nd-aktuell.de / 11.04.2020 / Politik / Seite 7

Pseudonym, nicht anonym

Die heiß diskutierte Corona-App lässt etliche Fragen offen.

Daniel Lücking

Eine neue App des Robert-Koch-Instituts soll eine »Datenspende« ermöglichen. Verbal knüpft dies an die Blutspende an, gegen die kaum noch jemand Bedenken hegt. Alles ist freiwillig. Doch sollen möglichst viele Menschen Vitalwerte wie Puls, Blutdruck und Angaben zum Schlafverhalten an das Forschungsinstitut senden. So will man Symptome erkennen, bevor Menschen, die womöglich bereits ansteckend sind, diese auch selbst bemerken[1].

Weil die bevorstehende Frühlings- und Sommerzeit Grippewellen unwahrscheinlich macht, könnte etwa eine über längere Zeit leicht erhöhte Körpertemperatur ein Indiz für eine Corona-Infektion sein. Soweit, so wünschenswert. Doch es gibt etliche Haken.

Es beginnt mit den Erfassungsgeräten. Fitness-Tracker, die auch Wearables (zu deutsch: Tragbare) genannt werden, sowie Smart-Watches sollen die Daten sammeln. Sensoren, die schon bald direkt in die Kleidung integriert und heute als Armbänder oder Brustgurte getragen werden, erfassen die Vitalwerte. Nach Schätzungen des Robert-Koch-Instituts nutzen zehn Millionen Deutsche solche Geräte. Neben klassischen Sportausrüstern wie Polar oder Garmin sind in diesem Bereich auch Dienste wie Apple-Health oder Google-Fit vertreten. Doch Datenschützer horchen hier schon auf, denn die technischen Schnittstellen, die bei Google- und Apple-Geräten benutzt werden, sind Firmengeheimnisse.

Die Bundesregierung will bei dem Ansinnen freilich auf Transparenz setzen, um Vertrauen zu gewinnen. »In weniger als drei Minuten erledigt, garantiert sinnvoll, 100 Prozent freiwillig, 100 Prozent pseudonym, von Sicherheitsexperten geprüft«, biedert sich die App bei der Einrichtung an.

Aber was heißt »pseudonym«? Mehrfach rutschte diese Woche Regierungsvertretern und deren Presseleuten stattdessen das Wort »anonym« heraus. Das aber ist sachlich falsch. Die einmal gelieferten Daten sind über das gespeicherte Pseudonym jederzeit für Löschung oder Korrektur verfügbar. Damit ist der einzelne Datenspendende identifizierbar.

Ohne Eingabe der Postleitzahl ist die Nutzung der App nicht vorgesehen. Es soll eine Karte entstehen, quasi ein »Fieberthermometer« für das ganze Land, sagt der derzeit omnipräsente Experte und Virologe der Charité, Prof. Christian Drosten, im NDR-Podcast[2]. Sein Physikerkollege Dirk Brockmann bekräftigt, man habe in den USA bereits gute Erfahrungen mit solchen Apps gemacht, die aber »nur ein Baustein im gesamten Überwachungssystem« seien. Bundesgesundheitsminister Jens Spahn (CDU) sagte am Donnerstag in einer gemeinsamen Pressekonferenz mit dem Robert-Koch-Institut, er wolle für den Fall, dass sich bestimmte Entwicklungen in den Daten abzeichnen, mit den Behörden vor Ort reden, »ob und welche Maßnahmen notwendig sind.«

Während sich Informatiker und Datenschutzexperten um eine gesamteuropäische Lösung bemühen (Projektname: PEPP-PT[3]), die datensparsam, transparent, aber vor allem anonym sein soll, grätscht das Robert-Koch-Institut dazwischen. Die »Corona-Datenspende-App« wird von der Firma mHealth Pioneers umgesetzt. Das Berliner Start-up holte sich reichlich Kapital ins Haus, wie in einem Artikel des »Wirtschaftswoche Gründermagazins« vom Mai 2019 zu lesen ist. Das privatwirtschaftliche Unternehmen erhielt für seine vielversprechende Marke Thryve (in Anlehnung an das englische »thrive«, das für gedeihen steht) eine Anschubfinanzierung. Neben der Grönemeyer-Gruppe und einem Samsung-Investor pumpte auch der Milliardär Carsten Maschmeyer Geld in das Projekt.

Skeptische IT-Fachleute

Erste Analysen der Datenspende-App zeigen, dass die Daten auf Servern von mHealth Pioneers gespeichert werden. Dort würden diese Daten nur zusammengeführt und dann an das Robert-Koch-Institut übermittelt, beschwichtigte dessen Präsident Lothar Wieler in der Pressekonferenz mit Jens Spahn. Auch habe Wieler vor Einführung der App eine Stellungnahme vom Bundesdatenschutzbeauftragten Ulrich Kelber erhalten. Über deren Inhalt sagt Wieler allerdings nichts. Kelber wiederum reagierte auf die überraschende Präsentation der App am Dienstag dieser Woche mit einer Mitteilung: »Meiner Behörde liegt bis jetzt noch keine fertige Version der Corona-Datenspende-App vor«[4] und benannte eine Reihe an ungeklärten Prüfpunkten.

Einer unabhängigen Analyse der App stellt sich mHealth Pioneers bis heute nicht. Wieler rechtfertigt dies mit dem Hinweis, dass »die technisch logische Basis geistiges Eigentum der Firma« sei.

Zur Qualität der App äußerte sich die Gesellschaft für Informatik (GI). Ihr Präsident Hannes Federrath hält die App für »überraschend schlecht gemacht und daher dem Schutz der Bevölkerung eher abträglich.« Wichtige Prinzipien wie Zweckgebundenheit, Anonymität, Datensparsamkeit und Schutz vor unbefugtem Zugriff seien »entweder nicht erfüllt oder zumindest unklar.«

Jens Spahn sieht in der Erfassung der Postleitzahl die Chance, neue Infektionsherde zu erkennen, lässt aber offen, welche politischen Beschlüsse daraus folgen könnten. Doch selbst das Robert-Koch-Institut räumt ein: Die App sei kein Diagnoseapparat für Corona.

Links:

  1. https://www.nd-aktuell.de/artikel/1135245.corona-app-europaweite-app-loesung-in-der-coronakrise.html?sstr=Corona|App
  2. https://www.ndr.de/nachrichten/info/podcast4684.html
  3. https://www.nd-aktuell.de/artikel/1135367.corona-app-die-andere-app.html?sstr=Daniel|Lücking
  4. https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2020/09_Statement-Datenspende-App-RKI.html?cms_templateQueryString=Datenspende&cms_sortOrder=score+desc
ndPodcast zu Corona-Apps