Datenschutzlücken in Ada-Gesundheits-App
Es waren die Sicherheitsmängel der Gesundheitsakte Vivy, aufgestöbert von Profi-Hackern, die uns auf die Idee brachten, die IT-Sicherheit einer Arztpraxis von solchen Experten testen zu lassen. Jetzt hat sich der IT-Sicherheitsexperte Mike Kuketz – einer, der die Sache mit Vivy ins Rollen brachte – die App Ada angeschaut. Und sagt, dass die App sowohl medizinische Daten als auch Angaben zur Krankenversicherung des Users an dritte Dienste übertrug, darunter auch Facebook.
Und das teilweise bevor der User den Datenschutzbestimmungen der App überhaupt zustimmen konnte. Hatte sich also ein User nach dem Lesen der Bestimmungen gegen die dort beschriebenen Datenübertragungen entschieden oder die App abgeschaltet, war seine Werbe-ID bereits an einen Tracking-Dienstleister und an Facebook übermittelt.
Die App Ada
Datenweitergabe ohne Zustimmung – ein No-Go
Über diese ID lassen sich Nutzer über verschiedene Apps hinweg wiedererkennen und die Patientendaten mit anderen Daten in Verbindung bringen. Eine Identifizierung der Person über die zusammengeführten Daten zu Alter, Geschlecht, Wohnort und Interessen wird als leicht beschrieben. Eine solche Datenübertragung würde deutlich den Vorgaben der DSGVO widersprechen. Genauso wie es allen Ansprüchen an eine Gesundheits-App widersprechen sollte, dass überhaupt medizinischen Daten an Tracker bzw. Facebook weitergegeben werden. Im Anschluss an die Anfang Oktober veröffentlichten Recherchen des Hackers, die vom c‘t Computermagazin bzw. heise.de weiterverfolgt worden waren, verschwand die App aus dem Play-Store. Um wenige Tage später in einer neuen Version wieder aufzutauchen. Ein erster Check des c‘t Magazins ließ tatsächlich keine Übertragungen mehr an die Tracking- und Analyse-Firma Amplitude erkennen. Jetzt meldet heise.de jedoch, dass Ada die Übertragungen an anderer Stelle fortsetze. Die App selbst sei nur ein Benutzerinterface. Das Webinterface von Ada, das eine US-Gesundheitsfirma nutze, sende nach wie vor Krankheitsdaten an Amplitude, darunter vom Nutzer eingegebene Symptome, Diagnosevorschläge sowie Angaben zu Browser, Betriebssystem und Sprache. Das Unternehmen Ada Health streitet alle Vorwürfe ab. Die Techniker Krankenkasse, Kooperationspartner von Ada, hatte nach den ersten Aufdeckungen eine Offenlegung der Datenstrukturen von Ada Health angefordert. Sie wurde damit zitiert, dass sie eine Kooperation sofort beenden würde, wenn sich die Vorwürfe bestätigen. Kuketz postete daraufhin: „Bin ja mal gespannt, ob die TK zu ihrem Wort steht und die Zusammenarbeit mit dem Laden beendet.“Patienten wünschen sich mehr Kontrolle der Apps
Das Einhalten datenschutzrechtlicher Anforderungen in Gesundheits-Apps braucht offensichtlich Kontrolle. Das wünschen sich auch 80 % der Patienten, einer Umfrage des Büros für Technikfolgenabschätzung beim Bundestag zufolge. Der Gesetzgeber sollte diesen Wunsch beim Digitale-Versorgung-Gesetz als einen Auftrag verstehen. Kuketz hat unterdessen im Rahmen eines Projekts, in dem er das Datensendeverhalten von Gesundheits-Apps untersucht, Mängel der App „Alarm Medikamenten-Einnahme“ veröffentlicht. Er und seine Mitstreiter wollen so zum besseren Schutz von Gesundheitsdaten beitragen.Medical-Tribune-Bericht
* Aktualisierung vom 23.10.2019: Wie die Techniker Krankenkasse richtigstellt, ist die App Ada nicht in TK-Doc eingebunden, wie wir geschrieben hatten. Richtig sei, dass Nutzer der App, die angeben, dass sie bei der TK versichert sind, auf Wunsch über digitale Versorgungsangebote der Kasse informiert werden.