Die Datenspende-App ist nicht gerade ideal programmiert, findet der Chaos Computer Club. Die Designfehler sind für die Nutzung eher unbedeutend, sie kratzen aber am Image des Robert Koch-Instituts.
Zentrale Server mit zentraler Kontrolle oder Daten nur auf dem Gerät lassen? Um die Corona-App, die es noch nicht gibt, wird gestritten. Jetzt ist die Datenspende-App für Fitnessarmbänder und Smartwatches in die Kritik geraten. Der Chaos Computer Club (CCC) hat die App analysiert und kommt zu dem Ergebnis, dass sie gegen die einfachsten Regeln zum Datenschutz verstößt.
App-Testlauf mit Schwierigkeiten
Unser Reporter Andi Noll sieht darin hauptsächlich ein Image-Problem für das Robert Koch-Institut. Es kommt allerdings zum denkbar ungünstigsten Zeitpunkt, sollte doch die geplante Corona-Tracing-App möglichst das volle Vertrauen aller potenziellen Nutzerinnen und Nutzer genießen. Immerhin rund 400.000 Menschen nutzen die Datenspende-App momentan.
"Dass hier die Behörde mehr Daten abgreifen kann, als sie angibt, ist vor allem ein Imageproblem und könnte später die Akzeptanz der Tracing-App belasten."
Gesundheitsdaten würden demnach von den Servern der Wearable-Hersteller und Betreiber an das Robert Koch-Institut (RKI) übertragen – teils mit Klarnamen. Ein Zugriff, der auch nach der Deinstallation bestehen bleibt. Außerdem kommt der CCC zu dem Ergebnis, die App sei unnötig leicht manipulierbar.
"Wenn nun die App sich die Daten von den Servern der Fitnesstracker holt, dann hat das RKI Zugriff auf Gesundheitsdaten vor Corona, auch auf den Klarnamen."
Mit der Corona-Datenspende-App soll das Robert Koch-Institut anonym Gesundheitsdaten über Menschen in Deutschland sammeln, die auf eine Atemwegserkrankung und damit potenziell auf eine Sars-CoV2-Infektion hindeuten könnte. So möchte die Behörde regionale Ausbrüche der Infektion möglichst früh erkennen. Von besonderem Interesse für das RKI sind Informationen über unruhigen Schlaf und einen erhöhten Ruhepuls. Dieser Wert kann auf Fieber hindeuten. Bei der App-Installation werden lediglich Postleitzahl, Geschlecht, Alter und Größe abgefragt.
App-Verbesserungen in Sicht
Unser Reporter findet, es gebe keinen Anlass, die Datenspende-App aufgrund der CCC-Analyse unmittelbar zu löschen. Nutzerinnen und Nutzer müssten bedenken, dass der CCC grundsätzlich am Aufspüren von Schwachstellen interessiert sei. Der Austausch zwischen CCC und dem Robert Koch-Institut, um die App sicherer zu machen, läuft bereits.
Der CCC hatte den beauftragten Dienstleister und das RKI vorab informiert. Erste technische Verbesserungen sind bereits umgesetzt worden.
"Wer also vorher mit dem Konzept der Datenspende leben konnte, muss jetzt wohl nicht hektisch die App vom Handy löschen. "