Datenschutzverstöße bei Gesundheits- und Fitness-Apps - Ergebnisse einer Bremer Studie - Schau nach bei den Kassen
Forschende der Bremer Uni stellen erhebliche Datenschutz-Verstöße bei 20 Apps fest
Vor wenigen Tagen wurden auf einer internationalen Konferenz an der Bremer Universität die Ergebnisse einer Studie vorgestellt, in der 20 Gesundheits- und Fitness-Apps auf ihre Sicherheit und die Einhaltung von Datenschutz-Vorschriften gründlich untersucht wurden. Die Studie mit dem Titel „Transparency and Consent Challenges in mHealth Apps: An Interdisciplinary Study of Privacy Policies, Data Sharing, and Dark Patterns" wurde von Dr. Mehrdad Bahrini mit fünf weiteren Forschenden der Universität Bremen erstellt und ist in einem Tagungsband erschienen, der nicht frei zugänglich ist, den ich aber über meinen Uni-Account einsehen konnte. Die Pressestelle der Universität hat dazu eine Pressemitteilung veröffentlicht, die hier heruntergeladen werden kann. Ich möchte aus beiden Quellen berichten und dann praktische Schlussfolgerungen zeihen.
Das Ergebnis laut Pressemitteilung
"Die Untersuchung offenbart mehrere gravierende Probleme in Bezug auf Datenschutz und Transparenz: So übermittelten mehrere Apps personenbezogene Daten wie etwa Werbe-IDs, noch bevor die Nutzer:innen ihre Zustimmung gegeben hatten. Alle zwanzig untersuchten Apps sendeten außerdem Daten in Drittländer, insbesondere in die USA. Etwa 40 Prozent kommunizierten zusätzlich mit Servern in Irland, das häufig als europäischer Datenknotenpunkt dient. Darüber hinaus wurden Verbindungen zu Servern in Australien, Schweden, China und Singapur festgestellt – ein Hinweis auf die weltweite Verteilung der Datenflüsse in mHealth-Apps. Um die Zustimmung der Nutzer:innen zur Datenweitergabe zu erhalten, enthielten alle Apps mindestens einen manipulativen Designtrick („Dark Pattern“), der Nutzer:innen dazu verleitet, voreilig alle Bedingungen zu akzeptieren.
Dazu kamen Sprach- und Verständlichkeitsprobleme: In 10 von 16 Apps mit deutscher Oberfläche waren die Datenschutzrichtlinien ausschließlich auf Englisch verfügbar. Und selbst bei deutschen Datenschutzrichtlinien blieb manches im Unklaren: Viele Apps nannten Datenempfänger:innen nur in allgemeinen Kategorien wie „Partner“ oder „Dienstleister“, anstatt konkrete Unternehmen aufzuführen."
Wie wurde untersucht
Im Tagungsband werden, wie für wissenschaftliche Studien üblich, die angewendeten Untersuchungsmethoden ausführlich beschrieben. Nach der Lektüre kann ich sagen, dass sie den fachlichen Standards entsprechen und zu validen Ergebnissen führen. Am wichtigsten war die Beobachtung der Datenflüsse bei der Nutzung der Apps mit einem registrierten Pseudo-Nutzer. Ausserdem wurden die Datenschutzerklärungen und Einstellungen geprüft. So konnte festgestellt werden, welche Daten überhaupt an Dritte weitergegeben werden, welche Einwilligungen verlangt wurden und und vor allem welche Daten auch ohne Einwilligung weitergegeben wurden. Empfänger waren Werbetreibende, Firmen, die Nutzungsanalysen durchführen, in vier Fälle aber auch Behörden (Tabelle 2). Die Empfänger befinden sich in allen Fällen in den USA, und unter anderem 8 mal in Irland, 4 mal in China und 2 mal in Russland (Tabelle 3). Teilweise waren die Hauptseiten auf Deutsch, die Datenschutzerklärungen und Einwilligungen aber auf Englisch.
Welche Apps wurden untersucht?
Im Tagungsband findet man diese Liste der untersuchten 20 Apps.
Quelle siehe Link, dort S. 5
Sie werden zwar alle in Deutschland angeboten, überwiegend auch mit Seiten in deutsch, aber stammen zu meist aus Ländern ausserhalb der EU und sind alle unentgeltlich, aber nicht "kostenlos", denn der Deal ist, dass man mit seinen Daten bezahlt. Rechtlich gelten die Datenschutzbestimmungen des Landes in dem die App angeboten wird und die Nutzenden sie nutzen. Aber auch aus anderen Bereichen wissen wir, dass sich zum Beispiel US-amerikanische Anbieter häufig nicht an diese Vorgaben halten. Insofern ist das Ergebnis nicht wirklich überraschend.
Praktisch relevant ist welche Apps nicht untersucht wurden
Zur Auswahl der Apps heißt es in dem Tagungsband, dass zugelassene Digitale Gesundheits-Apps (DiGA) und von den Krankenkassen angebotene Apps nicht untersucht wurden. Nach meiner Überzeugung würde für diese das Ergebnis datenschutzfreundlicher ausfallen. Dies gilt vor allem für die geprüften und zertifizierten DiGA imDiGA-Verzeichnis, die nicht unentgeltlich sind, aber auch auf Rezept verordnet werden können. Und ich dachte, dass sich auch an die von den Krankenkassen angebotenen Apps sich an die deutschen und EU-Vorgaben halten. Eine Chat GPT Anfrage ergibt jedoch ein differenzierteres Bild. Bei der Antwort auf die Frage, welche Krankenkassen eigene Gesundheits- und Fitness-Apps anbieten, kam vor der Liste die Zusammenfassung: "Kurz gesagt: Fast alle großen gesetzlichen Krankenkassen in Deutschland bieten eigene Apps an – meist mit Bonusprogramm und (teilweise) Anbindung an Fitness-Tracker/Apple Health/Google Fit.
Der Zusammenhang besteht darin, dass viele Kassen ein Bonusprogramm haben, bei dem es Punkte für gesundheitsfördernde Maßnahmen gibt. Und diese werden bei einigen Kassen mit Hilfe von Google Fit gemessen und an die BonusApp der Kasse übertragen.
Das Beispiel TK, Google Fit und Health Connect
Als Beispiel wurde die TK gennant. Und tatsächlich findet man dort nicht nur eine Bestätigung der Zusammenarbeit, sondern auch Antworten auf Anfragen zu Fehlermeldungen und einen aktuellen Hinweis auf eine Umstellung bei Google vom Juni dieses Jahres:
"Google stellt die bisherige Google Fit-API (technische Schnittstelle) ein. Das bedeutet, dass viele Apps künftig nicht mehr direkt mit Google Fit synchronisieren können, sondern stattdessen Health Connect als neue Schnittstelle nutzen müssen. Die Google Fit App gibt es weiterhin und kann auch genutzt werden. Health Connect wird von Google als neue Plattform für den Austausch von Gesundheits- und Fitnessdaten zwischen verschiedenen Apps eingeführt."
Der Grund sind wahrscheinlich die vielen Fehlermeldungen zu Messungen, die man findet wenn man bei Google selbst "Google Fit" als Suchbegriff eingibt."
Was Datenschutz und Transparenz angeht, verhält sich die TK korrekt. Sie verweist in ihrer Datenschutzerklärung ausführlich darauf hin, dass sie für die Datensammlung mit der Firma mHealthPioneerund dem Service Thryve zusammenarbeitet, die eine Auswahl an Schnittstellen zur Verfügung stellt. Die Daten von den von den Nutzenden ausgewählten Trackern werden bei Thryve gespeichert. Dann wird beschrieben, was genau nach der Einwilligung zwischen der TK und Thryve passiert. Datenschutzrechtlich ist das OK und man darf der TK glauben, dass das nur nach der Einwilligung und nur so abläuft. Aber ob auch die Aussage zutrifft : "Weitere Aktivitätsdaten, welche dein Anbieter eventuell an Thryve übermittelt und nicht für TK-Fit relevant sind, werden seitens Thryve umgehend gelöscht." erscheint nach den Ergebnissen der Bremer Studie nicht sicher.