Berufsverband Deutscher Psychologinnen und Psychologen e. V.

Datenschutzlecks bei Gesundheits-App Ada entdeckt

Die Gesundheits-App Ada ist ein Programm, das die Nutzer in einer Art Chat nach Symptomen befragt, auf mögliche Erkrankungen hinweist und gegebenenfalls empfiehlt, einen ärztlichen Rat aufzusuchen. Es besteht eine Kooperation mit der Techniker Krankenkasse (TK), um Versicherten der TK passende Angebote unterbreiten zu können. Laut einem aktuellen "Heise online"-Artikel und den Recherchen des IT-Sicherheitsexperten Mike Kuketz übertrug die Anwendung des Berliner Start-ups Ada Health in der Version 2.48.0 auf Android-Smartphones jedoch unter anderem eindeutig rückverfolgbar den Nutzernamen, die Krankenkasse sowie Symptome an Facebook, die Analysefirmen Amplitude und Adjust – und dies bereits bevor Ada die Einwilligung der AGB und Datenschutzerklärung des Nutzers einholte. Nutzer könnten so häufig eindeutig identifiziert werden. Weiterhin gaben die Autoren an, dass Ada in der Version 2.49.0 in der Datenschutzerklärung versicherte, keine medizinischen Daten an Facebook zu übermitteln, es jedoch in den Protokollen trotzdem tat.

Ada zeigt sich uneinsichtig und abwehrend
Die Firma streite die Brisanz der Datenübertragung als übliches Vorgehen ab und negierte, dass Amplitude Personen identifizieren könne. Laut eines Spiegel-online-Berichts wehre sich das Unternehmen sogar, indem sie eine Richtigstellung verlange und rechtliche Schritte in Erwägung ziehe. Ada verteidige sich ferner, indem es begründet, dass hausinterne Kontrollen und auch das Landesamt für Gesundheit und Soziales Berlin die App geprüft und dabei "keine Verstöße gegen Qualitätsstandards und geltendes Recht festgestellt" habe.

TK überprüft die Vorfälle
Die TK, die die App seit circa einem Jahr unterstütze, teilte Spiegel-online mit, dass keine Daten zwischen Ada und der TK ausgetauscht würden und laut Vertrag die Einhaltung der Datenschutzrichtlinie verbindlich sei. Von der Ada Health GmbH sei nun jedoch eine „vollständige Offenlegung der Datenstrukturen angefordert" worden. "Bestätigen sich die Vorwürfe, werden wir die Kooperation mit Ada sofort beenden.", so die Sprecherin der TK an Spiegel-online.

Große Vorsicht bei Preisgabe sensibler Daten in Gesundheits-Apps geboten
Kuketz, der bereits im vergangenen Jahr in der Gesundheits-App Vivy Datenschutzmängel entdeckt habe, schreibt: "Im Grunde genügt ein Blick in die Datenschutzerklärung, um um die App einen großen Bogen zu machen." Heise.de schließt aus dem Verhalten von Ada, dass großer Nachholbedarf bei Gesundheits-Apps beim Thema Datenschutz bestehe und schreibt: „Vor diesem Hintergrund sollte nicht zuletzt Gesundheitsminister Jens Spahn den Entwurf des Digitale-Versorgung-Gesetz (DVG) nachbessern, das künftig eine Kostenerstattung der Krankenkassen von Gesundheits-Apps auf Rezept vorsieht.“

Der VPP kritisiert den unachtsamen Umgang mit Nutzerdaten und fordert ebenso Nutzer-Transparenz und Mindeststandards für digitale Behandlungsangebote (s. auch gemeinsame Stellungnahme zum Digitale-Versorgung-Gesetz an die Kassenärztliche Vereinigung Bayern vom 13.08.19, veröffentlicht im September auf der VPP-Homepage). Wir verweisen an dieser Stelle auch auf die eigens vom BDP entwickelte Gütesiegel „Geprüfte Psychologische Online-Intervention“ und "Geprüfte Psychologische App".

Julia Zick