Augen auf beim Datenschutz |
 |  | Judith Schmitz |
 |
29.03.2022 09:00 Uhr |
Neben dem Datenschutz kann auch die Datensicherheit bei Gesundheits-Apps unzureichend sein. Eine Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr ergab, dass Anbieter, deren Gesundheits-Apps auf dem deutschen Verbrauchermarkt verfügbar sind, die Maßnahmen der technischen Richtlinie für die Gewährleistung der IT-Sicherheit nur zum Teil umsetzten. Zum Beispiel: Sechs von sieben stichprobenartig untersuchten Apps übermittelten Passwörter im Klartext an Authentifizierungsdienste. Datenverkehr kann so potenziell abgefangen werden. Die meisten der sieben Apps grenzten die Lesbarkeit beziehungsweise den Zugriff auf sensible Daten in den Apps nicht ein, etwa durch Bildschirmsperren oder PIN-Nutzung. Bei keiner der Apps wurden sensible Informationen in der Hintergrundnutzung ausgegraut.
»Aus Sicht der technischen IT-Sicherheit muss dieses Ergebnis, insbesondere im Hinblick darauf, dass ein bedeutender Anteil der Apps sensible und besonders schützenswerte Daten verarbeitet, mindestens als kritisch bewertet werden. Denn die Daten der Nutzerinnen und Nutzer werden hierdurch nach Erkenntnissen der Studie nicht ausreichend vor potenziellen Angriffen geschützt«, heißt es im Bericht »IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Gesundheits-Apps«.
Wem Datenschutz wichtig ist, der sollte vor der Installation und Nutzung die Datenschutzabfrage des App-Anbieters lesen – und bei Missfallen auf die App verzichten. Viele lesen sie aus Zeitnot oder Bequemlichkeit nicht und stimmen der Datenschutzerklärung ungelesen zu. Allerdings: »Selbst wenn ein Anwender diese liest, erfasst er dann wirklich den Inhalt in seiner Tragweite?« fragt Richter von der Stiftung Datenschutz.
Denn mit der Zustimmung zur Datenschutzerklärung segnet der Anwender das Vorgehen des App-Anbieters ab. Richter würde eine unabhängige Prüfinstanz von Apps hinsichtlich Datenschutz und Datensicherheit sehr begrüßen, die nach positivem Ergebnis ein Zertifikat erteilt.
Solche Bescheinigungen für eine rechtlich einwandfreie Verarbeitung von Daten sieht auch die EU-Datenschutzgrundverordnung (DSGVO) vor, nur leider seien die Genehmigungsverfahren zur Einführung von DSGVO-Zertifikaten noch nicht abgeschlossen. Angesichts des großen Bedarfs an solchen Qualitätsaussagen – nicht nur, aber besonders im Gesundheitssektor – bedauert Richter die langsame Entwicklung. Bis dahin müsse sich der Markt auf informelle Gütesiegel des TÜV und anderer Prüfeinrichtungen verlassen.
Außerdem gibt es auch App-Empfehlungen einzelner Fachgesellschaften . Die Deutsche Hochdruckliga etwa vergibt das Prüfsiegel »Digitale Gesundheitshelfer« nach verschiedenen Kriterien; auch Datenschutz, Sicherheit und Transparenz spielen dabei eine wichtige Rolle. Weitere Beispiele für fachgruppengeprüfte Siegel sind »DiaDigital« von verschiedenen Diabetes-Gesellschaften sowie das PneumoDigital-Siegel, das die Deutsche Atemwegsliga in Zusammenarbeit mit weiteren Fachgesellschaften und dem Zentrum für Telematik und Telemedizin vergibt.
Weitere Informationsquellen zu Apps sind zum Beispiel die Stiftung Warentest (Hinweis: auf das Testdatum achten!) sowie die Testportale Mobilsicher.de und Exodus Privacy. Nach eigenen Angaben liefert die Datenbank von Mobilsicher.de derzeit Testergebnisse für rund 30.000 Android-Apps, darunter auch aus den Bereichen Medizin, Gesundheit und Fitness. Die Seite bietet zudem Informationen, wie man das Tracking in Apps erkennt und was man dagegen tun kann.
Ruhenstroth von Mobilsicher sieht es ähnlich wie Datenschützer Richter: »Das sind alles Trostpflaster. Eigentlich kann der Gesetzgeber die Problematik nicht auf die einzelnen Nutzer abwälzen. Er kann nicht erwarten, dass sich die Bürger jedes Mal in eine Datenschutzbestimmung einlesen, bevor sie eine neue App nutzen. Stattdessen müsse es einheitliche hohe Standards geben, die auch kontrolliert und bei Verstoß geahndet werden.«
