Was ist eigentlich… die Corona-Warn-App (CWA)?

Die Infektion mit dem Corona-Virus wird über Aerosole (Nebel, etwa in der Ausatemluft) und Tröpfchen weitergegeben — und nicht immer weiß ein Infizierter auch, dass er infiziert und damit ansteckend ist. Daher ist es schnell passiert, dass SARS-CoV-2 unbemerkt weitergegeben wird. Wie lassen sich Infektionsketten trotzdem rechtzeitig aufspüren und unschädlich machen?

Hauptziel aus epidemiologischer Sicht ist es, Infektionsketten möglichst frühzeitig zu erkennen und zu unterbrechen.

Bundesgesundheitsminister Jens Spahn und Kanzleramtsminister Helge Braun, 26.04.2020

Die Waffe der Wahl der Gesundheitsämter ist dabei die Quarantäne: Kontaktpersonen der Kategorie I nach RKI müssen für 14 Tage (unter bestimmten Umständen nur für 10 Tage) jeglichen Kontakt zu anderen Menschen meiden und in ihrer Wohnung bleiben. Gleiches gilt natürlich auch für nachweislich Infizierte und wird dann als Isolierung bezeichnet.

Wie findet man Kontaktpersonen?

Als Kontaktperson Kategorie I („höheres Risiko“ nach RKI) gilt dabei jemand, der mehr als 15 min lang mit einer infizierten Person von Angesicht zu Angesicht Kontakt hatte, ohne Maske; außerdem Personen in bestimmten anderen Situationen wie etwa nach längerem gemeinsamem Aufenthalt mit einer (später) positiv getesteten Person in einem nicht gelüfteten Raum.

Diese Kontaktpersonen müssen sich also für die Dauer der Inkubationszeit von COVID-19 von der Außenwelt fernhalten. Die Inkubationszeit ist die Zeit zwischen Infektion mit einem Krankheitserreger und Ausbruch der Erkrankung. Wenn eine Kontaktperson nach 14 Tagen keine Symptome von COVID-19 zeigt, kann man mit ausreichender Wahrscheinlichkeit davon ausgehen, dass sie sich beim Kontakt nicht infiziert hat, oder dass ihr Immunsystem die Infektion in der Zwischenzeit bewältigt hat, ohne dass es zu Symptomen gekommen ist.

Doch wie lassen sich Kontaktpersonen ermitteln? Dies ist schon schwer genug, wenn eine infizierte Person sich an die Namen ihrer Kontakte erinnern kann oder eine Kontaktliste, beispielsweise von einer Konferenz oder einem Restaurantbesuch, vorliegt. Dann muss „nur noch“ ermittelt werden, ob es sich tatsächlich um einen Kontakt der Kategorie I handelte oder nicht – die Beteiligten beispielsweise Masken trugen oder das Treffen draußen stattfand. Wenn Kontakte zwischen Unbekannten stattfinden – etwa in den öffentlichen Verkehrsmitteln oder in der Fußgängerzone – wird die Kontaktermittlung auf herkömmlichem Weg hoffnungslos.

Corona-Warn-App
Die offizielle deutsche Corona-Warn-App

Hier helfen Apps: Weltweit gibt es zahlreiche Ansätze, mit mobiler Technologie die Kontakte zwischen Infizierten und anderen Personen nachzuvollziehen, um Infektionsketten zu unterbrechen. Nicht alle davon sind datenschutzfreundlich – etwas, das für die Akzeptanz bei deutschen Nutzer*innen zu Recht eine wichtige Rolle spielt.

Kontakt-Apps: Tracking oder Tracing?

So arbeitet Südkorea etwa mit einer Tracking-App: Hierbei werden die Bewegungsdaten der App-Nutzer aufgezeichnet und somit nicht nur Kontakte nachvollzogen, sondern beispielsweise auch die Einhaltung der Quarantäne kontrolliert. Das erleichtert zwar das Management der Pandemie, ist aber ein schwerer Eingriff in die Privatsphäre.

In Deutschland hat man sich dagegen für den Ansatz des Tracing statt Tracking entschieden. Hierbei werden nicht Bewegungen der Nutzerin dokumentiert, sondern lediglich Begegnungen. Und auch diese werden nicht zentral gespeichert, sondern dezentral, lokal auf dem Smartphone.



Die App nutzt zum Tracing die Bluetooth-Technologie, die Funkverbindungen in einem Frequenzband knapp über 2,4 GHz herstellt. Über Bluetooth können zwei Geräte, die sich in räumlicher Nähe zueinander befinden, Daten austauschen.

Doch wie vermeidet man, dass die Smartphones (und ihre Besitzer*innen) dabei identifizierbar werden?

Datenschutzfreundliches Tracing

Zunächst mal ist festgelegt, dass die Corona-Warn-App kein GPS nutzt oder auf andere Art und Weise den eigenen Standort oder den Standort des anderen Smartphones bei einer Begegnung speichert. (GPS wäre für den Anwendungsfall Kontaktermittlung sowieso zu ungenau, da man mit einer Unschärfe des Standorts von 10 bis 20 Metern rechnen muss.)

Das die begegnenden Smartphones gegenseitig anonym bleiben, ist auf folgende Art und Weise festgelegt, unter anderem in der von Google veröffentlichten Ergänzung des Bluetooth-Protokolls (Exposure Notification Bluetooth Specification):

Jedes Smartphone erzeugt dazu alle 24 Stunden einen Schlüssel, den Temporary Exposure Key. Aus diesem Schlüssel wird alle 15 Minuten eine neue ID für das Handy erzeugt, und nur diese wird an andere Smartphones übermittelt. Zwar ist der Temporary Exposure Key auch schon anonymisiert, aber man könnte theoretisch die Begegnungen eines Schlüsselinhabers über eine 24-Stunden-Periode nachverfolgen, wenn er an andere Smartphones übermittelt würde. Die wechselnden IDs, die sogenannten Rolling Proximity Identifiers, existieren jedoch nur für 15 Minuten und können daher kaum nachverfolgt werden.

Abgleich anonymisierter Schlüssel

Der unveränderte Temporary Exposure Key wird nur in einem Fall an einen Empfänger übermittelt, und zwar wenn der Nutzer der App einen positiven Test auf SARS-CoV-2 hatte und dessen Weitergabe durch die App zustimmt. In diesem Fall wird nämlich der Temporary Exposure Key als sogenannter Diagnosis Key an den App-Server übermittelt.

Zurück zur Begegnung vor Ort: In Abständen von maximal 5 Minuten scannt das Smartphone nun die Umgebung auf andere Smartphones mit Corona-Warn-App. Wenn eines gefunden wird, speichert es dessen Rolling Proximity Identifier.

Scanning Flow im Protokoll Exposure Notification (Google)
Scanning Flow im Protokoll Exposure Notification von Google

Einmal am Tag (oder häufiger) holt sich die App vom Server eine Liste der Diagnosis Keys, die zu Smartphones gehören, deren Nutzer coronapositiv geworden sind. Die Liste dieser Positiven wird nun mit den gespeicherten Rolling Proximity Identifiers abgeglichen.

In anderen Worten: (mindestens) einmal am Tag fragt die App den Server, wer in den letzten 24 Stunden positiv getestet wurde, und schaut nach, ob das eigene Smartphone einem dieser Smartphones begegnet ist. Zurückliegende Begegnungen werden dabei für 21 Tage gespeichert.

Begegnungen: niedriges und hohes Risiko

Als Begegnung ist damit erst mal ein Austausch von Rolling Proximity Identifiers durch zwei Smartphones definiert. Aber, wie Nutzerinnen der App wissen, ist eine Begegnung mit einem positiv Getesteten noch nicht mit einem hohen Infektionsrisiko gleichzusetzen.

Um der oben genannten Definition von Kontaktpersonen Kategorie I nach RKI zumindest nahezukommen, wird das Bluetooth-Protokoll an dieser Stelle zweckentfremdet: Die App berechnet die Abschwächung des Signals des anderen Handys und schätzt daraus den Abstand bei der Begegnung.

Grob gesagt gehen die Parameter Abstand, Dauer der Begegnung und vergangene Zeit seit der Begegnung sowie die Anzahl der Begegnungen in die Berechnung des Risikos ein. Wird ein bestimmter Schwellenwert überschritten, kommt es zu einer roten Risikomeldung – die Nutzerin wird aufgefordert, sich zu isolieren, und kann sich auf Kosten der Allgemeinheit auf SARS-CoV-2 testen lassen.

Wie man von der Abschwächung eines Bluetooth-Signals auf den Abstand schließen kann, das hat übrigens im Zuge der Corona-App-Entwicklung das Fraunhofer-Institut erstmals ausgetüftelt.

Digitale Ergänzung der Kontaktermittlung

Hier wird auch schon klar, dass die App nur eine Ergänzung zur manuellen Kontaktermittlung durch das Gesundheitsamt sein kann, denn: es wird nur die Nähe der Smartphones zueinander abgeschätzt. Diese sagt nichts darüber aus, ob oder welche Masken getragen wurden, ob zwischen den Gesichtern der Beteiligten eine Plexiglas-Barriere war, ob sie sich angeschaut haben oder Rücken an Rücken standen, ob die Begegnung draußen stattgefunden hat oder wie der Raum gelüftet war…

Trotz dieser Einschränkungen ist die App sowohl funktionell als auch aus Datenschutzsicht ein Erfolg: dieses Fazit zog zum Jahreswechsel Lars Roemheld auf dem virtuellen Kongress rC3 des Chaos Computer Clubs – zumal sie mittlerweile auch um andere nützliche Funktionen wie den Empfang von Laborbefunden und zuletzt (am 30.12.2020) das Kontakttagebuch ergänzt wurde.

Mitentwickler Roemheld berichtet auf dem rC3

Roemheld, derzeit Director of AI & Data beim health innovation hub (hih) des BMG und Mitentwickler der App, gab auf dem Kongress eine kurze Übersicht über die turbulente Geschichte der Entwicklung und künftige Herausforderungen.

Vortrag von Lars Roemheld auf dem virtuellen Kongress des Chaos Computer Clubs (CCC), dem rC3, am 27.12.2020

Technische, rechtliche, organisatorische Hürden gemeistert

Auf dem Weg zur funktionsfähigen App musste dabei mehr als eine Herausforderung bewältigt werden: Zunächst wurde um zentrale vs. dezentrale Architektur – mit unterschiedlichen Datenschutz-Konsequenzen – gestritten.

Nach der notwendigen Weiterentwicklung des Bluetooth-Protokolls war auch die spätere Anbindung der diagnostischen Labore arbeitsintensiv: Es musste nicht nur eine Schnittstelle zu den vorhandenen digitalen Systemen der Labore geschaffen werden, sondern auch eine Rückfallebene – als telefonische Hotline – für noch nicht ausreichend digitalisierte Labore.

Herausforderungen auf dem Weg zur funktionsfähigen Corona-Warn-App, Quelle: Vortrag von Lars Roemheld auf dem rC3

Außerdem wurden die notwendigen Angaben für die Befundübermittlung per App in die Abrechnungsprozesse des KV-Systems integriert (Musterformulare ÖGD und 10c) – auf diesem Weg wird nun für jede Laboranforderung mit einem dieser Formulare eine eindeutige ID vergeben, die in die App eingescannt werden kann und die Befundzuordnung ermöglicht.

Solider Baustein der digitalen Pandemie-Bekämpfung

Nach all diesen Hürden war der Start der App im Juni 2020 dann überraschend stark: Bereits nach einer Woche war die 13 Millionen Mal aus den App-Stores heruntergeladen worden, die höchste Zahl für alle Apps überhaupt. Bis Dezember 2020 lag die Zahl bei insgesamt 25 Millionen Downloads.

Auch erfreulich – und hoffentlich vorbildhaft: Die App ist mittlerweile ein vollwertiges Open-Source-Projekt mit einer Präsenz auf Github und dort voll einsehbarem Quellcode.

Noch ausbaufähig ist dagegen der Anteil der positiv Getesteten, die ihr Testergebnis tatsächlich über die App teilen: Täglich werden (Stand Dezember 2020) etwa 2600 positive Testergebnisse übermittelt, die Anzahl der positiv Getesteten pro Tag in Deutschland liegt aber etwa beim Zehnfachen. Eine Differenz, die nicht nur durch die Abdeckung moderner Smartphones in der Bevölkerung erklärt werden kann: Tatsächlich entscheiden sich nur knapp über die Hälfte der Empfänger positiver Befunde über die App dazu, diesen positiven Befund (anonymisiert) an ihre Kontakte weiterzugeben.

(Behutsame) Digitalisierung des öffentlichen Gesundheitsdienstes

Weitere nützliche Funktionen der App sind denkbar, und die Verbreitung ist noch ausbaufähig – doch insgesamt tut sie, was sie soll.

Wäre es also Zeit, den Fokus auf andere Bereiche der digitalen Pandemiebekämpfung zu richten?

Dazu Lars Roemheld im Gespräch:

Noch dringender angegangen werden müsste vermutlich die Infrastruktur des öffentlichen Gesundheitsdienstes. Dazu gehört eine zentrale Koordination der unabhängigen, meist kommunalen Gesundheitsämter, idealerweise mit zentralem IT-Support und zentralen, strategischen IT-Entscheidungen. Das sind viele eher banale Prozesse, von Infektionsmeldungen über “FAQ” für potentiell Infizierte über ein Symptom-Tracking, Erfassung von Kontakten, Quarantäne-Kontrolle beispielsweise per SMS oder Anruf-Roboter, bis hin zu Interoperabilität der Systeme. Also eine Reduktion der Zeit am Telefon. Für weniger digital-affine Bürger muss es natürlich weiter eine telefonische Alternative geben; aber es gibt sicher noch mehr Menschen wie mich, die bereitwillig eine digitale Lösung wählen würden.

Gleichzeitig muss auch klar sein: bei aller Dringlichkeit ist ein solches Change Management in Zeiten der Überarbeitung natürlich besonders schwierig. Wir dürfen jetzt nicht auch noch die funktionierenden Prozesse durch IT-Veränderungen zerstören. Gerade deswegen könnte eine neue, zentrale Stelle hier Abhilfe schaffen.