Augen auf beim Datenschutz |
 |  | Judith Schmitz |
 |
29.03.2022 09:00 Uhr |
Gesundheits-Apps, die etwa Fitnessdaten speichern und auswerten, sind beliebt. Doch Vorsicht: Oft wissen Nutzer gar nicht, wer Zugriff auf diese Daten hat. / Foto: Adobe Stock/Monkey Business
Auf dem dynamischen Markt der Anwendungssoftware (kurz: App) gibt es zahlreiche gratis verfügbare und kostenpflichtige Gesundheits-Angebote für Smartphones und Tablets. Diese haben unterschiedliche Zwecke: Sie können zum Beispiel die Anwender zu bestimmten Themen informieren, Vitaldaten messen oder Anleitungen für Gesundheitsübungen geben.
Krankenkassen übernehmen die Kosten für einige ausgewählte vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) geprüfte Apps, sogenannte digitale Gesundheitsanwendungen (DiGA). Beispielsweise bei Rückenschmerzen, Depressionen oder Diabetes können diese vorbeugend oder therapeutisch eingesetzt werden.
Gesundheits-Apps können aber auch problematisch sein, und zwar auf zweierlei Weise: Medizinisch kann sich im schlimmsten Fall der Gesundheitszustand verschlechtern, wenn der Patient zum Beispiel orthopädische Übungen ohne individuelle ärztliche Beratung durchführt und nicht genau weiß, worauf er achten muss. Darauf machte der Vorsitzende des Berufsverbandes für Orthopädie und Unfallchirurgie (BVOU) in Baden-Württemberg, Dr. Burkhard Lembeck, in einer Pressemitteilung anlässlich des Deutschen Kongresses für Orthopädie und Unfallchirurgie in Berlin im Herbst 2021 aufmerksam.
Mängel beim oder gar das Fehlen von Datenschutz oder Datensicherheit in der App kann das zweite Problem sein. Im vergangenen Jahr kam eine australische Studie zu dem Ergebnis, dass nicht alle der untersuchten kostenfreien mobilen Apps aus den Bereichen Medizin, Gesundheit und Fitness den Datenschutz ausreichend berücksichtigten und dass teilweise die Nutzerdatenübertragung auf unsicheren Kommunikationsprotokollen basierte.
Ist diese Studie auch für Deutschland relevant? Ja, denn 75 Prozent der untersuchten Apps aus dem Google Play Store sind auch in Europa und den USA erhältlich. Rund 90 Prozent der untersuchten Apps enthielten einen Code, der Nutzerdaten potenziell sammeln und weitergeben könnte. Knapp 4 Prozent der Apps übermittelten tatsächlich diese Daten. Bei 28 Prozent der Apps fehlte ein Text zum Datenschutz. Da aber nur kostenlose Apps in der Studie untersucht wurden, wiesen die Autoren auf eine mögliche Verzerrung ihrer Ergebnisse hin.
»Diese Verzerrung muss nicht unbedingt sein«, sagt Frederick Richter von der Stiftung Datenschutz gegenüber PTA-Forum. Fehlender Datenschutz sei nicht nur bei kostenlosen mobilen Gesundheits-Apps ein Problem. Vielmehr sei die Sammlung und Weitergabe von Nutzerdaten an Drittanbieter allgegenwärtige Praxis.
»Damit verdienen Firmen Geld«, so Richter. Personalisierte Werbung für ein bestimmtes Produkt etwa werde auf einer Internetseite platziert, die der Nutzer häufig besucht, und zwar genau zu dem Zeitpunkt, zu dem der Nutzer die Internetseite häufig aufruft. Wann das ist, erfahren die Firmen aus dem getrackten Nutzerprofil etwa von Gesundheits-Apps.
Speziell Gesundheitsdaten hätten einen großen kommerziellen Wert, darüber müsse sich jeder im Klaren sein, so Richter. Die Gesundheitsausgaben belaufen sich in Deutschland auf jährlich fast 5000 Euro je Einwohner. Daher sind Daten begehrt, mit deren Hilfe ein Anbieter Teile dieser Ausgaben auf seine Angebote lenken kann. Wer Daten zu vorliegenden Krankheiten und individuellem Heilmittelbedarf hat, kann damit viel Geld verdienen.
Entsprechend begehrt sind also Möglichkeiten, Gesundheitsdaten anzuhäufen. So hat Google 2019 einen Anbieter von Fitnessarmbändern laut Richter mutmaßlich auch deshalb für mehr als zwei Milliarden Dollar gekauft, um sich damit eine immense Menge Gesundheitsdaten zu sichern.
Nach Auskunft von Miriam Ruhenstroth von Mobilsicher, einem vom Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz geförderten Infoportal für sichere Handynutzung, ist in vielen Apps für Android und iOS ein Software-Baustein von Facebook integriert. Dieser baut bei jedem Start der App eine Verbindung zu Facebook auf und überträgt Daten dorthin.
Facebook bietet den Analyse-Dienst Facebook Analytics gratis an. Die App-Entwickler bauen ihn freiwillig ein, den so erhalten sie Informationen, was Nutzer in der App tun: an welcher Stelle im Menü sie womöglich abbrechen, welche Funktionen sie mögen. Im Gegenzug – und das ist wohl nicht allen Betreibern bekannt –, kann Facebook erkennen, wer wann welche Apps nutzt.
Wie das BfArM auf Anfrage mitteilt, müssen »digitale Gesundheitsanwendungen (DiGA) schon vor dem Antrag auf Aufnahme in das DiGA-Verzeichnis beim BfArM als Medizinprodukt mit einer CE-Kennzeichnung versehen worden sein. Eine eigene technische Überprüfung der Umsetzung der Angaben durch das BfArM ist in der DiGAV grundsätzlich derzeit nicht vorgesehen. Das BfArM prüft aber stichprobenartig die Angaben der Hersteller in den Anwendungen.«
Neben dem Datenschutz kann auch die Datensicherheit bei Gesundheits-Apps unzureichend sein. Eine Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr ergab, dass Anbieter, deren Gesundheits-Apps auf dem deutschen Verbrauchermarkt verfügbar sind, die Maßnahmen der technischen Richtlinie für die Gewährleistung der IT-Sicherheit nur zum Teil umsetzten. Zum Beispiel: Sechs von sieben stichprobenartig untersuchten Apps übermittelten Passwörter im Klartext an Authentifizierungsdienste. Datenverkehr kann so potenziell abgefangen werden. Die meisten der sieben Apps grenzten die Lesbarkeit beziehungsweise den Zugriff auf sensible Daten in den Apps nicht ein, etwa durch Bildschirmsperren oder PIN-Nutzung. Bei keiner der Apps wurden sensible Informationen in der Hintergrundnutzung ausgegraut.
»Aus Sicht der technischen IT-Sicherheit muss dieses Ergebnis, insbesondere im Hinblick darauf, dass ein bedeutender Anteil der Apps sensible und besonders schützenswerte Daten verarbeitet, mindestens als kritisch bewertet werden. Denn die Daten der Nutzerinnen und Nutzer werden hierdurch nach Erkenntnissen der Studie nicht ausreichend vor potenziellen Angriffen geschützt«, heißt es im Bericht »IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Gesundheits-Apps«.
Wem Datenschutz wichtig ist, der sollte vor der Installation und Nutzung die Datenschutzabfrage des App-Anbieters lesen – und bei Missfallen auf die App verzichten. Viele lesen sie aus Zeitnot oder Bequemlichkeit nicht und stimmen der Datenschutzerklärung ungelesen zu. Allerdings: »Selbst wenn ein Anwender diese liest, erfasst er dann wirklich den Inhalt in seiner Tragweite?« fragt Richter von der Stiftung Datenschutz.
Denn mit der Zustimmung zur Datenschutzerklärung segnet der Anwender das Vorgehen des App-Anbieters ab. Richter würde eine unabhängige Prüfinstanz von Apps hinsichtlich Datenschutz und Datensicherheit sehr begrüßen, die nach positivem Ergebnis ein Zertifikat erteilt.
Solche Bescheinigungen für eine rechtlich einwandfreie Verarbeitung von Daten sieht auch die EU-Datenschutzgrundverordnung (DSGVO) vor, nur leider seien die Genehmigungsverfahren zur Einführung von DSGVO-Zertifikaten noch nicht abgeschlossen. Angesichts des großen Bedarfs an solchen Qualitätsaussagen – nicht nur, aber besonders im Gesundheitssektor – bedauert Richter die langsame Entwicklung. Bis dahin müsse sich der Markt auf informelle Gütesiegel des TÜV und anderer Prüfeinrichtungen verlassen.
Außerdem gibt es auch App-Empfehlungen einzelner Fachgesellschaften . Die Deutsche Hochdruckliga etwa vergibt das Prüfsiegel »Digitale Gesundheitshelfer« nach verschiedenen Kriterien; auch Datenschutz, Sicherheit und Transparenz spielen dabei eine wichtige Rolle. Weitere Beispiele für fachgruppengeprüfte Siegel sind »DiaDigital« von verschiedenen Diabetes-Gesellschaften sowie das PneumoDigital-Siegel, das die Deutsche Atemwegsliga in Zusammenarbeit mit weiteren Fachgesellschaften und dem Zentrum für Telematik und Telemedizin vergibt.
Weitere Informationsquellen zu Apps sind zum Beispiel die Stiftung Warentest (Hinweis: auf das Testdatum achten!) sowie die Testportale Mobilsicher.de und Exodus Privacy. Nach eigenen Angaben liefert die Datenbank von Mobilsicher.de derzeit Testergebnisse für rund 30.000 Android-Apps, darunter auch aus den Bereichen Medizin, Gesundheit und Fitness. Die Seite bietet zudem Informationen, wie man das Tracking in Apps erkennt und was man dagegen tun kann.
Ruhenstroth von Mobilsicher sieht es ähnlich wie Datenschützer Richter: »Das sind alles Trostpflaster. Eigentlich kann der Gesetzgeber die Problematik nicht auf die einzelnen Nutzer abwälzen. Er kann nicht erwarten, dass sich die Bürger jedes Mal in eine Datenschutzbestimmung einlesen, bevor sie eine neue App nutzen. Stattdessen müsse es einheitliche hohe Standards geben, die auch kontrolliert und bei Verstoß geahndet werden.«
