Update: Ein kürzerer und prägnanterer Artikel zu diesem Thema wurde bei heise.de als Gastbeitrag veröffentlicht: Alle reden von Clustern – nur die Corona-App nicht.
Seit dem Launch der Corona-Warn-App sind bald 4 Monate vergangen. In dieser Zeit haben wir viel über das Virus gelernt. Dieses Wissen muss nun auch in der App ankommen.
Zur Erinnerung: Die App soll dabei helfen, Risiko-Kontakte zu erfassen. Als Risiko-Kontakt gilt für die App: Abstand weniger als 1,5m; Dauer länger als 15min.
Leider ist es aber bei diesem einen Entscheidungskriterium geblieben. Inzwischen wurde – ohne große Überraschung – eine Reihe von Situationen erforscht, in denen die App nicht zuverlässsig funktioniert.
Messprobleme
Als Paradebeispiel kann hier der öffentliche Nahverkehr gelten: Die “Metallröhre”, in der die Menschen sitzen, führt zu allerhand Reflektionen und Signalstörungen – und schließlich zu keinerlei korrekten Alarmierungen. Update: An der Studie werden methodische Fehler bemängelt, aber auch eine korrekt funktionierende App würde der Bahn-Situation nicht vollkommen gerecht.
Das ist besonders verhängnisvoll, weil die App in genau solchen Situationen, in denen Fremde sich nah kommen und nicht in der Lage sind, sich später zu alarmieren, für zusätzliche Abdeckung sorgen soll.
So hat die Physik dem Bluetooth-Ansatz erwartbare und auch vorher schon bekannte Grenzen gesetzt. In der Gastronomie zum Beispiel gilt unter anderem deshalb die Pflicht zur manuellen Erfassung.
Der Abstand ist nicht das Maß aller Dinge
Doch selbst wenn die Abstandsmessung perfekt wäre, würde sie dem Stand der Wissenschaft nicht gerecht: Zwei gemeinsame Stunden in einem stickigen kleinen Kellerraum mit großzügigem Abstand von drei Metern sind riskanter zu bewerten, als dreißig Minuten an der frischen Luft, bei einem Abstand von 1,50m. Die App kann den Unterschied aber nicht feststellen.
Dieser Effekt wird besonders anschaulich, wenn wir uns eine alltägliche Konferenz-Situation mit 8 Personen in einem Raum vorstellen: Maximal 2 Anwesende werden im Risikobereich von 1,50m Entfernung sein können. Wären wir als Anwesende zufrieden, deshalb keine schnelle Warnung zu erhalten?
Für Contact Tracing in der Gastronomie gibt es bisher keine akzeptable Lösung
Mitglieder des CCC haben in verschiedenen digitalen Contact-Tracing-Lösungen für die Gastronomie Schwachstellen gefunden. Die Systeme wurden oft mit der heißen Nadel gestrickt und setzten auf zentrale Erfassung.
Als sinnvolle Alternative riet ich in dem Zusammenhang zur manuellen Erfassung per Zettel. Daraufhin meldete sich eine Vielzahl an Gastronominnen bei mir, die unter den Problemen des Ansatzes litten:
- Viele Besucherinnen geben falsche Daten an
- Einige Besucherinnen gehen lieber in Lokalitäten, die es mit der Erfassung nicht so genau nehmen
- Oft sind die Zettel schwer leserlich
- Die Anzahl der Zettel kann schnell in den Bereich mehrerer hundert gehen – pro Tag
- Die Alarmierung jeder einzelnen Person ist mühsam und zeitaufwändig – das wiederum führt zu massiven Verzögerungen
Mit anderen Worten: Das Zettel-System scheitert an den Anforderungen der Praxis.
Es fehlt der Datentyp „Zusammenkunft“
Die beiden Beispiele Restaurantbesuch und Konferenz haben etwas gemeinsam: Sie bezeichnen die Zusammenkunft mehrerer Personen an einem Ort für einen Zeitraum. Welcher Ort das genau ist, und welche Personen genau anwesend waren, ist dabei unerheblich. Eine zentrale Erfassung verbietet sich also.
Die Corona-Warn-App kann bisher nur Abstände zwischen einzelnen Personen erfassen. Was fehlt, ist der Datentyp der Zusammenkunft. Letzte Woche habe ich einen datenschutzkonformen Ansatz dafür mit Tim Pritlove in unserem Podcast Logbuch:Netzpolitik umrissen. Nahezu zeitgleich haben Wouter Lueks, Seda Gürses, Michael Veale, Edouard Bugnion, Marcel Salathé und Carmela Troncoso ein Whitepaper veröffentlicht, das den Ansatz sauber ausformuliert.
Dezentrales Presence Tracing
Das System ist so simpel, wie datensparsam: Wie schon beim Contact Tracing gibt es keine zentrale Datensammlung darüber wer wen wann wo getroffen hat. Die Information, dass eine Person Teil einer Zusammenkunft war, wird ausschließlich auf ihrem eigenen Gerät gespeichert. Die Alarmierung erfolgt analog zum bisherigen Ansatz der CWA durch Veröffentlichung eines Codes, der für die restliche Öffentlichkeit ohne Aussage ist.
Im Folgenden spiele ich den Ablauf beispielhaft für ein konspiratives Meeting einer Gruppe von Wirecard-Managern durch – der Ablauf für ein Restaurant wäre analog.
- Die Zusammenkunft wird in der Corona-Warn-App angelegt. Die „Gastgeberin“ erhält einen QR-Code, den sie den anderen Personen zeigen kann. Außerdem erhält sie den Schlüssel, der nötig ist, um die Personen im Anschluss zu alarmieren.
- Die anderen Anwesenden scannen den QR-Code mit ihrer App. Sie speichern damit den Code dieser Zusammenkunft auf Ihrem Gerät. Ebenso wird die Uhrzeit der Anwesenheit festgehalten.
- Im Fall einer notwendigen Alarmierung wird der Code der Zusammenkunft (optional zusammen mit dem Risiko-behafteten Zeitraum) veröffentlicht.
- Wie schon beim Contact Tracing werden von der App alle veröffentlichten Codes heruntergeladen und mit den lokalen Daten abgeglichen.
In der Gastronomie könnte das Verfahren alternativ zur papierbasierten Erfassung angeboten werden. Demgegenüber hätte es nur Vorteile: eine schnelle Alarmierung ist möglich, eine zentrale Datensammlung wird vermieden, Besucherinnen müssen keine persönlichen Daten angeben. Die 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps gelten selbstverständlich weiterhin, sind nicht verhandelbar und können von diesem Ansatz bei sauberer Umsetzung erfüllt werden.
Weiterentwicklungen wie diese sollten bei einer 20-Mio-Euro-App nicht aus der Community kommen müssen, sondern aktiv von Telekom und SAP vorangetrieben werden.