Fitness-Tracker, Blutdruckmesser, Perioden-Kalender bis hin zu Diabetes-Apps, aktuell gibt es rund 380.000 gesundheitsbezogene Apps, Tendenz steigend. Nur wenige Apps hiervon sind als Medizinprodukte anerkannt und auf ihre Datensicherheit und Datenschutz geprüft, wie zum Beispiel Tinnitracks, für Tinnitus-Patienten.
Nun hat das Hamburger Unternehmen ePrivacy, das Prüfsiegel für vertrauenswürdige Apps vergibt, einmal 140 „Medical Apps“ einer Prüfung hinsichtlich Datensicherheit und Datenschutz unterzogen. Und die Ergebnisse sind niederschmetternd.
Abgefangene Login-Daten bei 80 Prozent aller Apps. Die Auditoren konnten bei den Laboruntersuchungen den Datenverkehr von 54 Prozent der getesteten Medical Apps abfangen. Durch einen Man-in-the-Middle-Angriff konnten bei fast 80 Prozent aller Apps Login-Daten und bei 52 Prozent Gesundheitsdaten ermittelt werden. Bei einem Man-in-the-Middel-Angriff schaltet sich ein Dritter zwischen den Datenverkehr zweier Kommunikationspartner und kann so an sensible Daten gelangen.
75 Prozent aller Apps ließen eine Manipulation der Gesundheitswerte zu. Die Gesundheit des Users kann durch mangelhaften Schutz der Daten beeinträchtigt werden. Die Prüfer konnten bei knapp 75 Prozent aller Apps die gesendeten und empfangenen Daten manipulieren und so zum Beispiel Blutzuckerwerte verfälschen. Die iOS-Apps fielen hier mit 95 Prozent besonders unangenehm auf.
57 Prozent aller Apps bieten keine Datenschutzerklärung. Zusätzlich wurde die Verfügbarkeit der Datenschutzerklärung innerhalb der App untersucht. Dabei konnte festgestellt werden, dass über die Hälfte der Apps beider Betriebssysteme dem Nutzer keine Datenschutzerklärung anbieten. Android-Apps schnitten hier mit 65 Prozent etwas schlechter als die iOS-Apps (47%) ab. Die Datenschutzerklärung sorgt für Transparenz und ist für den Nutzer der App von großer Bedeutung. Bestenfalls sollte der Anbieter den Nutzer darin auch über die Verwendung der Gesundheitsdaten informieren.
Unter Medizin-Apps oder Medical Apps wurden im Rahmen dieser Studie Anwendungen verstanden, die Heilberufsgruppen im Berufsalltag assistieren sollen oder die den Patienten bei der Bewältigung einer Krankheit unterstützen.
Gesundheitsbezogene Apps werden bereits von 27 Prozent der überwiegend zwischen 18- und 45-Järhigen genutzt (Studie der Stiftung Münch) und der Markt wächst weiterhin stark. 76 Prozent erwarten einen leichteren Missbrauch der medizinischen Daten durch Unbeteiligte, wobei 71 Prozent der Befragten kein Problem mit der Speicherung ihrer medizinischen Daten haben, wenn sie wissen, was genau über sie gespeichert wird.
Die Nutzer sind also durchaus bereit, ihre Daten den Anbietern anzuvertrauen, wenn sie dafür einen nützlichen Service erhalten. Doch gerade bei sensiblen gesundheitsbezogenen Daten müssen die Anbieter ein Höchstmaß an Datensicherheit gewährleisten. Doch wieder einmal wird an dieser Stelle offensichtlich gespart. Es ist also der Gesetzgeber gefordert, verbindliche Richtlinien vorzugeben. Schon im September dieses Jahres hatte die Unionsfraktion die Vergabe eines „Siegels für Apps“ vom Bundesministerium gefordert. Dieses Siegel solle belegen, dass die Daten „in der Hoheit des Nutzers“ bleiben und nicht weitergegeben werden. Eine Antwort des Bundesministeriums steht bis heute aus.
Das Whitepaper von ePrivacy kann kostenfrei hier herunter geladen werden.
Beitragsbild: Shutterstock
Für mich als Datenschutzbeauftragter ist das ein Graus.
Oh, nicht nur für Dich als Datenschutzbeauftragter ;-)