Neue App des Robert-Koch-Instituts: Hört auf Expert*innen
Im Kampf gegen Corona ruft das RKI zu einer Datenspende via App auf. Doch im Hinblick auf Datenschutz erfüllt die App nicht mal basale Anforderungen.
Das Wissen von Expert*innen leitet unser Handeln. Zumindest in Krisensituationen hören die meisten von uns auf informierten, mit Zahlen, Daten, Fakten belegten Rat. Wir bleiben zu Hause, soweit das mit dem Beruf vereinbar ist, vermeiden unnötige Kontakte, tragen erst keine Masken, und wenn die qualifizierte Empfehlung korrigiert wird, setzen wir sie brav auf. Die Expertise des Robert-Koch-Instituts (RKI) gibt Orientierung im Umgang mit der Infektionsgefahr. Man darf unterstellen, dass alle ihr Bestes geben, Lücken möglichst schnell gestopft, Fehler zügig beseitigt werden.
Eine Hilfestellung, um die das RKI seit Dienstag bittet, ist die Verwendung einer App, die Daten zu den Vitalfunktionen und Aktivitäten der Träger*innen von Wearables für eine Auswertung an das Institut weiterleitet. Zehntausende Nutzer*innen von Smartwatches und Fitnessarmbändern luden die Anwendung innerhalb weniger Stunden auf ihre Mobilgeräte. Die Idee, über Gesundheitsdaten wie den Ruhepuls potenziell Infizierte geografisch grob zuzuordnen und so Infektionsraten und -wege besser abschätzen zu können, ist einleuchtend. Die so erhobenen Daten sind zuverlässiger als beispielsweise Selbstauskünfte. Dass Patient*innen lügen, hat uns ja Doctor House jahrelang erklärt. Auch dass für eine ungefähre Übersicht keine individuellen Diagnosen nötig sind, sondern lediglich Wahrscheinlichkeiten für bestimmte Trends, liegt auf der Hand.
Der Wunsch des RKI, möglichst umfassendes Datenmaterial zur Verfügung zu haben, ist verständlich. Und die Bereitschaft zur „Datenspende“ ist angesichts der hohen Sensibilisierung in der Bevölkerung hoch. Nutzer*innen von Wearables sind dazu ohnehin offener als andere im Umgang mit den eigenen Daten.
Schließlich ist deren Analyse und Vergleichbarkeit Teil des gewünschten Funktionsumfangs der Geräte. Eine repräsentative Befragung des Allensbach-Instituts für die Friedrich-Ebert-Stiftung aus dem vergangenen Jahr zeigt, dass mehr als die Hälfte der Nutzer*innen von Wearables ohne weitere Bedenken oder mit gewissen Einschränkungen bereit wären, ihre Daten der Krankenkasse oder Ärzt*innen weiterzugeben.
Für diese Freigebigkeit sieht die Ebert-Stiftung übrigens zwei sehr unterschiedlich Motivationsmuster. Einerseits sind da Vorerkrankte, die sich mehr Sicherheit und Lebensqualität durch ein medizinisches Frühwarnsystem erhoffen. Auf der anderen Seite sind Fitnessbegeisterte, die sich wegen ihres zumindest gefühlt überdurchschnittlich gesunden Lebensstils perspektivisch Beitragsrabatte bei der Krankenversicherung erhoffen. Gemein ist beiden Gruppen, dass sie männlicher, vermögender und besser gebildet als der Bevölkerungsdurchschnitt sind.
Interesse des Herstellers
Diese Avantgarde hat nun die Möglichkeit, ihre Geräte im Interesse der Allgemeinheit einzusetzen. Und wer weiß, vielleicht steigt ja auch der Umsatz der Hersteller. Denn wer will schon hinten anstehen, wenn es um den Kampf gegen das Virus geht. Der Wunsch, etwas beizutragen, mag für einige ihr bisheriges Unbehagen oder Desinteresse an der digitalen Durchdringung der Lebenswelt überwinden helfen. Gerade im Zuge eines solchen Sprungs in der Entwicklung und Akzeptanz neuer Anwendungen und Geräte ist es besonders wichtig, dass das RKI als Anbieter bei der Erhebung und Verarbeitung des Materials allerhöchsten Sicherheits- und Datenschutzstandards genügt.
Der Chaos Computer Club (CCC) hat im Zuge der Diskussion über eine „Contact Tracing“-App einige Anforderungen zusammengestellt, die erfüllt werden müssten, um eine sichere und datenschutzkonforme Anwendung zu gewährleisten. Auch wenn einige der Hinweise sich konkret auf die Funktionalität der Rückverfolgung vergangener Kontakte beziehen, sind andere doch so grundlegend, dass sie auch auf die jetzt vorgestellte Datenspende-App bezogen werden können.
Ein herausragender praktisch selbsterklärender Punkt ist dabei, dass die Weitergabe der Daten nicht einfach nur auf Vertrauensbasis erfolgen kann, sondern hinreichend dokumentiert und technisch nachprüfbar erfolgen muss.
Allein diese basale Anforderung erfüllt die App nicht. Ihr Code ist proprietär statt Open Source, also gerade nicht öffentlich dokumentiert und prüfbar. Das RKI verlässt sich im Wesentlichen auf das Vertrauen der Nutzer*innen und verweist darauf, dass der hauseigene Datenschutzbeauftragte grünes Licht gegeben habe und der Bundesdatenschutzbeauftragte beratend an der Entwicklung beteiligt. Der jedoch sah sich genötigt, in einer Stellungnahme darauf hinzuweisen, dass ihm vor deren Veröffentlichung nicht einmal eine fertig Version der App vorgelegen habe.
Unerhörte Expert*innen
Andere Forderungen des CCC, wie wirkliche Anonymität, Datensparsamkeit, Vermeidung zentraler „allwissender“ Server und Schutz vor unbefugten Zugriff durch zum Beispiel Mobilfunkbetreiber sind entweder ganz offensichtlich nicht erfüllt oder zumindest unklar. Das RKI erklärt in seinen eigenen Materialien nicht einmal, zu welchen Daten der technische Dienstleister, mit dem die App entwickelt wurde, Zugang hat. Und Interesse hat die Firma Thryve sicher an diesem Datenpaket, um es „im Einklang mit dem geltenden Datenschutzrecht zu verarbeiten“. Schließlich ist es das Geschäftsmodell des Start-ups, umfassende Gesundheitsprofile zu erstellen, um damit Behandlung besser individualisieren zu können – und Versicherungen Informationen über den Lebensstil ihrer Kund*innen zu liefern.
Nichts Gutes verheißt dieses mit der heißen Nadel gestrickte Projekt für die noch kommende App zum Contact Tracing. Vielleicht ist es an der Zeit, dass das RKI lernt, auch auf Expert*innen zu hören und sein Handeln von denen leiten zu lassen. Jene Expert*innen, die Ahnung von den anderen Viren haben, von Datenschutz und von Sicherheit im digitalen Raum. Deren Meinung zum Infektionsschutz wiegt gerade sicher nicht so schwer, die zu den Apps aber umso mehr.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Israelische Drohnen in Gaza
Testlabor des Grauens
Proteste bei Nan Goldin
Logiken des Boykotts
Bundeskongress der Jusos
Was Scholz von Esken lernen kann
Rekrutierung im Krieg gegen Russland
Von der Straße weg
Bündnis Sahra Wagenknecht
Ein Bestsellerautor will in den Bundestag
Schwedens Energiepolitik
Blind für die Gefahren