Nachrichten & Themen
Mediathek & TV
Audio & Radio

Leben

GesundheitRezepteGartenFamilienlebenLifestyleRechtFinanzenDigitalesMobilität
Daten in Gesundheits-Apps können leicht gestohlen werden. Bildrechte: dpa

Datenlecks aufgedecktSind vertrauliche Daten in Gesundheits-Apps wirklich sicher?

von Michael Kästner, MDR Wirtschaftsredaktion

Stand: 25. Juli 2022, 10:01 Uhr

Verschiedene Untersuchungen zeigen gravierende Sicherheitslücken bei Gesundheits-Apps auf. Daten, die eigentlich dem strengsten Schutz unterliegen, hätten ganz leicht gestohlen werden können. Die Situation ist nicht leicht für die Nutzer, aber auch nicht für die Abieter.

Auch vom BfArM offiziell zugelassene Apps betroffen

Weltweit werden jedes Jahr tausende Datenlecks bei Internetseiten oder Smartphone-Apps aufgedeckt. Nach einer Studie von US-amerikanischen Experten haben zwischen 80 und 90 % aller Firmen schon einmal ungewollt Daten verloren! Ein betroffenes Unternehmen ist der Berliner App-Anbieter Novego. Die gleichnamige Anwendung richtet sich an Menschen mit Depressionen. Sie stellt Texte, Videos, Audios und interaktive Übungen zur Verfügung. Novego gehört zur IVP Networks GmbH. Deren Geschäftsführer Dr. Norbert Paas hat mit der MDR Wirtschaftsredaktion gesprochen. "Novego wurde am 04. April 2022 vom Hackerkollektiv 'zerforschung' untersucht. Dabei wurde eine Sicherheitslücke festgestellt." Besonders ärgerlich: Novego ist eine vom Bundesinstitut für Arzneimittel und Medizinprodukte (kurz: BfArM) zugelassene digitale Gesundheitsanwendung.

Digitale Gesundheitsanwendung35 digitale Gesundheits-Anwendungen – kurz "DiGAs" – gibt es derzeit in Deutschland. Das sind "Apps auf Rezept", die vom Arzt verschrieben werden können wie ein Medikament. Sie sollen beispielsweise Patienten mit Krebs oder Herz-Kreislaufbeschwerden sowie zahlreichen psychischen Krankheiten helfen.

Namen, Mailadressen und Diagnosen waren einsehbar

Trotz der Bestimmungen der Datenschutz-Grundverordnung (DSGVO) hat das ehrenamtliche IT-Team "zerforschung" im Rahmen einer gemeinsamen Recherche von NDR und WDR eklatante Sicherheitslücken bei Gesundheits-Apps entdeckt, darunter bei Novego. Für ein Gespräch stand das "zerforschung"-Team bis zum Redaktionsschluss nicht zur Verfügung, aber auf ihrer Homepage kann man nachlesen, wie sie die Möglichkeit zu einem schwerwiegenden Datenabfluss von knapp 10.000 Accounts entdeckt haben. Die "zerforscher" konnten ohne Schwierigkeiten die Emailadressen und teils die Namen von anderen Nutzerinnen und Nutzern "stehlen" und auch sehen, ob sie wegen Burn-Out, Depression oder einer Angststörung angemeldet waren. "Durch gezielte Ausnutzung der entdeckten Sicherheitslücke wäre es für IT-Expertinnen und -Experten möglich gewesen, Datensätze anderer Teilnehmerinnen und Teilnehmer abzugreifen", zeigt sich Dr. Norbert Paas entsetzt: "Ein weiterer unberechtigter Zugriff wurde aber nicht festgestellt." Nach der Mitteilung von "zerforschung" wurde die Sicherheitslücke bei Novego innerhalb von drei Stunden geschlossen. Neben den unverzüglichen technischen Maßnahmen wurde der Vorfall gemäß der Datenschutzrichtlinien intern gemeldet und dokumentiert, sowie die Hamburger Datenschutzbehörde als auch das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) informiert.

Dr. Norbert Paas ist Geschäftsführer eines App-Anbieters. Bildrechte: IVPNetworks GmbH

Durch gezielte Ausnutzung der entdeckten Sicherheitslücke wäre es für IT-Expertinnen und -Experten möglich gewesen, Datensätze anderer Teilnehmerinnen und Teilnehmer abzugreifen.

Dr. Norbert Paas, App-Anbieter

Gesetzlicher Schutz durch die DSGVO

Die Daten, die bei Novego und in allen anderen DiGAs verarbeitet werden, sind verständlicherweise strengstens vertraulich. Das können Angaben über entsprechende Krankheitsbefunde sein oder private Parameter wie Herzfrequenz, Körpergröße oder Gewicht. "Häufig besteht im Rahmen von Gesundheits-Apps die Angst vor einem gläsernen Menschen, da es sich um oft höchstpersönliche Daten in der Intimsphäre der Nutzer handelt", sagt die Berliner Rechtsanwältin Kathrin Schürmann. "Damit die Digitalisierung im Gesundheitswesen in der Bevölkerung nachhaltig auf größere Resonanz stößt, sind ein effektiver Datenschutz und damit einhergehende effektive IT-Sicherheitsmaßnahmen wichtig." Deshalb ist der gesetzliche Schutz der Gesundheitsdaten nach Artikel 9 DSGVO geregelt. Denn Gesundheitsdaten sind sehr wertvoll: Ärztinnen und Ärzte können mit diesen Informationen gezielter handeln und Fehlbehandlungen vermeiden. Forschende können nach Krankheitszusammenhängen und besseren Behandlungsmöglichkeiten suchen. Doch auch die Werbebranche kann viel Geld durch Daten verdienen, indem sie möglichst genaue Produkte vorschlagen kann.

Kathrin Schürmann ist Rechtsanwältin und Expertin für Datenschutz. Bildrechte: Schürmann Rosenthal Dreyer Rechtsanwälte

Häufig besteht im Rahmen von Gesundheits-Apps die Angst vor einem gläsernen Menschen, da es sich um oft höchstpersönliche Daten in der Intimsphäre der Nutzer handelt.

Kathrin Schürmann, Rechtsanwältin

Datenschutz-Mängel schon länger bekannt

Dass Datenschutz-Mängel bei Gesundheits-Apps immer häufiger werden, hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei einer Untersuchung im vergangenen Jahr festgestellt. "Ziel war es, im Rahmen der Tests die Angriffsmöglichkeiten zu untersuchen, welche durch Angreifende mit begrenztem Aufwand ausgenutzt werden könnten", sagte ein BSI-Sprecher der MDR Wirtschaftsredaktion. Ergebnis: Sechs von sieben tiefgreifend geprüften Apps haben Passwörter im Klartext an Authentifizierungsdienste übermittelt, heißt es in einem BSI-Bericht. Keine der Apps habe die Sicherheitsanforderungen der BSI-Richtlinie für Gesundheits-Apps vollständig erfüllt. Die Namen der untersuchten Apps nannte das BSI nicht.

Fallstricke für App-Anbieter

Die Datenschutz-Anwältin Kathrin Schürmann weiß, wo die Fallstricke für die App-Anbieter sind: "Neben der DSGVO gilt es selbstverständlich auch noch das Bundesdatenschutzgesetz zu beachten. Außerdem ist es möglich, dass bereichsspezifische Datenschutzvorschriften in Betracht gezogen werden müssen. Dies können Landeskrankenhausgesetze sein, wenn Gesundheitsapps im klinischen Kontext eingesetzt werden sollen. Auch im Sozialrecht finden sich datenschutzrechtliche Vorschriften, die ggfs. beachtet werden müssen." Zusammengefasst bedeutet das, dass die Gesundheits-Apps eine Vielzahl an Vorschriften beachten müssen, klare Einwilligungen einholen müssen (die alle Zwecke abbilden!), verständlich und in einfacher Sprache sind, sowie nicht zuletzt freiwillig sein müssen.

Können Behörden Datenlecks ausnutzen?

Die Datenweitergabe von Gesundheits-Apps ist gerade auch in den USA ein großes Thema. In vielen Bundesstaaten ist eine Abtreibung seit dem vergangenen Monat strafbar. Deshalb rufen Frauen-Aktivistinnen dazu auf, Gesundheits-Apps mit Angaben zum weiblichen Zyklus vom Smartphone zu löschen. In den gespeicherten Daten sind nämlich auch Informationen zu Schwangerschaften enthalten. Die Angst ist nun, dass die Strafverfolgungsbehörden diese Nutzerdaten dazu verwenden könnten, um Frauen zu identifizieren, die dennoch eine Abtreibung vorgenommen haben. Aber wie ist das in Deutschland? Nach Art. 2 Abs. 2 der DSGVO dürfen die deutschen Strafverfolgungsbehörden auf personenbezogene Daten zugreifen, wenn dadurch Straftaten verhindert oder aufgedeckt werden können. Ein Schwangerschaftsabbruch ist nach §218 StGB allerdings "nur" noch ein Vergehen. "Der Eingriff in die Privatsphäre der betroffenen Person, dürfte vorliegend das Strafverfolgungsinteresse überwiegen", schätzt Kathrin Schürmann ein. "Der Zugriff der Behörde auf die einschlägigen Daten wäre unverhältnismäßig." Anders wäre der Sachverhalt jedoch zu beurteilen, wenn es um ein Verbrechen (z. B. Mord) ginge.

Dieses Thema im Programm:MDR AKTUELL | MDR aktuell | 09. Juli 2022 | 09:00 Uhr