Umgang mit hochsensiblen Gesundheitsdaten
IT-Sicherheitsexpertin kritisiert Datenschutz bei Gesundheits- und Mental-Health-Apps
"Der mangelnde und auch teils fehlende Datenschutz ist ein Armutszeugnis im Bereich der Datensicherheit"
Gesundheits- und Mental-Health-Apps erfreuen sich immer größer werdender Beliebtheit. Während die einen mit Trainingseinheiten von Yoga, Pilates, Krafttraining bis hin zum Laufen zum allgemeinen Wohlbefinden und Fitness beitragen wollen, widmen sich Mental-Health-Apps der psychischen Gesundheit mit Ratschlägen zu einem gesunden Leben.
Bei beiden Arten werden Daten des Nutzenden erhoben und in einem personalisierten Profil abgespeichert. "Zwar ist in den letzten Jahren die Sicherheit unserer Daten insgesamt gestiegen. Nichtdestotrotz kommt es immer wieder durch ausgenutzte Schwachstellen zu Datenschutz-Pannen. Und wenn es um die Privatsphäre und den Schutz der eigenen Daten bei psychischen Apps zur Gesundheit geht, bietet der Großteil dieser Mental-Health-Apps nur einen unzureichenden Datenschutz", kritisiert IT- Sicherheitsexpertin Patrycja Schrenk. Die Geschäftsführerin der PSW Group verweist auf den kürzlich veröffentlichten "Privacy Not Included" Leitfaden von Mozilla, der 32 Apps für psychische Gesundheit im Hinblick auf die Datenschutz- und Sicherheitspraktiken untersuchte.
"Ganze 28 der untersuchten Gesundheits-Apps wurden mit einem Warnhinweis versehen, der auf starke Bedenken hinsichtlich der personenbezogenen Daten und der Sicherheit von Nutzerdaten hinweist. 25 davon erfüllten nicht einmal Mindestsicherheitsstandards, wie die Forderung nach sicheren Passwörtern, Aktualität und Verwaltung von Sicherheitsupdates", fasst Schrenk die Ergebnisse zusammen und gibt zu bedenken: "Mental-Health Apps befassen sich mit unglaublich sensiblen Themen und Daten von Nutzenden, etwa mit Angaben über Angstzustände, Depressionen, Selbstmordgedanken, häuslicher Gewalt, Essstörungen und posttraumatischer Belastungsstörung. Die meisten Daten werden laut Bericht routinemäßig ohne weitere Schutzmaßnahmen weitergeleitet, die Apps erlauben schwache Passwörter, sprechen die gefährdeten Nutzenden der Mental-Health-Apps mit personalisierter Werbung an und bieten keine sicheren Datenschutzrichtlinien für die Nutzung der personenbezogenen Daten."
Die Zeiten der Pandemie mit Homeoffice, Quarantäne und den Verlust der zwischenmenschlichen Kommunikation haben uns in den letzten Jahren gezeigt, dass die Gesundheit auch mental und psychisch ausgeglichen sein und im Alltag gefördert werden muss. Der heutige Alltag wird immer schnelllebiger und der schleichende Druck überall "Mithalten" zu müssen, ist allgegenwärtig. Mental-Health-Apps wurden kreiert, um eine Auszeit für den Einzelnen zu schaffen und entsprechend der Bedürfnisse zu agieren, bei der Umsetzung gesundheitsfördernder Maßnahmen zu helfen und fachmännische Hilfestellung zu bieten. "Umso mehr ist der mangelnde und auch teils fehlende Datenschutz ein Armutszeugnis im Bereich der Datensicherheit. Der leichte Zugang zu Nutzerdaten ist eine immense Schwächung der Privatsphäre und sensible Daten werden letztendlich erkauft", kritisiert Patrycja Schrenk scharf.
Herstellende von Gesundheits- und Mental-Health-Apps sind verpflichtet, Nutzende nach Artikel 13 DSGVO zum Zeitpunkt der Erhebung der Daten zu informieren. Da bereits zum Zeitpunkt der Installation der App personenbezogene Daten verarbeitet werden, ist schon vor dem Download eine Datenschutzerklärung vom Hersteller der App für Nutzende bereitzustellen. Diese Datenschutzerklärung kann im App-Store direkt bereitgestellt oder Nutzende können zur entsprechenden Anbieter-Seite weitergeleitet werden. Das Einfügen eines Links, welcher zur Datenschutzerklärung auf der Firmen-Website führt, ist für den Zweck ausreichend, sofern die Datenschutzerklärung auch über die Datenverarbeitung der App informiert.
"In der Praxis häufig vertreten ist die Verlinkung der Datenschutzerklärung auf die Allgemeinen Datenschutzerklärungen der Firmenseite. Das kann allerdings dazu führen, dass die Hinweise zur Datenverarbeitung unvollständig sind und die Daten, die durch die App erfasst werden, in dieser Erklärung gar nicht berücksichtigt werden. Dabei muss neben der Einstellung der Datenschutzerklärung im App-Store die Datenschutzerklärung auch in der App selbst jederzeit abrufbar sein und zwar so, dass der Nutzenden diese ohne Anstrengung finden können", informiert die IT-Sicherheitsexpertin und gibt einen Rat: "Wenn unklar ist, wie genau Daten genutzt und verarbeitet werden oder falls die Datenschutzerklärung zu der entsprechenden App gänzlich fehlt, würde ich Abstand von der App nehmen und auf deren Installation sowie Verwendung verzichten und nach einer Alternative Ausschau halten."
Immerhin einen Lichtblick gibt es: Apps – und insbesondere deren Datenschutzpraktiken – werden von den Aufsichtsbehörden zunehmend in den Fokus genommen. Apps haben in der Vergangenheit bei der Installation gern weitreichende Zugriffsbefugnisse erhoben, die für die eigentliche Nutzung der App gar nicht relevant waren, und haben diese zum Teil großzügig, auch an Drittanbietende, weitergeleitet. "Bei Apps im Allgemeinen hat sich im Bereich der Datensicherheit in den vergangenen Jahren vieles zum Positiven entwickelt – auch weil die App-Stores selbst ihre Anforderungen gesteigert haben. So wird der Datenschutz zunehmend von den jeweiligen App-Stores geprüft und eingefordert. Der Google Play Store beispielsweise verpflichtet Entwickelnde zur Einhaltung gewisser Richtlinien im Bereich Datenschutz, Datensicherheit und Verschlüsselung. Nichtsdestotrotz rate ich zu Wachsamkeit und kritischer Prüfung, was mit den eigenen, persönlichen Daten passiert, wo sie gespeichert und von wem sie in welchem Umfang verarbeitet werden", so Patrycja Schrenk. (PSW Group: ra)
eingetragen: 20.10.22
Newsletterlauf: 17.01.23
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.