Soll ich die Corona-Warn-App installieren?

Kurz vor Freigabe der deutschen „Warn-App“ haben wir Nutzen und Risiken eingeschätzt. Wir fanden zu viele Zweifel, um die Installation zu empfehlen.

Update Januar 2021: Dies war unser erster Artikel zur Corona-Warn-App, der nach der Veröffentlichung Mitte Juni 2020 vielfach kritisiert wurde. Daraufhin haben wir in einem zweiten Artikel deutlicher dargestellt, worum es uns ging, und das Fazit neu formuliert. Wir beobachten die Entwicklung weiterhin und werden die Reihe zu gegebener Zeit fortsetzen.

Wie am Sonntag, dem 14. Juni 2020, bekannt wurde, will Bundesgesundheitsminister Spahn am Dienstag, dem 16. Juni 2020, die deutsche „Corona-Warn-App” freigeben. Wir waren an Konzeption und Entwicklung der App nicht beteiligt, haben den Prozess aber mit konstruktiver Kritik begleitet.

Technische Aspekte

In den letzten Tagen haben mindestens zwei unabhänge Stellen schwerwiegende Fehler in der Corona-Warn-App gefunden: eine Forschungsgruppe der Universitäten Darmstadt, Marburg und Würzburg und der TÜV Nord (TÜVit).

Die Forschungsgruppe fand Fehler, die nicht leicht zu beheben sein werden, denn sie stecken nicht direkt in der von SAP und Telekom programmierten Software, sondern in der von Google und Apple bereitgestellten Programmierschnittstelle (Google-Apple-API oder GAP). Selbst wenn Google und Apple das Problem beheben, entstehen dadurch neue Probleme, wie die Forschenden in der Schlussfolgerung ihres wissenschaftlichen Papiers vorhersagen.

Der TÜV Nord hatte dem Bundesamt für Sicherheit in der Informationstechnik (BSI) frühzeitig angeboten, die App kostenlos zu prüfen. Das hatte das BSI zunächst abgelehnt. Später hat das BSI zugesagt, aber statt der erbetenen vier Wochen bekam der TÜV nur zwei Wochen Zeit, um die App zu prüfen. Dennoch hat der Verein einige Mängel gefunden und fordert jetzt, die App frühestens am 30. Juni zu veröffentlichen.

Was sind nun die technischen Risiken, die für all jene bestehen, die die App herunterladen und installieren?

  • Detaillierte Bewegungsprofile der User können erstellt werden.

  • Beteiligte Personen können unter Umständen de-anonymisiert werden.

  • Falscher Alarm kann provoziert werden (Falschpositiv-Fehler).

  • Riskante Kontakte können unerkannt bleiben (Falschnegativ-Fehler).

  • Beim Smartphone muss Bluetooth dauerhaft eingeschaltet bleiben, und über Bluetooth können Handys von außen angegriffen werden, das wurde bereits mehrfach nachgewiesen.

Gesellschaftliche Aspekte

Gleichzeitig wird diese App auch gesellschaftliche und individuelle Folgen für uns alle haben:

  • Mangelnde Transparenz: Der Quellcode der App-Entwicklung von SAP und Telekom ist erfreulicherweise offen, aber schon bei den ersten Tests kommt der TÜV Nord an eine Grenze, weil die Schnittstellen in Apples und Googles Betriebssystem nicht eingesehen werden können. Wir begeben uns mit der Corona-Warn-App also einmal mehr in Abhängigkeit von Großkonzernen wie Apple und Google.

  • Zuviel Technikgläubigkeit: Die App und ihre Befürworter schüren die Illusion, eine Pandemie ließe sich durch Technik eindämmen oder kontrollieren – das wiegt Menschen in trügerischer Sicherheit und lenkt davon ab, dass sie sich selbstverantwortlich und rücksichtsvoll benehmen sollten. Dieser Effekt war schon bei der Maskenpflicht zu beobachten („Wenn ich eine Maske trage, muss ich ja nicht so viel Abstand halten.“).

  • Kein Begleitgesetz, keine Regeln: Es gibt bislang kein Gesetz, das unseren gesellschaftlichen Umgang mit der App regelt. So soll die App zwar ausdrücklich freiwillig sein, aber wenn zum Beispiel ein Arbeitgeber seine Angestellten nötigt, nur noch mit App zur Arbeit zu kommen, kann dies nicht sanktioniert werden. Oder was passiert, wenn Sie aufgrund einer App-Warnung zu Hause bleiben? Darf Ihr Arbeitgeber Ihnen dann kündigen? Zum Beispiel der DGB fordert, dass es dazu rechtliche Regelungen geben muss, bevor die App auf den Markt kommt.

Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.

Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!

Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.

Artikelreihe zu Corona‑Kontakt-Tracing

• 08.04.2020: Einordung zur geplanten „Corona-Kontakt-Tracing-App“ des RKI – Positives, Zweifel und Forderungen, aufgestellt während der Entwicklung

• 22.04.2020: Corona-Apps: Was heißt hier anonym? – über Anonymisierung, Pseudonymisierung, Möglichkeiten der De-Anonymisierung

• 30.04.2020 Corona-Apps: Was heißt hier freiwillig? – über die DSGVO-Anforderung der informierten Einwilligung und deren Grenzen bei einer Corona-Tracing-App

• 15.06.2020: Soll ich die Corona-Warn-App installieren? – ergänzt durch den folgenden Artikel

• 02.07.2020: „Wie hältst du's mit der Corona-Warn-App?“ Eine moderne Gretchenfrage – Abwägung von Vor- und Nachteilen, gesellschaftlich und technisch, offenes Fazit

Was jetzt „Corona-Warn-App“ heißt, hieß noch vor wenigen Tagen Contact-Tracing-App. Wir finden den neuen Namen nicht glücklich, weil er missverständlich ist:
Die App wird Sie nicht warnen, in dem Augenblick oder gar bevor Sie einer infizierten Personen begegnen. Sie bekommen später eine Nachricht, wenn Sie jemandem begegnet sind – und selbst das ist nicht sicher.

Und dann ist auch noch der Nutzen der App zweifelhaft

Manche der Nachteile könnte man ja in Kauf nehmen, wenn der Nutzen, den eine korrekt programmierte App haben könnte, ausreichend groß wäre. Das ist aber nicht so, nachzulesen hier und hier und hier.

Nicht zuletzt sind viele Fragen völlig ungeklärt: Was tun Menschen, die kein Smartphone haben oder wollen? Verlassen wir uns jetzt darauf, dass alle ihr Smartphone immer dabei haben, wenn sie das Haus verlassen? Wenn jemand eine Warnmeldung bekommt – welche Folgen hat das auf familiärer und individueller Ebene? Wenn die Pandemie wieder schlimmer wird, welche Folgen werden häufige Meldungen der App haben (Abstumpfungseffekt)?

Unser Fazit: Die App ist ein Placebo mit Nebenwirkungen!

Die App ist wahrscheinlich ein Placebo – sicher ist derzeit nur, dass sie Nebenwirkungen hat.

Wir freuen uns, dass die Bundesregierung den Ruf nach Quelloffenheit und einer dezentralen Software-Architektur erhört hat, aber andere im April von uns aufgestellte Anforderungen an eine Corona-Tracing-App sind nicht erfüllt worden.

Darum können wir gegenwärtig nicht dazu raten, die App zu nutzen.

Die App ist ein Placebo mit Nebenwirkungen!

Weiterführende Links

Digitalcourages Einordung zur geplanten „Corona-Kontakt-Tracing-App“ des RKI vom 8.4.2020 mit Update vom 4.5.2020
https://digitalcourage.de/blog/2020/corona-app-einordnung-digitalcourage

Gastbeitrag: Was heißt hier anonym?
https://digitalcourage.de/blog/2020/corona-apps_gastbeitrag

Gastbeitrag: Was heißt hier freiwillig?
https://digitalcourage.de/blog/2020/corona-app-was-heisst-hier-freiwillig

Interview mit Markus Gabriel, Professor für Erkenntnisphilosophie an der Uni Bonn, im Deutschlandfunk
https://www.deutschlandfunk.de/markus-gabriel-vs-jan-wetzel-fuehrt-corona-in-eine-cyber.2927.de.html?dram:article_id=476378

FAQ zur App bei tagesschau.de (Aktueller Stand 14.6.2020)
https://www.tagesschau.de/inland/faq-corona-tracing-app-103.html

Wie Tracing-Apps anderer europäischer Länder funktionieren bei zeit.de
https://www.zeit.de/digital/datenschutz/2020-05/coronavirus-app-kontaktverfolgung-ueberblick-europa