Update bei Google und Apple

Kontaktverfolgung soll bald auch ohne App klappen

Eine neue Funktion in iOS ermöglicht die Corona-Kontaktverfolgung direkt über das Betriebssystem. Für Infektionsmeldungen ist allerdings weiter die Installation einer App notwendig

Kontaktverfolgung per Handy
Bislang war für Contact Tracing eine eigene App notwendig Gemeinfrei-ähnlich freigegeben durch unsplash.com Mika Baumeister

Ein Softwareupdate bei iOS und Android soll künftig digitale Kontaktverfolgung von möglichen Covid-19-Infektionen auch ohne eigene App möglich machen. Apple und Google wollen laut einem Bericht des Guardian in den kommenden zwei Wochen die nächste Phase ihres Contact-Tracing-Sytems ausrollen. Nutzende können die Kontaktverfolgung dann bei iOS direkt in den Einstellungen ihrer Handys aktivieren.

In der Coronakrise entwickelten viele Staaten auf der Welt eigene Apps, um Infektionsketten digital leichter nachvollziehbar zu machen. (Siehe dazu unser FAQ.) Nach Datenschutzproblemen und technischen Schwierigkeiten bei den Apps in einigen Ländern schufen Apple und Google im April einen eigene Schnittstelle für Tracing-Apps. Daraufhin stellten die meisten EU-Staaten, darunter auch Deutschland, ihre App auf den datenschutzfreundlichen de-facto-Standard der beide Firmen um.

In das Apple-Betriebssytem iOS könnte die Funktion zum Austausch von Kontaktinformationen schon ab der Version 13.7 integriert sein, wie aus einer seit vorgestern öffentlichen Beta-Version hervorgeht. Unklar ist allerdings, ob die neue Version des Betriebssystem auch tatsächlich Warnungen über Risikokontakte ausspielen kann, wie der Spiegel anmerkt. Jedenfalls möglich sein dürfte dies ab der iOS-Version 14, die im Oktober erwartet wird.

Bei Android hingegen wird es keine Funktion zur Kontaktverfolgung direkt im Betriebssystem geben. Stattdessen bietet Google seine Entwicklerdienste Behörden an, die bislang keine eigene App entwickelt haben, sagte eine mit der Angelegenheit vertraute Quelle gegenüber netzpolitik.org.

Bislang können die Apps der einzelnen Länder keine Kontakte austauschen: Die österreichische Stopp-Corona-App „spricht“ nicht mit der deutschen Corona-Warn-App, obwohl beide auf der Grundlage von Apple und Google beruhen. Die EU-Kommission arbeitet seit Monaten an einer technischen Lösung, die die Apps aller EU-Staaten miteinander interoperabel machen soll. Allerdings scheiterte sie an ihrem eigenen Anspruch, eine Lösung noch vor der Sommerreisezeit vorzulegen, als frühester Termin gilt nun Ende September.

App weiter nötig für Infektionsmeldungen

Tracing-Apps gänzlich ersetzen kann auch das iOS-Update nicht. Denn die neue Funktion ermöglicht nur die passive Teilnahme, für das Melden einer offiziell bestätigten Infektion ist weiterhin eine App notwendig. In iOS soll die Nutzende zur App-Installation aufgefordert werden, sollte sie eine Infektionswarnung erhalten, heißt es in einem älteren FAQ von Apple.

In vielen Ländern wächst die Zahl der Neuinfektionen, was auch das Bedürfnis nach besseren Möglichkeiten zur Kontaktverfolgung steigen lässt. Allerdings haben Behörden an einigen Orten ihre Hoffnungen in digitale Hilfsmittel zurückgeschraubt, da sie nach bisherigen Erfahrungen vergleichsweise wenige Infektionsmeldungen produziert. Zuletzt weckte zudem eine Studie Zweifel an der Wirksamkeit der Bluetooth-basierten Technologie in öffentlichen Verkehrsmitteln.

Die leichtere Verfügbarkeit könnte die Zahl der Nutzenden von digitaler Kontaktverfolgung erhöhen – die deutsche App wurde zwar bereits 17,5 Millionen Mal heruntergeladen, wenn dies der Zahl der aktiven Nutzenden entspräche, wären das 21 Prozent der deutschen Bevölkerung. Der Simulation einer Forschergruppe der Universität Oxford zufolge ist die App wirksam, wenn begleitet von anderen Maßnahmen mindestens 15 Prozent der Bevölkerung daran teilnehmen. Allerdings ist unklar, wie viele Menschen in Deutschland die App aktiv nutzen, denn dazu gibt es keine offiziellen Zahlen.

Update vom 10. September 2020: Die Angaben zum geplanten Update bei Android und zur Oxford-Studie im letzten Absatz wurden nachträglich ergänzt. Ein Absatz über Auswirkungen des Updates auf die Interoperabilität von Apps zwischen europäischen Staaten wurde wegen fehlender Relevanz gestrichen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

9 Ergänzungen
  1. Ich hätte zwei Fragen, die sich am Ende als Ergänzung herausstellen könnten:

    „Die österreichische Stopp-Corona-App „spricht“ nicht mit der deutschen Corona-Warn-App“
    Werden gar nicht erst Contact IDs des Apple/Google-Frameworks ausgetauscht oder landen erfahre ich als Nutzer der DE App nur nicht, wenn ich mit einem Infizierten der AT App Kontakt hatte?

    „Das Update von Apple und Google könnte dieses Problem aus der Welt schaffen. Ist die Option zum Austausch von anonymisierten Kontaktdaten erst standardmäßig auf allen Handys verfügbar, dürften auch Ländergrenzen keine Rolle mehr spielen. Ob das EU-Projekt der Interoperabilität von Tracing-Apps durch das Update von Apple und Google obsolet ist, konnte eine Sprecherin der EU-Kommission zunächst nicht beantworten.“

    Also geben die Gesundsheitsämter schon jetzt die Daten an Google/Apple? Ich dachte mein Smartphone bekommt die ID-Liste der Infizierten einmal am Tag über den Download in der App.

    1. Ersteres kann ich ad hoc nicht beantworten, bei zweiterem ist die Frage, ob nicht das OS selbst den Download der ID-Listen (nach Voreinstellung des Aufenthaltslandes) vornehmen kann. Das Apple-FAQ stellt es so dar, als wäre in der „zweiten Phase“ keine App mehr für das Erhalten von Infektionswarnungen mehr nötig: “ If a match is detected the user will be notified, and if the user has not already downloaded an official public health authority app they will be prompted to download an official app and advised on next steps.“ https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.1.pdf

      1. Dann können die alle Bugs ein zweites mal implementieren :), bezüglich der auf dem System gespeicherten Warnungen, die allerdings dann auch mit anderen Parametern erzeugt wurden, als die nachträglich installierte App haben wird.

        Ich hatte ad hoc noch keine Idee, wo das jetzt schlimmer wird, weil das Konzern-OS mehr macht (besser vielleicht, weil einige Fehlerquellen wegfallen, und vor allem Interoperabilität dazukommt). Mehr Daten und mehr Kontrolle auf OS Seite ist natürlich immer ein potentieller Hebel. Z.B. die „du warst Infizierten nah“ Meldung kann auch strategisch eingesetzt werden. Kommt die nun vom offiziell vom OS, besteht da eine zentrale Eingriffsmöglichkeit. An der Stelle wäre es u.a. nett, die Spezifikation des verwendeten Zufallsgenerators zu kennen.

  2. Ich bin froh und dankbar, dass uns Apple und Google jene grenzüberschreitenden digitalen Infrastrukturen schaffen, um uns Bürger*innen eine solche technologische Daseinsfürsorge angedeihen lassen, wie sie uns infolge europäischer Kleinsstaaterei sonst niemals zu teil werden würde.
    Deutsche Corona-Warnapps, österreichische, fränzösische oder welcher Herkunft auch immer; all das sind doch nationalstaatliche Anachronismen aus einer eigentlich längst überwundenen technologischen Ära; nur dass eben unsere europäischen Einzelstaaten lieber mental in ihren hergebrachten und analog an das geographisch-physische Territorium verhaften Staatsgrenzen und Rechtsräumen verharren.
    Damit lässt sich zwar der faktische (digitale) Souveränitätsverlust ein Stück weit kaschieren; verhindert aber nicht, dass jene digitalen Privatkonzerne die eigentlichen Stifter und Hoheitsträger unsere digitalen Lebenswirklichkeit sind.

  3. Herr Fanta, in nachfolgender Feststellung schreiben Sie von einem „datenschutzfreundlichem Standard der beiden Firmen Apple und Google:
    „Daraufhin stellten die meisten EU-Staaten, darunter auch Deutschland, ihre App auf den datenschutzfreundlichen de-facto-Standard der beide Firmen um.
    Selten so gelacht! Anbei meine auf die Corona-Warn-App bezogenen Anmerkungen hierzu:

    „Nur mal so am Rande für alle, die nicht verstehen wollen, dass die Corona-App massive Datenschutzprobleme hat. Kürzlich wurde eine irische Studie veröffentlicht, die genau auf die „Datenschutzschwachstelle“ hinweist, die unter anderem auch ich schon seit längerem im Visier habe:
    Die Apple-bzw. Google-API!
    Zum Inhalt dieser API (= von Apple bzw. Google geliefert App-Infrastruktur):
    SAP betont gegenüber heise online (News 7/2020, 24.07.2020), der Schlüsselaustausch bei Begegnungen mit anderen Personen … ist nicht Teil der Corona-App, sondern im System selbst verankert (unter Android in den Einstellungen unter „Google Dienste und Einstellungen / COVID-19-Benachrichtigungen“ zu finden).
    Die Iren haben übrigens auch Hinweise gegeben, wie man diese Datenschutzschwachstellen umgehen könnte (vgl. hierzu heise-online vom 29.07.2020, „Corona-Apps im Datenschutz-Check“). Der Hinweis auf die bisherige Praxis von Apple und Google geht also ins Leere!

    Der TÜV hatte übrigens bei der von der Bundesregierung beauftragten Prüfung auf Datenschutz-Konformität explizit diese von Apple und Google gelieferte App-Infrastruktur ausgeschlossen! Stand am 12.6.2020 in heise online!

    Die Bundesregierung sieht keine Datenschutz-Probleme und behauptet Konformität mit der DSGVO, was für die gesamte Contact-Tracing-Anwendung aber nicht richtig ist:
    Datenschutzexperten haben darauf hingewiesen, dass Google und Apple u.a. sogar an die Kontaktinformationen gelangen und daraus Informationen über Infektionsfälle und Expositionsrisiken ableiten können (vgl. z.B. auch den Beitrag „
    Kritik an Datenschutzfolgenabschätzung für die Corona-Warn-App“ in netzpolitik.org vom 29.6.2020).
    Mittlerweile beschränkt die Bundesregierung ihre Behauptung der Datenschutzkonformität auf den von SAP/TELEKOM entwickelten Teil der Corona-Warn-App – was eben nur ein Teil ist! Aber der Ministerpräsident von Thüringen, Bodo Ramelow, sieht ein weiteres Corona-App-Datenschutz-Leck bei den Gesundheitsämtern und wirft der Bundesregierung Organisationsversagen vor.
    Aber selbst viele selbst ernannte IT-Experten wollen das alles nicht wahrhaben und verunglimpfen die Coraona-Warn-App-Warner als Verschwörungstheoretiker! Geht‘s noch?„

    Noch Fragen?

  4. Wie datenschutzkonform ist so was?
    Grundsätzlich könnte eine Kontaktververfolgung für jeden anderen Zweck auch über diese Schnittstelle erfolgen. Beispielsweise Firmen die Kontaktprofile anlegen und diese mit anderen Datenquellen kombinieren um das „Nutzererlebnis zu verbessern“ oder Stellen/Dienste welche im gewünschten Gebiet keine Funkzellenabfrage vornehmen können.
    Ist so was im Betriebssystem verankert, kann man das nur mit gerooteten Geräten unterbinden.
    Mal von der Möglichkeit abgesehen BT und Wlan zu deaktivieren, was immer eine gute Idee ist, und an die gute alte Funkzellenabfrage sollte man immer denken.

  5. Ich weiß immer noch nicht, warum nicht wenigstens die Anzahl der (wäre auch völlig ausreichend) wöchentlichen Kontakte hochgezählt und angezeigt werden.
    Womit sollte ich denn sonst die Funktionsfähigkeit der App überprüfen können ?

  6. „Nutzende können die Kontaktverfolgung dann direkt in den Einstellungen ihrer Handys aktivieren.“
    Ah ja ? Geht denn auch deaktivieren ?
    Wahrscheinlich genauso gut, wie das „Abschalten“ der Geolokalisierung.

    Morgen kommt der Weihnachtsmann.
    Und bringt hoffentlich ein Android, das von den ganzen Wohltaten befreit ist.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.