Corona: Informatiker kritisieren "Datenspende-App" als "schlecht gemacht"
Das Robert-Koch-Institut sammelt im Kampf gegen Covid-19 Daten etwa von Fitnessbändern. Die Gesellschaft für Informatik und Datenschützer haben Bedenken.
Die Gesellschaft für Informatik (GI) hält die App "Corona-Datenspende", die das Robert-Koch-Institut (RKI) am Mittwoch im Kampf gegen die Pandemie herausgegeben hat, für unausgegoren, wenn nicht kontraproduktiv. Die Anwendung erfülle "im Hinblick auf Datenschutz und IT-Sicherheit nicht die grundlegenden Anforderungen", moniert der Verein in einer am Donnerstag veröffentlichten Stellungnahme. Das RKI habe damit eine Chance vertan, das Vertrauen in digitale Anwendungen zur Eindämmung des Coronavirus zu stärken.
Besitzer von Fitnessarmbändern und Smartwatches können die App nutzen, um der Gesundheitsbehörde pseudonymisiert Daten aus ihren Wearables etwa zur Körpertemperatur oder zum Pulsschlag zu übermitteln. Das RKI hofft damit, das Ansteckungsgeschehen und die Dunkelziffer besser ausleuchten sowie Infektionsherde ausfindig machen zu können.
Die GI ist zwar überzeugt, dass digitale Instrumente potenziell hilfreich sind, um Neuinfektionen zu verringern und nachzuverfolgen. Sie mahnt aber: "Dabei sollten sie jedoch dem Stand der Forschung und den höchsten Anforderungen in Sachen Transparenz, Zweckgebundenheit, Wahrung der Privatsphäre, Anonymisierung, Prüfbarkeit, Verschlüsselung und Datensparsamkeit entsprechen."
GI: Code der Anwendung nicht öffentlich dokumentiert
Das Sprachrohr für Informatiker reibt sich vor allem daran, "dass der Code der Anwendung proprietär ist, und damit nicht öffentlich dokumentiert und überprüfbar, wie eigentlich für solche Apps zwingend notwendig". Auch weitere wichtige Prinzipien wie Zweckgebundenheit, Anonymität, Datensparsamkeit und Schutz vor unbefugten Zugriff seien "entweder nicht erfüllt oder zumindest unklar".
"Es gibt sehr gute Ansätze, mit digitalen Werkzeugen der Verbreitung des Virus entgegenzuwirken", verweist GI-Präsident Hannes Federrath etwa auf das Anfang April vorgestellte PEPP-PT-Rahmenwerk zur Kontaktverfolgung. Leider sei die vorliegende Datenspende-Anwendung dagegen "überraschend schlecht gemacht und daher dem Schutz der Bevölkerung eher abträglich". Der Informatikprofessor hofft, dass das RKI "als wichtige Vertrauensinstanz in der aktuellen Krise" bei künftigen digitalen Instrumenten wie der geplanten Tracking-App mehr Sorgfalt walten lasse.
Seine Mitarbeiter hätten das RKI im Vorfeld beraten, erklärte der Bundesdatenschutzbeauftragte Ulrich Kelber. Der Aufsichtsbehörde habe bis zum Dienstag aber noch keine fertige Version der Datenspende-Anwendung vorgelegen. Grundsätzlich halte er "eine datenschutzkonforme Umsetzung für möglich". Die Bürger müssten aber eindeutig und widerspruchsfrei informiert sein, welche Daten die App zu welchem Zweck sammelt". Außerdem müsse das Institut noch konkretisieren, wie lange Informationen gespeichert würden. Stelle sich bei den erforderlichen regelmäßigen Evaluationen heraus, dass das Werkzeug nicht zweckgerecht sei, "muss die Verarbeitung beendet werden".
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Unterschiedliches Datenschutzniveau bei Trackern
Das Datenschutzniveau sei bei Fitness-Trackern und Smartwatches je nach Hersteller sehr unterschiedlich, gibt Kelber zu bedenken. Diese Schnittstelle sei aus seiner Sicht "wahrscheinlich das größte Problem". Zudem habe das RKI den Namen der App "unglücklich gewählt": Auch wenn Betroffene dem Institut ihre Daten freiwillig übermittelten, "geben sie das Recht an ihren Daten nicht ab und können ihre Einwilligung jederzeit widerrufen". Das RKI habe zugesagt, dass in diesem Fall alle gesammelten Messwerte gelöscht würden.
Der EU-Abgeordnete Patrick Breyer stellte dem RKI am Mittwoch in einem offenen Brief elf Fragen zu der App, auf die er bislang keine Antworten erhalten hat. Das Mitglied der Piratenpartei wundert sich etwa, warum die Anwendung nicht als Open-Source-Lösung verfügbar gemacht werde, warum die Datenschutz-Folgeabschätzung nicht öffentlich sei und wieso keine schnellstmögliche Anonymisierung der überlassenen Informationen erfolge. Der Parlamentarier klagt: "Dass eine Regierungsbehörde medizinische Daten zehn Jahre lang personenbeziehbar speichern will, stellt eine völlig neue Gefährdung der Privatsphäre dar." (akr)