Ab 25. Juni können Schweizer*innen die SwissCovid-App nutzen, die bei der Eindämmung des Coronavirus das klassische Contact-Tracing ergänzt. Unsere Forschenden haben die App vor ihrem Release unter die Lupe genommen – eine Stellungnahme.

Der Chaos Computer Club (CCC) hat zehn Kriterien zur Beurteilung von Contact Tracing Apps vorgelegt. Sechs dieser Kriterien werden von der SwissCovid-App erfüllt, vier werden teilweise erfüllt. Die Grafik fasst die Bewertung anhand der CCC-Kriterien zusammen. Sie zeigt, dass sich die Entwickler der App erfolgreich Mühe gegeben haben, die von der Zivilgesellschaft geforderten Qualitätsziele zu erreichen. Sie zeigt aber auch, dass die Nutzung der App aus der Sicht der Sicherheit und des Schutzes der Privatsphäre nicht uneingeschränkt empfohlen werden kann. Die SwissCovid-App schützt die Privatsphäre allerdings wesentlich besser als andere Apps, die von grossen Teilen der Bevölkerung intensiv genutzt werden. Bedauerlich ist nur, dass man entweder die App-Stores von Apple oder den Google nutzen muss, um sie zu installieren.

Abb.: Annett Laube-Rosenpflanzer, Tutorial der Schweizer Informatik Gesellschaft, 19.6.2020

Verbesserungsbedarf gibt es vor allem in Bezug auf die Transparenz. Die Implementierung der App ist Open Source, aber die verwendete Apple API, respektive Google API, sind nicht Open Source. Ihre Implementierung wird nicht offengelegt. Deshalb bleiben einige Fragen offen, beispielsweise, ob die verwendeten Identifikationsschlüssel wirklich zufällig generiert werden und wirklich keinerlei Link zum entsprechenden Benutzerkonto des Smartphones besteht. Auch die Verteilung der Informationen an die App-Nutzenden erfolgt über das CDN Cloudfront von Amazon. Hier besteht die Möglichkeit, dass die App-Nutzenden identifiziert und ihre Wege nachverfolgt werden.

Mehr nachprüfbare Transparenz wäre auch in Bezug auf die «Abstandsmessung» und ihre Zuverlässigkeit wünschenswert. Es ist unklar, wie genau und zuverlässig durch den Einsatz von Bluetooth-Technologie die Wahrscheinlichkeit eingeschätzt werden kann, dass eine Ansteckung stattgefunden hat. Bluetooth selbst misst keine Abstände. Mit Hilfe der Funktechnologie kann ein stattgefundener Kontakt nur durch die Messung der Signalstärke über eine gewisse Zeitdauer ermittelt werden. Wie gut das funktioniert, darüber gehen die Abschätzungen derzeit stark auseinander. Es ist jedenfalls mit vielen False Positives und vielen False Negatives zu rechnen. Die Nutzenden sollten sich dieser Tatsache bewusst sein.

Eine offene Frage ist derzeit, wie die Nutzung der App sich tatsächlich auswirken wird. Werden sich App-Nutzende sorgloser verhalten (Peltzman-Effekt, u.a. bekannt, aber auch umstritten, für das Anschnallen von Gurten im Auto)? Wie werden Menschen mit der Information umgehen, dass sie sich wahrscheinlich infiziert haben? Werden Veranstalter messen, wie viele Teilnehmende die App installiert und aktiviert haben und eventuell Druck ausüben, die App zu nutzen? Diese und andere Fragen können derzeit nicht beantwortet werden.

Eine interessante Alternative zur SwissCovid-App stellt der bewusste Austausch von QR-Codes bei Treffen oder an bestimmten öffentlichen Orten dar (Beispiel: zwaai.app in den Niederlanden). Dieser verlangt mehr Aufwand und erfasst zufällige Begegnungen nicht, dafür ist die dabei stattfindende Risikobeurteilung voraussichtlich zuverlässiger. Deshalb macht es Sinn, diesen Code-Austausch bei längeren Treffen ergänzend zur SwissCovid-App zu praktizieren.

Zusammenfassend sehen wir in der SwissCovid-App ein nützliches digitales Werkzeug zur Bekämpfung von Covid-19, welches die Qualitätsansprüche in Bezug auf den Schutz der Privatsphäre wesentlich weitgehender erfüllt als viele andere populäre Apps. Ziel sollte es sein, noch mehr Transparenz zu schaffen und eine Nutzung ohne Apple-App-Store und Google-Play-Store zu ermöglichen. Wer auch immer die SwissCovid-App nutzt, sollte dies jedoch nicht als Ersatz für die Einhaltung der Covid-19-Schutzmassnahmen ansehen, sondern als Ergänzung. Darüber hinaus ist es möglich, die SwissCovid-App mit weiteren Apps, welche spezielle Risikosituationen treffgenauer einschätzen, zu kombinieren oder entsprechend zu erweitern. Sehr wichtig wäre auch die Zusammenarbeit mit den europäischen Nachbarländern, um die App auch grenzübergreifend, z.B. bei Grenzgänger*innen in Basel oder Genf, einsetzen zu können.

Hintergrund und Acknowledgement

Annett-Laube Rosenpflanzer ist neben Ihrer Tätigkeit an der BFH auch Mitglied des Ethik-Komitees der Schweizer Informatik Gesellschaft (SI). Reinhard Riedl ist neben seiner Tätigkeit an der BFH Präsident der SI. Das Papier ergab sich aus einem SI-Tutorial von Annett Laube-Rosenpflanzer und der daran anschliessenden Diskussion mit allen Teilnehmenden. Die Veranstaltung wurde von Andreas Geppert angeregt, welcher Präsident der SI-Fachgruppe «Informatik und Gesellschaft» ist. Der Dank gilt allen, die zum Entstehen beigetragen haben.