Coronographien 23 – RKI Corona Datenspende App

Zuletzt aktualisiert am 29. April 2020 um 23:43

Mit der Corona Datenspende App will das Robert Koch Institut RKI auf freiwilliger Basis Vitaldaten erfassen, um die Verbreitung bestimmter Sypmtome besser erkennen zu können.

Corona Datenspende App des RKI

Die Corona Datenspende App funktioniert in Kombination mit Smartwatches (Fitnessuhren) und Fitnessarmbändern. Diese zeichnen in der Regel Vitaldaten auf. Bei akuten Atemwegserkrankungen ändern sich diese Vitaldaten. Symptome einer akuten COVID-19 – Erkrankung könnten durch die App erkannt werden.

Die App ist kein Test auf Infektion mit dem Coronavirus. Die Nutzer selbst werden nicht über eine mögliche Infektion informiert.

Corona Datenspende App (Screenshot corona-datenspende.de, RKI)

Die Corona Datenspende App soll damit dazu beitragen, Infektionsschwerpunkte zu erkennen. Sie dient nicht dem Tracking von mit dem Coronavirus Infizierten. Für das Tracking entwickelt das RKI eine eigene App.

„Wenn in einer ausreichend großen Stichprobe die Anzahl der symptomatischen Patienten erfasst werden kann, könnte uns das dabei helfen, früher Rückschlüsse auf Infektionsgeschehen, Verbreitung und auch auf die Wirksamkeit der bisherigen Maßnahmen zu ziehen.“

Prof. Lothar Wieler, Leiter des RKI

Über die App werden folgende Nutzerdaten erhoben:

  • Postleitzahl
  • Körperdaten: einmalig Geschlecht, Alter, Größe, Gewicht
  • Automatisch und manuell erfasste Aktivitäten des Fitnessarmbands, wie bspw.: Sport (bspw. Fahrradfahren, Laufen), Schlafen und Schlafphasen, Aktivsein (bspw. Gehen, Aktivität), Ruhezeiten
  • Automatisch und manuell erfasste Vitaldaten des Fitnessarmbands, wie bspw.: Puls, Herzratenvariabilität, Stress, Temperatur, Gewicht, Blutdruck

Die Nutzerdaten werden pseudonymisiert erhoben (individuelle NutzerID, Pseudonym), eine Identifizierung der Person sei nicht möglich. Name oder Anschrift oder andere identifizierende Daten werden nicht erhoben.

Unterstützt werden alle über GoogleHealth oder AppleHealth verbundenen Geräte.

Entwickelt wurde die App vom E-Health- Unternehmen Thryve (mHealth Pioneers GmbH), einem 2016 aus dem Fraunhofer Institut für Graphische Datenverarbeitung ausgegründeten Berliner StartUp, in Zusammenarbeit mit dem RKI. Der Bundesdatenschutzbeauftragte wurde einbezogen.

Die Daten gehen TSL/SSL-verschlüsselt zentral an das Robert Koch Institut. Sie werden aufbereitet und in eine interaktive Karte auf PLZ-Ebene umgestezt.

Mobilfunk- oder Ortungsdaten werden nicht erhoben.

Die Corona Datenspende App steht für iOs und Android zur Verfügung. Am Tag des Starts der App war die zugehörige Internetseite allerdings zeitweise nicht erreichbar. Das RKI räumte Probleme ein, eine Lösung sei in Arbeit.

Bis 9. April 2020 haben bereits über 160.000 Personen die App installiert, so RKI-Wissenschaftler Dirk Brockmann. Am 14.4. berichtete RKI-Chef Prof. Wieler, die App sei bereits über 300.000 mal heruntergeladen worden. Inzwischen (20.4.) nutzen über 400.000 Personen die App.

Kritik an der Corona Datenspende APP

Der Bundesbeauftragte für Datenschutz Ulrich Kelber zeigte sich im t3n Podcast frühzeitig skeptisch gegenüber dem Namen der App ‚DatenSpende‘. Es sei keine Spende, das Einverständnis könne jederzeit zurück genommen werden und die Daten gelöscht werden.
Seine Behörde sei erst relativ spät im Prozess eingebunden worden. Vorläufig sehe die Behörde eine datenschutzkonforme Umsetzung der App als möglich an.

In einem interview (Link) bestätigte Kelber, der Bundes – Datenschutzbeauftragte sei vom RKI erst sehr spät einbezogen worden. Man habe nur wenige Hinweise geben können. Das RKI habe Nachbesserungen zugesagt. Auch kelber bemängelte den vom CCC beklagten möglichen Zugriff auf Klarnamen.

Die Gesellschaft für Informatik (GI) bezeichnete die Corona Datenspende App am 9. April 2020 als ‚schlecht gemacht‚. Sie erfülle „im Hinblick auf Datenschutz und IT-Sicherheit nicht die grundlegenden Anforderungen“. Zudem sei der Code proprietär und nicht öffentlich frei zugänglich.

deutliche Kritik vom CCC – Risiken „auf Dauer nicht hinnehmbar“

Der Chaos Computer Club CCC stellte in seiner Sicherheits-Analyse vom 19. April 2020 (hier als pdf) bei der Datenspende App zahlreiche Sicherheitsprobleme fest. Das RKI sei von sich aus nicht transparent genug gewesen.

Die Daten würden nicht direkt von Smartphone, sondern vom Fitnesstracker per Cloud direkt geholt. Erst anschließend erfolge die Pseudonymisierung beim RKI. Prinzipiell sei damit sogar der Zugriff auf den Klarnamen möglich.

Es würden mehr Daten gespeichert als notwendig, Hürden für Angreifer seien zu niedrig. Pseudonymisierung und Datenfluss seien sehr intransparent. Selbst bei Deinstallation der App laufe die Datenspende im Hintergrund weiter (CCC: „Abofalle Datenspende„), statt automatisch beendet zu werden (Tipp: Zuigangsberechtigung in den System-Einstellungen entziehen).

CCC bezeichnete die bestehenden Risiken als „auf Dauer nicht tragbbar„.
Der CCC hat sich bereits vor Veröffentlichung App-Entwickler und RKI über seine Analyseergebnisse informiert.

.

Der Europäische Datenschutz-Ausschuss betonte in einer Stellungnahme „Die Anonymisierung erlaubt die uneingeschränkte Nutzung der Daten, aber pseudonymisierte Daten fallen immer noch in den Geltungsbereich des DSGVO.

.

Doe Coronavirus Epidemie schafft auch allgemeine Bereitschaft für den Gedanken der Datenspende, Gesundheitsdaten für die Forschung zur Verfügung ztu stellen – ein Gedanke der nicht neu ist:

Corona Datenspende App: Geschichte des Gedankens der Datenspende im Gesundheitswesen

.

3 Antworten auf „Coronographien 23 – RKI Corona Datenspende App“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.