Streit um Cluster-Erkennung per App

Berlin: (hib/LBR) Der Digitalausschuss hat sich in einem öffentlichen Fachgespräch mit der Sicherheit und Koordinierung der Nutzung von sogenannten Clustererkennungs-Apps wie der Corona-Warn-App der Bundesregierung (CWA) oder der Luca-App beschäftigt. Die Luca-App wird bereits in einigen Bundesländern zur Kontaktnachverfolgung eingesetzt, war aber zuletzt wegen Datenschutzmängeln in die Kritik geraten.

Ende April wurde die CWA, die über 27 Millionen Downloads verzeichnet, um eine anonyme Check-In-Funktion per QR-Code erweitert: Wer beispielsweise an einem öffentlichen Ort ist oder eine Veranstaltung besucht, kann so benachrichtigt werden, falls jemand von den anderen Besuchern positiv getestet wurde. Im Gegensatz zu Apps von privaten Anbietern müssen dort persönliche Daten wie der Name nicht angegeben werden. Gespeichert werden nur der Ort und die Art der Veranstaltung sowie die Dauer des Aufenthalts. Bislang basierte die Kontaktnachverfolgung etwa bei Restaurantbesuchen vor allem auf handschriftlichen Listen. Alternativ zur manuellen Cluster-Erkennung ist auch eine automatische Erkennung in der Diskussion - aber auch die Angabe von Kontaktdaten in Papierform wird weiter möglich sein.

SAP-Entwickler Martin Fassunge, der die CWA mitentwickelt hat, erklärte in dem Fachgespräch, dass sich die Situation im April 2020 fundamental von der aktuellen unterscheide - es komme vor allem auf Schnelligkeit an. Nutzer nehmen die neuen Features der CWA gut an, sagte er und verwies darauf, dass es etwa bei Events Kombinations-Lösungen, analog und digital, brauche, wie der Informationsaustausch zwischen App-Nutzern und Nicht-App-Nutzern gewährleistet werden kann.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber (SPD) sagte, die CWA habe seit dem Update eine „gut funktionierende und datenschutzfreundliche Clustererkennung“. Die neuen Funktionen könnten ein Schub für die CWA sein - je mehr Menschen mitmachten, umso größer sei der Nutzen für alle. Er hoffe, dass über eine Art „Broadcasting“ nachgedacht werde, sodass Besucher von Events per App eine Warnung erhalten könnten.

Der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, betonte, dass die Anzahl der Smartphone-Nutzer sowie die der Apps rasant steige. Ihm bereite die hohe Bedrohungslage Sorge, täglich kämen zwischen 300.000 und 400.000 neue Schadprogramme hinzu. Wichtig sei daher die Auslieferung der Apps nach den Prinzipien „Security by Design“ und „Security by Default“. Die CWA nannte er diesbezüglich „eine der erfolgreichsten Apps europaweit“.

Henning Tillmann von d64- Zentrum für digitalen Fortschritt, betonte, dass Deutschland spät dran sei mit der Weiterentwicklung der CWA. Eine grundlegende Frage sei, ob es darum gehe, dass Gesundheitsämter mehr Daten verarbeiten können oder Menschen gewarnt werden sollen. Problematisch an der manuellen Clustererkennung per QR-Code sei die Fehleranfälligkeit, etwa beim Ausloggen beim Verlassen einer Location. Die automatische Cluster-Erkennung könne daher essentiell sein. Die Corona-Warn-App müsse auch insgesamt noch besser werden, also etwa Nutzern mehr Informationen zum Pandemiegeschehen anzeigen, sagte er.

Martin Tschirsich vom Innovationsverbund Öffentliche Gesundheit sagte, die Hoffnung auf eine einzige digitale Gesamtlösung sei eine löchrige: „Die pandemische Realität ist sehr komplex, es benötigt ein kluges Zusammenspiel mehrerer technischer Lösungen“, sagte er. Der Innovationsverbund habe daher die offene Schnittstelle IRIS ins Leben gerufen, sodass mehrere Akteure an der Kontaktnachverfolgung mitwirken könnten. Diese sei so etwas wie „die letzte Meile ins Gesundheitsamt“, sagte Tschirsich. Es brauche keine Datenautobahn, sondern viel mehr bedarfsgetriebene Daten - und der Bedarf entstehe im Gesundheitsamt.

Die für das Gesundheitsamt Bodenseekreis tätige Sachverständige Bianca Kastl, betonte, dass die CWA Gesundheitsämtern früh Arbeit abnehmen könne. Funktionen wie das Kontakttagebuch könnten helfen, die Gespräche der Gesundheitsämter effizienter zu gestalten. Gästelisten seien hingegen kein Tagesgeschäft von Gesundheitsämtern. Diese Daten bräuchten oftmals eine ausführliche Analyse und diese lohne sich nur bei einem hohen Risiko eines Clusters. Die Datenqualität bei der Luca-App sei zudem „nicht immer hoch“ und es gebe Probleme bei der Zugänglichkeit, etwa was die Barrierefreiheit, aber auch Sicherheitslücken für Hacks angehe.

Kritik an der Luca-App äußerte auch Linus Neumann vom Chaos Computer Club. Es betrübe ihn, dass über 21,8 Millionen Euro für Lizenzen einer zentralen Lösung ausgegeben wurden, bei der es immer wieder Sicherheitslücken wie etwa bei den Fake-Check-Ins oder den sogenannten Schlüsselanhängern gebe. Entscheidend seien die Zielgerichtetheit und Effizienz, auch um die Gesundheitsämter zu entlasten, nicht zu belasten, sagte Neumann. Die Cluster-Funktion der CWA sei überfällig, der Chaos Computer Club habe diese bereits seit Oktober 2020 gefordert.

Der CEO der Luca-App des Berliner Start-Ups Nexenio, Patrick Hennig, betonte, dass sich die Firma bewusst sei, dass Datensicherheit und Datenschutz erfüllt sein müssen. Auch deshalb sei der Quellcode ihres Systems offen gelegt, um eine Weiterentwicklung der Software zu ermöglichen. Die Einsatzbereiche im Vergleich zur CWA seien unterschiedlich. Die Luca-App könne Gesundheitsämtern gute Hinweise geben, zum Beispiel, ein Hygiene-Konzept eines Ortes zu überprüfen und auch erste Daten aus Modellregionen wie Nordfriesland zeigten, dass die App funktioniere.