piwik no script img

Neue App des Robert-Koch-InstitutsHört auf Expert*innen

Im Kampf gegen Corona ruft das RKI zu einer Datenspende via App auf. Doch im Hinblick auf Datenschutz erfüllt die App nicht mal basale Anforderungen.

Im Hinblick auf den Datenschutz erfüllt die App nicht den Anforderungen Foto: Kay Nietfeld/dpa

Das Wissen von Expert*innen leitet unser Handeln. Zumindest in Krisensituationen hören die meisten von uns auf informierten, mit Zahlen, Daten, Fakten belegten Rat. Wir bleiben zu Hause, soweit das mit dem Beruf vereinbar ist, vermeiden unnötige Kontakte, tragen erst keine Masken, und wenn die qualifizierte Empfehlung korrigiert wird, setzen wir sie brav auf. Die Expertise des Robert-Koch-Instituts (RKI) gibt Orientierung im Umgang mit der Infektionsgefahr. Man darf unterstellen, dass alle ihr Bestes geben, Lücken möglichst schnell gestopft, Fehler zügig beseitigt werden.

Eine Hilfestellung, um die das RKI seit Dienstag bittet, ist die Verwendung einer App, die Daten zu den Vitalfunktionen und Aktivitäten der Träger*innen von Wearables für eine Auswertung an das Institut weiterleitet. Zehntausende Nutzer*innen von Smartwatches und Fitnessarmbändern luden die Anwendung innerhalb weniger Stunden auf ihre Mobilgeräte. Die Idee, über Gesundheitsdaten wie den Ruhepuls potenziell Infizierte geografisch grob zuzuordnen und so Infektionsraten und -wege besser abschätzen zu können, ist einleuchtend. Die so erhobenen Daten sind zuverlässiger als beispielsweise Selbstauskünfte. Dass Patient*innen lügen, hat uns ja Doctor House jahrelang erklärt. Auch dass für eine ungefähre Übersicht keine individuellen Diagnosen nötig sind, sondern lediglich Wahrscheinlichkeiten für bestimmte Trends, liegt auf der Hand.

Der Wunsch des RKI, möglichst umfassendes Datenmaterial zur Verfügung zu haben, ist verständlich. Und die Bereitschaft zur „Datenspende“ ist angesichts der hohen Sensibilisierung in der Bevölkerung hoch. Nutzer*innen von Wear­ables sind dazu ohnehin offener als andere im Umgang mit den eigenen Daten.

Schließlich ist deren Analyse und Vergleichbarkeit Teil des gewünschten Funktionsumfangs der Geräte. Eine repräsentative Befragung des Allensbach-Instituts für die Friedrich-Ebert-Stiftung aus dem vergangenen Jahr zeigt, dass mehr als die Hälfte der Nutzer*innen von Wearables ohne weitere Bedenken oder mit gewissen Einschränkungen bereit wären, ihre Daten der Krankenkasse oder Ärzt*innen weiterzugeben.

Für diese Freigebigkeit sieht die Ebert-Stiftung übrigens zwei sehr unterschiedlich Motiva­tions­muster. Einerseits sind da Vorerkrankte, die sich mehr Sicherheit und Lebensqualität durch ein medizinisches Frühwarnsystem erhoffen. Auf der anderen Seite sind Fitnessbegeisterte, die sich wegen ihres zumindest gefühlt überdurchschnittlich gesunden Lebensstils perspektivisch Beitragsrabatte bei der Krankenversicherung erhoffen. Gemein ist beiden Gruppen, dass sie männlicher, vermögender und besser gebildet als der Bevölkerungsdurchschnitt sind.

Interesse des Herstellers

Diese Avantgarde hat nun die Möglichkeit, ihre Geräte im Interesse der Allgemeinheit einzusetzen. Und wer weiß, vielleicht steigt ja auch der Umsatz der Hersteller. Denn wer will schon hinten anstehen, wenn es um den Kampf gegen das Virus geht. Der Wunsch, etwas beizutragen, mag für einige ihr bisheriges Unbehagen oder Desinteresse an der digitalen Durchdringung der Lebenswelt überwinden helfen. Gerade im Zuge eines solchen Sprungs in der Entwicklung und Akzeptanz neuer Anwendungen und Geräte ist es besonders wichtig, dass das RKI als Anbieter bei der Erhebung und Verarbeitung des Materials allerhöchsten Sicherheits- und Datenschutzstandards genügt.

Der Code der App ist nicht öffentlich dokumentiert und prüfbar

Der Chaos Computer Club (CCC) hat im Zuge der Diskussion über eine „Contact Tracing“-App einige Anforderungen zusammengestellt, die erfüllt werden müssten, um eine sichere und datenschutzkonforme Anwendung zu gewährleisten. Auch wenn einige der Hinweise sich konkret auf die Funktionalität der Rückverfolgung vergangener Kontakte beziehen, sind andere doch so grundlegend, dass sie auch auf die jetzt vorgestellte Datenspende-App bezogen werden können.

Ein herausragender praktisch selbsterklärender Punkt ist dabei, dass die Weitergabe der Daten nicht einfach nur auf Vertrauensbasis erfolgen kann, sondern hinreichend dokumentiert und technisch nachprüfbar erfolgen muss.

Allein diese basale Anforderung erfüllt die App nicht. Ihr Code ist proprietär statt Open Source, also gerade nicht öffentlich dokumentiert und prüfbar. Das RKI verlässt sich im Wesentlichen auf das Vertrauen der Nut­ze­r*innen und verweist darauf, dass der hauseigene Datenschutzbeauftragte grünes Licht gegeben habe und der Bundesdatenschutzbeauftragte beratend an der Entwicklung beteiligt. Der jedoch sah sich genötigt, in einer Stellungnahme darauf hinzuweisen, dass ihm vor deren Veröffentlichung nicht einmal eine fertig Version der App vorgelegen habe.

Unerhörte Expert*innen

Andere Forderungen des CCC, wie wirkliche Anonymität, Datensparsamkeit, Vermeidung zentraler „allwissender“ Server und Schutz vor unbefugten Zugriff durch zum Beispiel Mobilfunkbetreiber sind entweder ganz offensichtlich nicht erfüllt oder zumindest unklar. Das RKI erklärt in seinen eigenen Materialien nicht einmal, zu welchen Daten der technische Dienstleister, mit dem die App entwickelt wurde, Zugang hat. Und Interesse hat die Firma Thryve sicher an diesem Datenpaket, um es „im Einklang mit dem geltenden Datenschutzrecht zu verarbeiten“. Schließlich ist es das Geschäftsmodell des Start-ups, umfassende Gesundheitsprofile zu erstellen, um damit Behandlung besser individualisieren zu können – und Versicherungen Informationen über den Lebensstil ihrer Kund*innen zu liefern.

Nichts Gutes verheißt dieses mit der heißen Nadel gestrickte Projekt für die noch kommende App zum Contact Tracing. Vielleicht ist es an der Zeit, dass das RKI lernt, auch auf Expert*innen zu hören und sein Handeln von denen leiten zu lassen. Jene Ex­per­t*in­nen, die Ahnung von den anderen Viren haben, von Datenschutz und von Sicherheit im digitalen Raum. Deren Meinung zum Infektionsschutz wiegt gerade sicher nicht so schwer, die zu den Apps aber umso mehr.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Mehr zum Thema

7 Kommentare

 / 
  • Experten ?



    Wie z.B. unser gelernter Bankkaufmann, Medizin-Laie und Bundesgesundheitsminister ...

    Aber mal zum RKI:



    Die Mechanismen sind immer gleich:



    Ein gut ausgebildetes und gut vorbereitetes Squad of Marketing entert die Managementetage und knallt eine "mega-super-hyper-Idee" auf den Tisch.



    Natürlich verbunden mit dem Versprechen die Managementriege werde unendlichen Ruhm ernten und als unsterbliche Helden in die Annalen eingehen.

    Und selbstverständlich auch verbunden mit dem Hinweis sich keinesfalls von irgendwelchen Showstoppern oder Bedenkenträgern beeinflussen zu lassen.

  • Das meiner Ansicht viel gefährlichere Problem solcher Apps liegt darin, dass Server, Übertragungswege und Endgeräte von Hackern im Auftrag der Leugner und Verharmloser so manipuliert werden könnten, dass die Experten und Politiker, die sich darauf verlassen würden, in falscher Sicherheit gewogen und so zu Fehlentscheidungen mit katastrophalen Folgen verleitet werden könnten!

  • Danke für den gut recherchierten und differenzierten Artikel!

    Leider ist die Bereitschaft, eigene Daten Daten 'weiterzugeben', allgegenwärtig und nicht nur auf die Nutzer von 'wearables' beschränkt.

    Zwar wird mittlerweile - ja, es gab Snowden - von nicht wenigen anerkannt, daß 'eigentlich' der Schutz der eigenen Daten wichtig wäre - die Bereitschaft aber, dafür etwas zu tun, ist – gering.

    Jeder weiß, wenn er auch sonst nichts weiß: 'Google' ist eine Datenkrake mit dem Geschäftmodell "I want your data!” Eine Imperativ, dem auch Googles Mailkonten unterworfen sind.

    Trotzdem wird Google benutzt, obwohl es Startpage oder Duckduckgo gibt; trotzdem wird Gmail benutzt, obwohl es Posteo gibt; trotzdem Chrome, obwohl es den Firefox gibt; trotzdem wird mit Windows ein proprietäres Betriebssystem benutzt, das eifrig mit Remond telefoniert, (höchstwahrscheinlich) eingebaute Backdoors inklusive, die wir aber nicht herausfinden können, weil der Code verschlossen ist; trotzdem wird Apple angebetet, das nicht nur einen geschlossenen proprietären Code hat, sondern auch eine geschlossene Hardware - ein goldener Käfig, der allenfalls durch geschicktes 'IOS Jail breaking' partiell geknackt werden kann (daß es sich bei den Apfel-Produkten um zusammengeklebte, oft irreparable, völlig überteuerte und gleichzeitig immer wieder mit gravierenden Hardwarefehlern behaftete Produkte handelt, das hier nur am Rande).

    Dabei gibt es freie offene Betriebssystem wie Sand am Meer, deren Code jedem frei zugänglich ist, der kopiert und weitergegeben und verändert werden darf, und der geprüft werden kann auf 'Backdoors', darunter mittlerweile auch einige, die einfach zu installieren und intuitiv zu bedienen sind, die, wenn sie einmal laufen, stabiler laufen als alle Windows-Maschinen.







    Handeln wider besseres Wissen.



    Es wäre interessant, die Sozialpsychologie dieser offenbar so effektiven selbstschädigenden Handlungshemmung genauer unter die Lupe zu nehmen. Herr Kretschmar!

  • Das ist so nicht ganz korrekt. Bei der App des RKI handelt es sicht NICHT um eine contact-tracing App, wie der Artikel suggeriert. Es geht um das "kollektive Fiebermessen" per smartwatch oder Fitness-Bracelet, also Sammlung von potentiellen Symptomdaten, die auch erst in der Masse und nach Landkreisen ausgeschlüsselt Information darüber geben, ob es irgendwo eine statistisch signifikante Häufung gibt. Passend dazu Poscast #30 des NDR vom 8.4.2020.

    • @peakoil:

      Artikel nochmal lesen. Darin geht es nicht um "die" tracking-App, sondern um die Vitalfunktionen-App.

      Die Tracking-App wird lediglich als Vergleichswert herangezogen: bei dieser hat immerhin der Diskussionsprozess um Datenschutz stattgefunden.

      Bei der im Artikel besprochenen (Vitalfunktionen aus dem Fitnessarmband [1]) fehlt das eben völlig. Ich nenne sowas "nephewware" [2].

      [1] Wer auch immer sich so ein Gadget kauft. Ich kann's nicht verstehen.



      [2] "Ich habe da einen Neffen, der hat 'ne App gemacht..." (Consultants sind auch so 'ne Art "Neffen").

  • Schauderhaft. "Stümper" wäre da wohl die freundlichere Interpretation. Da hat sich wohl wer über den Tisch ziehen lassen.

    Noch dazu: ob das RKI weiss, dass diese Fitnessarmbänder bei der Pulsfrequenz Fehler zwischen 7±5 Schlägen pro Minute (Ruhe) und 14±8 aufweisen [1]?

    Aber das sind wohl unwichtige Details.

    Bislang habe ich mir ja aus Faulheit kein Smartphone zugelegt. Mittlerweile habe ich immer mehr Grund dazu.

    [1] www.nature.com/art.../s41746-020-0226-6

  • Danke für den Artikel, und vielen Dank an CCC zur Prüfung der app.