Die Corona-Warn-App steht auch deshalb immer wieder in der Kritik, weil sie nicht den Nutzen erfüllt, den die Bundesregierung mit ihr verfolgte, vor allem im Hinblick auf die Kontaktnachverfolgung. Von Kritikern werden dafür die angeblich hohen Datenschutzvorkehrungen der Corona-Warn-App (CWA) verantwortlich gemacht.

Dass es nicht der Datenschutz war, der einer Weiterentwicklung der App entgegenstand, wird an der neuesten Entwicklung deutlich. Die Corona-Warn-App soll im April nun endlich um ein Check-In-System erweitert werden. Ist es derzeit Nutzer*innen nur möglich, ein Kontakttagebuch zu führen, also selbst Kontakte in die App einzutragen, soll künftig bei Veranstaltungen u.ä. ein einchecken über QR-Codes möglich sein. Diese Möglichkeit bot bislang nur die in den Medien gehypte und von dem Rapper Smudo promotete „Luca-App“. Im Gegensatz zu dieser wird das hohe Datenschutzniveau bei der CWA aber gehalten. Luca, wie andere Registrierungs-Apps, setzen nämlich voraus, dass man sich mit persönlichen Angaben wie Name und Telefonnummer registriert. Alle in dem Kontaktnachverfolgungssystem gesammelten Daten werden an einer zentralen Stelle gespeichert. Die Datenschutzkonferenz (DSK) sieht in dieser Speicherung an einem zentralen Ort ein Risiko. Die unbefugte Einsicht in diesen Datenbestand kann nach ihrer Einschätzung zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen.
Bei der Luc-App können Betroffene im Falle einer Infektion der App diesen Umstand mitteilen. Nach Freigabe der Besuchshistorie werden alle Gäste der besuchten Location informiert, die sich zur betreffenden Uhrzeit dort aufgehalten haben. Parallel werden die Gesundheitsämter informiert, die dann automatisch Zugriff auf die Daten der übrigen Gäste haben, um dann die Kontaktnachverfolgung zu übernehmen.

Mit Version 2.0 der Corona-Warn-App, die am 16. April erscheinen soll, wird hingegen ein anderer Ansatz verfolgt: Nutzerinnen und Nutzer müssen weder Name noch Telefonnummer oder E-Mail-Adresse verraten. Die Angaben über den Restaurant- oder Konzertbesuch werden "automatisiert im CWA-eigenen Kontakttagebuch auf dem Endgerät" gespeichert - also nur auf dem Smartphone. Im Fall der Fälle werden alle Gäste (nur) über die App gewarnt, so wie es bislang schon bei einer Risiko-Begegnung der Fall war. Die Gesundheitsämter sind somit außen vor. Die Empfehlung des Robert Koch Institutes dazu lautet: „Die Nutzer*in erhält die Aufforderung, wenn möglich, sich nach Hause zu begeben und Begegnungen zu reduzieren sowie Verhaltenshinweise bei auftretenden Symptomen zu beachten. Die Nutzer*in wird aufgefordert, weitere Schritte mit dem Hausarzt, dem kassenärztlichen Bereitschaftsdienst bzw. dem örtlichen Gesundheitsamt abzustimmen.“ Gewarnte können demnach selber entschieden, wem sie sich anvertrauen und ggf. wo und von wem sie einen Test durchführen lassen. Dieses Verfahren wahrt die Persönlichkeitsrechte Betroffener.

Den Gesundheitsämtern die personenbezogenen Daten all derer zu übermitteln, die sich zum selben Zeitpunkt wie ein/e Infizierte/r in einem Restaurant oder einem anderen Ort aufgehalten haben, ist nur dann sinnvoll, wenn das Amt den Betroffenen gegenüber konkrete Anweisungen aussprechen soll. Es gibt keine Möglichkeit des Gesundheitsamtes Zwang auf diese Personen auszuüben, sich einem Test zu unterziehen. Für alle betroffenen Personen eine Quarantäneanordnung auszusprechen dürfte rechtlich zumindest fragwürdig, jedenfalls aber realitätsfremd sein. Sollten die Gesundheitsämter dennoch die Vornahme von Schutzmaßnahmen insbesondere von „Absonderungen“ vornehmen wollen, ist dafür regelmäßig ein Verwaltungsakt erforderlich. Dies dürfte sich als schwierig erweisen, weil die Luca-App lediglich die Richtigkeit der Telefonnummer verifiziert. D. h. auch mit dieser App können sich wie bislang bei Verwendung des „Zettelsystems“ Besucher*innen hinter einem Pseudonym verstecken. Genau das sollte die Anwendung eigentlich verhindern und damit die Kontaktverfolgung einfacher und zuverlässiger machen. Den Gesundheitsämtern bleibt nur der Versuch telefonisch mit den Betreffenden in Kontakt zu treten. Zwar kann ein Verwaltungsakt auch mündlich oder elektronisch erlassen werden, ist dann aber schriftlich zu begründen.
Damit verbleibt es praktisch dabei, dass auch die Gesundheitsämter den Betroffenen nur die gleiche Aufforderung aussprechen können, wie dies das Robert Koch Institut über die CWA macht. Dieser zeitliche Verzug wird bei der CWA umgangen, da Kontaktpersonen direkt durch die App informiert werden. Die Gesundheitsämter würden mit dem Luca-System nicht unterstützt, sondern wie bislang mit der manuell schriftlichen Variante heillos überfordert.

Wie die Luca-App zu manipulieren ist, zeigte der Fernsehmoderator Jan Böhmermann auf, der den QR-Code eines Zoos veröffentlichte. Daraufhin haben zahlreiche Personen diesen QR-Code gescannt und so einen Besuch im Zoo vorgetäuscht. Auf diese Weise können die Hygienekonzepte von Veranstaltern gesprengt werden.

Zusammenfassung

Die Luca-App sowie vergleichbare Systeme hatten ihre Berechtigung, solange sich das Bundesministerium für Gesundheit dagegen sperrte, die CWA mit einer Funktion für Kontaktnachverfolgung ausstatten zu lassen. Mit Einführung der Version 2.0 der CWA werden die anderen Systeme aber überflüssig. Die CWA ist datenschutzrechtlich unangefochten und mit über 20 Mio. Usern das führende System. Daneben Apps zu etablieren, die aufgrund ihrer zentralen Datenspeicherung und verschiedener Schnittstellen schwere Beeinträchtigungen für die Einzelnen und das Gemeinwesen nicht ausschließen können, ist auch für die Pandemiebekämpfung nicht zweckmäßig. Auch wenn man den Nutzern der CWA unterstellt, sie würden die ihnen angezeigten Warnungen ignorieren oder sich nicht entsprechend den Empfehlungen verhalten, erreicht man mit der Einbindung der Gesundheitsämter voraussichtlich kein besseres Ergebnis.

Der Zweck, die Gesundheitsämter zu entlasten, wird nicht erfüllt. Für die Nutzer besteht ein deutlich höheres Datenschutzrisiko.

Ein weiteres Risiko bei einer zentralen Datenspeicherung ist u.a., was zukünftig mit den so sensiblen und wirtschaftlich lukrativen personenbezogenen Adressdaten geschehen könnte. Die Vergangenheit hat uns gelehrt, dass Unternehmen mit einem lukrativen Datenbestand entsprechende Geschäftsmodelle entwickelt haben oder inklusive Datenbestand veräußert wurden.

Auch die analogen Papierlisten werden sich (zumindest in Gaststätten) nicht ganz abschaffen lassen, denn es gibt noch immer viele Personen, die nicht über die technischen Möglichkeiten zur Nutzung einer App (egal welcher) verfügen.

Weitere externe Quellen:

29.04.2021, t3n: Datenschutzexperten warnen: Wachsende Kritik an der Luca-App 
CCC, Luca-App: CCC fordert Bundesnotbremse
Volksstimme, Sachsen-Anhalts Ämter fürchten Datenflut durch Luca-App