Von Jannis Brühl und Simon Hurtz

Bereits die Zahl macht deutlich, dass dieses Update ein besonderes ist: aus Versionsnummer 1.15.3 wird 2.0. Es ist ein großer Schritt für die Corona-Warn-App - und es ist ein großer Schritt für Dutzende Millionen Menschen, auf deren Smartphones die App installiert ist. Die neue Version bringt eine Funktion, die seit Monaten gefordert, seit Wochen angekündigt und von vielen herbeigesehnt wurde: Nutzerinnen und Nutzer können mit der App bei Veranstaltungen einchecken.

Die sogenannte Event-Registrierung soll ein großes Problem der Corona-Warn-App lösen. Bislang werden Menschen nur gewarnt, wenn sie sich über einen bestimmten Zeitraum nahekommen. Doch das Coronavirus verbreitet sich in geschlossenen Räumen auch über Aerosole, die größere Distanzen überbrücken. Deshalb ermöglicht es die App künftig, Menschen zu benachrichtigen, die sich zum selben Zeitpunkt in einer Bar, einem Geschäft oder bei einem privaten Treffen aufgehalten haben wie eine infizierte Person.

Dafür setzt das Entwicklerteam aus SAP und Telekom auf QR-Codes. In der App lässt sich ein solcher Code erzeugen, den andere Nutzerinnen und Nutzer einscannen können. Damit checken sie für die Veranstaltung ein. Diese Information wird zunächst nur lokal auf dem Smartphone gespeichert und nach zwei Wochen automatisch gelöscht. Wer in diesem Zeitraum positiv getestet wird, kann den Check-in auf den Server der Corona-Warn-App hochladen.

Rote Kacheln stehen für erhöhtes Risiko

Andere Gäste der Veranstaltung erhalten dann automatisch eine Warnung. Je nachdem, wie lange sich ihr Aufenthalt mit der mutmaßlich infektiösen Person überschnitten hat, sehen sie eine grüne oder eine rote Kachel. Wenn sich die Check-ins weniger als zehn Minuten lang überlagern, signalisiert Grün geringes Risiko. Wer eine rote Warnung sieht, hat ein erhöhtes Risiko, sollte sich in Quarantäne begeben und sich testen lassen.

Alle Nutzerinnen und Nutzer der App können diese QR-Codes erzeugen: Restaurantbesitzerinnen oder Einzelhändler, aber auch Menschen, die in kleinem Kreis ihren Geburtstag feiern wollen. Der Code enthält alle wichtigen Daten über die Veranstaltung, etwa den Ort und das Datum. Es gibt Ad-Hoc-Events mit definiertem Anfang und Ende sowie ständige Lokationen.

Ein Friseursalon muss damit nicht für jede Kundin ein neues Event anlegen, sondern kann einen dauerhaften Code generieren. Wer einen Termin bucht, scannt bei jedem Besuch aufs Neue und kann danach in der App auschecken. In einem neuen Reiter namens Check-ins sieht man auf einen Blick, bei welchen Events man in den vergangenen 14 Tagen eingecheckt hat, kann die Veranstaltungen ins Kontakt-Tagebuch übertragen und manuell auschecken.

Dezentral und datensparsam

Die neue Funktion soll helfen, Superspreader-Events frühzeitig zu erkennen und Infektionsketten zu unterbrechen. Wenn sich viele Menschen bei einer Veranstaltung auf einmal infizieren, droht bislang ein Schneeballeffekt: Die App kann nicht warnen, weil sich die Personen nicht nahe genug gekommen sind, um einen Alarm auszulösen - oder weil die Berechnung der Entfernung mittels Bluetooth Low Energy schlicht zu ungenau ist. Also erfährt man nichts von der Risikobegegnung und steckt womöglich weitere Menschen an.

Wie die gesamte Corona-Warn-App funktioniert die Event-Registrierung dezentral und datensparsam. Es gibt keine zentrale Instanz, die Veranstaltungen, Orte und Besuche erfasst. Die Diagnoseschlüssel und Check-ins bleiben lokal gespeichert, bis man sich im Fall eines positiven Tests entscheidet, die Informationen hochzuladen. Auch dann landen keine personenbezogenen Daten auf dem Server. Weder App-Entwickler noch andere Nutzerinnen und Nutzer können infizierte Personen identifizieren.

Dieser Ansatz unterscheidet sich von anderen Check-in-Modellen. Am bekanntesten ist die App Luca, die in Talkshows von Prominenten wie dem Rapper Smudo beworben und seit Wochen kontrovers diskutiert wird. 13 Bundesländer haben zusammen mindestens 20 Millionen Euro ausgegeben, um Luca zu nutzen, obwohl die App wegen Problemen beim Datenschutz in der Kritik steht.

Der Chaos Computer Club forderte deshalb "das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab" und beklagte "eine nicht abreißende Serie von Sicherheitsproblemen". Derzeit untersucht das Bundesamt für Sicherheit in der Informationstechnik die App auf mögliche Schwachstellen.

Luca ist bislang nicht kompatibel

Luca speichert die Daten zentral und macht sie den Gesundheitsämtern zugänglich. Die App soll die Papierlisten ersetzen, in die Gäste etwa in Restaurants ihre Kontaktdaten eintragen müssen. "Die Anforderungen der Politik an die Anwesenheitsdokumentation werden von der Corona-Warn-App gar nicht erfüllt", sagt Luca-Geschäftsführer Patrick Hennig. "Dazu müsste man Luca also zusätzlich nutzen."

Bislang seien die beiden Apps aber nicht kompatibel: "Die QR-Codes, die jetzt von uns draußen sind, die können noch nicht mit der neuen Version der Corona-Warn-App gelesen werden." Man sei deshalb im Austausch mit SAP und dem Bundesgesundheitsministerium. Das Update der Corona-Warn-App ist über Apples App-Store und den Play-Store von Google verfügbar. Bis es bei allen Nutzerinnen und Nutzern ankommt, kann es bis zu 48 Stunden dauern.