App soll Patientendaten an Dritte verschickt haben

Wenn es um Gesundheitsdaten von Patienten geht, gelten strenge Datenschutzregeln in Europa. Doch Berichten zufolge soll die Gesundheits-App Ada sensible Daten an Facebook und Analysefirmen in den USA übermittelt haben.

So soll die Anwendung des Berliner Start-ups Ada Health auf Android-Smartphones unter anderem den Nutzernamen und die Krankenkasse an Facebook überträgen. Die App gebe an Facebook außerdem Informationen darüber weiter, ob man rauche, erhöhten Blutdruck habe oder Diabetes. Das haben sowohl „Heise online“ als auch Kuketz durch Analysen des Datenverkehrs nachgewiesen.

Die App soll Nutzern helfen, Krankheitssymptome zu deuten. Ein Bot befragt die Patienten nach Beschwerden wie Kopfschmerzen, Appetitlosigkeit und Fieber. Aus den Antworten ermittelt eine Software, welche Erkrankung vorliegen könnte und ob der Patient zu einem Arzt gehen sollte. Die App ist im Google-Play-Store bereits mehr als fünf Millionen Mal heruntergeladen worden.

Kuketz, der bereits im vergangenen Jahr in der Gesundheits-App Vivy Datenschutzmängel entdeckt hatte, schreibt: „Im Grunde genügt ein Blick in die Datenschutzerklärung, um um die App einen großen Bogen zu machen.“ An Facebook würden bereits Daten gesendet, bevor der Nutzer überhaupt die Chance hat, die Allgemeinen Geschäftsbedingungen zu lesen. Außerdem seien zwei weitere Tracker während der Chat-Befragung durch eine frühere Ada-Version aktiv gewesen.

Neben Facebook würden so auch Informationen an die Analysefirmen Amplitude und Adjust geschickt. An Amplitude würden demnach die sensibelsten Details übertragen: die Symptome. Der Sicherheitsexperte entdeckte in den versendeten Daten seine Testeingabe „Inkontinenz“, die er der App anvertraut hatte. Erst in der Ada-Version 2.49.1., die nach der Konfrontation der Entwickler durch „Heise“ veröffentlicht wurde, war keine Datenübertragung an Amplitude mehr zu sehen.

Die Ada-Entwickler wehren sich vehement gegen die Vorwürfe. „Dritte haben ohne die ausdrückliche Zustimmung der Nutzer keinen Zugang zu persönlichen Gesundheitsinformationen“, teilte ein Sprecher am Freitag auf Anfrage des SPIEGEL mit. „Facebook oder Amplitude erfahren folglich nicht, ob ein User beispielsweise angibt, Bluthochdruck zu haben oder wo er versichert ist.“

Man werde eine „sofortige und formelle Richtigstellung verlangen und weitere rechtliche Schritte in Erwägung ziehen“. Man erfülle alle Anforderungen der Datenschutzgrundverordnung und sei ein Medizinprodukt mit CE-Prüfsiegel der Klasse eins. Neben hausinternen Kontrollen habe auch das Landesamt für Gesundheit und Soziales Berlin die App geprüft und dabei „keine Verstöße gegen Qualitätsstandards und geltendes Recht festgestellt“.

„Heise“ kritisiert an der App unter anderem, dass die sogenannte Android-Advertising-ID mitgeschickt werde. Damit sei es möglich, Nutzer zu identifizieren. Der Grund: Die Werbe-ID könne zwar geändert werden, was aber wenige Nutzer machten. Damit sei es möglich, die wahre Identität der Patienten anhand zusätzlicher Daten wie Geburtstag, Wohnort und Hobbys zu ermitteln.

Seit rund einem Jahr unterstützt die Techniker Krankenkasse (TK) die App und empfiehlt ihren Kunden den virtuellen Symptomcheck. Auf eine Anfrage des SPIEGEL teilte eine Sprecherin mit: „Es werden zu keiner Zeit Daten zwischen Ada und der TK ausgetauscht.“ Basis für die Zusammenarbeit sei die verbindliche Einhaltung der Datenschutzrichtlinie und die vertraglich gesicherte Zusage, dass „keine personenbezogenen Daten an Dritte weitergegeben werden“.

Ein Spezialist habe diese Aussage überprüft. Den Vorwürfen werde man so schnell wie möglich nachgehen. „Wir haben bereits von der Ada Health GmbH eine vollständige Offenlegung der Datenstrukturen angefordert“, schreibt die Sprecherin in einer E-Mail. „Bestätigen sich die Vorwürfe, werden wir die Kooperation mit Ada sofort beenden.“

Drucken