Quelle: heise.deGesundheits-Apps versprechen viele Potenziale in Hinblick auf die Verbesserung der Gesundheitsversorgung, nutzen jedoch auch sensible Daten, so dass der Datenschutz hier einen besonderen Stellenwert einimmt.

Jüngst gibt es eine neue Diskussion um die App von Ada Health, die sich selbst als digitale Gesundhetisbegleiterin versteht und Nutzern mittels strukturierter Fragen helfen möchte, anhand des Vergleichs mit ähnlichen Fällen wahrscheinliche Ursachen für Symptome herauszufiltern. Es wird nun von Datenschützern berichtet, dass Ada – trotz des TÜV-Prüfsiegels – verschiedene Probleme in Sachen Datenschutz aufweist. So nutzt die App nach Untersuchung des IT-Sicherheitsexperten Mike Kuketzt die Tracking- und Analyse-Dienstleister Amplitude, Adjust und Facebook. Dabei überträgt Ada schon Daten, bevor der Nutzer überhaupt den AGB und der Datenschutzerklärung zustimmen kann, was prinzipiell nicht konform zur Datenschutzgrundversordnung ist. Ada weist zwar in der Datenschutzerklärung daraufhin, dass diese Dienste genutzt werden. Laut Kuketz passiert das aber eben auch dann schon, wenn der Nutzer die Zustimmung verweigerte und die App von sich aus beendete.

Zu den übertragenen Daten gehören dabei nicht nur Daten technischer Art, z.B. zum Betriebssystem, sondern auch persönliche Gesundheitsdaten, wie etwa die eingegebenen Krankheitssymptome oder Informationen zur Krankenversicherung.

Analyse durch das Fachmagazin c`t

Das Fachmagazin c`t hat nun eine eigene investigative Analyse der Version 2.49.0 der App durchgeführt, um zu überprüfen, ob die Vorwürfe seitens Kuketz stimmen. Die Autoren stimmen mit Kuketz überein und berichten zudem, dass sie den Datenverkehr von der Ada-App zu Faceboook einsehen konnten. So wurde in dem Test u.a. der Name der Krankenversicherung übetragen – entgegen der Angaben in der Ada-Datenschutzerklärung.  Auf Nachfrage von c`t erklärte die Firma, dass es einen eigenen geschützten Bereich bei dem Analysedienstleister Amplitude aus den USA gäbe, auf denen der Anbieter keinen Zugriff habe. Auch erkärte Ada, dass die Behauptung, dass Amplitude aufgrund der Datenübertragungen Personen eindeutig zuordnen könne, falsch sei.

Weiterhin berichten die Journalisten von c`t, dass es Unterschiede in der deutschen und englischen Version der Datenschutzerklärungen von Ada gäbe. So würden Formulierungen nicht passgenau übernommen bzw. ließen sich anders interpretieren. So fehlte etwa ein deutscher Absatz zur Nutzung von Geburtsdatum, Facebook-Benutzername und Passwort in der englischen Fassung komplett. Es sei laut der Autoren nicht davon auszugehen, dass Nutzer die Datenschutzerklärung in beiden Sprachen lesen und vergleichen würden und laut Datenschutzgrundverordnung sei es erforderlich, dass Regelungen „verständlich und in klarer und einfacher Sprache abgefasst sind“.

Die Redaktion von c`t berichtet zudem, dass – offenbar nach den Anfragen bzw. Mitteilungen der Rechercheergebnisse an Ada Health – die App Anfang Oktober kurzfristig aus dem Play-Store verschwunden sei, um dann in der neuen Version wieder aufzutauchen. Die App erscheint nun wohl in durchaus nachgebesserter Form, da die Autoren von c`t keinen Datenübertragungen mehr an Amplitude feststellen konnten.

Es bleibt also abzuwarten, inwiefern der App-Hersteller weiter nachbessern wird bzw. transparenter werden wird, was natürlich auch für andere App-Hersteller gilt. Dies gilt insbesondere vor dem Hintergrund des Digitale-Versorgungs-Gesetzes, welches einen schnelleren Zugangs von gesundheitsbezogenen Apps in die Regelversorgung („App auf Rezept“) vorsieht. Hier sollten Qualität, Transparenz und ein hohes Datenschutzniveau bei der Bewertung zukünftiger Apps für Patienten eine große Rolle spielen.

Lesen Sie hier den ganzen Beitrag.

Bildquelle

  • Plakat Ada: Veronika Strotbaum