Seit letzter Woche steht sie in den App-Stores von Google und Apple bereit und wird massenhaft heruntergeladen: Die App „Corona-Datenspende“, herausgegeben vom Robert-Koch-Institut (RKI). Im Google Play-Store hat sie schon mehr als 100.000 Downloads, in Apples App Store ist sie die Nummer eins in der Rubrik "Gesundheit und Fitness".

Doch zahlreiche Medien und Vertreter*innen der Zivilgesellschaft haben die App heftig kritisiert. Was steckt hinter dem Streit?

Was bringt die App Corona-Datenspende?

Mit der App können Nutzer*innen von Fitness-Trackern ihre Gesundheitsdaten dem RKI zur Verfügung stellen. „Die Daten sollen dabei helfen, Infektionsschwerpunkte besser zu erkennen und dazu beitragen, ein genaueres Bild über die Wirksamkeit der Maßnahmen zur Bekämpfung von COVID-19 zu gewinnen“, so das RKI in einer Pressemitteilung über Sinn und Zweck der Datensammlung.

Die App fragt einmalig Geschlecht, Gewicht, Alter, Körpergröße und die Postleitzahl ab und erfasst dann vom jeweiligen Fitness-Tracker Daten zu Puls, Aktivität und Körpertemperatur.

Das Institut beruft sich bei der medizinischen Sinnhaftigkeit des Vorhabens auf eine Studie aus den USA, bei der Fitbit-Trackingdaten von 100.000 Personen zwischen 2016 und 2018 ausgewertet wurden. Offenbar gelang es mit den Daten, die Verbreitung von Grippe-Infektionen relativ genau zu bestimmen. Die Studie wurde Anfang des Jahres im angesehenen Fachmagazin "The Lancet" veröffentlicht.

Das RKI erhofft sich, anhand der gespendeten Vitaldaten aus der Datenspende-App ähnliche Erkenntnisse für die Verbreitung der Infektionen mit COVID-19 zu gewinnen.

Kritik: Fehlende Transparenz

Die einzige Garantie dafür, dass die App mit diesen doch recht sensiblen Daten verantwortungsvoll umgeht, ist das Versprechen des RKI. Eine Überprüfung durch unabhängige Dritte ist nicht möglich, da der Programmcode der App nicht frei zugänglich ist. Dies kritisierte unter anderem die Gesellschaft für Informatik.

Zudem greift das RKI bei Entwicklung und Betrieb auf die Dienste der mHealth Pioneers GmbH zurück, einer Ausgründung des Fraunhofer Institutes für Grafische Datenverarbeitung Rostock mit Sitz in Berlin.

Hauptprodukt der Firma ist die Plattform Thryve, die Gesundheitsdaten aus unterschiedlichen Quellen - zum Beispiel aus Wearables verschiedener Hersteller - in eine einheitliche Struktur bringt. Auch die Daten aus der Corona-Datenspende-App werden mit Thryve verarbeitet.

Neben dem RKI müssen Nutzer*innen also auch einer gewinnorientierten Firma vertrauen.

Was ist das Problem?

Nun könnte man die Kritik mit dem Hinweis darauf abtun, dass die App gründlich über die Datenverarbeitung informiert, die Nutzer*innen ihre Einwilligung geben und im Übrigen die App ja nicht nutzen müssen. Ginge es allein um die Corona-Datenspende, wäre das sogar akzeptabel.

Aber mit der App platzt das RKI mitten in die Debatte um ein ganz anderes digitales Werkzeug, das uns sehr wahrscheinlich demnächst ins Haus steht: Einer Tracing-App, mit der mögliche Kontaktpersonen nachverfolgt werden können, um damit Infektionsketten ausfindig zu machen und einzudämmen.

Während die Corona-Datenspende eher unter der Rubrik „nice to have“ verbucht werden kann, hängt von dem Erfolg des Contact-Tracings vermutlich viel mehr für uns alle ab. Schließlich wird ein solches Werkzeug als wichtiger Baustein einer Lockerungsstrategie der aktuellen Einschränkungen des sozialen Alltags gesehen.

Scheitert das Contact-Tracing per App an mangelnder Teilnahme, könnte das die Freiheit aller gefährden. Die Nutzung ist also nicht ganz so freiwillig, wie immer beteuert wird - wenn auch formal kein Zwang zur Installation besteht.

Der Anspruch an Integrität, Sicherheit und Vertrauenswürdigkeit an eine solche App ist dementsprechend hoch – zu Recht. Bisher bringt das RKI mit seinem exzellenten Ruf und seiner weitgehenden Unabhängigkeit dafür sehr gute Voraussetzungen mit. Diesen Vertrauensvorschuss bringt das RKI nun in Gefahr - mit seinem unsensiblen Vorgehen bei der Corona-Datenspende-App.