Datenlecks aufgedeckt Sind vertrauliche Daten in Gesundheits-Apps wirklich sicher?

Weltweit werden jedes Jahr tausende Datenlecks bei Internetseiten oder Smartphone-Apps aufgedeckt. Nach einer Studie von US-amerikanischen Experten haben zwischen 80 und 90 % aller Firmen schon einmal ungewollt Daten verloren! Ein betroffenes Unternehmen ist der Berliner App-Anbieter Novego. Die gleichnamige Anwendung richtet sich an Menschen mit Depressionen. Sie stellt Texte, Videos, Audios und interaktive Übungen zur Verfügung. Novego gehört zur IVP Networks GmbH. Deren Geschäftsführer Dr. Norbert Paas hat mit der MDR Wirtschaftsredaktion gesprochen. "Novego wurde am 04. April 2022 vom Hackerkollektiv 'zerforschung' untersucht. Dabei wurde eine Sicherheitslücke festgestellt." Besonders ärgerlich: Novego ist eine vom Bundesinstitut für Arzneimittel und Medizinprodukte (kurz: BfArM) zugelassene digitale Gesundheitsanwendung.

Trotz der Bestimmungen der Datenschutz-Grundverordnung (DSGVO) hat das ehrenamtliche IT-Team "zerforschung" im Rahmen einer gemeinsamen Recherche von NDR und WDR eklatante Sicherheitslücken bei Gesundheits-Apps entdeckt, darunter bei Novego. Für ein Gespräch stand das "zerforschung"-Team bis zum Redaktionsschluss nicht zur Verfügung, aber auf ihrer Homepage kann man nachlesen, wie sie die Möglichkeit zu einem schwerwiegenden Datenabfluss von knapp 10.000 Accounts entdeckt haben. Die "zerforscher" konnten ohne Schwierigkeiten die Emailadressen und teils die Namen von anderen Nutzerinnen und Nutzern "stehlen" und auch sehen, ob sie wegen Burn-Out, Depression oder einer Angststörung angemeldet waren. "Durch gezielte Ausnutzung der entdeckten Sicherheitslücke wäre es für IT-Expertinnen und -Experten möglich gewesen, Datensätze anderer Teilnehmerinnen und Teilnehmer abzugreifen", zeigt sich Dr. Norbert Paas entsetzt: "Ein weiterer unberechtigter Zugriff wurde aber nicht festgestellt." Nach der Mitteilung von "zerforschung" wurde die Sicherheitslücke bei Novego innerhalb von drei Stunden geschlossen. Neben den unverzüglichen technischen Maßnahmen wurde der Vorfall gemäß der Datenschutzrichtlinien intern gemeldet und dokumentiert, sowie die Hamburger Datenschutzbehörde als auch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) informiert.

Die Daten, die bei Novego und in allen anderen DiGAs verarbeitet werden, sind verständlicherweise strengstens vertraulich. Das können Angaben über entsprechende Krankheitsbefunde sein oder private Parameter wie Herzfrequenz, Körpergröße oder Gewicht. "Häufig besteht im Rahmen von Gesundheits-Apps die Angst vor einem gläsernen Menschen, da es sich um oft höchstpersönliche Daten in der Intimsphäre der Nutzer handelt", sagt die Berliner Rechtsanwältin Kathrin Schürmann. "Damit die Digitalisierung im Gesundheitswesen in der Bevölkerung nachhaltig auf größere Resonanz stößt, sind ein effektiver Datenschutz und damit einhergehende effektive IT-Sicherheitsmaßnahmen wichtig." Deshalb ist der gesetzliche Schutz der Gesundheitsdaten nach Artikel 9 DSGVO geregelt. Denn Gesundheitsdaten sind sehr wertvoll: Ärztinnen und Ärzte können mit diesen Informationen gezielter handeln und Fehlbehandlungen vermeiden. Forschende können nach Krankheitszusammenhängen und besseren Behandlungsmöglichkeiten suchen. Doch auch die Werbebranche kann viel Geld durch Daten verdienen, indem sie möglichst genaue Produkte vorschlagen kann.

Dass Datenschutz-Mängel bei Gesundheits-Apps immer häufiger werden, hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei einer Untersuchung im vergangenen Jahr festgestellt. "Ziel war es, im Rahmen der Tests die Angriffsmöglichkeiten zu untersuchen, welche durch Angreifende mit begrenztem Aufwand ausgenutzt werden könnten", sagte ein BSI-Sprecher der MDR Wirtschaftsredaktion. Ergebnis: Sechs von sieben tiefgreifend geprüften Apps haben Passwörter im Klartext an Authentifizierungsdienste übermittelt, heißt es in einem BSI-Bericht. Keine der Apps habe die Sicherheitsanforderungen der BSI-Richtlinie für Gesundheits-Apps vollständig erfüllt. Die Namen der untersuchten Apps nannte das BSI nicht.

Die Datenschutz-Anwältin Kathrin Schürmann weiß, wo die Fallstricke für die App-Anbieter sind: "Neben der DSGVO gilt es selbstverständlich auch noch das Bundesdatenschutzgesetz zu beachten. Außerdem ist es möglich, dass bereichsspezifische Datenschutzvorschriften in Betracht gezogen werden müssen. Dies können Landeskrankenhausgesetze sein, wenn Gesundheitsapps im klinischen Kontext eingesetzt werden sollen. Auch im Sozialrecht finden sich datenschutzrechtliche Vorschriften, die ggfs. beachtet werden müssen." Zusammengefasst bedeutet das, dass die Gesundheits-Apps eine Vielzahl an Vorschriften beachten müssen, klare Einwilligungen einholen müssen (die alle Zwecke abbilden!), verständlich und in einfacher Sprache sind, sowie nicht zuletzt freiwillig sein müssen.

Die Datenweitergabe von Gesundheits-Apps ist gerade auch in den USA ein großes Thema. In vielen Bundesstaaten ist eine Abtreibung seit dem vergangenen Monat strafbar. Deshalb rufen Frauen-Aktivistinnen dazu auf, Gesundheits-Apps mit Angaben zum weiblichen Zyklus vom Smartphone zu löschen. In den gespeicherten Daten sind nämlich auch Informationen zu Schwangerschaften enthalten. Die Angst ist nun, dass die Strafverfolgungsbehörden diese Nutzerdaten dazu verwenden könnten, um Frauen zu identifizieren, die dennoch eine Abtreibung vorgenommen haben. Aber wie ist das in Deutschland? Nach Art. 2 Abs. 2 der DSGVO dürfen die deutschen Strafverfolgungsbehörden auf personenbezogene Daten zugreifen, wenn dadurch Straftaten verhindert oder aufgedeckt werden können. Ein Schwangerschaftsabbruch ist nach §218 StGB allerdings "nur" noch ein Vergehen. "Der Eingriff in die Privatsphäre der betroffenen Person, dürfte vorliegend das Strafverfolgungsinteresse überwiegen", schätzt Kathrin Schürmann ein. "Der Zugriff der Behörde auf die einschlägigen Daten wäre unverhältnismäßig." Anders wäre der Sachverhalt jedoch zu beurteilen, wenn es um ein Verbrechen (z. B. Mord) ginge.