Update für die Corona-Warn-App: EU-weite Warnungen

In vielen europäischen Ländern gibt es bereits eine App, die als ergänzendes Instrument bei der Bekämpfung des Corona-Virus eingesetzt wird. Ein zentrales Merkmal der deutschen App ist ein hohes Datenschutzniveau, an dessen Ausgestaltung Schürmann Rosenthal Dreyer Rechtsanwälte maßgeblich beteiligt waren. Nach der erfolgreichen Umsetzung der Corona-Warn-App in Deutschland haben wir nun auch intensiv an der gemeinsamen Vernetzung europäischer Corona-Warn-Apps mitgearbeitet.

Die deutsche Corona-Warn-App wurde bislang mehr als 21 Millionen Mal heruntergeladen. Auch in ausländischen App-Stores ist die Corona-Warn-App für den Einsatz in Deutschland verfügbar. Für den Einsatz im Ausland war sie bisher dennoch weitgehend wirkungslos, da sie mit anderen Contact Tracing Apps nicht kompatibel war. Bisher standen unterschiedliche Apps verschiedener Staaten nebeneinander, ohne miteinander kommunizieren zu können. Wer beispielsweise mit der deutschen Corona-Warn-App im Ausland eine Person trifft, die die dortige nationale App nutzt, bekam keine Meldung, falls die andere Person später positiv getestet wurde. Warnungen über eine eigene Erkrankung ins Ausland zu übermitteln, war über die Apps ebenfalls nicht möglich. Bei dem länderübergreifenden Verkehr, der nicht nur in den Grenzregionen weiterhin stattfindet, ist dies aber notwendig, um mögliche Ansteckungsgefahren nachverfolgen und Infektionsketten wirksam unterbrechen zu können.

Jetzt steht eine grenzüberschreitende Lösung zur Verfügung. Dabei handelt es sich um eine Schnittstelle, die die bereits vorhandenen Apps miteinander verbindet und nach einer ersten Testphase Mitte Oktober 2020 gestartet ist. Um auch grenzüberschreitende Warnungen und die Nachverfolgung von Begegnungen nutzen zu können, muss für die jeweilige App lediglich das aktuellste Update installiert werden.

Die deutsche Corona-Warn-App und die vergleichbaren Anwendungen anderer Länder bilden die Grundlage für die europäische Lösung. Die Apps verwenden weiterhin das von Google und Apple technisch entwickelte Kontaktbenachrichtigungswerkzeug (Exposition Notification Framework, ENF) und die Bluetooth-Funktion der Smartphones der Nutzer. Begegnen sich zwei Nutzer z. B. der deutschen Corona-Warn-App, die in ihren Betriebssystemen die ENF-Schnittstelle aktiviert haben, tauschen die beiden Geräte über die Bluetooth-Schnittstelle Schlüsselkennungen aus, die jeweils auf dem anderen Gerät gespeichert werden. Anhand dieser Kennungen werden sowohl die Dauer als auch die räumliche Nähe des Kontakts anhand der Bluetooth-Signalstärke nachvollzogen. Dies geschieht zunächst unabhängig von der App auf der Ebene der Betriebssysteme. Die Kennungen sind zufällig, sie können durch Dritte nicht ohne weiteres dem Nutzer zugeordnet werden. Nur im eigenen Smartphone sind alle maßgeblichen Informationen hierfür vorhanden.

Die Corona-Warn-App kommt dann zum Einsatz, wenn sich ein Nutzer testen lässt. Im Rahmen des Tests erhält er einen QR-Code, der sich mit dem Handy scannen lässt. Die App kann daraufhin das zugehörige Testergebnis abholen und direkt in der App anzeigen. Ein positives Testergebnis beziehungsweise ein entsprechender Positiv-Schlüssel kann daraufhin über die App geteilt werden, um andere Nutzer, denen man begegnet ist, zu warnen. Es werden dabei keine unmittelbar identifizierenden Kennungen ausgetauscht. Die Endgeräte können nur erkennen, ob sie dem Endgerät, von dem der Positiv-Schlüssel stammt, schon einmal begegnet sind und wenn ja, wie lange und in welchem räumlichen Abstand. Weder Namen noch das Datum des Kontaktes wird weitergegeben, da es Zweck der App ist, Nutzer auf ein etwaiges Ansteckungsrisiko hinzuweisen, aber eben nicht, den Nutzer zu identifizieren, über den möglicherweise eine Ansteckung erfolgte.

Die Testergebnisse (bzw. genauer gesagt: die Positiv-Schlüssel) werden von dem warnenden Nutzer an einen zentralen Server weitergegeben. Von dort aus werden die Positiv-Schlüssel dann an alle Nutzer der Corona-Warn-App verteilt. Das Betriebssystem auf dem Smartphone der Nutzer prüft schließlich, ob unter den heruntergeladenen Schlüsseln Positiv-Schlüssel sind, die auf einen eigenen Kontakt in den letzten zwei Wochen verweisen. Falls dies der Fall ist, wird anhand der vom Robert-Koch-Institut festgelegten Kriterien die Intensität des Kontakts geprüft und ein Infektionsrisiko berechnet und über die App ausgewiesen. Wenn danach eine oder mehrere Risiko-Begegnungen mit einem niedrigen Risiko ausgewiesen werden, dann bedeutet dies, dass der Nutzer in den vergangenen 14 Tagen einem anderen Nutzer der Corona-Warn-App begegnet ist, der später ein positives Testergebnis erhielt und der seine Mitmenschen über die App gewarnt hat. Der Kontakt war aber nicht so lang oder nah, dass ein erhöhtes Risiko angenommen wird. Ein hohes Risiko ergibt sich indes dann, wenn die räumliche Nähe zwischen den beiden Smartphones über einen gewissen Zeitraum angedauert hat und eine Infektion daher als wahrscheinlich gilt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Die grenzüberschreitende Interoperabilität der nationalen Corona-Apps wurde wie die deutsche App unter der technischen Leitung von Telekom und SAP entwickelt. Schürmann Rosenthal Dreyer Rechtsanwälte haben dabei die datenschutzrechtliche Ausgestaltung der Anbindung der Corona-Warn-App im Auftrag des Robert-Koch-Institutes beraten und begleitet.

Für die europäische Lösung haben die EU-Mitgliedsstaaten über das europäische eHealth Network zusammengearbeitet. Dieses Gremium besteht aus Vertretern der Mitgliedsstaaten und ist seit 2011 für die politische Steuerung des Bereichs eHealth in der EU zuständig, um die grenzüberschreitende medizinische Versorgung zu verbessern. Die Lösung für die zuvor fehlende Kompatibilität der Apps untereinander wurde über ein eigenes zentrales Serversystem geschaffen, den sog. European Federation Gateway Service (EFGS). An diesen von den Mitgliedstaaten gemeinsam verantworteten Austauschserver sind die Serversysteme der nationalen Apps angeschlossen. Die technischen Maßgaben und standardisierte Kriterien für die gemeinsamen Datenverarbeitungen wurden gemeinsam auf europäischer Ebene ausgearbeitet und festgelegt. Technisch teilt ein Nutzer der Corona-Warn-App auch weiterhin seine Positiv-Schlüssel auf freiwilliger Basis mit dem nationalen Server, der diese zur grenzüberschreitenden Warnung nunmehr auch an die an am EFGS teilnehmenden Länder weitergibt. Auf den Austauschserver haben alle teilnehmenden Länder gleichermaßen Zugriff und alle stellen die Positiv-Schlüssel der eigenen Nutzer wiederum zur Verfügung. Die Nutzer aller Apps werden über die Datenverarbeitung und Funktion der grenzüberschreitenden Warnungen ausdrücklich informiert. In Deutschland haben Nutzer nach dem Update eine entsprechende Mitteilung zur neuen Funktion erhalten. Die Datensicherheit und auch der datenschutzfreundliche dezentrale Ansatz, bei der nur die Smartphones untereinander Informationen über die Begegnungen austauschen, wird durch die Anbindung an den gemeinsamen Austauschserver nicht verändert. Auch weiterhin können die einzelnen Nutzer nicht anhand der ausgetauschten Schlüssel identifiziert werden. Alle Nutzer erhalten potentiell jedoch mehr Warnungen und alle können die Mitmenschen der teilnehmenden Länder mit eigenen Warnungen erreichen. Zurzeit werden in Deutschland Schlüssel aus Italien, Irland, Estland, Lettland und Dänemark verarbeitet (Stand 09.11.2020). Bis Ende November werden voraussichtlich auch Ungarn, Tschechien, Polen, Portugal, Finnland, die Niederlande, Belgien, Litauen und Slowenien sowie Zypern angeschlossen sein.

In der ersten Bilanz konnten die Apps als hilfreiches Instrument und als sinnvolle Unterstützung für die Bekämpfung der Pandemie eingeordnet werden. Die europäische Vernetzung erfolgt dabei unter Einhaltung des hohen Datenschutzniveaus der Corona-Warn-App. Die Erweiterung auf die europäische Ebene ist ein sinnvoller und notwendiger Schritt, um grenzüberschreitenden Verkehr weiterhin gewährleisten zu können. Schlussendlich wird es nur gemeinsam gelingen, die Infektionsketten – auch grenzüberschreitend – zu unterbrechen.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.