Für volle Funktionalität der Corona-Warn-App braucht es unter Android den Standortzugriff. Warum das so ist und kein Problem darstellt, wollen wir erklären.

Die neue Corona-Warn-App hat in der allgemeinen Wahrnehmung der Leute ein Problem, denn sie sorgt mit einer nötigen Berechtigung für reichlich Verwirrung. Obwohl die Corona-Warn-App nicht den Standort der Nutzer abfragt und dieser zur Auswertung der Kontaktmessung nicht gebraucht wird, scheint die App eben doch diese Berechtigung vom Betriebssystem haben zu wollen. Das ist äußerst verwirrend, allerdings keine Voraussetzung der Corona-Warn-App selbst. Es handelt sich stattdessen um eine im Android-Betriebssystem fest verankerte Voraussetzung zur Nutzung von Bluetooth Low Energy – zumindest bei älteren Android-Versionen.

Bluetooth LE auf Android-Geräten: Google integrierte verwirrende Abhängigkeit

Es ist auf jeden Fall schwierig, die Hintergründe allen Lesern gleichermaßen verständlich zu machen. Ich versuche es. Google hat nie gegenüber Nutzern ausführlich dargelegt, warum Bluetooth LE unter Android auch unbedingt den Standortzugriff benötigt. Diese Voraussetzung rührt allerdings aus der Einführung der Beacon-Funktionen mit Android 6 her, früher als Nearby bekannt. Sogenannte Bluetooth-Beacons, wie etwa in einem Schaufenster, konnten über Bluetooth LE mit Nutzer-Smartphones kommunizieren. Hierfür war unter Umständen der Standort nötig. Darauf basierend hat Google zur Voraussetzung gemacht, dass Bluetooth LE auch immer den „Location Access“ benötigt.

In den Entwickler-Richtlinien für Android findet man dazu:

„Ihre App benötigt diese Berechtigung, da mithilfe eines Bluetooth-Scans Informationen zum Standort des Benutzers erfasst werden können. Diese Informationen können von den eigenen Geräten des Benutzers sowie von Bluetooth-Beacons stammen, die an Orten wie Geschäften und Transiteinrichtungen verwendet werden.“

Bluetooth und Standort: Verbindung erst später gelockert

Spannend sind noch weitere Punkte. Ab Android 8 Oreo scheint Google diese Verbindung wieder gelockert und eine alternative Lösung gefunden zu haben.

„Auf Geräten mit Android 8.0 (API-Stufe 26) und höher führt das Pairing von Begleitgeräten im Auftrag Ihrer App einen Bluetooth- oder Wi-Fi-Scan von Geräten in der Nähe durch, ohne dass die Berechtigung ACCESS_FINE_LOCATION (Standort) […] erforderlich ist. Dies hilft, die Anzahl der von Apps benötigten Berechtigungen zu minimieren, und ist für Benutzer datenschutzfreundlicher.“

Damit sollte schon mal klar sein, dass die Verbindung zwischen den Schnittstellen für Bluetooth und Standort nichts direkt mit der Corona-Warn-App zu tun hat. Es ist ein mehrere Jahre altes Thema des Android-Betriebssystems.

Corona-App-Entwickler haben kein Interesse zu informieren

Richtig blöd wird es allerdings, wenn man schaut, wie die Entwickler der deutschen Corona-Warn-App zu diesem Thema stehen. So richtig ausführlich die Nutzer informieren möchte man nicht, lässt sich auf Github nachlesen. Sebastian Wolf von der SAP hinterließ dort folgenden Kommentar zu der Frage, ob man die Nutzer der App nicht besser und direkter informieren möchte:

„Es tut mir leid, Ihnen mitteilen zu müssen, dass entschieden wurde, dass wir der App derzeit keine zusätzlichen Informationsdialoge hinzufügen. Einige von Ihnen haben bereits erwähnt, dass dies [Standortabfrage] ein besonderes Merkmal des Android-Betriebssystems ist, das nicht umgangen werden kann und darf.“

Joa, kann man so machen. Wie gut das bei den Nutzern ankommt, sieht man gerade auf Twitter, Facebook und vielen anderen Internetdiensten. Man weiß bei den Entwicklern um die verwirrende Abhängigkeit der besagten Schnittstellen und möchte trotzdem nicht näher am Nutzer aufklären. In meinen Augen ist das für das Projekt gefährdend, wenn es denn erfolgreich sein soll.

Corona-Warn-App fordert keinen Standortzugriff

Vielleicht können wir skeptische Nutzer damit beruhigen, wenn wir gemeinsam einen Blick auf die tatsächlich eingeforderten Berechtigungen der Corona-Warn-App schauen. Vom Standortzugriff, oder gar GPS, ist dort nämlich nichts zu lesen. Anders als etwa bei Google Maps. Daran sollte deutlich erkennbar sein, dass die Standortabfrage mit den direkt in Android integrierten Covid-19-Benachrichtigungen bzw. Google Play-Diensten zu tun haben. Diese sind für die eigentliche Kontaktmessung unter Android zuständig – unter iOS gibt es ähnliche Dienste. Es ist also nicht nötig, zu glauben, dass die Bundesregierung über die Corona-Warn-App euren Standort permanent abfragen möchte.

Bei Android-Geräten muss die Standortermittlung aktiviert sein, damit Bluetooth-Geräte in deiner Nähe gefunden werden können. Für COVID-19-Benachrichtigungen wird der Gerätestandort jedoch nicht ermittelt und eine Standortbestimmung ist zusätzlich explizit durch die Nutzungsbedingungen mit dem App-Anbieter ausgeschlossen. Android-Nutzer können jederzeit unter Einstellungen > Standort > App-Berechtigung einsehen und entscheiden, welche Apps auf den Standort zugreifen dürfen. – google.com

PS: Die Berechtigung für die Kamera benötigt die Corona-Warn-App wegen des integrierten QR-Code-Scans. Und wer sich fragt, warum die Corona-Warn-App keine Screenshots erlaubt, muss ebenfalls damit beruhigt werden, dass es sich hier um bloße Sicherheitsmaßnahmen handelt. Man versucht vorrangig aus Datenschutzgründen, die App so gut wie möglich von äußeren Einflüssen oder Zugriff abzuschirmen. Daher werden auch Funktionen gesperrt, die das möglich machen könnten.

Preis: Kostenlos

Denny Fischer

Gründer von SmartDroid.de, bloggt seit 2009 über die aktuellsten Technik-Trends. Schon immer an Technik interessiert, begann die Karriere mit eigenem Blog ab 2008 - nur ein Jahr später mit dem Fokus...

Nehmen Sie an der Konversation teil

6 Kommentare

  1. Vielen Dank für ausführliche Erläuterung! Allerdings ist das Problem damit nicht gelöst. Bei mir (und sicherlich ganz vielen anderen) ist die Standortermittlung standardmäßig aus und wird angeschaltet, wenn sie benötigt wird – zur Navigation. Warum? Weil das permanente Suchen nach Satelliten, WLAN APs und Bluetooth Beacons mir zu viel Strom verbraucht! Der Grund ist also zunächst NICHT die Angst vor Überwachung. Dass die Entwickler im Playstore auf die Kritik der erforderlichen Standortdienste dazu raten statt dessen allen anderen Apps manuell die Berechtigungen zu entziehen ist daher der blanke Hohn! SO werden wwohl keine 60% Nutzung erreichen! Ich bin jedenfalls raus!

    1. Das ist ein Irrtum. Standortermittlung bedeutet nicht, dass permanent aktiv nach GPS-Satelliten gesucht wird. Ich habe seit Jahren Wlan, Standort und Bluetooth permanent an, weil ich vieles davon auch im Alltag brauche – auch im Hintergrund aktiv. Die Akkuleistung ist deswegen nicht spürbar schlechter, als wenn ich diese Funktion mal aus habe, etwa an einem Testgerät. Der technische Stand ist heute ein ganz anderer. Bei älteren Geräten muss man im Alltag probieren, ob sich was am Akku ändert – auch weil Standortermittlung früher anders geregelt wurde. Aber abgesehen davon, wird eben nicht permanent der Standort aktiv ermittelt, nur weil der Location Acess mit Bluetooth LE zusammenhängt.

  2. Danke für die ausführliche Informationen! Schön wäre eine App, die die Standorteinstellungen aller installierten Apps verwaltet. So bräuchte man sie nicht mühsam einzeln über die allgemeine Appverwaltung entziehen bzw. belassen. Gibt es so etwas?

  3. Noch einmal ein Hinweis zur allgemeinen Klärung und/oder Verwirrung, für manchen mit Aluhut aber auf jeden Fall ein Aufreger:

    JEDES SMARTPHONE REGISTRIERT JEDERZEIT DEN JEWEILIGEN STANDORT.

    Es nutzt dazu alle ihm zur Verfügung stehenden und aktivierten (!) Dienste. GPS, UMTS (ja, der Provider weiß IMMER, wo man ist), WLAN, Bluetooth. All diese Daten werden unter obigen Voraussetzungen permanent erhoben und KÖNNEN zur Lokalisierung heran gezogen werden. „Können“ deshalb, weil die jeweiligen Apps und Dienste es dann auch abfragen müssen. Mit den Ergebnissen der Lokalisierung wird nicht automatisch wild um sich geschmissen.

    Dass nun die Corona-Warn-App unter Android auf eine Technologie setzt, die auch Positionsdaten wiedergeben kann, heißt nicht, dass es diese Daten auch abfragt oder gar verarbeitet. Das darf sie nämlich z.B. in dem Falle nicht, wo die Abfrage vom Corona-Framework kommt.

    Für die Bedenken- und Aluhutträger sollte das Urteil des CCC zur Corona-Warn-App doch nun wirklich genügen, in dem der App eine vorbildliche Datenschutzfunktion attestiert wird. Oder?

    1. Schon gesehen, was Sarah Wagenknecht sagte? Sie könne nicht nachvollziehen, welche Daten abgegriffen werden, deshalb verzichtet sie auf diese App.

Hinterlassen Sie bitte einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.