Kontakttagebücher wie Corona-Warn-App, luca App und Co. im Test
Das erhöhte Corona-Impftempo treibt schrittweise Öffnungen voran und macht das Thema Kontaktverfolgung besonders aktuell. Ein wichtiges Mittel zur Eindämmung der Corona-Pandemie ist das Führen eines Corona-Kontakttagebuchs. Die Sicherheitsexperten von mediaTest digital haben mit ihrem Analyse-Tool APPVISORY die fünf wichtigsten Corona-Kontakttagebücher unter die Lupe genommen und sie auf ihren Umgang mit persönlichen Nutzerdaten geprüft.
Kontakttagebuch – analog oder digital?
Kontakttagebücher dokumentieren die Begegnungen mit Personen und unterstützen die effektive Nachvollziehung möglicher Infektionsketten sowie das Einschätzen des eigenen Infektionsrisikos. Menschen können in einem Kotakttagebuch folgende Punkte festhalten:
- Kontaktperson
- Tag und Dauer der Begegnung
- Ort der Begegnung (draußen/drinnen)
- Getroffene Schutzmaßnahmen der AHA+L-Formel
Es können verschiedene Möglichkeiten eines solchen Kontakttagebuchs genutzt werden. Neben der klassischen Erfassung mit Stift und Papier, die erfahrungsgemäß oft zu Missbrauch und Datenschutzverstößen führt, bietet sich die digitale Dokumentation der Kontakte an. Sowohl für iOS als auch für Android besteht die Möglichkeit, sich kostenlose Kontakttagebuch-Apps herunterzuladen und seine Kontaktbegegnungen mobil zu erfassen. Dies bietet den Vorteil, dass die erfassten Daten nicht verloren gehen und die Nutzenden ihr Kontakttagebuch immer und überall einsehen können. Viele Nutzer:innen treten mobilen Kontakttagebüchern jedoch skeptisch gegenüber, da sie sich um den Schutz ihrer Privatsphäre sorgen. mediaTest digital hat den Test gemacht und die beliebtesten Kontakttagebücher-Apps auf ihre Datensicherheit geprüft.
Coronika
Die Coronika-App der Björn Steiger Stiftung war lange Zeit nur für Android-Geräte verfügbar und steht seit Ende 2020 auch iOS-Usern zur Verfügung. Aktuell liegt die App für iOS und Android in der Version 2.1.1 vor. Die Tests haben ergeben, dass Coronika sowohl auf iOS- als auch auf Android-Geräten Zugriff auf die Kontaktliste des Nutzers einfordert. Dadurch sollen Nutzer:innen leichter erfassen können, wen ihrer bestehenden Kontakte sie getroffen haben. Erfreulicherweise stellt sich heraus, dass Coronika Nutzerdaten ausschließlich auf dem Gerät speichert und diese nicht überträgt. Den Sicherheitsexperten von mediaTest digital ist weiterhin positiv aufgefallen, dass die App auf iOS-Geräten keine Tracking- und Analysedienste zur Nachverfolgung des Nutzerverhaltens einsetzt. Anders sieht es hingegen auf Android-Geräten aus. Die App nutzt hier das Analysetool Google Firebase Analytics, jedoch nicht zur Übermittlung von Nutzerdaten, sondern als reinen Service für Push-Benachrichtigungen.
Daicy
Die Anwendung Daicy, ehemals Cluster Diary, ist in der aktuellen Version für iOS-Geräte (v 3.0.0) und Android-Geräte (v 3.1.0) kostenlos verfügbar. Auf iOS-Geräten fordert die App Zugriff auf die Kontakte und den Standort der Nutzer:innen, um diese Daten in die App zu importieren. Dadurch wird die Infektionskettennachverfolgung erleichtert und die Kontakte können im Falle einer Infektion benachrichtigt werden. Die Experten von mediaTest digital konnten erfreulicherweise feststellen, dass die App auf iOS-Geräten keine Tracking- und Analysetools zur Sichtung von Nutzerdaten einsetzt. Auf Android-Geräten können die Nutzer:innen der App Zugriff auf ihre Kontakte, jedoch nicht auf ihren Standort, gewähren. Zudem verwendet auch diese Anwendung das Analyseinstrument Google Firebase Analytics. Jedoch verarbeitet die App die Nutzerdaten ausschließlich lokal auf dem Gerät und überträgt sie nicht. Somit ist das Analysetool auch hier als reiner Push-Service im Einsatz.
DoctorBox
Bei DoctorBox handelt es sich um eine digitale Gesundheitsakte, in der Nutzer:innen ihre Gesundheitsdaten einpflegen und speichern können. Seit Neustem bietet die App (iOS & Android 4.0.1) zusätzlich die Nutzung einer ortsbezogenen Frühwarnung inklusive Kontakttagebuch an. Auf Android- und iOS-Geräten hat die Anwendung Zugriff auf die Kontaktliste und den Standort. Den Sicherheitsexperten ist positiv aufgefallen, dass die Übertragung sensibler Daten verschlüsselt an DoctorBox erfolgt. Das bedeutet, dass unbefugte Dritte die Daten nicht lesen können und die App diese ausschließlich an den Hersteller übermittelt. Die Tests haben außerdem ergeben, dass DoctorBox den Analysedienst Adjust nutzt. Dieser Umstand findet sich auch in der Datenschutzerklärung von DoctorBox wieder. Wenn die Nutzer:innen dieser zustimmen, übermittelt Adjust Metadaten an die Werbepartner Google und Facebook. Die über Adjust erhobenen Daten geben Aufschluss über die Nutzungseigenschaften der App und dienen zur Optimierung der Marketingaktivitäten. Eine Übertragung von Daten an Adjust konnte im iOS-Test jedoch nicht festgestellt werden.
Corona-Warn-App
Mit dem neusten Update steht der Corona-Warn-App in der Version 2.0.3 für iOS und 2.1.2 für Android die Funktion des Kontakttagebuchs zur Verfügung. Die Prüfer konnten feststellen, dass die App erfreulicherweise keine Analyse- und Tracking-Tools nutzt und das Kontakttagebuch auch nicht ungefragt Daten an Dritte übermittelt. Auf Wunsch des Users kann das Kontakttagebuch verschlüsselt an das Gesundheitsamt gesendet werden, um die zuständigen Mitarbeiter:innen im Falle einer Infektion bei der Nachverfolgung der Kontaktkette zu unterstützen. Die Eventregistrierung per QR-Code wird ebenfalls nur lokal auf dem Nutzergerät gespeichert, eine Übertragung der Daten findet nicht statt. Erst bei einem positiven Krankheitsfall erhalten die zu dem Zeitpunkt anwesenden Teilnehmer:innen eine Warnmeldung über die Event-ID.
Hier finden Sie alle Corona-Warn-App-Testergebnisse der letzten Monate im Überblick.
luca-App
Die luca-App für iOS (v 1.4.2) und Android (v 1.6.7) hat zuletzt für große Aufmerksamkeit in der Öffentlichkeit gesorgt, da viele Regierungskreise eine Anbindung der App an öffentliche Einrichtungen erwägen. Die App fordert sowohl auf iOS- als auch auf Android-Geräten Zugriff auf den Standort der Nutzer:innen ein. Den Experten von mediaTest digital ist weiterhin aufgefallen, dass die luca-App häufig Trace-IDs bereits vor dem Check-In verschickt. Aus Gründen der Datensparsamkeit sollte darauf verzichtet werden. Erfreulicherweise haben die Tests ergeben, dass die luca-App weder auf Android- noch auf iOS-Geräten Tracking-Dienste einsetzt. Ein weiterer positiver Punkt ist, dass die App Daten verschlüsselt und ausschließlich an den App-Hersteller übermittelt. Kritisch ist hingegen, dass pseudonyme Nutzer-IDs durch die gesammelten Geräte-Metadaten eindeutig identifizierbar sind.
Das Fazit der Sicherheitsexperten zu den Kontakttagebücher-Apps
Die Corona-Kontakttagebuch-Apps sind nicht nur aufgrund ihres Nutzens für die Bekämpfung der Corona-Pandemie empfehlenswert. Sie können auch aus datenschutzrechtlichen Gründen mit gutem Gewissen genutzt werden. Bei dem Kontakttagebuch von DoctorBox handelt es sich allerdings nur um eine Zusatzfunktion der App. Wer auf der Suche nach einer App zur ausschließlichen Dokumentation von möglichen Infektionsketten ist, sollte deshalb eher auf eine der anderen Apps zurückgreifen. Die Corona-Warn-App bietet, falls gewünscht, die Option zur Übertragung des Tagebuchs an das Gesundheitsamt an und ist zudem Open Source. Das heißt, der Quellcode ist offen zugänglich und die Funktionsweise der App kann jederzeit geprüft werden. Dadurch sind die Updates der Corona-Warn-App besser kontrollierbar. Aufgrund dieser hohen Transparenz empfiehlt mediaTest digital deshalb die Nutzung der Corona-Warn-App als mobiles Kontakttagebuch.
Hier haben wir die beliebtesten „Wirbleibenzuhause“-Apps wie Netflix, TikTok und Co. getestet.