Suchen

Heise Medien

c’t prangert massive Datenschutzmängel in Gesundheits-App an

| Redakteur: Kathrin Schäfer

Gesundheits-Apps verarbeiten besonders sensible Daten und betonen gerne, dass ihnen die Privatsphäre der Nutzer wichtig sei. Doch jetzt berichtet das IT- und Techmagazin c’t in seiner aktuellen Ausgabe: Eine Analyse des Datenverkehrs belege, dass die Ada-App Gesundheitsdaten an Dritte weitergab. Der Anbieter indes bestreitet diese Vorwürfe.

Firmen zum Thema

Das IT- und Techmagazin c’t berichtet in seiner aktuellen Ausgabe 22/19 über Datenschutzmängel in einer Gesundheitsapp.
Das IT- und Techmagazin c’t berichtet in seiner aktuellen Ausgabe 22/19 über Datenschutzmängel in einer Gesundheitsapp.
(Bild: Heise Medien)
  • Kostenlose Gesundheits-App
  • Datenschutz gemäß DSGVO für personenbezogene Daten
  • IT- und Techmagazin c’t sieht Nachholbedarf in Sachen Datenschutz
  • Ada Health: „Nutzer können sicher sein, dass die persönlichen Gesundheitsinformationen, die mit der Ada-App geteilt werden, vertraulich bleiben.“

Die App Ada ist eine Art Chat-Programm, das den Nutzer nach Symptomen befragt, auf mögliche Erkrankungen hinweist und gegebenenfalls rät, einen Arzt aufzusuchen. Bekannt wurde die kostenlose App unter anderem, weil die Techniker Krankenkasse mit dem Unternehmen kooperiert, sodass die App Versicherten der TK passende Angebote unterbreiten kann. In den App-Stores von Google und Apple rangiert sie unter den populärsten Gesundheits-Apps.

Ada nutzt Tracking- und Analyse-Dienstleister wie Amplitude, Adjust und Facebook und weist darauf auch in der Datenschutzerklärung hin. Allerdings seien sowohl an Facebook als auch an Amplitude Daten versendet worden, bevor die App dem Nutzer AGB und Datenschutzerklärung präsentierte und ihn um die Akzeptanz derselben bat, will der IT-Sicherheits-Experte Mike Kuketz herausgefunden haben, wie Heise Medien bereits am 11. Oktober 2019 per Pressemitteilung erklärte. „Selbst wenn der Nutzer die Zustimmung verweigerte und die App beendete, waren nach Kuketz’ Erkenntnissen bereits Daten an Facebook und Amplitude abgeflossen“, erklärt Sylvester Tremmel, Redakteur beim c’t-Magazin. Juristisch sei eine solche Übertragung äußerst zweifelhaft: Die DSGVO schreibe nämlich vor, dass bei der Erhebung personenbezogener Daten die betroffene Person „zum Zeitpunkt der Erhebung dieser Daten“ informiert werden und eine Rechtsgrundlage für die Übertragung existieren muss.

C’t lässt verlauten, auf Nachfrage habe die Ada Health GmbH erklärt: „Dritte haben keinen Zugriff auf persönliche Gesundheitsinformationen der User.“ Daraufhin habe man beim c’t-Magazin eigene Analysen mit der zu dem Zeitpunkt aktuellen Version 2.49.0 angestellt. Das Ergebnis: Die Ada-App übertrug angeblich unter anderem den Namen der Krankenversicherung des Nutzers an Facebook. Vor allem aber habe sie die Symptombeschreibung an Amplitude übermittelt und sie zusätzlich mit diversen Metadaten angereichert, wie dem Geschlecht des Nutzers und der Android Advertising-ID.

Kurz vor Redaktionsschluss, so c’t, sei die Ada-App aus dem Play-Store verschwunden, am 4. Oktober dann aber wieder aufgetaucht – in der neuen Version 2.49.1. „In einem kurzen Check konnten wir keine Datenübertragungen an Amplitude mehr feststellen“, sagt Tremmel. Sein Fazit: Das Verhalten und die Reaktionen von Ada zeigen, dass in puncto Datenschutz bei Gesundheits-Apps offenbar großer Nachholbedarf besteht.

Ada Health dementiert, dass Daten an Dritte weitergegeben würden

Ada Health indes bestreitet die Vorwürfe und erwidert: „Nutzer können sicher sein, dass die persönlichen Gesundheitsinformationen, die mit der Ada-App geteilt werden, vertraulich bleiben.“ Weiter heißt es dort: „Es wurden einige falsche und irreführende Berichte über den Umgang der Ada-App mit Daten veröffentlicht und um nun alle Zweifel aus dem Weg zu räumen: Dritte haben ohne die ausdrückliche Zustimmung der Nutzer keinen Zugang zu persönlichen Gesundheitsinformationen. Trotz unserer Bemühungen, den Sachverhalt vorab klarzustellen, enthalten die Berichte eine Reihe von Anschuldigungen, die falsch sind. Es gibt klare Missverständnisse darüber, wie mobile Applikationen funktionieren und dass mehr Aufklärung erforderlich ist, wie diese Arten von Diensten arbeiten.“

Das Unternehmen kündigt an: „Wir werden die falschen Anschuldigungen und die Ungenauigkeiten im Detail herausarbeiten und in weiteren Dialog dazu treten.“. Laut Ada Health hat außerdem das Landesamt für Gesundheit und Soziales Berlin (LaGeSo) die Ada-App geprüft und dabei keine Verstöße gegen Qualitätsstandards und geltendem Recht festgestellt. „Darüber hinaus führen wir fortlaufend unsere eigenen internen Prüfungen durch, um den Schutz der Daten unserer Nutzer umfassend sicherzustellen. Wir erfüllen die höchsten regulatorischen Standards wie DSGVO, HIPAA und sind ein CE-gekennzeichnetes Medizinprodukt der Klasse 1“, stellt das Unternehmen klar.

Den vollständigen Beitrag aus dem c’t-Magazin können Sie hier nachlesen. Die Stellungnahme von Ada Health finden Sie hier in voller Länge.

Lesen Sie auch:

Weitere Meldungen zu Themen wie E-Health und Telemedizin finden Sie in unserem Themenkanal E-Health.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46182554)