Datenschutz
Der Goldschatz in den Gesundheits-Apps wird zum PR-GAU für die junge Branche
Sind aus der App Ada Health personenbezogene Gesundheitsdaten ins Ausland übertragen worden? Wenn die Berichte im Computermagazin „c’t“ auch nur teilweise stimmen, dann wirft das ein schlechtes Licht auf eine Branche, die gerade dabei ist, einen Fuß in die Tür der Regelversorgung zu setzen.
Veröffentlicht:Was wollen fremde Mächte? Natürlich, wenn es sie gibt, medizinische Daten vom Volk, weil die unglaublich aussagekräftig sind über den inneren Zustand des Landes. Das ist ein Goldschatz.“ Was KBV-Vorstand Dr. Stephan Hofmeister vor Kurzem im Interview mit der „Ärzte Zeitung“ angedeutet hat – nämlich, dass digitale Daten per se nicht sicher seien – hat mit den Berichten über die Symptom-Checker-App Ada Health im Computermagazin „c’t“ zusätzliche Aktualität gewonnen. Dies umso mehr, weil der Betreiber der App, die Ada Health GmbH, ausgerechnet Kooperationspartner der Techniker Krankenkasse, also der größten gesetzlichen Krankenkasse, ist.
Nach dem Bericht weist die App in der Datenschutzerklärung zwar auf die Nutzung von Analyse- und Tracking-Diensten hin. Allerdings seien sowohl an Facebook als auch an den US-Dienstleister Amplitude Daten versendet worden, bevor die App dem Nutzer AGB und Datenschutzerklärung präsentiert habe und ihn um die Akzeptanz derselben gebeten habe, so die Recherche des IT-Sicherheits-Experten Mike Kuketz. Zudem sollen auch bei Erstnutzung von Ada abgefragte Daten wie Krankenversicherung, Raucher/ Nichtraucher sowie Status beim Blutdruck und Diabetes an Facebook übermittelt worden sein. Ausgeschlossen sei auch nicht, dass Facebook über weitergegebene eindeutige Identifikationsmerkmale letztlich Daten sogar einer Person zuordnen konnte.
Auch E-Gesundheitsakten in der Kritik
Es ist nicht das erste Mal, dass eine Gesundheits-App von Sicherheitsexperten kritisiert wird. 2018 wurde die E-Akte „Vivy“ wie jetzt Ada Health unter anderem für die Kooperation mit Anbietern von Analyse-Tools angegriffen. Beim Kongress des Chaos Computer Clubs zum Jahresende wurden zudem Sicherheitslücken in E-Akten beklagt, die Hackern Zugriff ermöglichen könnten. Die betroffenen Unternehmen meldeten im Nachhinein, dass aufgedeckte Sicherheitslücken geschlossen worden seien. Im Februar dann berichtete das „Wall Street Journal“, dass Health-Apps ungefragt Nutzerdaten weitergeben.
Und jetzt also Ada Health? Der Star unter den Start-ups im Gesundheitswesen – mit mittlerweile acht Millionen Nutzern und 15 Millionen Symptom-Befragungen, wie das Unternehmen auf der eigenen Website hervorhebt? Das Unternehmen wehrt sich mit Händen und Füßen gegen die Anschuldigungen: „Dritte haben keinen Zugriff auf persönliche Gesundheitsinformationen der User. Sämtliche Anforderungen der Datenschutzgrundverordnung werden umfassend erfüllt“, teilte das Unternehmen auf Anfrage der „Ärzte Zeitung“ am Freitagnachmittag mit. Die App sei DSGVO-konform. Es würden lediglich Daten, „die keinerlei Rückschluss auf personenbezogene Daten oder persönliche Gesundheitsinformationen erlauben, bei der Installation der Ada App kommuniziert“.
Techniker Krankenkasse geht auf Distanz
Eine Datenschutzfolgeabschätzung, die nach Einschätzung des Datenschutzrechtlers Jan Mönikes aus Berlin dann erforderlich ist, wenn „sensible Daten in Drittstaaten übertragen werden“, sei zudem erstellt worden, heißt es weiter von Ada Health.
Zudem habe das Landesamt für Gesundheit und Soziales Berlin (LaGeSo) die Ada-App geprüft und dabei keine Verstöße gegen Qualitätsstandards und geltendes Recht festgestellt. Das Computermagazin „c‘t“ schreibt allerdings, dass die zuständige Datenschutzbeauftragte aus Berlin mitgeteilt habe, dass „die Ada Health GmbH der Datenschutz-Behörde zwar bekannt sei, die App aufgrund von Personal- und Ressourcenmangel bislang jedoch nicht überprüft werden konnte“.
Die kooperierende TK distanziert sich vom App-Anbieter. Sie betont, dass „zu keiner Zeit Daten zwischen Ada und der TK ausgetauscht“ würden. Aber die Vorwürfe würden sehr ernst genommen. Von Ada sei bereits eine vollständige Offenlegung der Datenstrukturen angefordert worden. Und im Fall der Fälle stehe die letzte Konsequenz bereits fest: „Bestätigen sich die Vorwürfe, werden wir die Kooperation mit Ada sofort beenden.“
Tatsächlich ist dieser erneute Datenschutz-Vorfall für die Branche der Anbieter digitaler Gesundheitsanwendungen ein absoluter PR-GAU – und ebenso für die kooperierenden Krankenkassen. Denn zurzeit läuft das Gesetzgebungsverfahren zum „Digitale-Versorgung-Gesetz“ (DVG). Damit will die Bundesregierung Gesundheits-Apps beschleunigt in die Regelversorgung bringen – „App auf Rezept“.
Herzrasen als Symptom auf Server im Ausland?
Im Gesetzentwurf (§ 139e SGB V) heißt es, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) binnen dreier Monate über die Aufnahme einer Gesundheits-App in ein Verzeichnis erstattungsfähiger Anwendungen entscheiden muss, „sofern die Erfüllung der Grundanforderungen an Sicherheit, Funktionstauglichkeit und Qualität der digitalen Gesundheitsanwendung sowie deren positive Versorgungseffekte nachgewiesen sind“.
Es darf bezweifelt werden, ob mit den „Grundanforderungen an die Sicherheit“ der Anwendungen auch eine Übermittlung von Gesundheitsdaten in Drittstaaten vereinbar wäre. Und dies selbst dann, wenn der Anbieter dafür – ganz DSGVO-konform – entsprechende Vertragsvereinbarungen vorlegt und Anwender per Klick auf die Datenschutzerklärung des Anbieters ihre Zustimmung geben.
Darf man ein Symptom wie Herzrasen ins Ausland übermitteln, selbst wenn das pseudonymisiert und streng nach DSGVO erfolgt? Laut Datenschutzrechtler Jan Mönikes würden die Datenschutzaufsichtsbehörden in Deutschland genau das eher bezweifeln. Die Möglichkeiten der Zurückverfolgung und des Trackings seien heute fast unbegrenzt – „ein Goldschatz“ nicht nur für Geheimdienste anderer Länder, wie KBV-Vorstand Hofmeister zutreffend sagt.
Die Branche sollte daher aufpassen, dass sie sich nicht ins Abseits stellt: Er halte die „immer wiederkehrende Gespensterjagd“ auf Sicherheitslücken in Gesundheits-IT „oft für schädlicher als den Vorgang selbst“, erklärte Sebastian Vorberg, Sprecher des Bundesverbandes Internetmedizin, noch im Februar. Das könnte sich als ungenügende Reaktion auf Sicherheitsprobleme in Gesundheits-Apps erweisen.