärzte für den Abstrich 10,00 Euro ohne Anrechnung auf das Praxis-Budget und an Laborärzte insgesamt 43,54 Euro vergütet.^[406]

Kritik an den Kosten

Die Entwicklung der Anwendung alleine kostete zehn Mal so viel wie in anderen Ländern wie Schweiz, Norwegen und Österreich. Für das Medienmagazin Kontraste rechnete Davit Svanidze, App-Entwickler und Gründer eines Berliner Software-Unternehmens, die absoluten Maximalkosten der Applikation bei üblichen Marktpreisen vor. Demnach sei ein Budget von 450.000 Euro angemessen gewesen, jedoch auch nur wegen des Zeitdrucks. Die RBB rechnete den angemessenen Preis für Unternehmen, die in der Applikationsentwicklung am meisten verdienen, durch und kam auf einen, für sehr teure Softwareentwickler, normalen Preis von 2 Millionen Euro, was gerade Mal ca. 10 % des gezahlten Betrags wäre. Weder SAP, Telekom oder das Gesundheitsministerium kam der Aufforderung von Kontraste einer detaillierten Aufschlüsselung der Kosten nach.^[407]

Die Zeit berichtete von einem Fehlen einer ordentlichen Ausschreibung für die Vergabe der Entwicklung einer Corona-App, nachdem das Gesundheitsministerium sich gegen das Modell einer zentralen Speicherung entschieden hat. SAP und Telekom wurden ohne Ausschreibung und ohne Kostenvoranschlag mit dem Projektmanagement beauftragt.^[408]

Anke Domscheit-Berg, Mitglied des Bundestagsausschuss Digitale Agenda, bezeichnete den Vergabeprozess als „fragwürdig“. Laut Domscheit-Berg wurden die Verträge erst kurz vor Fertigstellung des Projektes unterschrieben, was somit zu den hohen Kosten geführt hat.^[409]

Stellungnahmen speziell zum Datenschutz siehe hier.

Sachverständigenrat für Verbraucherfragen

In einer Veröffentlichung des Sachverständigenrates für Verbraucherfragen vom 2. Juni 2020 wird unter Bezug auf die bevorstehende Einführung der dezentralen App in Deutschland deren Wirksamkeit in Frage gestellt. Sie hänge von mehreren Faktoren ab:

• Die Nutzung und Eignung der Smartphones
  • Schätzungsweise 14 Millionen Menschen in Deutschland nutzen kein Smartphone (etwa 19 Prozent der Bevölkerung).
  • etwa 20 Prozent der derzeit genutzten Smartphones sind technisch nicht zur Installation der App geeignet.
  • In der Hochrisiko-Gruppe der Menschen über 70 Jahren sind schätzungsweise vier Millionen (36 Prozent) Nichtnutzer.
• Die Anzahl der Besitzer geeigneter Smartphones, die
  • die App installieren;
  • bereit sind, permanent Bluetooth angeschaltet zu haben;
  • bereit sind, ihr positives Testergebnis in den Server eintragen zu lassen.
• Die Prävalenz aktueller COVID-19-Infektionen: bei geringer Verbreitung infektiöser COVID-19-Fälle ist die Wirksamkeit der App vermindert. Von Anfang Juni bis Mitte Juli 2020 wurden mit einigen Schwankungen täglich im Durchschnitt weniger als 500 positive Corona-Tests amtlich erfasst. Selbst wenn in dieser Zeit 33 Prozent der Bevölkerung die App tatsächlich nutzen würden, die Infektionshäufigkeit unter Nutzern der App dem Durchschnitt der Bevölkerung entspräche und alle infizierten Nutzer ihre Infektion in das App-System melden würden und außerdem Kontakte in ausreichender Nähe und Dauer zu anderen Nutzern hätten, würde die App durchschnittlich nur 50 Risiko-Kontakte erfassen und Nutzern melden. Das wäre gerade genug, um aus dem App-System „lernen zu können“. Im Gegensatz zu der Lage im März und April 2020 bestehe nun die Möglichkeit zum Lernen, ohne dass Fehler sich schwerwiegend auf das Infektionsgeschehen auswirken können. Daher solle „das Sozialexperiment Warn-App“ trotz aller Unsicherheit angegangen werden.^[82]

In welchem Umfang die App am Ende die in sie gesetzten Ziele erreicht, wird sich vermutlich erst in einigen Monaten^[33] nach einigen Korrekturen^[410] und Anpassungen der App an weitere epidemiologische Erkenntnisse^[42] zeigen. Die App könne daher derzeit allenfalls dazu dienen, Erfahrungen zu gewinnen, um bei einer eventuellen zweiten Infektionswelle besser vorbereitet zu sein.^[82]

Anreize und Vorrechte

Aus Politik und Wirtschaft kamen schon zu der Zeit, als die Bundesregierung für die App noch die zentrale Speicherung der Nutzerdaten beabsichtigte, Empfehlungen, wie die Nutzung der App gefördert und wie sie auch für grundsätzlich andere Zwecke mitverwendet werden solle:^[411]CDU-Unions-Fraktionsvize Thorsten Frei setzte sich dafür ein, Nutzern eine Steuergutschrift zu gewähren. Axel Voss, rechtspolitischer Sprecher der christlich-demokratischen EVP-Fraktion im Europäischen Parlament, empfahl „Anreize“ zu schaffen, damit sich viele Bürger auf die digitale Kontaktverfolgung einlassen. App-Nutzer sollten wieder in Nachbarstaaten reisen dürfen und als erste wieder ins Restaurant, ins Kino, ins Theater und ins Freibad dürfen.^[412]

Tatsächlich wurde Mitte August 2020 bekannt, dass ein Unternehmer die Installation der App zur Bedingung für wirtschaftliche Leistungen macht: Der Betreiber eines Campingplatzes im ostfriesischen Landkreis Aurich gewährt nach eigener Angabe Zutritt zur Anlage nur, wenn die App installiert ist.^[413]

Gesetzliche Klarstellung

Der CDU-Innenpolitiker Armin Schuster äußerte, falls die App sich bewähre, aber die Bevölkerung „nicht genug mitmache“, solle die Verpflichtung als Option wenigstens „im Köcher bleiben als weitere Option der Politik“.^[411] In einem weit verbreiteten Rechtskommentar wird die Auffassung vertreten, soweit die Mitarbeiter Smartphones dienstlich nutzen, könnten Arbeitgeber zum Schutz ihrer Belegschaft die Installation der Corona-Warn-App anordnen, eine Verpflichtung der Mitarbeiter zur tatsächlichen Nutzung der Corona-Warn-App sei dagegen nicht möglich. Bei Nutzung der App seien die Arbeitnehmer aber aufgrund der gegenseitigen Fürsorgepflicht verpflichtet, dem Arbeitgeber ein positives Testergebnis mitzuteilen.^[414]
Vor dem Hintergrund solcher Darstellungen empfehlen oder fordern mehrere Organisationen, einen Missbrauch der App vor allem durch Behörden und Unternehmen sowie zum Nachteil von Verbrauchern oder Kunden durch ein Begleit- oder Einführungsgesetz zu untersagen,^[415] so beispielsweise der Sachverständigenrat für Verbraucherfragen,^[416] der das Bundesjustizministerium berät, der DGB,^[417] der Deutsche Anwaltverein,^[418] Amnesty International,^[419] die Caritas,^[420] in Verbindung mit Gesetzesentwurf die Partei Bündnis 90/Die Grünen,^[421] und die Partei Die Linke.^[422]

Dagegen lehnten andere ein Begleitgesetz zur App ab:Der Präsident des IT-Verbands Bitkom, Achim Berg, äußerte, angesichts klarer Vorgaben aus der EU-Datenschutz-Grundverordnung sei für eine freiwillig genutzte App, die auf Einwilligung basiert, ein weiteres Gesetz schlicht „überflüssig“.^[423]Bundesjustizministerin Christine Lambrecht argumentierte ebenso: Ein Gesetz sei unnötig, alle datenschutzrechtlichen Fragen seien abgedeckt, es gelte die DSGVO.^[424][425]

Universitätsstudie

Wissenschaftler der Technischen Universität Darmstadt, der Philipps-Universität Marburg und der JMU Würzburg warnen in einer Publikation vom 9. Juni 2020, dass sie unter Alltagsbedingungen Datenschutz- und Sicherheitsrisiken bei dem in der Corona-Warn-App verwendeten Verfahren nachgewiesen haben: Die App kann demnach in der Mitte Juni 2020 zur Nutzung vorgesehenen Version zum Erstellen personenbezogener Bewegungsprofile und möglicherweise zur De-Anonymisierung von Infizierten missbraucht werden. Auch können demnach Kontakte vorgetäuscht und damit die Genauigkeit des Systems beeinträchtigt werden. Die Autoren weisen damals außerdem darauf hin, dass zwar der Code der deutschen App durch Veröffentlichung überprüfbar geworden sei, nicht aber der Code von iOS beziehungsweise von den proprietären Google-Play-Diensten, der die technische Grundlage für die App schafft.^[426] Seit Mitte Juli 2020 ist immerhin der Code der ENF sowohl von Google^[427] als auch von Apple^[428] frei einsehbar.

Chaos Computer Club

Der Chaos Computer Club (CCC) veröffentlichte am 6. April 2020 zehn Prüfsteine für die Beurteilung von „Contact Tracing“-Apps.^[429] Diese müssten folgenden Punkten standhalten: Epidemiologischer Sinn und Zweckgebundenheit, Freiwilligkeit und Diskriminierungsfreiheit, grundlegende Privatsphäre, Transparenz und Prüfbarkeit, keine zentrale Entität, der vertraut werden müsse, Datensparsamkeit, Anonymität, kein Aufbau von zentralen Bewegungs- und Kontaktprofilen, Unverkettbarkeit, sowie Unbeobachtbarkeit der Kommunikation. Linus Neumann, Sprecher des CCC, begrüßte am 26. April den Wechsel vom „zentralen“ zum „dezentralen“ Konzept für die geplante Corona-Tracing-App.^[26] Nach Kenntnis des Codes der Version, die seit dem 16. Juni 2020 herunterladbar ist, äußerte Neumann: „Von der Community wurden bereits viele Verbesserungsvorschläge eingebracht, die SAP und Telekom umgesetzt haben“. Dies wurde durch einige Medien so interpretiert, dass IT-Experten und Hacker mit dieser App-Version „zufrieden“ seien.^{[430][431][432]}

Auf dem Chaos Communication Congress im Dezember 2020 gab die IT-Sicherheitsforscherin an der TU Darmstadt Jiska Classen an, die Corona-Warn-App wäre für sie die sicherste und datensparsamste Methode um Kontakte nachzuverfolgen.^[433] Wenn Bluetooth bereits aktiviert wäre, würde das Aktivieren der Exposure Notifications die Angriffsfläche nicht erhöhen.^[434]

Weitere Stellungnahmen

Wissenschaft^[435] und Politik^[48] verwiesen darauf, dass die App „kein Wundermittel“ sei, aber zusätzlich zu Hygienemaßnahmen wie Abstandhalten, Händewaschen und Alltagsmasken („AHA-Regel“) einen Beitrag zur Eindämmung der COVID-19-Pandemie leisten könne.

Die „Oxford-Studie“

Hierunter wird eine Publikation in drei Versionen verstanden, in denen die Wirkungen unterschiedlicher Maßnahmen auf die Verbreitung von SARS-CoV-2 simuliert wurden. In deutschen Medien wird wiederholt aus Interviews mit Lucie Abeler-Dörner, eine Co-Autorin der Oxford-Studie, zitiert, wonach Infektionsketten bereits unterbrochen werden könnten, wenn nur 15 Prozent der Bevölkerung die in der Studie simulierte App nutzten.^[95][94]

In allen drei Versionen der Oxford-Studie wurden allerdings rechtliche, epidemiologische und organisatorische Annahmen zugrunde gelegt, die auf deutsche Verhältnisse nicht übertragbar sind.^[82]

In dem bereits am 31. März 2020 als pre-print^[436][437] und zwei Wochen später als pre-Peer-Review^[438] veröffentlichten Bericht von Autoren überwiegend von der Universität von Oxford wird in Simulationen durchgerechnet, inwieweit eine Corona-App erfolgreich sein kann. Allerdings ist die epidemiologische Lage bei den Simulationen grundsätzlich anders als bei Einführung der deutschen App zwei Monate später: So soll die für die Berechnungen angenommene britische App bereits sieben Tage vor Ende eines Lockdowns bei einer Prävalenz von zwei Prozent mit Reproduktionswerten von 3,0 und 3,4 starten. Außerdem sind die Annahmen in der Oxford-Studie nicht vereinbar mit deutschem Datenschutzrecht. So soll die App umfangreiche situative und personenbezogene Daten erheben und zentral abspeichern. Die Behörden sollen die gespeicherten Daten personenbezogen auswerten, biografischen, klinischen und laborchemischen Daten der App-Nutzer zuordnen und personenbezogene und kollektive Maßnahmen daraus ableiten. Die Autoren schätzen, unter diesen „optimierenden“ Bedingungen könne eine solche App einen zweiten Lockdown verhindern, sofern 56 Prozent der Bürger die App nutzen, und einen erneuten Lockdown bei einer Prävalenz von einem Prozent verzögern, sofern 15 Prozent der Bürger die App nutzen.

In ihrer dritten Fassung wurde die Oxford-Studie nach Peer-Review erheblich verändert am 8. Mai 2020 veröffentlicht. Die Autoren simulieren nun den Verlauf des frühen Stadiums der SARS-CoV-2-Pandemie in China mit den damals geltenden epidemiologischen Kenndaten. Sie fassen zusammen, dass die Epidemie aufgrund der Infektiosität des Erregers und des hohen Anteils von Infektionen vor Auftreten von Symptomen durch konventionelle Kontaktverfolgung nicht unter Kontrolle gebracht werden kann („Given the infectiousness of SARS-CoV-2 and the high proportion of transmissions from presymptomatic individuals, controlling the epidemic by manual contact tracing is infeasible“).^[114] Die deutsche App kam allerdings erst mehrere Monate, nachdem hier die Epidemie durch konventionelle Kontaktverfolgung entgegen dieser Einschätzung eingedämmt worden war, und auf freiwilliger Basis in Einsatz. Die Autoren empfehlen eine Einschränkung der Anonymität der Nutzer, sodass die geplante App auch auf die Nutzer bezogene behördliche Anweisungen („instructions“) geben kann oder über die App Lebensmittel und Medikamente zur Lieferung in die Quarantäne bestellt werden können. Angesichts der schnellen Ausbreitung des Erregers in Europa sei eine nahezu totale Nutzung der App und eine nahezu perfekte Befolgung von Auflagen nötig („requiring near-universal app usage and near-perfect compliance“).

Der Sachverständigenrat für Verbraucherfragen verweist daher in seiner Stellungnahme^[82] darauf, dass die Berechnungen auch dieser Version der Oxford-Studie auf zahlreichen Annahmen beruhen, die auf Deutschland nicht zutreffen, so einer homogenen Bevölkerung, einer Verdopplungszeit der Infizierten von nur fünf statt (in Deutschland im Mai 2020) 184 Tagen und einem „Instantaneous contact tracing“, dass also alle Kontaktpersonen die App-Warnung schon am selben Tag erhalten, an dem die Risiko-Person erste Symptome bemerkt.

Stellungnahmen zur Version vor Juni 2020

Christian Drosten, Virologe an der Berliner Charité, meinte am 7. April 2020: „Wenn 60 Prozent der Bevölkerung so eine App installieren würden und wenn dann wieder ungefähr 60 Prozent derjenigen, die informiert werden, dass sie zu Hause bleiben sollen, auch wirklich zu Hause bleiben, dann könnte man schon R0 unter eins senken. Das ist erstaunlich. […] das würde tatsächlich viel mehr oder fast das Gleiche bringen wie so ein richtiger Lockdown.“^[439][440]

In der ZDFzoom-Dokumentation (Erstausstrahlung 29. April 2020)^[441] wurde kontrovers über die Corona-App berichtet. Zur Erfassung der benachbarten Geräte mittels Bluetooth Low Energy sollte die App auch im Hintergrund bei gesperrten Smartphone lauffähig sein, was zu der Zeit noch nicht gegeben war.^[442]

Zwar steht die Corona-Warn-App selbst unter der Apache-Lizenz. Aber sowohl die durch Google und Apple entwickelte ENF-API, als auch die von der Corona-Warn-App verwendete Programmbibliothek um auf diese Programmierschnittstelle (API) zuzugreifen, sind proprietär. Zur Vermeidung der daraus folgenden rechtlichen und technischen Abhängigkeit und datenschutzrechtlichen Bedenken existieren tatsächlich komplett quelloffene Alternativen:

Corona Contact Tracing Germany (Android)

Unter dem Namen Corona Contact Tracing Germany (CCTG) ist seit 7. Dezember 2020 eine komplett quelloffene Variante der Corona-Warn-App in dem alternativen Android-App-Store F-Droid verfügbar.^[443][444] Alle Abhängigkeiten von Google-Bibliotheken wurden in dieser Version durch Open Source Alternativen ersetzt, weshalb sie auch auf Android-Geräten ohne Google-Dienste funktioniert^[393] Dazu wurden auch Teile von microG, einer quelloffenen Implementierung der Google-Play-Dienste (inklusive ENF-API)^[445], direkt integriert.

Eine Anfrage bei den Entwicklern der Corona-Warn-App, diese quelloffene Implementierung anstelle der proprietären Implementierung von Google zu verwenden wurde gestellt.^[446]

Die Initiative „CoraLibre“ versuchte ebenfalls, eine freie Open-Source-Implementierung der Corona-Tracing-API sowie einer Alternative zur Corona-Warn-App für Android zu entwickeln.^[447] Da dessen Entwicklung stockt, wird stattdessen auf CCTG verwiesen.^[448]

Contrac (Sailfish OS)

Für das Betriebssystem Sailfish OS gibt es eine quelloffene Reimplementierung der Corona-Warn-App namens „Contrac“.^[449][450]

Ohne eigene App

Anfang September 2020 stellten Apple und Google eine Betriebssystem-Erweiterung „Exposure Notifications Express“ vor, womit eine Kontaktnachverfolgung bei Corona-Infektionen künftig auch ohne eine durch Dritte entwickelte App nach Zustimmung durch den Nutzer möglich sein soll, da die Bluetooth-Schnittstelle direkt in die Betriebssysteme Android 6.0 und jünger und iOS 13.7 und jünger integriert wurde. Bereits installierte Anwendungen wie die offizielle Corona-Warn-App der Bundesregierung können weiterhin parallel genutzt werden. Staatliche Gesundheitssysteme können durch eine Konfigurationsdatei die Parameter für die Risiko-Ermittlung, Risiko-Bewertung und Risiko-Mitteilung einstellen. Vier der US-Bundesstaaten gaben an, das neue Verfahren zu nutzen.^[451]

• Samuel Greef: Ein Jahr Corona-Warn-App. Die CWA aus der Perspektive staatlicher Steuerung,. In: i3 – Kasseler Diskussionspapiere. Nr. 14, 2021, doi:10.17170/kobra-202106274171. 
• Thomas Köllmann: Die Corona-Warn-App – Schnittstelle zwischen Datenschutz- und Arbeitsrecht. In: Neue Zeitschrift für Arbeitsrecht. Nr. 13, 10. Juli 2020, S. 831–836. 
• Wassili Lasarov: Im Spannungsfeld zwischen Sicherheit und Freiheit. Eine Analyse zur Akzeptanz der Corona-Warn-App. In: HMD Praxis der Wirtschaftsinformatik. Nr. 58, 2021, S. 377–394, doi:10.1365/s40702-020-00646-3. 

Commons: Corona-Warn-App – Sammlung von Bildern, Videos und Audiodateien

• Offizielle Website
• Bundesregierung: Corona-Warn-App
• Corona-Warn-App auf GitHub
• UKW030 Die Corona-Warn-App – Podcast mit den Programmierern der App
• Corona Tracing – inoffizielle Variante für Android ohne Abhängigkeiten von Google-Play-Diensten in F-Droid