UNDO: Die App für neue Freiheit

Wen belastet der lange anhaltende Lockdown nicht? Wir alle wollen zurück zur Normalität. Klar ist, dass das nicht auf einmal passieren kann. Aber doch Schritt für Schritt, mit einem klaren Konzept, überlegt und dauerhaft. Uns allen ist bewusst, wir brauchen ein schnelles Impfen. Das ist der vielversprechendste Weg raus aus den Grundrechtsbeschränkungen zurück in unser normales Leben. Neben dem Impfen kann uns eine digitale Kontaktrückverfolgung wirksam helfen, die Infektionsketten zu durchbrechen. Mit der digitalen Kontaktrückverfolgung undo hat die Scopevisio AG aus Bonn eine demografisch-pandemische App mit dem Ziel der effizienten Entdeckung und Sprengung von Infektionsketten entwickelt.

UNDO steht für ein gemeinsames Tun (UNited DOing), um die Einschränkungen

durch die Pandemie rückgängig (UNDO) zu machen.

Eine solche Lösung muss nicht nur für Privatpersonen einfach beim Ein- und Auschecken zu bedienen sein, sondern auch Einrichtungen jeglicher Komplexität angemessen abbilden (Betreiber-Lounge). Serviceleistungen durch Mitarbeiter müssen möglich sein (Mitarbeiter-Lounge) und das Gesundheitsamt muss effizient und effektiv in die Lage versetzt werden, die Infektionsketten zu erkennen und zu durchbrechen (Gesundheitsamt-Lounge).

Einrichtungs- plus personenzentrierter Ansatz

Scopevisio verbindet in der UNDO-App den einrichtungszentrierten Ansatz aus den länderbezogenen Corona-Schutzverordnungen (Besucherhistorie) mit dem personenzentrierten Ansatz eines persönlichen Tagebuchs (Besuchshistorie).

Warum sind beide Ansätze nur in Kombination effektiv?

  • Bei einer einrichtungszentrierten Lösung werden Personen, die eine Einrichtung besuchen, mit Aufenthaltszeit und -ort registriert (=30-tägige Besucherhistorie der Einrichtung). Umso genauer Ort, Zeit und Kontaktpersonen bestimmt werden, desto effektiver sind Kontakte zurückzuverfolgen. Dies entspricht der Corona-Schutzverordnung.
  • Bei einer personenzentrierten Lösung wird die Einrichtung, die eine Person besucht, mit Aufenthaltszeit und -ort registriert (= 14-tägige Besuchshistorie der Person). Wenn eine Person viele unterschiedliche Einrichtungen besucht und sich jeweils registriert, so baut sie eine persönliche Besuchshistorie (Tagebuch) auf.

Beide Ansätze haben ihren Vorteil. Während der einrichtungszentrierte Ansatz innerhalb einer Einrichtung viel exakter nachverfolgen kann, wer wann mit wem in Kontakt war, so hilft der personenzentrierte Ansatz dabei, die Person bei der Angabe besuchter Einrichtungen in den letzten 14 Tagen zu unterstützen, um „Erinnerungslücken“ zu schließen. Aber erst die Kombination beider Ansätze bringt die besten Ergebnisse: Sollte eine Person Covid-19 positiv werden, so kann das Gesundheitsamt die vierzehntägige Besuchshistorie bei der infizierten Person anfragen. Mit der Kenntnis, zu welcher Zeit in welcher Einrichtung die infizierte Person war, kann das Gesundheitsamt in den betreffenden Einrichtungen die Besucherhistorie aller Personen, welche zur gleichen Zeit dort waren, über den Betreiber der Einrichtung anfordern.

UNDO, die Profi-Lösung für Einrichtungen und Betreiber

Die UNDO-Lösung ist sowohl für kleine und einfache Einrichtungen geeignet als auch für große komplexe Einrichtungen. Die Mandantenfähigkeit von UNDO erlaubt es auch großen Gruppen beispielsweise aus der Hotellerie, Krankenhäusern, Einzelhandel, Franchising oder Konzernen die digitale Kontaktnachverfolgung zentral zu administrieren und dezentral einzusetzen.

Umso größer und komplexer Einrichtungen, Veranstaltungen oder Gruppen, umso weniger sind Wettbewerbslösungen in der Lage diese Komplexität zu beherrschen. Denken Sie an ein Fußballstadion mit 40.000 Besuchern. Es ist nicht sinnvoll, vom Gesundheitsamt alle Personen in einem Fußballstadion zu engen Kontaktpersonen (höheres Infektionsrisiko) zu erklären, nur weil eine infizierte Person im Stadion war. Umso größer die Einrichtung bzw. Veranstaltung, desto wichtiger ist es, den exakten Aufenthalt einer infizierten Person zu kennen. UNDO registriert die Einrichtung mit beliebig tiefen Gliederungsebenen. D.h. durch einfaches Scannen des QR-Codes einer Eintrittskarte, z.B. von Eventim, wird die Organisationsstruktur der Einrichtung automatisch erkannt und angelegt. Beispielsweise in der personenzentrierten Sicht eines Fußballstadions: Osttribüne, Eingang B, Zone B2, Reihe 15, Platz 27. Wird die Person auf diesem Platz 27 als infiziert gemeldet, dann kann das Gesundheitsamt in der einrichtungszentrierten Sicht alle engen Kontaktpersonen in einer von UNDO dynamisch errechneten Infektionszelle rund um die infizierte Person mit der Besucherhistorie vom Veranstalter gemeldet bekommen. Beispielsweise können die Personen im Umkreis von 3 Metern zu engen Kontaktpersonen deklariert werden. Mit solchen Analysen bleibt das Gesundheitsamt selbst bei großen Einrichtungen und Veranstaltungen operativ handlungsfähig.

Infektionszellen können über Risikofaktoren näher beschrieben werden. In der Gesundheitsamt-Lounge wird somit eine vom RKI geforderte Risikobewertung möglich.

UNDO kombiniert umfänglich und detailreich diese beiden Ansätze in einer Lösung. Die UNDO-Lösung wurde für einfache bis sehr komplizierte und große Einrichtungen konzipiert. Die UNDO-App in Verbindung mit der UNDO-Web-Lösung adressiert gleichzeitig alle Vorschriften der länderbezogenen Corona-Schutzverordnungen mit den Vorteilen einer vollständig geschlossenen persönlichen Besuchshistorie.

Einfach zu bedienen, aber mit hohem Comfort: Das ist UNDO

Die UNDO-Lösung ist so bedienungs- und einrichtungsfreundlich wie möglich und dennoch äußerst leistungsfähig: Die Registrierung erfolgt mittels der gesetzlich vorgeschriebenen personenbezogenen Daten. Zur Validierung der Registrierung natürlicher Personen an UNDO dient ein TAN-Code, der zur Bestätigung an die angegebene mobile Telefonnummer übertragen wird. Zur Validierung der Registrierung von Einrichtungen an UNDO dient eine E-Mail-Bestätigung im double-opt-in Verfahren an die angegebene zu hinterlegende E-Mail-Adresse. Es gibt kopiersichere dynamische QR-Codes, die sich alle 30 Sekunden erneuern.

Native iOS- und Android-Apps sowie eine Web-App sind für Privatpersonen vorhanden. Mitarbeiter-, orts- und platzbe­zo­gene QR-Codes sind ausdruckbar sowie manuelle digitale Erfassungen durch den Besucher, eine Begleitperson oder einen Mitarbeiter durchführbar.

Der QR-Code kann sowohl durch den Betreiber bei der Person als auch durch den Besucher bei der Einrichtung gescannt werden. Der Check-in wird über Geofencing plausibilisiert, d.h. es wird geprüft, ob sich die eincheckende Person am Standort der Einrichtung befindet. Der Check-out kann durch den Besucher, den Betreiber wie auch durch Geo­fencing mittels Entfernens vom Standort erfolgen. Insbesondere für bewegliche Einrichtungen wie Züge oder Busse kann das Geofencing ausgeschaltet werden.

Einrichtungsbezogene Informationen wie beispielsweise Menükarten, Wegweiser, Hinweistafeln, Programmhefte, Anweisungen, usw. können zur kontaktlosen Nutzung vom Betreiber in UNDO ebenso wie individuelle Bilder, Logos oder Banner hinterlegt werden. Beim Einchecken werden die Individualisierungen aktiviert und beim Auschecken deaktiviert. Für große und verbundene Unternehmen (Gruppen) gibt es eine einfache Erfassung von Massenstammdaten, beispielsweise für Einrichtungen, Mitarbeiter, Bereiche, Zonen, Räume, Einheiten, Tische, Stühle oder Plätze (Import). Die persönlichen Besuchsdaten werden nach 14 Tagen und die einrichtungsbezogenen Besucherdaten nach 30 Tagen verordnungskonform jeweils automatisch und endgültig gelöscht.

Wo ist UNDO einsetzbar?

UNDO ist überall einsetzbar, bundesweit in jeder Einrichtung und von jeder Person: Ob in Kirchen, Hotels und Gastronomien, dem Einzelhandel, im Museum, dem Kindergeburtstag, der Schule, im Hörsaal, im Kindergarten, bei Veranstaltungen, im Zoo, am Arbeitsplatz, bei privaten Festen, in Großhallen, in (Fußball-)Stadien, in der Verwaltung, im Bau- und Lebensmittelmarkt, im Parlament oder der Hauptversammlung. Dem Einsatz sind kaum Grenzen gesetzt.

Wer kann UNDO nutzen?

Uneingeschränkt jede Privatperson, jede Einrichtung, jeder Mitarbeiter und das Gesundheitsamt können UNDO kostenfrei nutzen. Es gibt vier unterschiedliche Nutzergruppen, für die jeweils eine Anwender-Lounge zur Verfügung steht:

  1. Privatpersonen über die UNDO-App (nativ und Web-App).
  2. Einrichtungen über die Betreiber-Lounge (Web-Lösung).
  3. Servicekräfte, Verkäufer, … über die Mitarbeiter-Lounge (Web-App).
  4. Zur Pandemiebekämpfung das Gesundheitsamt über die Gesundheitsamt-Lounge (Web-Lösung).

Für jede Lounge stehen anwenderbezogene Funktionalitäten zur Verfügung. Die klare Ordnung reduziert die Anwendungskomplexität und vereinfacht die Handhabung auf das Wesentliche.

Welche Funktionen stehen dem Gesundheitsamt in UNDO zur Verfügung?

Die Herausforderung der Gesundheitsämter ist, bei hohen Inzidenzzahlen eine riesige Datenflut von Kontaktnachverfolgungen zu überwachen. Um diese Arbeit möglichst effizient zu unterstützen, wurde in UNDO eine Gesundheitsamt-Lounge entwickelt. Mit einer Zwei-Faktor-Authentifizierung kann das Gesundheitsamt in einen geschützten Bereich eintreten und von dort aus mit Personen und Betreibern in eine direkte und schnelle Kommunikation treten. Das RKI empfiehlt den Gesundheitsämtern eine Risikobewertung im Sinne einer einmaligen bzw. fortdauernden Exposition durch die infizierte Person in ihrem potenziellen Umfeld. Hierzu ist zunächst die Beurteilung des Infektionsumfelds erforderlich. Um diese Risikobewertung dem Gesundheitsamt wesentlich zu erleichtern, erlaubt UNDO die Bildung von Infektionszellen. In Infektionszellen beschreibt UNDO Risikofaktoren einer Exposition und macht Hinweise auf die Intensität einer Aerosolübertragung transparent. Infektionszellen werden in UNDO beispielsweise über die Beschreibung der Art der Räumlichkeit (Größe in QM und/oder CBM des Raumes), die Dauer des Aufenthalts, die Personendichte, Lüftungsverhältnisse (im Freien, große offene Fenster, Lüftungsanlage (RLT), Filterklasse ISO ePM11 zur Reduzierung von Viren und Bakterien, geschlossener Raum), Aktivitäten (Sport, Singen, etc.) und Art der Veranstaltung definiert. Darüber hinaus sind Infektionszellen durch die Betreiber so anzulegen, dass diese die geringste Anzahl von möglichen engen Kontaktpersonen gruppiert.

Bei Anfragen vom Gesundheitsamt beim Betreiber können somit die als enge Kontakte in Frage kommenden Personen leichter identifiziert und über die Risikofaktoren qualitativ besser beurteilt werden. Dies reduziert die Anzahl der nachzuverfolgenden Kontakte signifikant und steigert die Auswahlqualität und Priorisierung der am höchsten gefährdeten engen Kontaktpersonen. Die Arbeit des Gesundheitsamtes kann infolgedessen wesentlich effektiver durchgeführt werden.

Als weiteres Ziel von UNDO wird die Schnelligkeit und der Komfort der Kommunikation vom Gesundheitsamt mit infizierten Personen und Betreibern adressiert. Erhält das Gesundheitsamt die Nachricht über eine infizierte Person, so wird diese Person in der Regel angerufen. Bestätigt diese infizierte Person am Telefon die Nutzung von UNDO und genehmigt die Datenübermittlung der persönlichen Besuchshistorie, dann gilt folgender Prozess:

  1. In der Besuchshistorie wird von der infizierten Person die Historie freigegeben und dem Gesundheitsamt am Telefon ein Freigabe-Code mitgeteilt.
  2. In der Gesundheitsamt-Lounge kann das Gesundheitsamt mit seinem privaten Schlüssel und dem Freigabe-Code die Besuchshistorie entschlüsseln.
  3. Gemäß den gewählten Kriterien, z.B. alle Aufenthalte länger als 10 Minuten in geschlossenen Räumen, kann das Gesundheitsamt die Besuchshistorie eingrenzen.
  4. Mit einem Klick kann das Gesundheitsamt dann die eingegrenzte Historie an Besuchen an sämtliche betroffenen Betreiber zur Freigabe der Besucherhistorie (= enge Kontaktpersonen) senden.
  5. Der Betreiber ist sodann verpflichtet, die Liste der potenziellen engen Kontaktpersonen dem Gesundheitsamt freizugeben. Die Auswahl erfolgt nach den Kontakten in den Infektionszellen und beinhaltet alle vom Betreiber hinterlegten Risikofaktoren.
  6. Das Gesundheitsamt kann nun den Grad des Risikos von engen Kontaktpersonen besser einschätzen und diese gezielt informieren.

Parallel mit der Freigabe der Besucherhistorie werden jeweils im Sormas-Format abgestimmte CSV-Dateien generiert und an das Gesundheitsamt übermittelt. Diese können sodann in Sormas hochgeladen werden. Das Land NRW hat die Entwicklung eines Gateways zum vorgelagerten System IRIS bei der Initiative „Wir für Digitalisierung“ in Auftrag gegeben. Sobald eine API oder ein Gateway zur Verfügung steht, werden wir UNDO unmittelbar online anbinden.

UNDO ist geeignet, selbst in großen und komplexen Einrichtungen bzw. bei Großveranstaltungen die potenziellen engen Kontakte einer infizierten Person einzugrenzen. Das Gesundheitsamt ist mit UNDO in der Lage, auch in solchen Fällen effizient und effektiv die Kontaktnachverfolgung durchzuführen. Folglich kommen Großveranstaltungen wie Bundesligaspiele oder Konzerte mit tausenden von Besuchern wieder in die Reichweite des Verantwortbaren.

Wie steht es mit der Datensicherheit?

Der Datenschutz und die Datensicherheit ist bei UNDO sehr wichtig.

Im einrichtungszentrierten Ansatz werden Besucherdaten von Privatpersonen in einer Einrichtung in einem ISO 27001 zertifizierten Rechenzentrum der Telekom in Deutschland gespeichert. Alle personenbezogenen Datenfelder sind pro Einrichtung individuell verschlüsselt und somit kann auch nicht konkludent über Symmetrien auf einzelne Personen geschlossen werden. Die personenbezogenen Daten einer Besucherhistorie können nur mit dem privaten Schlüssel des jeweiligen Betreibers einer Einrichtung entschlüsselt werden. Die Besucherkennung ist ebenfalls verschlüsselt, somit ist eine Abfrage einer besucherbezogenen Besuchshistorie nicht möglich. Die Privatperson bleibt „Herr“ ihrer Daten in der Besuchshistorie. Der Betreiber einer Einrichtung kann lediglich auf Anfrage des Gesundheitsamtes eine einrichtungsbezogene Besucherhistorie in einem angefragten Zeitraum entschlüsseln (bis 30 Tage zurückliegend) und an das Gesundheitsamt als Sormas-fähige CSV-Datei versenden. Dies entspricht den Bestimmungen der Corona-Schutzverordnungen der Länder.

Im personenzentrierten Ansatz bleibt die Datenautonomie über die persönliche Besuchshistorie ausschließlich bei der Privatperson. Physisch werden die personenbezogenen Besuchsdaten ausschließlich lokal im Speicher des Endgerätes des Nutzers für die Dauer der letzten 14 Tage persistent gespeichert. Die Ansicht auf die Besuchshistorie kann optional über eine PIN gesperrt werden. Mit diesem Schutz kann niemand ohne physischen Besitz und kriminelles „hacking“ des Endgerätes ein Bewegungsprofil erstellen. Insbesondere die Erstellung von breit gefächerten Bewegungsprofilen vieler Personen ist unmöglich. Wenn das Gesundheitsamt bei einer Person die Besuchshistorie anfragt, kann diese Person autonom entscheiden, ob sie diese Besuchsdaten dem Gesundheitsamt übermitteln oder einzelne Einträge vor der Übermittlung löschen möchte. Eine gesetzliche Pflicht zur Übermittlung gibt es nicht.

Auf einen systemseitigen Schlüssel wird in der UNDO-Lösung verzichtet. Damit sind weder personenbezogene noch einrichtungsbezogene oder Bewegungsdaten von unberechtigten Dritten, auch nicht vom Hersteller SCOPEVISIO, zu entschlüsseln.

Verschlüsselte Eigenschaften eines Besuchs sind die Start- und Endzeiten, der Aufenthaltsort in der Einrichtung sowie eine Einweg-ID von Person und Einrichtung. Der symmetrische Schlüssel wird nicht gespeichert. Eine anonyme Historie von Besuchen, bei der nur Einweg-IDs sichtbar sind, ist für Betreiber einer Einrichtung benutzerübergreifend möglich. Implementiert ist dies mittels der offenen Bibliotheken Stanford Javascript Crypto Library (SJCL) (zeitbasierter SHA-256 Schlüssel) und mit OpenSSL auf Serverseite.

Und mit dem Datenschutz?

UNDO ist DSGVO-konform entwickelt und schützt die Sicherheit personenbezogener Daten. So wurde viel Aufwand darauf verwendet sicherzustellen, dass es unmöglich ist, Bewegungsprofile über viele Personen hinweg zentral erstellen zu können. Die Anwendung ist technisch so aufgebaut, dass datenschutzrechtliche Voreinstellungen, die einer Einwilligung bedürfen, zunächst deaktiviert sind (Artt. 7, 8 DSGVO). Personenbezogene Daten können jederzeit durch die betroffene Person (hier im Sinne von „Nutzer der Anwendung“) selbstständig geändert werden (Art. 16 DSGVO). Die Anwendung nutzt keine Form von Tracking – auch nicht durch Cookies (Art. 25 DSGVO). Die Daten werden verschlüsselt gespeichert (Art. 32 DSGVO). Durch technische Einstellungen ist sichergestellt, dass die Daten im Rahmen der gesetzlich vorgeschriebenen Kontaktdatenverfolgung nach 30 Tagen automatisch und endgültig gelöscht werden (Art. 17 DSGVO).

Die persönliche vierzehntägige Besuchshistorie steht allein in der Hoheit der betroffenen Person. Sie allein entscheidet, ob sie diese Bewegungsdaten auf Anforderung mit dem Gesundheitsamt teilen will. Sie kann diese nach eigenem Ermessen löschen bzw. einzelne Einträge daraus löschen, da für diese Daten keine gesetzliche Verpflichtung zur Erfassung und Übertragung besteht. Die Privatperson bleibt stets „Herr ihrer Daten in der Besuchshistorie“ und besitzt volle Datenautonomie darüber (Art. 18 DSGVO).

Die persönliche vierzehntägige Besuchshistorie steht allein in der Hoheit der betroffenen Person. Sie allein entscheidet, ob sie diese Bewegungsdaten auf Anforderung mit dem Gesundheitsamt teilen will. Sie kann diese nach eigenem Ermessen löschen bzw. einzelne Einträge daraus löschen, da für diese Daten keine gesetzliche Verpflichtung zur Erfassung und Übertragung besteht. Die Privatperson bleibt stets „Herr ihrer Daten in der Besuchshistorie“ und besitzt volle Datenautonomie darüber (Art. 18 DSGVO).

Scopevisio informiert die Nutzer der Anwendung nach den Vorschriften des Artikels 13 von der Datenerhebung und dem Umfang der Datenverarbeitung. Außerdem wird mit der jeweiligen Einrichtung zur Regelung der datenschutzrechtlichen Verpflichtungen eine Vereinbarung zur Auftragsdatenverarbeitung nach Art. 28 DSGVO abgeschlossen. Darin sind auch sämtliche getroffenen technisch-organisatorischen Maßnahmen (TOM), die zum Schutz der Daten getroffen wurden, aufgeführt.

Die Scopevisio legt gegenüber den Datenschutzbeauftragten der Länder sowie dem Bundesdatenschutzbeauftragten den Source Code über GitHub offen und ist maximal transparent. Zu einem späteren Zeitpunkt wird der UNDO Open Source für alle offen gelegt. Dies wird derzeit vorbereitet.

Was ist in Planung?

Kurzfristig zur Verfügung stehen werden die datumsbezogene Hinterlegung von der ersten und zweiten Impfung sowie von einem Antikörpernachweis. Außerdem wird man einen PCR-Test sowie Schnelltests allesamt mit digitalen Nachweisen der Befunde hinterlegen können. Durch die Integration von medizinisch validierten Testbefunden durch verifizierte Labors kann die Sicherheit aller Gäste deutlich erhöht werden. Beispielsweise bei Großveranstaltungen wird man in Kürze mit einem Scan die Gäste registrieren und die Einlasskontrolle bekommt ein akustisches und/oder optisches Signal über das online beim Labor validierte Ergebnis eines tagesgenauen Tests.

Des Weiteren ist ein Veranstaltungskalender in Vorbereitung, welcher den organisatorischen Gliederungsebenen zugeordnet werden kann. Somit steht nicht nur Ort, sondern auch Anlass von potenziellen Kontakten für eine Kontaktnachverfolgung dem Gesundheitsamt zur Verfügung.

Warum ist die Lösung kostenlos?

UNDO kostet niemanden etwas! Dies ist unser Beitrag für die Gesellschaft im Kampf gegen die Pandemie. Die Nutzer der App verpflichten sich zu nichts, diese ist für die Dauer der Pandemie kostenlos und ohne jede Bindung.

Alle Informationen stehen Ihnen hier auch als Download zur Verfügung.

Zur Website der UNDO-APP