Fehler des RKI?: Corona-App verstößt angeblich gegen eigene Datenschutzerklärung

Die Datenspende-App des Robert Koch-Instituts (RKI) weist erhebliche Schwachstellen auf und verstößt gegen ihre eigene Datenschutzerklärung. Zu diesem Ergebnis kommt ein am Montag veröffentlichtes Gutachten des Hackervereins Chaos Computer Club (CCC), das der F.A.Z. vorab vorlag.

Die Datenspende-App, die von Fitnessarmbändern und Smartwatches gemessene Gesundheitsdaten an das RKI übertragen soll, wurde am 7. April 2020 veröffentlicht, was zunächst für Irritationen sorgte, da zu diesem Zeitpunkt rege über eine Tracing-App zur Kontaktnachverfolgung debattiert wurde, nicht jedoch über eine Gesundheitsdatenspende-App. Dennoch hatten innerhalb einer Woche bereits mehr als 300.000 Menschen diese App freiwillig heruntergeladen und installiert. Das RKI hofft, auf diesem Weg zusätzliche Informationen über die Ausbreitung der Covid-19-Infektionen sammeln zu können.

Das nach Angaben des CCC unabhängig erstellte Gutachten bescheinigt dieser App nun jedoch mehrere teils erhebliche Schwächen. So würden die Gesundheitsdaten bei Nutzern von Google Fit, Fitbit, Withings sowie Polar – nicht aber bei Nutzern von Apple Health – direkt vom Server des jeweiligen Fitnessarmbandherstellers an das RKI übertragen, statt zunächst an das Smartphone des Nutzers und sodann von dort an das RKI gesendet zu werden. Was wie eine rein technische Unterscheidung klingt, bedeutet nach Ansicht des CCC einen erheblichen Unterschied: Bei einer Übertragung via Smartphone könne die App auf dem Smartphone sicherstellen, dass wirklich nur diejenigen Daten an das RKI übertragen werden, die auch gespendet werden sollen, und dass sie zudem vor der Übertragung pseudonymisiert würden.