"Eigentlich keine gute Idee. Und bei genauerem Hinsehen stellt man dann eben auch fest, dass gar nicht klar ist, wer die Daten bekommt, wie lange die Daten aufbewahrt werden und wie man eventuell auch widerrufen kann, sodass man dann eben nicht mehr Teil dieser nicht ganz nachvollziehbaren Forschung wird."
Manfred Kloiber: So bewertet der Informatik-Professor Hannes Federrath, der auch Präsident der Gesellschaft für Informatik ist, die Corona-Datenspende-App des Robert-Koch-Instituts. Sie wurde in dieser Woche vorgestellt, und man muss diese Datenspende-App unterscheiden von der App für das Kontroll-Tracing von Infizierten, über deren Technologie wir ja am vergangenen Samstag berichtet haben. Diese Datenspende-App hat ja eine ganz andere Aufgabe, Peter Welchering?
Peter Welchering: Mit der Datenspende-App will das Robert-Koch-Institut die Dunkelziffer der mit dem Coronavirus infizierten Menschen etwas besser aufklären. Denn zurzeit weiß niemand, wie viele Menschen mit dem Corona-Virus wirklich schon infiziert sind. Viele Menschen zeigen gar keine Symptome nach der Ansteckung, andere halten das für eine harmlose Erkältung. Deshalb will das Robert-Koch-Institut jetzt die Vitaldaten von Bürgern auswerten. Fitnessarmbänder und Tracker sammeln ja genau solche Vitaldaten, also Puls, Körpertemperatur, Blutdruck und so weiter und bei einer akuten Erkrankung ändern sich diese Vitalwerte. Der Ruhepuls steigt, die Körpertemperatur auch. Die Datenspende-App des Robert-Koch-Instituts wertet diese Vitaldaten von Trägern der Fitnessarmbänder aus und kann so typische COVID-19-Symptome erkennen. Wenn dann in einem bestimmten Postleitzahlenbezirk zum Beispiel auffällig viele Menschen veränderte Vitalwerte haben, kann das Zeichen für eine neue Infektionswelle sein. In so einer Gegend soll dann öfter getestet werden.
Kloiber: Gute Idee, sagen die meisten. Aber schlecht umgesetzt, finden immer mehr Wissenschaftler, Computerexperten und auch App-Anwender. Die Diskussion wird gerade sehr kontrovers geführt. Wir haben mal nachgehört, warum das so ist.
App verbindet sich ungefragt mit Apple Health
Michael Spehr ist ein gesundheitsbewusster Mensch. Er arbeitet als Redakteur bei der Frankfurter Allgemeinen Zeitung und beschäftigt sich auch als Journalist intensiv mit Smartphones und Apps. Deshalb hat er die Datenspende-App des Robert-Koch-Instituts gleich am Dienstag nach der Vorstellung heruntergeladen und ausprobiert. Er hat verschiedene Fitnesstracker und deshalb auch verschiedene Nutzerkonten bei den entsprechenden Plattformen. Deshalb hat er genau überlegt, mit welchem Nutzerkonto er die Datenspende-App verbindet. Apple Health schied für ihn aus. Michael Spehr:
"Es geht ja um Datenweitergabe, und in meinem Apple Health, was an erster Stelle vorgeschlagen wurde, da sind halt mit der Apple Watch meine Sport-Daten der vergangenen fünf Jahre vollständig drin. Also nicht nur die Touren als solche, also die Radtouren, das Laufen, sondern auch der Puls tagsüber und viele weitere Parameter. Das war mir dann irgendwie dafür, dass ich jetzt einer der ersten war, der diese Apps ausprobierte, doch ein bisschen zu brisant."
Also entschied sich Spehr dafür, die RKI-App mit seinem Fitbit-Konto zu verbinden. Da waren weniger Daten gespeichert.
"Ein paar Stunden später öffne ich die App, und dann stelle ich erstaunt fest, dass auf einmal ohne mein Zutun und ohne dass ich es aktiv irgendwie getan hätte, die Verknüpfung zu Apple Health hergestellt ist. Wie kann das sein?"
Spehr ging davon aus, dass er vielleicht versehentlich auf die Schaltfläche fürs Verbinden der App mit Apple Health geklickt hätte. Und hat deshalb die Verbindung der App zu Apple Health getrennt. Da war seine App nur mit Fitbit verbunden. Vorerst:
"Wieder ein paar Stunden später gehe ich in die App hinein und sehe abermals die Verbindung zu Apple hergestellt. Also genau das, was ich nicht wollte. Und diesmal war ich mir absolut sicher, dass ich hier aktiv nichts in diese Richtung getan habe. Und ich habe dann abermals getrennt. Und dann gab es eigentlich nur eine Konsequenz, nämlich die Daten-Spende-App wird gelöscht von meinem iPhone. Das ist mir zu brisant."
Datenschutzbeauftragter: App noch nicht geprüft
Irgendwas lief also schief mit dieser App. Deshalb haben wir Robert-Koch-Institut nachgefragt. Eine Sprecherin teilte uns dann am Donnerstag schriftlich mit:
"Nach Auskunft des technischen Dienstleisters für die Corona-Datenspende-App hat die Trennung der App von Apple Health in Einzelfällen nicht zuverlässig funktioniert. Mit dem heute noch anstehenden Update der App wird ein zusätzlicher Hinweis integriert, wie die Nutzer die Datenfreigabe zurückziehen können."
Und am Freitag schob das Robert-Koch-Institut noch einmal nach:
"Der Datenschutzverantwortliche des RKI wurde über das Problem bei der Rücknahme der Datenfreigabe in Apple Health in älteren Versionen der App informiert und hat eine entsprechende Dokumentation erhalten."
Eingebunden wurde also der interne Datenschutzverantwortliche des RKI, das ist nicht der Bundesbeauftragte für den Datenschutz. Der Bundesbeauftragte wiederum legt Wert auf die Feststellung, dass er die App noch nicht geprüft habe. Das hatte das Robert-Koch-Institut etwas missverständlich formuliert. So sagte dessen Präsident Lothar Wieler in der Bundespressekonferenz am 9. April:
"Wir haben diese App deshalb entwickelt, sehr streng natürlich nach den Vorgaben des Datenschutzes, auch in enger Abstimmung mit den Datenschutzbeauftragten. Auch die Datenschutz- und die Datensicherheitsexperten sind und waren auch weiterhin sehr in die Prüfung von Servern und Schnittstellen natürlich mit eingebunden."
Vertrauen in nützliche Apps nicht untergraben
Demgegenüber bemängelt Informatik-Professor Hannes Federrath.
"Der Bundesbeauftragte hat ja auch gesagt, er hat zwar diesen Prozess begleitet, aber eine Prüfung dieser App auf Datenschutz-Freundlichkeit war ihm bisher nicht möglich. Uns allen ist dies nicht möglich, denn der Quellcode liegt nicht offen, und es ist auch sonst über die inneren Strukturen dieser Software so gut wie nichts bekannt. Von daher, es muss vertraut werden. Und ob dieses Vertrauen an dieser Stelle gerechtfertigt war, wissen wir eigentlich erst, wenn man genauer reingeschaut. Wir als Gesellschaft für Informatik haben das nicht gemacht, sondern haben eben nur frühzeitig darauf hingewiesen, dass das Vertrauen in echte nützliche Apps, die dann jetzt auch die Infektionen eindämmen könnte, nicht untergraben werden darf etwa durch solche Datenspende-Apps."
Patrick Breyer, Europa-Abgeordneter der Piratenpartei bemängelt zudem die unzureichende Anonymisierung der Datenspenden.
"Die Gesundheitsdaten und Krankheitsverläufe sind so individuell, dass sie auch ohne den Namen zu kennen, das anhand anderer Daten durchaus wieder identifizieren könnten, wenn es ein einzelner Datensatz ist. Also eine Anonymisierung alleine, indem man den Namen weglässt oder eine Nummer reicht hier nicht aus. In diesem Datensatz enthalten sind zum Beispiel Informationen über das Gewicht und Informationen über die Person, also über das Alter zum Beispiel. Und mit all diesen Randdaten zusammen, ist es dann doch leicht, auch ohne Kenntnis des Namens mit Hilfe anderer Informationen eine Zuordnung vorzunehmen."
Licht in die Dunkelziffer der mit dem Coronavirus Infizierten zu bringen, das finden eigentlich alle eine gute Sache. Doch die App dürfe nicht zu sehr mit der berühmten heißen Nadel gestrickt sein.
Zugriff auf die sensiblen Vitaldaten
Kloiber: Wie das eben bei IT-Produkten manchmal so ist. Sie werden unter Zeitdruck entwickelt. Manchmal wird nicht ganz genau auf die Wechselwirkung einzelner Module geschaut. Als wie gravierend werden denn die Mängel an dieser App eingeschätzt, Peter?
Welchering: Da gibt es das ganze Spektrum an Bewertungen. Aber dabei muss man betonen, dass alle Kritiker dem Robert-Koch-Institut hier erst mal bescheinigen, das Beste zu wollen. Nur höre ich eben auch aus dem Robert-Koch-Institut, dass die Firma, die die Datenspende-App entwickelt hat, wohl etwas an der langen Leine laufen konnte. Das ist auch verständlich, das RKI hat natürlich im Augenblick Schwerpunktarbeiten, die wichtiger sind. Aber, so einige Kritiker meinen eben auch, dann muss sich eben das BMG überlegen, wie hier ein besseres Projektmanagement aufgesetzt werden kann. Denn das RKI ist ja eine nachgeordnete Behörde des BMG.
Kloiber: Kommen wir noch mal auf die App selbst zurück. Da wird ja kritisiert, dass der Quellcode nicht zur Verfügung steht, dass niemand außer den Entwicklern weiß, was da wie in der App passiert. Ändert sich das jetzt?
Welchering: Der Bundesdatenschützer will die App prüfen. Natürlich wäre es klüger gewesen, Lastenhefte, das Requirements Management oder sogar den ganzen Quellcode öffentlich überprüfbar zu machen. Das RKI argumentiert, dass das eben nicht so ohne weiteres geht, weil das ja Eigentum der Entwicklerfirma sei. Das hätte man eben bei der Auftragsvergabe berücksichtigen müssen. Auch wie die Schnittstellen zu Apple Health, Fitbit und so weiter realisiert sind, ist unklar. Der erste Blick darauf zeigt, dass eben über die ursprünglichen Schnittstellen der Plattformen die Vitaldaten abgegriffen werden. Da wenden Kritiker wie Patrick Breyer natürlich zu Recht ein, dass das für eine solch sensible App nicht ausreicht.
Kloiber: Aber die jetzt an den RKI-Server übermittelten Vitaldaten werden doch ohnehin an die Plattformen von Apple, Fitbit, Garmin übertragen. Und dieselben Menschen, die das ohnehin tun, übermitteln ihre Daten jetzt freiwillig ans RKI. Wo ist da der große Unterschied?
Welchering: Über die Blauäugigkeit und manchmal sogar grenzenlose Naivität, mit der Menschen ihre sensiblen Gesundheitsdaten an IT-Konzerne übermitteln, haben wir in dieser Sendung ja schon des Öfteren gesprochen. Hier kommt aber die Tatsache hinzu, dass es sich beim RKI um eine staatliche Behörde handelt, die pseudonymisiert sensible Vitaldaten, Gesundheitsdaten sammelt. Die liegen dann erst einmal auf einem staatlichen Server. Da fragen Kritiker natürlich zu Recht: Was wird denn in einem Jahr mit diesen Daten sein? Der zweite kritische Punkt liegt darin, dass die App die Vitaldaten über die Nutzerkonten-Schnittstellen der Plattformen sammelt. Damit hat die App Zugriff auf die bisherige Chronologie der Vitaldaten. Und da wissen wir eben nicht, was dann mit dieser Zugriffsmöglichkeit passiert. Die kann missbraucht werden. Auch wenn wir alle dem RKI vertrauen und ihm nur beste Absichten unterstellen, Missbrauchsmöglichkeiten gibt es da immer und denen kann man eigentlich nur technisch begegnen. Stattdessen wurde hier – nach meinem Dafürhalten jedenfalls eben mit der heißen Nadel – eine App zusammengestellt, die die Daten einfach über die Standard-Schnittstelle abgreift und auf den RKI-Server hochlädt.