Coronavirus

Robert Koch-Institut sammelt Gesundheitsdaten per Fitness-Tracker

Besitzer:innen von Fitnessarmbändern sollen ihre Gesundheitsdaten der Forschung zum Coronavirus zur Verfügung zu stellen, bittet das Robert Koch-Institut. Die Behörde hat heute eine App vorgestellt, die mit pseudonymisierten Daten Symptome einer Corona-Infektion erkennen und die geografische Ausbreitung erfassen soll. Quelloffen ist die Software nicht.

Die Gesundheitsdaten sollen freiwillig an das RKI übermittelt werden. CC-BY 2.0 Pabak Sarkar

Nach wochenlanger Diskussion rund um Mobilfunkdaten und Smartphone-Apps, mit denen sich die Ausbreitung des Coronavirus möglicherweise eindämmen lassen könnte, hat heute das Robert Koch-Institut (RKI) die App „Corona-Datenspende“ vorgestellt. Mit den bislang diskutierten Ansätzen hat sie nichts zu tun. Stattdessen will die App Gesundheitsdaten aus Fitnesstrackern oder Smartwatches auslesen und auswerten. Damit sollen sich frühzeitig Symptome einer Infektion mit dem Coronavirus erkennen und die geografische Ausbreitung erfassen lassen, gab das Forschungsinstitut bekannt.

Etwa 10.000 Datenspender:innen sollen genügen

Statistisch würde es wohl genügen, wenn etwa 10.000 Personen die Corona-App herunterladen und mit ihren Gesundheitsdaten sowie der Postleitzahl ihres Wohnortes befüllen, hoffte RKI-Präsident Lothar Wieler noch auf der vormittäglichen Pressekonferenz. Dieses Ziel war rasch erreicht: Rund 30.000 Downloads verzeichnete das RKI laut eigenen Angaben bis zur Mittagszeit.

Laut Branchenverband Bitkom nutzen weit mehr als 20 % der Menschen in Deutschland mindestens gelegentlich Fitnessarmbänder oder Smartwatches. Das RKI geht davon aus, dass „Menschen aller Altersschichten, Wohnorte, Geschlechter und Einkommensschichten“ Fitnessarmbänder oder Smartwatches tragen und die Stichprobe somit repräsentativ für die Gesamtbevölkerung wäre.

Die gesammelten Gesundheitsdaten sollen dazu dienen, typische Symptome einer Corona-Infektion zu erkennen, Fieber etwa. Die verwendeten Fitnessarmbänder müssen dabei nicht unbedingt die Körpertemperatur messen können, es genügt bereits der Ruhepuls und der Schlafrhythmus, um Rückschlüsse auf eine Erkrankung zuzulassen. Voraussetzung dafür ist, dass die Freiwilligen ihre Smartwatch oder ihr Fitnessarmband rund um die Uhr tragen, also auch beim Schlafen.

Vorbild für Corona-Datenspende-App kommt aus den USA

In den USA hat das Unternehmen Kinsa es sich angesichts der Corona-Epidemie zur Aufgabe gemacht, eine „Gesundheitswetterkarte“ zu erstellen. Der Hersteller für smarte Fieberthermometer verkauft normalerweise Analysen der Gesundheitsdaten von rund einer Millionen Nutzer:innen an Werbeunternehmen. Mit seinen Prognosen liegt das Unternehmen dabei zeitlich teilweise sogar vor den Gesundheitsbehörden.

Konkret diente dem RKI laut eigenen Angaben eine wissenschaftliche Studie aus den USA zum Vorbild, bei der Grippe-Symptome über vernetzte Fitnessarmbänder gemessen wurden. Das Forschungsinstitut beauftragte daraufhin das deutsche Unternehmen „Thryve“ mit der Entwicklung einer Datenspende-App. Die Gelder dafür kamen laut einem Unternehmenssprecher vom RKI.

Streit um Freie Software bei der Corona-Datenspende-App

Das Robert Koch-Institut hat sich gegen den Einsatz quelloffener Software entschieden. Zuvor hatte unter anderem der Chaos Computer Club (CCC) die Prüfbarkeit der Anwendung gefordert. Dazu gehöre, dass der Quelltext der angekündigten Corona-App, die Kontaktpersonen von Infizierten informieren sollte, öffentlich einsehbar sein sollte. Ein offener Quelltext ermöglicht es allen Interessierten, die Funktionsweise der App nachzuprüfen. Bei der Datenspende-App wurde diese Forderung nicht umgesetzt.

Der Startup-Beauftragte der Bundesregierung, Thomas Jarzombek (CDU), verteidigte die Entscheidung des RKI auf Twitter. Er schreibt, dass es keinen Zwang geben dürfe, ausschließlich Open-Source-Software einzukaufen. Nur wenn staatliche Behörden selber als Software-Entwickler auftreten, müsse diese Open Source sein.

Auf ihrem letzten Parteitag hatte die CDU beschlossen, dass alle staatlich finanzierten Software-Projekte grundsätzlich quelloffen sein sollten. Im Parteitagsbeschluss vom November 2019 steht:

Deshalb gilt künftig für alle (öffentlichen) Digitalisierungsprojekte in Deutschland: Auftragsvergabe und Förderung sind an die Einhaltung der Prinzipien Open-Source und offene Standards gebunden. Durch öffentliche Mittel finanzierte Software soll allen Bürgern dienen. Zusätzlich sollen freie und offene APIs den Zugang für unabhängige Entwicklungen erleichtern.

Kalorienverbrauch und Schlafqualität werden an das RKI übermittelt

Zwar verzichtet die Corona-Datenspende-App auf persönliche Angaben wie den Namen. Dennoch werden personenbezogene und entsprechend sensible Gesundheitsdaten, wie Körpergewicht, Ruhepuls und Kalorienverbrauch übermittelt.

Ebenfalls übertragen werden pseudonymisierte Daten zum Tagesrhythmus und zur Regelmäßigkeit und Qualität des Schlafs, die weitere Rückschlüsse auf die Person zulassen. Die App übermittelt dabei auch bereits erhobene Daten, beispielsweise das Aktivitätsniveau der letzten zwei Wochen.

Der Name „Datenspende-App“ ist irreführend

Der Bundesdatenschutzbeauftragte, Ulrich Kelber, hat die Datenspende-App noch nicht geprüft, sondern bislang das RKI lediglich beraten. Eine Schwierigkeit sei, dass das Datenschutzniveau zwischen den Herstellern von Fitness-Tracker und Smartwatches sehr unterschiedlich ist. Den gewählten Begriff der „Datenspende“ hält er zudem für irreführend:

Aus meiner Sicht ist der Name „Datenspende-App“ unglücklich gewählt. Auch wenn Betroffene dem RKI ihre Daten freiwillig übermitteln, geben sie das Recht an ihren Daten nicht ab und können ihre Einwilligung jederzeit widerrufen. Das RKI hat zugesagt, dass in diesem Fall alle gesammelten Daten gelöscht werden.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

5 Ergänzungen
  1. „ wie Körpergewicht, Ruhepuls und Kalorienverbrauch übermittelt.“

    Also bei der iOS Version der App, sofern man die Freigabe mittels Health macht, werden da ganz andere Daten genommen: Herzfrequenz, Ruheherzfrequenz, Schlafanalyse und Schritte. Das war es.

    1. hm. auf tagesschau.de heißt es dagegen:

      „Nutzer müssen für die „Datenspende-App“ Geschlecht, Alter, Größe, Gewicht und ihre Postleitzahl angeben. Kombiniert mit den Daten von Fitnessarmbändern und Smartwatches werden sie mit Ruhepuls, Schlaf und Aktivitäten verknüpft.“

      quelle: https://www.tagesschau.de/inland/app-rki-101.html

      alleine die stammdaten – ganz ohne die weiteren laufend anfallenden personenbezogenen daten und ggf. ebenfalls übermittelten geräte- oder kommunikationskanalspezifischen daten – sollten mindestens in vielen einzelfällen, falls nicht immer, die zuordnung eines pseudonymisierten datensatzes zu einem menschen möglich machen.

  2. Ich befürchte das dieser ‚Move‘ wie Jarzombek es nennt das Vertrauen in die seit Wochen diskutierte App schwächt. Da erklären Neumann und Buermeyer in den ÖR wie so eine Tracking App aufgebaut sein sollte und das es dann auch keine großartigen Bedenken mehr gäbe und das RKI schmeisst dem eh schon verunsicherten Verbraucher plötzlich eine closed source App vor die Füsse. Schlechter Move mMn

    1. Ich war auch erst mal unsicher, ob das schon die groß erwartete App sein soll. Wenigstens haben sie FAQs, wo schnell klar wird, dass die vertrauenswürdigen Namen nicht dahinterstecken.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.