Lange umstritten, viel umkämpft – nun ist sie da. Die App „Corona Datenspende“ des Robert-Koch-Instituts (RKI) ist am 07.04.2020 in den App-Stores veröffentlicht worden.[1] Doch wie funktioniert eigentlich diese App und kann sie wirklich helfen, wirksam gegen SARS-CoV-2 vorzugehen oder ist es doch nur eine App, die (zu viele) Daten sammelt?
Kritik an der deutschen Herangehensweise
In einem offenen Brief an Bundesgesundheitsminister Spahn haben Vereine und Stiftungen wie beispielsweise der Chaos Computer Club (CCC) oder die Stiftung Datenschutz ihre Bedenken bezüglich der (zu diesem Zeitpunkt geplanten) Corona-App geäußert. So wurde die App als „höchst problematisch“ bezeichnet.
Die Unterzeichner forderten eine stärkere Berücksichtigung der Argumente und Vorbehalte der Expertinnen und Experten. Aufgrund der Gefahr für den Datenschutz und des Fehlens von technischen Beschränkungen bei einer zentralen Lösung wurde eine dezentrale Lösung gefordert.
Die hohen datenschutzrechtlichen Auflagen der EU sind ein Alleinstellungsmerkmal. Indem die Bundesregierung fordert, den Datenschutz bei der Bekämpfung der Pandemie zweitrangig zu berücksichtigen, könnte die Glaubwürdigkeit Deutschlands und der EU – so die Ansicht der Vereine und Stiftungen – für die Zukunft verspielt werden.
Besorgniserregend waren zudem die lauter werdenden Rufe nach einer „Pflicht zur App“. Dies würde bedeuten, dass alle Bürgerinnen und Bürger gesetzlich gezwungen werden, sich die App auf ihrem Mobiltelefon installieren. Eine solche Pflicht würde die Bereitschaft zur Nutzung der App verringern, weil die verpflichtende Preisgabe von sensibelsten Informationen mit einem freiheitlichen Staat nicht zu vereinbaren ist. Ein Zwang zur Verwendung der App für bestimmte Orte oder Gebäude wurde auch abgelehnt.
Die Unterzeichner stellten Forderungen auf, die ihrer Ansicht nach für eine datenschutzkonforme App zur Bekämpfung der Corona-Pandemie notwendig sind: Die App soll zum einen „quelloffen“ sein, was bedeutet, dass man den Programmcode offen einsehen kann. Weiterhin soll auf eine dezentrale Datenspeicherung auf den Endgeräten gesetzt werden – im Gegensatz zu einer zentralen Datenspeicherung, bei welcher die Daten auf einem oder mehreren Servern „zentral“ gespeichert werden. Zu guter Letzt soll die Anonymität der Nutzerinnen und Nutzer, beispielsweise durch ein Pseudonym, geschützt werden. Abschließend haben die Vereine und Stiftungen an Bundesgesundheitsminister Spahn appelliert, die Meinungen der Wissenschaftler ernst zu nehmen.[2]
Internationale Kritik an Corona-Tracking-Apps
Am 19. April 2020 haben international renommierte Wissenschaftler in einem offenen Brief von einem zentralen Datenspeicherungsansatz von PEPP-TT (Pan-European Privacy-Preserving Proximity Tracking) abgeraten.[3]
Die Wissenschaftler hießen generell digitale Lösungsansätze willkommen – sind doch manuelle Rückverfolgungen zeitaufreibend und auf diejenigen Menschen beschränkt, die sich tatsächlich infiziert haben. Hierbei soll auf Technologien wie zum Beispiel Bluetooth oder GPS gesetzt werden. Von GPS wird eher abgeraten, da die Standorterfassung nicht so genau ist und ein Datenschutzrisiko besteht, da die Daten an einen zentralen Knotenpunkt gesendet werden.
Manche Vorschläge, die die Bluetooth-Technologie verwenden, respektieren die Datenschutz-Anforderungen, wohingegen es auch Vorschläge gibt, die es Regierungen erlauben würden, die Daten auszulesen. Dies würde einen katastrophalen Vertrauensverlust nach sich ziehen. Für den Erfolg einer solchen App ist es von fundamentaler Wichtigkeit, dass die Bevölkerung sie akzeptiert und sich darauf verlassen kann, dass ihre Daten sicher und vor externen Zugriffen geschützt sind.
Selbst Google und Apple entwickeln derzeit neue Infrastrukturen, um die Apps datenschutzkonform durchzusetzen. Die beiden Unternehmen geraten aber unter Druck von Regierungen, die zentralisierte Ansätze verfolgen, ihre Systeme zu öffnen, um mehr Daten sammeln zu können.
Die unterzeichnenden Wissenschaftler stellten eine Reihe an Forderungen, die solche Apps erfüllen müssen:
Die App soll nur verwendet werden, um die Gesundheit der Menschen zu fördern und darf nicht imstande sein, mehr Daten zu sammeln, zu verarbeiten oder zu übermitteln, als unbedingt notwendig. Hier muss das Prinzip „So viel wie nötig, so wenig wie möglich“ verfolgt werden.
Weiterhin soll die Anwendung zu 100 % transparent sein. Dies bedeutet, dass beispielsweise genau dokumentiert werden muss, ob, wie, wo und für wie lange Daten gespeichert werden. Sofern mehrere mögliche Szenarien einer Umsetzung zur Verfügung stehen, ist die Variante zu bevorzugen, bei der die Daten der Nutzerinnen und Nutzer am besten geschützt werden. Eine Abweichung von diesem Grundsatz sollte nur zulässig sein, wenn durch einen anderen Ansatz die App effizienter laufen würde. Dies müsste aber gut begründet sein.
Zu guter Letzt muss die Benutzung einer solchen Anwendung freiwillig sein und mit ausdrücklicher Genehmigung durch den Benutzer erfolgen. Zudem müssen die Server so gestaltet sein, dass sie einfach herunterzufahren sind und die darauf gespeicherten Daten einfach gelöscht werden können, wenn die Pandemie beendet ist.[4]
Funktionsweise der App „Corona-Datenspende“
Gerechnet wurde mit einer Tracing-App, erschienen ist jedoch eine App zur Datenspende.[5] Bei einer Tracing-App handelt es sich um eine Methode, bei denen die Smartphones der Nutzer über Bluetooth bestimmte Identifikationscodes austauschen. Über diese IDs merkt sich das Handy dann, mit welchen Geräten es Kontakt hatte. Sollte nun sich eine Person mit dem neuartigen Corona-Virus infizieren, soll eine Warnung angezeigt werden, dass man Kontakt mit Personen hatte, die positiv auf das Virus getestet worden sind und man sich vorsichtshalber in Quarantäne begeben sollte.
Tatsächlich wird jetzt nicht mehr – wie bei Vorgängerversionen – auf der Bluetooth- oder GPS-Methode aufgebaut, sondern auf den Sensoren von Fitnessarmbändern und Smartwatches.
Dazu bedient sich die App „Corona-Datenspende“ der Sensorik solcher Geräte und übermittelt – natürlich in pseudonymisierter Form – beispielsweise den Puls, die Körpertemperatur oder das Stressniveau.
Daneben werden aber auch Daten zur aktiven Fitness- und Schlafphase sowie Alter, Größe und Gewicht an das RKI übermittelt. Die Anwendung selbst kann nicht erkennen, ob man am Corona-Virus erkrankt ist oder nicht. Sie kann aber mögliche Symptome aufzeigen. So gehören etwa Fieber oder eine geänderte Schlaf- und Ruhezeit zu den Anzeichen einer möglichen Infektion.
Zu diesem Zweck errechnet die App einen durchschnittlichen Ruhepuls durch mehrere Messungen pro Tag. Wenn dieser höher als gewöhnlich ist, kann dies ein Indikator für Fieber sein.[6]
In einem Algorithmus werden dann die Daten der verschiedenen Nutzer zusammengeführt. Sofern sich aus einem bestimmten Grund viele Menschen mit den Symptomen in einem Gebiet aufhalten, kann dies auf eine neue Infektionswelle oder ein neues Epizentrum hindeuten.[7]
Indem man auf die Verwertung von Gesundheitsdaten aus Smartwatches oder Fitness-Trackern abstellt, kann aber nur ein Teil der Gesellschaft zur Bekämpfung des Virus beitragen. Verwendet werden können nur die Daten von Personen, die solche Geräte auch besitzen. Bürgerinnen und Bürger, die zwar ein Smartphone, aber keine Smartwatch oder ein Fitness-Armband besitzen, können nicht helfen, da sie die geforderten Gesundheitsdaten nicht senden können.
Ähnliche Methoden existieren bereits – schon seit mehreren Jahren
Dass ein solches Vorgehen – Verfolgung von Infektionsorten und -ketten mithilfe von Fitnessarmbändern und Smartwatches – durchaus Erfolg haben kann, haben die Vereinigten Staaten von Amerika gezeigt. Durch Auswertung der Daten von mehr als 100.000 Menschen konnte die Verbreitung einer Grippe sehr genau verfolgt werden.[8] Während einer großen Grippewelle haben die USA zwischen März 2016 und März 2018 Sensordaten des Fitness-Trackers Fitbit gesammelt und konnten so den örtlichen Verlauf des Influenza-Virus verfolgen. Man hatte sich dabei auf die fünf Bundesstaaten festgelegt, die die meisten Fitbit-Nutzer vorweisen konnten: Kalifornien, Illinois, New York, Texas und Pennsylvania. Die Daten wurden dann mit der wöchentlich geschätzten Rate der grippeähnlichen Erkrankungen verglichen. Dies wurde bewirkt, indem man geschaut hat, welche Personen einen erhöhten Puls und einen gestörten Schlafrhythmus haben. Der zusätzliche Abgleich mit den Fitness-Armbändern konnte die Genauigkeit der Vorhersage so um 6,3-32,9 % steigern – ein signifikantes Niveau.[9]
Neue Methode – mehr Kritik?
Auch die neue Corona-Datenspende-App ist nicht kritikfrei. Die datenschutzrechtlichen Fragen sind noch nicht gänzlich geklärt. So war anfangs auf der Website der App zu lesen, dass sie von Datenschützern geprüft sei, inzwischen heißt es lediglich, der Datenschutz werde „berücksichtigt“.[10]
Der Bundesdatenschutzbeauftragte selbst hat in seinem Statement vom 07.04.2020 mitgeteilt, dass zu diesem Zeitpunkt keine fertige Version zum Testen vorlag. Eine grundsätzliche Datenschutzkonformität wird für möglich gehalten;[11] eine Garantie bedeutet dies aber nicht.
Der CCC hat die neue App ausgiebig unter die Lupe genommen. Sicherheits- und Datenschutzdefizite sind – wie schon bei dem vorigen Entwurf – aufgefallen. So werden die Daten von den Fitness-Trackern nicht immer vom Smartphone des Nutzers übermittelt, sondern direkt beim Anbieter des Trackers angefragt. Die eingegebenen Zugangsdaten, die die Smartwatch oder die Fitness-Armbänder mit der App verbinden, werden vom RKI gespeichert. So kann das RKI beispielsweise auf die vollständige Fitnesshistorie oder den Namen des Spendenden zugreifen. Durch den so möglichen Rückschluss auf personenbezogenen Daten wird das Prinzip der Pseudonymisierung ausgehebelt.
Auf Basis der gesammelten Fitnessdaten kann der regionale Verlauf der COVID-19-Erkrankungen verfolgt werden. Jedoch ist eine Manipulation der Sensordaten möglich, was eine gezielte Beeinflussung der regionalen Corona-Maßnahmen zulässt. Zudem soll das Interface für die Verwaltung des Servers, auf dem die relevanten Daten verarbeitet werden, öffentlich aus dem Internet erreichbar sein. Dies vergrößert die Angriffsoberfläche dieser systemkritischen IT-Infrastruktur.
Viele der genannten Punkte können sich mit der Anwendung eines 10-Punkte-Plans für solche Corona-Apps eliminieren lassen.[12] Dieser 10-Punkte-Plan stellt zum einen auf gesellschaftliche, zum anderen auf technische Anforderungen ab. So sollen Apps, die der Bekämpfung von Corona dienen, den Zweck einer epidemiologischen Verfolgung erfüllen, die persönlichen Daten und die Privatsphäre schützen sowie auf Freiwilligkeit der Nutzung basieren. Aus technischer Sicht gesprochen sollte eine solche App auf Dezentralität setzen, nur so viele Daten sammeln wie nötig und die Anonymität der Nutzerinnen und Nutzer wahren.[13]
Fazit
Während bei dem ersten Entwurf des RKI noch die Bemängelung einer zentralen Speicherung/Verarbeitung von Bluetooth- und GPS-Daten im Vordergrund stand, werden bei der neuen App viel mehr personenbezogene Daten abgegriffen. Alter, Größe, Gewicht, Geschlecht, Puls, Temperatur und Blutdruck sind nur einige der Daten, die von den Smartphones und von den Anbietern der Fitness-Tracker an das RKI übermittelt werden. Aufgrund der Vielzahl an erhobenen Daten ist die App „Corona-Datenspende“ des RKI eher als eine Datenkrake anstelle eines wirksamen Mittels zur Bekämpfung der Pandemie zu klassifizieren, da nur ein kleiner Nutzerkreis verwertbare Daten – und davon viel zu viele – liefern kann.
[1] Erfolgreicher Start der Corona-Datenspende-App: Bereits mehr als 300.000 freiwillige Nutzer, rki.de, 14.04.2020, zuletzt abgerufen am 12.05.2020.
[2] D64 et al., Offener Brief: Geplante Corona-App ist höchst problematisch (PDF), ccc.de, 24.04.2020, zuletzt abgerufen am 13.05.2020.
[3] D64 et al., Offener Brief: Geplante Corona-App ist höchst problematisch, ccc.de, 24.04.2020 (vgl. Fn. 2).
[4] Prof. Dali Kaafar et al., Joint Statement on Contact Tracing (PDF), zuletzt abgerufen am 13.05.2020.
[5] Brühl, Wenn der Puls hochgeht, sueddeutsche.de, 08.04.2020, zuletzt abgerufen am 19.05.2020.
[6] Corona-Datenspende.de, zuletzt abgerufen am 19.05.2020.
[7] Brühl, Wenn der Puls hochgeht, sueddeutsche.de, 08.04.2020 (vgl. Fn. 5).
[8] Corona-Datenspende.de (vgl. Fn. 6).
[9] Radin et al., Harnessing wearable device data to improve state-level real-time surveillance of influenza-like illness in the USA: a population-based study (PDF), Lancet Digital Health 2020, e85, 16.01.2020, zuletzt abgerufen am 19.05.20.
[10] Brühl, Wenn der Puls hochgeht, sueddeutsche.de, 08.04.2020 (vgl. Fn. 5).
[11] Statement des BfDI zur Corona-Datenspende-App, bfdi.bund.de, Pressemitteilung vom 07.04.2020, zuletzt abgerufen am 19.05.2020.
[12] Tschirsich/Jäger/Zilch, Blackbox-Sicherheitsbetrachtung Corona-Datenspende-App des RKI (PDF), ccc.de, 19.04.2020, zuletzt abgerufen am 20.05.2020.
[13] 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps, ccc.de, 06.04.2020, zuletzt abgerufen am 20.05.2020.