Gestern wurde die zweite Version der von Accenture Österreich entwickelten Stopp Corona-App des Roten Kreuzes für iOS und Android online gestellt – der brutkasten berichtete bereits im Vorfeld. In einem Pressegespräch beantworteten heute Bundesrettungskommandant Gerry Foitik, Accenture Österreich-Chef Michael Zettel und Christian Winkelhofer, Projektleiter der Stopp-Corona-App bei Accenture, Fragen zur App und insbesondere zum Datenschutz.

+++ Coronavirus: Alle News, Daten und Hintergründe +++

Nach Containment und Mitigation kommt wieder Containment

Generell stehe man in der Bekämpfung der Coronavirus-Pandemie in Österreich nach einer ersten “Containment”-Phase ab Februar und einer “Mitigation”-Phase ab Mitte März nach Ostern wieder in einer zweiten “Containment”-Phase. In dieser gebe es mehrere Strategien zur Eindämmung der Pandemie. “Hier geht es um das schnelle Auffinden und Isolieren von Erkrankten. Dazu braucht es eine gute Informationslage in der Bevölkerung, eine schnelle Erkennung von Verdachtsfällen und dann eine schnelle Testung”, sagt Foitik. In der ersten Containment-Phase hätten die damals verfolgten Strategien nicht ausgereicht, um die exponentielle Entwicklung der Coronavirus-Epidemie in Österreich aufzuhalten.

Stopp Corona-App: Zeitgewinn bei Kontaktpersonen-Management

“Besonders wichtig ist in diesem Zusammenhang das Kontaktpersonen-Management”,erklärt der Bundesrettungskommandant. “Infizierte erstellen dazu ja ein detailliertes Protokoll über Kontaktpersonen der vergangenen 48 stunden, die sich dann laut behördlichem Bescheid ‘absondern’, also isolieren müssen. Genau hier setzt die Stopp Corona-App an, um Menschen und Behörden zu unterstützen und wertvolle Stunden zu gewinnen”. Denn Infizierte würden im Median erst nach fünf bis sechs Tagen Symptome zeigen, seien aber bereits bis zu 48 Stunden davor infektiös. Werden Kontaktpersonen bereits bei Verdacht informiert – wie mit der App vorgesehen – und nicht erst nach einem positiven Test, können diese sich bereits isolieren, bevor sie selbst infektiös werden und die Infektionskette werde unterbrochen. Die App sei aber “kein Allheilmittel”, betont Foitik.

“Infektionsgefährlicher Kontakt” kann automatisch erfasst werden

Konkret können User mit der App über den Tag Kontakte sammeln, was inzwischen, mit Zustimmung der User, auch automatisiert möglich ist (wobei Bluetooth nur bei Android im Hintergrund laufen kann und die App bei iOS daher aktiv laufen muss). Als “infektionsgefährlicher Kontakt” gilt dabei prinzipiell, wenn über einen Zeitraum von länger als 15 Minuten ein Abstand von weniger als zwei Meter bestand, bzw. man gemeinsam auf kleinem (geschlossenen) Raum, etwa in einem Auto war. Jeder User hat ein eigenes komplett anonymes Kontakttagebuch, das er gleich informieren kann, wenn ein Verdacht besteht, der über einen Test mit drei Fragen geklärt wird (Anm.: Fieber über 38 Grad Celsius, trockener Husten, andere plausible Erklärung für die Symptome). Damit wird eine virtuelle Ampel auf “gelb” gestellt und alle Kontakte der letzten 48 Stunden informiert. Nach einem klärenden Test kann diese dann vom User je nach Ergebnis auf “grün” oder “rot” umgestellt werden.

Datenschutz in der Stopp Corona-App

Neben einer nach kurzer Zeit wieder beendeten Diskussion um die mögliche verpflichtende Nutzung der App (diese wurde dann ausgeschlossen) traten in der Öffentlichkeit zuletzt auch zahlreiche Fragen zum Thema Datenschutz in der Stopp Corona-App auf. “Wenn man die Server hacken würde, würde man nur verschlüsselte Nachrichten finden. Und wenn man diese entschlüsseln würde, bekäme man nur die Information, dass Kontakte zwischen Personen stattgefunden haben, aber keine weiteren Einblicke dazu”, erklärt Accenture-Projektleiter Winkelhofer. Denn User hätten in dem System überhaupt keine ID.

“Zeitliche Unschärfe”

“Sie müssen auch keinerlei Angaben zu ihrer Person machen. Lediglich, wenn Verdacht besteht, müssen sie ihre Telefonnummer angeben, um ihre Angabe per TAN-Code zu bestätigen”, ergänzt Accenture Österreich-Chef Zettel. Die Kontakt-Informationen würden nur lokal am Handy gespeichert – anonym, verschlüsselt und mit “zeitlicher Unschärfe”, erklärt Winkelhofer. Der Server (Anm. Cloud-Server mit Standort Frankfurt a.M.) agiere “nur als Postbote”, wobei auch statistische Daten verschlüsselt und mit zeitlicher Unschärfe weitergeleitet werden würden. Nach 30 Tagen würden die Daten am Smartphone gelöscht – oder bei Löschen der App. Der Projektleiter stellt jedenfalls klar: “Mit Big Data hat das nichts zu tun”.

Code an Datenschutz-NGOs offengelegt, Austausch mit Novid20 und Pepp-PT

Michael Zettel machte auch noch weitere Angaben zu den Plänen, den Code Open Source zugänglich zu machen. “Das ist ein Arbeitsschritt, der einiges an Vorbereitung braucht. Der Code muss gut dokumentiert und abgesichert sein. Es bedarf auch einer rechtlichen Hinterlegung als Open Source Lizenz”, so Zettel. Eine breitere Offenlegung werde “wahrscheinlich in ein paar Wochen” erfolgen, davor wolle man noch etwaige Sicherheitslücken beheben. An verschiedene Uni-Institute und Datenschutz-NGOs wie NOYB oder Epicenter Works habe man den Code aber bereits weitergegeben. Auch mit dem Novid20-Team gebe es einen regen Austausch. International sei man mit dem Team hinter Pepp-PT in Gesprächen, um auf Dauer eine international akkordierte Lösung zu bieten.

Archiv: Roundtable zu Tech und Datenschutz in der Coronakrise


⇒ Page des Roten Kreuzes zur App

Redaktionstipps