Social Distance Scanner – Mit Digitalisierung und IT-Sicherheit gegen ‘Corona‘

2 Abstract

Zur Eindämmung der COVID-19-Pandemie („Corona“) ist das Wissen um Kontakte zu infizierten Personen von entscheidender Bedeutung. Aufgrund der Schwierigkeit, solche Kontakte zurückzuverfolgen, kommen vermehrt Vorschläge auf, das Potenzial existierender Technologien wie Smartphones für diesen Zweck zu nutzen.

Die physische Nähe von Personen untereinander könnte auf diese Art automatisiert festgestellt und Infektionswege ausgewertet werden. Dies könnte nicht nur für die aktuelle COVID-19-Situation, sondern auch für zukünftige Pandemien entscheidend dazu beitragen, die Ausbreitung zu verlangsamen.

Um dem Missbrauch einer flächendeckenden Überwachung von Bürgern vorzubeugen, müssen beim Einsatz solcher Tracking-Technologien Privatsphäre, Datenschutz und IT-Sicherheit von Beginn an und im Sinne der Benutzer berücksichtigt werden.

Generell sind zwei wesentliche Anwendungsfälle bzw. Use-Cases zu berücksichtigen: Die statistische Gesamtbetrachtung, die eine globale Bewertung der Pandemieentwicklung und -ausbreitung ermöglicht und die individuelle Bewertung des persönlichen Infektions-Risikos für den einzelnen Nutzer.

Die Fokusgruppe Cybersecurity des digitalHUB Aachen, ein Zusammenschluss von IT-Sicherheitsspezialisten aus Unternehmen und Organisationen der Aachener Region, hat es sich zum Ziel gesetzt, die Entwicklung datenschutz- und IT-sicherheits-konformer Tracking-Lösungen zu unterstützen und vorgeschlagene Ansätze diesbezüglich zu bewerten.

Daraus ergeben sich eine Reihe von Anforderungen, die bei der Entwicklung zu beachten sind. Aus der Fokusgruppe heraus wurde das hier vorliegende Diskussions-Papier erstellt, anhand dessen nun im Verlauf der weiteren Arbeit diskutiert werden kann, wie man eine derartige App und deren zentrale Datenhaltung aufbauen könnte, um die Persönlichkeitsrechte der Nutzer zu wahren. Dazu stellt das Dokument verschiedene, technisch denkbare Lösungsansätze vor und bewertet die jeweiligen Vor- und Nachteile.

Mit diesem Wissen und anstehenden Diskussionspunkten möchte sich die Gruppe nun in die Entwicklung derartiger Lösungen einbringen. Hierbei sollen auch andere, sich derzeit in der Entwicklung befindliche und in den Medien diskutierte Lösungsansätze genauer betrachtet, diskutiert und bewertet und diesen Gruppen eine Zusammenarbeit angeboten werden. Ziel ist es, die Expertise der Fokusgruppe Cybersecurity im Bereich der IT-Sicherheit und des Datenschutzes für den Nutzer in die App einfließen zu lassen. Die Gruppe geht davon aus, dass es unabhängig von bereits auf dem Markt befindlicher Apps Gründe geben wird, diese um weitere Funktionen zu erweitern und somit stetig einen Beitrag an diesen Entwicklungen leisten zu können.

Das Dokument erhebt nicht den Anspruch, alle rechtlichen, technischen und organisatorischen Aspekte vollumfänglich und abschließend zu beschreiben, sondern wird laufend fortgeschrieben (Work in Progress). Die Fokusgruppe lädt dazu ein, hierzu in Dialog zu treten (Request for Comments).

• 4.1 Technische Komponente

  Praktisch alle Menschen führen heutzutage ein Smartphone quasi ständig am Körper mit. Dies, vor allem, wenn sie das Haus verlassen und sich in der Öffentlichkeit bewegen. Die meisten heute aktuell verwendeten Smartphones sind mit Bluetooth Sendern- und Empfängern ausgestattet. Hierbei kommt in aktuelleren Geräten der Bluetooth Standard Low Energy (BLE) zum Einsatz, welcher bei relativ niedrigem Stromverbrauch im Nahbereich eine hohe Funktionalität und Kommunikationsfähigkeit besitzt. Eine aktive Bluetooth-Kommunikation basiert auf dem Prinzip des Pairings von Geräten. Damit zwei Geräte erfolgreich miteinander kommunizieren können, müssen sie sich gegenseitig einmalig autorisieren. Ist dieser Vorgang erfolgreich abgeschlossen, werden die beiden Geräte anschließend immer wieder prüfen, ob sie sich in Funkreichweite zueinander befinden und dann wieder (ggf. ungefragt) eine Verbindung herstellen. Damit dieser Mechanismus funktionieren kann, senden die Geräte bei aktivierter Bluetooth-Funktion ständig ihre gerätespezifische Kennung aus (im Advertising-Modus zwischen 20 ms und 10,24 s). Diese Kennung sollte weltweit eindeutig und statisch sein bzw. es ist aufgrund der großen Schlüssellänge des Identifiers davon auszugehen, dass es in der Praxis nur sehr selten zu Dubletten kommt. Es gibt auch Random-IDs, die nur für einen Power-Zyklus gelten und nur in bestimmten Use-Cases verwendbar sind.

  

  Abbildung 1: Ablegen der gescannten UUID des Gegenübers lokal in der App

  

  Die UUID hat noch eine weitere Eigenschaft. Sie kann ohne weitere geräte- oder nutzerspezifische Daten nicht einer bestimmten Person (Nutzer) zugeordnet werden. Zudem ist in ihr keinerlei Geo-spezifische Information enthalten.

  • 4.1.1 Scanner-Komponente

    Da die Bluetooth-fähigen Devices also ständig ihre eigene UUID als Beacon im Nahbereich (wenige Meter) aussenden, können andere Geräte diese erfassen (scannen) und anhand der Signalstärke (bzw. ggf. vermutlich über Laufzeit des Signals) sogar eine ungefähre Abschätzung vornehmen, wie weit das gerade gescannte Gerät entfernt ist. Dieser Mechanismus funktioniert wohlgemerkt ohne dass sich die Geräte vorher bereits begegnet sind bzw. jemals eine (gekoppelte) Verbindung bestanden hat. Erst wenn beide Geräte von den jeweiligen Nutzern in den Pairing-Modus versetzt würden, könnte eine tatsächliche Kopplung stattfinden.

    

    Abbildung 2: Screenshot BLE Scanner App

    

    Dies wird hier aber gar nicht benötigt. Es reicht, jede in der Umgebung gescannte UUID im lokalen Speicher des Smartphones mit einem absoluten Datumsstempel abzulegen. Hierbei sollten die Dauer (ohne genaue absolute Uhrzeiten) sowie die Verbindungsparameter (Signalstärke bzw. ermittelte/abgeschätzte Distanz) und ein Score-Wert als Indikator für das Infektionsrisiko hinterlegt werden (siehe dazu auch Kapitel 4.5.5).

    Auf diese Weise erstellt das Smartphone eine kontinuierliche Liste von allen anderen Bluetooth-Devices, mit denen es im näheren Umfeld in Kontakt gekommen ist. Die Messung der Distanz ist beim aktuellen Standard BLE 4.X bzw. 5.0 nur im Meter-Bereich möglich. Mit der kommenden Generation 5.1 soll eine Distanzmessung im Zentimeterbereich incl. Richtungserkennung möglich sein (was aber für die jetzige Lage nicht nutzbar ist). Beim Scannen werden auch viele Bluetooth-Geräte erfasst, die nicht zu einem Smartphone gehören (andere Computer, Headsets, Navigationssysteme, Home-Automatisation usw.). Dieser Beifang ist unkritisch und unerheblich, da er nur lokal oder gar nicht gespeichert wird. Ggf. kann durch Erkennung der Bluetooth-Profile der potentiellen Kommunikationspartner erkannt werden, ob es sich überhaupt um Smartphones handelt. Bei sicherer Erkennung eines Gerätes, welches kein Smartphone ist, könnte diese UUID direkt ausgeblendet werden.

    

    Durch geeignete Verschlüsselungsmaßnahmen wird zudem sichergestellt, dass diese Daten nur für das Smartphone bzw. dessen Benutzer selbst lesbar sind und somit auch nicht nachträglich unlegitimiert zum Nachteil des Benutzers oder seiner Kontaktpartner verwendet werden können (z.B. zur Erstellung von Bewegungs- und Kommunikationsprofilen). Dieser Scan- und Protokolliervorgang funktioniert unabhängig von einer App bei der Gegenseite. Sofern mit einer nicht veränderbaren statischen UUID gearbeitet wird, kann ein Nutzer auch später noch die App installieren und seine Status-Werte hochladen (siehe nachfolgende Kapitel). Frühere Kontakte partizipieren dann nachträglich von seinem Upload.

    

    Abbildung 3: Screenshots aus App BLE Scanner
  • 4.1.2 Melde-Komponente

    Die Smartphones bzw. die entsprechende App bietet neben der Scanner-Funktion eine Meldefunktion an, mit der der User seinen persönlichen und aktuellen Gesundheitszustand erfassen und an eine zentrale Serverstelle melden kann. Dazu gehört auch, eine überstandene Erkrankung zu melden. Hierbei muss im Status bzw. bei der nachfolgenden Berechnung des Score-Werts (siehe Kapitel 4.1.3) unterschieden werden, ob die Meldung unqualifiziert und unverifiziert vom Nutzer selbst kommt oder durch ein negatives Testergebnis bestätigt wurde (siehe Test-Komponente). Durch Plausibilitätsprüfungen der historischen Daten kann der Wahrheitsgehalt der Aussagen bewertet werden.
    
    Beispiel: Eine Meldung einer überstandenen Krankheit ohne Testergebnis wird weniger stark als „wahr immun“ gewertet als eine eher typische Historie mit Kontakten zu Infizierten, einer nachfolgend gemeldeten Erkrankung mit Symptomen und dann (später) einem kommunizierten und via Test verifizierten Negativ-Ergebnis.
    
    Dies erfolgt wiederum allein über die UUID des Gerätes und ohne weitere personen-bezogene Daten. D.h., der Nutzer gibt in seinem Gerät ein, ob er z.B. Symptome feststellt, Kontakt zu einem bestätigten Infektionsfall hatte oder sogar selbst positiv oder negativ auf das SARS-CoV-2-Virus getestet wurde. Dieser Status wird zusammen mit dem zugehörigen Datums- und Zeitstempel (Anmerkung: Die Verwendung eines Zeitstempels ist Datenschutztechnisch nicht unkritisch) an den Server übermittelt.
    
    Dort entsteht nun ein Datensatz zur UUID des Nutzers (bzw. seines Smartphones) mit dessen Infektionshistorie. Diese Daten sind anonym (pseudonymisiert) und können ohne weitere Merkmale nicht zu einem Personenbezug aggregiert werden.
    
    Gefahr und Herausforderung: Diesen Personenbezug herzustellen, wäre aber ggf. möglich, wenn man die BLE-Kommunikationspartner anderer Geräte (Smart-TVs mit eigener Herstellerdatenbankkopplung, Bezahlvorgänge per BLE an der Supermarktkasse etc.) aus anderen Datenquellen zu denen der „Corona“-App-Datenbank hinzuaggregiert. Dann würden ggf. dort zu den BLE UUID gespeicherte Zusatzinformationen wie Name, Ort, Adressen etc. sozusagen „über die Hintertür“ dazu führen, dass eine Person anschließend über ihre BLE UUID doch identifizierbar wird. Das muss unter allen Umständen verhindert werden.

    

    Abbildung 4: Fallzahlen im Geo-Fence (Wikipedia)

    Abbildung 5: Meldung an Datenbank: Mensch 1 (UUID 1) ist Covid positiv getestet

    Um die Pandemie bzw. deren lokalen Fallzahlen übergeordnet auswerten zu können, wird zur UUID nur ein ausreichend groß gewählter (bewusst ungenauer) Geo-Bereich hinzuaggregiert, sodass man für diese Areale Abschätzungen vornehmen kann, wie hoch die jeweiligen Infizierungsraten sind. Ein datenschutzkonformer ausreichend großer Bereich könnte beispielsweise die Größe eines PLZ-Gebiets der Bundesrepublik Deutschland sein. So könnte man selbst in einer größeren Stadt noch ausreichend genau auf Stadtviertel bezogen Fallzahlen und deren Entwicklung monitoren, ohne eine einzelne Person eindeutig identifizieren zu können.

  • 4.1.3 Abfrage-Komponente

    Jedes Smartphone kann nun regelmäßig seine protokollierten Bluetooth-Kontakt-UUIDs gegen die zentrale Server-Datenbank prüfen. Gibt es zu einer lokal getrackten UUID einen passenden Eintrag in der Server-Datenbank, so wird die Historie der dort gespeicherten Daten (Infektionsverlauf) incl. Score-Wert (Grad des Infektionsrisikos) an das abfragende Smartphone übertragen.

    

    Abbildung 6: Abfrage der Gesundheitsdaten des aktuellen Kontaktpartners

    Die App im Smartphone erhält somit zeitnah bzw. rückwirkend eine Information, ob ein Bluetooth-Kontakt potentiell oder sicher mit „Corona“ infiziert ist bzw. zum Zeitpunkt eines früheren Kontakts war. Anhand eines von Virologen festgelegten Zeitablaufs kann die App (rückwirkend) errechnen, ob der entsprechende Kontakt zum Zeitpunkt des Aufeinandertreffens potentiell ansteckend war.

    

    Abbildung 7: Nachträgliche Aktualisierung des Status von Kontakt UUID1

    Hier können Wahrscheinlichkeitsberechnungen sowie Anzahl, Distanzen und Dauer von ggf. wiederkehrenden Kontakten mit derselben UUID dazu führen, dass man einen individuellen Score-Wert für dieses Kontaktpärchen errechnet. Dieser Score-Wert reflektiert dann die Wahrscheinlichkeit dafür, dass sich der Nutzer des Smartphones bei dieser Kontaktperson angesteckt haben könnte. Hierbei könnten Datum und ggf. Zeit einer wahrscheinlichen Ansteckung errechnet und angezeigt werden. Wohlgemerkt ist dieser Score-Wert nur eine Wahrscheinlichkeit und bietet weder ei-ne Gewissheit für eine Infektion noch für das Gegenteil. Aber sie hilft enorm, das eigene Infektionsrisiko laufend bewerten zu können.

  • 4.1.4 Broadcast-Komponente

    Wenn eine Person mehrfach Kontakt zu potentiell infizierten Personen hatte und deren Score-Wert entsprechend ansteigt, so liegt es im Interesse aller, dass diese Person dazu aufgefordert und motiviert wird, sich selbst testen zu lassen bzw. sich in Quarantäne zu begeben.
    
    Der Staat bzw. die Gesundheitsbehörden haben durch das forcierte Melden via App die Möglichkeit, den Nutzer auf die Dringlichkeit eines eigenen, aktuellen Tests hin-zuweisen, ohne eine weitere Repressalienmöglichkeit zu haben. Dies sollte (automatisiert) zusammen mit Informationen und Kontaktdaten der Gesundheitsbehörden und in der Nähe liegenden Testcenter an die App bzw. den Nutzer der App gemeldet bzw. von dieser anonym abgerufen werden können (Pull statt Push).

  • 4.1.5 Test-Komponente

    Testergebnisse von tatsächlich erfolgten Tests auf das SARS-CoV-2-Virus sollten manipulationssicher und wiederum anonymisiert an das Smartphone des Betroffenen gemeldet werden können. Das Testen muss anonym, kostenlos und mehrfach wiederholbar sein. Hierzu könnte der Test selber vollkommen ohne Angabe von Namen und weiteren personenbezogenen Merkmalen erfolgen und als Identifier wiederum die UUID des Smartphones genutzt werden (App zeigt UUID als Text oder QR-Code zum Scannen vor Ort beim Test auf dem Bildschirm an.).
    
    Jetzt kann das Testergebnis zeitversetzt vom Labor der UUID auf dem Server zugeordnet und dort hochgeladen werden.
    
    Durch Einsatz geeigneter Signierverfahren (Digitale Signatur mit dem Private Key des Smartphones, Hashing-Verfahren incl. SALT o.ä. oder durch Einsatz der Blockchain-Technologie) könnte sichergestellt werden, dass ein Befund nur durch diese initiale und explizite Legitimierung durch den User seinem Datensatz auf dem Server zugeordnet wird. Das würde einen Missbrauch durch unbewusst oder bewusst falsch hochgeladener Testergebnisse verhindern. Gleichzeitig unterbindet dies auch die Möglichkeit, dass der Nutzer selber für sich gute (negative) Testbefunde seinem Account zuordnet und sich somit fälschlicherweise als „gesund“ ausgibt.

  • 4.1.6 Monitor-Komponente

    Für die Gesundheitsbehörden ist es enorm wichtig, schnell und räumlich weitestgehend präzise Daten über den Infektionsstand der Bevölkerung abrufen zu können. Dies ermöglicht zum einen eine Bewertung über die Entwicklung der Neuinfektionen genauso wie über die Heilungen bzw. den Grad der Herdenimmunität. Des Weiteren ist auch ein Forecast für die zu erwartende Belegungszahl von Intensivbetten und Beatmungsgeräten (regional) zu erhalten.
    
    Ideal aus Sicht der Forschung wäre eine Weltkarte mit Reisewegen. Aber auch hier-bei muss unbedingt auf die Einhaltung des Datenschutzes geachtet werden.
    
    Durch die Anonymisierung der Daten ist es den Gesundheitsbehörden bzw. der Exekutive nicht möglich, einzelne Personen zu identifizieren, um diese ggf. mit Zwangsmaßnahmen in Quarantäne zu stecken.
    
    Das ist mit diesem Konzept explizit auch nicht gewünscht, da es in letzter Konsequenz nicht nur einen erheblichen Eingriff in die Privatsphäre und Freiheit des Einzelnen darstellt, sondern in ungünstigen gesellschaftlichen bzw.- staatlichen Konstellationen zu einem totalitären Überwachungsstaat führen kann. Eine Brandmarkung des Einzelnen auf Basis seines Score-Wertes oder einer tatsächlich festgestellten Infektion muss vermieden werden – dies auch trotz des zunächst hehren Ziels, damit andere Menschen zu schützen

  • 4.1.7 Server-Komponente

    Unzweifelhaft muss es eine Server-Komponente in Form einer zentralen Datenbank geben, die es erlaubt, die mit der UUID eines jeden App-Nutzers (Primärschlüssel) verknüpften Daten über dessen Gesundheitszustand hochladen und speichern zu können.
    
    Der Upload muss genauso wie der nachfolgende Download von Daten ohne jegliche User-Registrierung vollkommen anonym erfolgen. Hierbei besteht die Herausforderung darin, auf der einen Seite die Anonymität zu gewährleisten (keine Protokollierung von TCP/IP- und MAC-Adressen sowie Verbindungsdaten etc.) und gleichzeitig ein Flooden mit Falschinformationen (durch Hacker oder Schad-Software) zu verhindern. Dies könnte z.B. durch den Einsatz eines Digitalen Signaturverfahrens (PKI ) nach dem aktuellen Stand der Technik erfolgen. Hierbei wird in der App auf jedem Smartphone ein Paar aus einem öffentlichen und privaten Schlüssel (Signatur) er-zeugt und lokal gespeichert. Der öffentliche Schlüssel wird beim ersten Kontakt zum Server im Datensatz der jeweiligen UUID abgelegt.
    
    Jede weitere Kommunikation mit einem Schreibzugriff auf die Server-Daten erfolgt nur mit der Signatur des privaten Schlüssels der App / des Smartphones. Die Server-Komponente kann nun mit dem öffentlichen Schlüssel überprüfen, ob die Nachricht tatsächlich vom legitimierten Smartphone kommt. Solange der private Schlüssel im Smartphone sicher aufbewahrt und nicht ausgelesen werden kann, ist eine Fälschung der Datenpakete durch Dritte ausgeschlossen.
    
    Für die Legitimierung Dritter zum begrenzten schreibenden Zugriff auf den Datensatz der UUID kann die App mit Autorisierung des Benutzers zeitlich begrenzte bzw. fall-bezogene Berechtigungen Autorisierungscodes ausstellen, mit denen z.B. Test-Ergebnisse von Laboren hochgeladen (bzw. korrigiert) werden können (siehe Kapitel 4.1.5).
    
    Der lesende Zugriff auf die Einträge der UUID im Server erfolgt ohne Autorisierung vollkommen anonym, um die Abfragen anderer Kontaktpartner (Watcher – siehe Kapitel 4.3.3) zu ermöglichen.
    
    Das zentrale Server- bzw. Datenbanksystem muss hierbei von vorneherein so aus-gelegt werden, dass es der im Gutfall extrem hohen Anzahl von Datensätzen und Anfragen gerecht wird (verteilte Systeme, Loadbalancing etc.).

• 4.2.1 Ermittlung der Infizierten-Zahlen

  Die einfachste Form der Auswertung ist eine Aufsummierung der Datensätze nach Status. Hierbei kann man durch Auswertung der auf dem Server gespeicherten Tabelle die Datensätze zählen und erhält die Gesamtzahl der Smartphones, die am System teilnehmen. Die Zahl der zugehörigen natürlichen Personen ist maximal gleich groß, in der Realität wird sie jedoch niedriger liegen (z.B. weil eine Person zwei Smartphones benutzt).
  
  Ist zum Identifier ein Gesundheitsstatus hinterlegt, können basierend auf der Gesamtzahl die prozentualen Anteile der infizierten, nicht infizierten und genesenen Personen ermittelt werden. Ein nicht zu vernachlässigender Rest der Datensätze wird keinem Status zuzuordnen sein („Watcher“ ohne eigene hochgeladene Daten).

• 4.2.2 Ermittlung der absoluten Kontaktzahlen

  Bei der Ermittlung der Kontaktzahlen sind zur Einschätzung des Einhaltens von Versammlungs- und Kontaktverboten die Werte pro Identifier interessant, mit denen die zugehörige Person in einem bestimmten Zeitraum in der näheren Umgebung Kontakt hatte. Eine hohe Kontaktzahl in einem engen Zeitfenster deutet dann auf eine An-sammlung von Personen hin. Dies ließe sich analog auch ggf. durch Auswertung von Mobilfunkdaten erreichen (wie mutmaßlich im Beispiel Südkorea).

• 4.2.3 Ermittlung der konkreten Kontaktzahlen bei Infizierten

  Viel wichtiger ist die Ermittlung der Kontakte bei einer (nachträglich) festgestellten Infizierung. Hier ist neben der persönlichen Benachrichtigung der Betroffenen auch eine Gesamtbetrachtung interessant, die Aufschluss darüber gibt, wie viele Kontakte potentiell bei einem Infizierten zu weiteren Infizierungen geführt haben könnte.

• 4.2.4 Ermittlung der Benutzerbewegungen incl. Lokalisierung

  Durch Aggregieren von Standort-Daten zu Identifiern können die einzelnen Personen auch räumlich katalogisiert bzw. kategorisiert werden. Hierbei ist aus Datenschutzgründen besonders zu achten, dass die genauen Positionen so verrauscht werden, dass eine konkrete Lokalisierung verhindert wird. Stattdessen sind ausreichend genaue Cluster zu bilden, die keinen Rückschluss auf das Individuum jedoch auf lokale Ausbreitungsherde ermöglichen.
  
  Je nach Ausprägung sind so auch Reisewege des Virus nachzuvollziehen.

• 4.3.1 Override-Modus

  

  Zu diskutieren ist, was passiert, wenn eine Person ernsthaft erkrankt und intensiv behandelt werden muss oder gar verstirbt. Hier sollte es eine Möglichkeit geben, dass entsprechend vertrauenswürdige Institutionen (z.B. Ärzte) die Möglichkeit haben, den Status der UUID des Betroffenen entsprechend aktualisieren zu können. Das sollte – solange die Person lebt und entscheidungsfähig ist – nur mit ihrer Erlaubnis passieren. Nach ihrem Tod greifen weder Datenschutz- noch Persönlichkeitsaspekte und hier wäre dem Seuchenschutz dann Vorrang zu gewähren und zu erlauben, dass der Datensatz auch ohne Einwilligung entsprechend aktualisiert wird. Da es in der Datenbank ja keine Zuordnung zwischen UUID und natürlicher Person gibt, kann eine solche außerplanmäßige bzw. nachträgliche Datenaktualisierung nur über das Smartphone des Betroffenen erfolgen.

• 4.3.2 User-Status

  Ein Nutzer der App (Mensch) kann folgende Status haben (Aufzählung nicht ab-schließend, durch Virologen zu definieren):
  • unbekannt oder nicht infiziert
  • infiziert und ansteckend
  • hat Antikörper / gesund
  • geheilt
  • ist geimpft
  • hat Symptome, ist aber negativ getestet
  • tot

• 4.3.3 User-Level

  Ein Mensch kann die App in unterschiedlichen Ausprägungen nutzen:
  
  Watcher: User bezieht Status seiner Kontaktpersonen, kommuniziert bzw. ändert aber seinen Status nicht aktiv.
  
  Player: User lässt sich testen und kommuniziert das Ergebnis bzw. seinen Gesundheitszustand laufend aktualisiert und aktiv.
  
  Der Mehrwert für den Player besteht neben der Tatsache, dass das System nur funktioniert, wenn möglichst viele User „Player“ sind, darin, dass er bei einer überstandenen Krankheit und einer (temporären) Immunität einen Nachweis mit sich führt, der ihm ggf. eine größere Bewegungsfreiheit erlaubt.
  
  Dies führt zu einem diskussionswürdigen Szenario, bei dem z.B. der Zutritt zu einem Geschäft oder einem Gebäude (einfacher) gewährt wird, wenn man eine Freigabe durch einen bestätigten Negativ-Bescheid über sein Smartphone mit sich führt. Das könnte elektronisch gescannt werden. Im Umkehrschluss bedeutet dies, dass Menschen, die die App nicht nutzen, benachteiligt würden. Neben dem daraus resultierenden Missbrauchs-Szenario durch Fälschen günstiger Bescheinigungen kann dies zu einer Stigmatisierung und Ausgrenzung von Menschen führen, die nicht am System teilnehmen.