Nachrichten in der Welt

Icon: vergrößern

Gut eine Woche nach Einführung der deutschen Corona-Warn-App hat das Programm erstmals Nutzerinnen und Nutzer alarmiert, die sich in der Nähe von infizierten Personen aufgehalten haben. Zuvor wurden am Dienstag rund zwei Dutzend App-User als infiziert eingetragen, schätzt einer der beteiligten Entwickler.

In der Nacht von Dienstag auf Mittwoch wurden die anonymen Identifikationsnummern dieser Nutzerinnen und Nutzer dann durch die App übertragen. Bei denjenigen, die mit ihnen über einen gewissen Zeitraum Kontakt hatten, wird heute in der App ein entsprechender Warnhinweis angezeigt.

Dies lässt sich nachvollziehen, da einige Daten der App-Schnittstelle für Entwickler einsehbar sind. Hintergründe dazu hat Malte Janduda aus dem Entwicklerteam der Corona-Warn-App auf Twitter erklärt. Die Entwickler können aber weder erkennen, wo sich infizierte Personen aufhalten oder mit wem sie Kontakt hatten, noch wer eine Benachrichtigung angezeigt bekommt. Auch wie viele Personen einen Warnhinweis wegen Kontakten zu Infizierten bekommen, lässt sich nicht sagen.

Ob ein Risiko durch einen Kontakt mit Infizierten besteht und wie hoch dieses Risiko ist, wird nicht zentral berechnet, sondern lokal auf den Geräten der Nutzer. Bei der Berechnung bezieht die App auch mit ein, wie lange der Kontakt zu Infizierten war, wie viel Abstand zwischen den Personen bestand und wann genau die Infizierten positiv getestet wurden.

Die App kann nur ein grobes Infektionsrisiko anzeigen, daher wird jedem, der eine Warnmeldung angezeigt bekommt, empfohlen, sich testen zu lassen. Eine Pflicht dazu besteht nicht. Doch alle, die einen Hinweis in der Corona-Warn-App erhalten haben, dürfen sich testen lassen – auch ohne Covid-19-Symptome.

Warum die Warnmeldungen datenschutzfreundlich sind

Technisch funktioniert der Ablauf hinter diesen Benachrichtigungen folgendermaßen: Wenn ein App-Nutzer positiv getestet wurde und diesen Status in der App einträgt, wird eine anonyme Identifikationsnummer seines Gerätes, ein sogenannter Tagesschlüssel, an die Server der App gesendet. Diese Tagesschlüssel werden automatisch in regelmäßigen Abständen von allen Geräten abgerufen, auf denen die App installiert ist.

Anschließend gleichen die Geräte lokal den Tagesschlüssel mit einer zweiten zufällig generierten Nummer, den sogenannten Kurzschlüsseln, ab. Diese werden zwischen den Geräten über Bluetooth ausgetauscht, wenn sie sich über einen Zeitraum von rund 15 Minuten oder mehr innerhalb von wenigen Metern voneinander aufgehalten haben. Eine Liste dieser Kurzschlüssel wird nur lokal auf den Geräten der Nutzer gespeichert. Aus den Tagesschlüsseln lässt sich lokal auf den Geräten berechnen, ob er zu Kurzschlüsseln von Geräten passt, in deren Nähe man sich aufgehalten hat.

Da die Server der App-Betreiber nie die Kurzschlüssel der Nutzer kennen, können sie auch nicht nachvollziehen, wer sich in der Nähe voneinander aufgehalten hat. So bleibt die Privatsphäre der Nutzer gewahrt, und die Betreiber können keine Bewegungsprofile oder Kontaktlisten erstellen.

Ob Nutzende ihren Infiziertenstatus in der App hinterlegen, können sie freiwillig entscheiden. Sie müssen allerdings nachweisen, dass sie tatsächlich infiziert sind, in dem sie einen QR-Code eines Testlabors scannen oder eine Tan einer offiziellen Hotline in der App eingeben.

Hinweis: In einer vorherigen Version dieses Artikels hieß es, dass rund 300 Leute in der App eine Infektion gemeldet hätten. Tatsächlich beträgt die Zahl laut Schätzungen zwischen 20 und 30 Nutzern. Allerdings sind rund 300 sogenannte Tagesschlüssel in der App hinterlegt worden. Darunter befinden sich aber auch sogenannte Fake-Schlüssel, die zur zusätzlichen Erhöhung des Datenschutzes erstellt wurden.

Icon: Der Spiegel