Ada soll sensible Patientendaten an Facebook geschickt haben Tobias Lau, 14.10.2019 14:17 Uhr
Die Gesundheits-App Ada hat mit einem Datenskandal zu kämpfen: Das gleichnamige Berliner Unternehmen muss sich zurzeit gegen Vorwürfe wehren, es habe sensible Patientendaten an Drittanbieter in den USA weitergeleitet, die dadurch Rückschlüsse über Versicherungsstatus und Gesundheitszustand der Anwender ermöglichen würden. Ada nennt die Vorwürfe „irreführende Anschuldigungen“ und erwägt rechtliche Schritte. Die Techniker Krankenkasse (TK) will die Vorwürfe ebenfalls prüfen – und kündigt an, die Zusammenarbeit mit Ada gegebenenfalls zu beenden.
Anbieter von Gesundheitsapps arbeiten in einem datenschutzrechtlichen Minenfeld. Glaubt man dem Computerfachmagazin C’T, ist das Berliner Start-up Ada Health daran gescheitert. Auslöser ist eine Untersuchung des IT-Sicherheitsexperten Mike Kuketz, wonach Ada Nutzerdaten auch ohne Zustimmung der Anwender an Facebook sowie an die Tracking- und Analysedienstleister Amplitude und Adjust weitergeleitet habe. Die Daten seien bereits versendet worden, bevor die App dem Nutzer die AGB und die Datenschutzerklärung präsentiere. Dadurch gingen sie selbst dann auch die US-Unternehmen, wenn der Anwender die Zustimmung verweigert und die App beendet.
Das sei juristisch „äußerst zweifelhaft“, denn laut DSGVO müssen betroffene Personen bereits zum Zeitpunkt der Erhebung personenbezogener Daten informiert werden. Auch am Login-Verfahren selbst ließ IT-Experte Kuketz kein gutes Haar. Er sei „für einen Augenblick schockiert“ gewesen, als er gesehen habe, dass man sich nicht nur per E-Mail-Adresse, sondern auch über Facebook anmelden kann. „Angesichts der Datenskandale, in die Facebook verwickelt war/ ist und der Tatsache, dass es sich um eine Gesundheits-App handelt, ist ein Login via Facebook verantwortungslos“, schreibt Kuketz, der vor einem Jahr bereits Sicherheitslücken in der App Vivy öffentlich machte.
Besonders die Tatsache, dass Ada die Google-Advertising-ID des Nutzers übersendet, sei hoch problematisch. „Allein die Übermittlung der Google-Advertising-ID genügt im Grunde genommen, dass Facebook nun eine Verknüpfung zwischen Facebook-Nutzer und den übermittelten Daten herstellen kann“, so Kuketz. Denn die Facebook-App lese diese ID aus. „Damit hat Facebook anschließend einen Identifier, den sie einer Person exakt zuordnen können.“ C’T zufolge hat das noch weitaus mehr Konsequenzen: Die Werbe-ID lasse sich zu einem detaillierten Profil ergänzen. Die Autoren einer im British Medical Journal veröffentlichten Studie zu Datensicherheit bei Gesundheits-Apps konnten demnach aus der Kopplung dieser ID das ungefähre Alter, Geschlecht, den Wohnort, die Hobbys und Interessen, Krankheitssymptome und Medikation ihres Testprofils zusammenführen.
Außerdem gebe es nach der Übermittlung an die Tracking- und Analysedienstleister kaum noch Möglichkeiten, die Weitergabe an weitere Subunternehmer zu verhindern – rund 200 von denen hätten die Wissenschaftler identifizieren können. Besonders sensible Informationen seien nach dem Login an das Analyseunternehmen Amplitude gesendet worden: Kuketz fand in den verschickten Daten die Symptome, die er zu Testzwecken eingegeben hatte. Erst nachdem das IT-Fachmagin Heise, zu dem C’T gehört, Ada mit den Vorwürfen konfrontierte, habe das Unternehmen reagiert. Es habe die App aus dem Google-Play-Store entfernt und kurz darauf in einer neuen Version wieder veröffentlicht. Bei einem Test mit dieser Version seien keine Übertragungen an Amplitude mehr festgestellt worden.
Für Adas Vertragspartner TK sind die Vorwürfe Anlass genug, die Zusammenarbeit generell zu überprüfen. „Wir nehmen die Vorwürfe sehr ernst“, sagt ein TK-Sprecher auf Anfrage. Basis für die Zusammenarbeit mit Ada sei die verbindliche Einhaltung der Datenschutzrichtlinie sowie darüber hinaus die vertraglich gesicherte Zusage, dass keine personenbezogenen Daten an Dritte weitergegeben werden. Diese Zusage habe die TK im Rahmen eines Penetrationstests durch einen externen Spezialisten überprüft und sei bisher davon ausgegangen, dass keine personenbezogenen Daten an Dritte weitergegeben werden.
Jetzt scheint die Kasse aber nochmal genauer hinschauen zu wollen. „Den einzelnen Punkten der jetzt erhobenen Vorwürfe werden wir sorgfältig und so schnell wie möglich nachgehen.“ Die TK habe deshalb vom App-Anbieter Ada Health eine vollständige Offenlegung der Datenstrukturen angefordert und wolle das Ergebnis umgehend durch externe IT-Sicherheitsexperten gegenprüfen lassen. „Bestätigen sich die Vorwürfe, werden wir die Kooperation mit Ada sofort beenden.“
Ada selbst hat unterdessen in den Verteidigungsmodus geschaltet: Das Unternehmen weist die Berichterstattung über die mutmaßlichen Datenschutzmängel als unbegründet zurück und erhebt seinerseits Vorwürfe gegen Heise, C’T und Kuketz. „Trotz unserer Bemühungen, den Sachverhalt vorab klarzustellen, enthält der Artikel eine Reihe von Anschuldigungen, die falsch sind“, so ein Unternehmenssprecher auf Anfrage. So enthalte der Artikel „Aussagen aus Veröffentlichungen anderer Institutionen, die in der Zwischenzeit von diesen als sachlich falsch anerkannt und anschließend zurückgezogen wurden“. Ada sei ein CE-gekennzeichnetes Medizinprodukt der Klasse 1 und erfülle alle Anforderungen der DSGVO sowie des HIPAA, des US-Gesetzes zum Schutz von Gesundheitsdaten.
Dritte hätten demnach ohne die ausdrückliche Zustimmung der Nutzer keinen Zugang zu persönlichen Gesundheitsinformationen, versichert das Unternehmen. „Facebook oder Amplitude erfahren folglich nicht, ob ein User beispielsweise angibt Bluthochdruck zu haben oder wo er versichert ist.“ Im selben Atemzug gehen die Berliner zum Gegenangriff über: Die Anschuldigungen seien nur deshalb entstanden, weil der C’T-Autor nicht wisse, worüber er schreibt. „Dem Artikel legt ein klares Missverständnis darüber zu Grunde, wie mobile Anwendungen funktionieren“, so Ada.
Um Transparenz zu gewährleisten, werde das Unternehmen Anschuldigungen und Ungenauigkeiten in dem Artikel im Detail herausarbeiten. Welche diese Ungenauigkeiten sind und was genau an den Anschuldigungen falsch oder bereits revidiert worden sei, erklärt Ada jedoch (noch) nicht. Es bestehe der Bedarf, „umfassend zu erklären, wie Applikationen wie Ada funktionieren“. Angst um ihre Daten müssten die Patienten dabei allerdings nicht haben: „Der Schutz der Privatsphäre und die Sicherheit unserer Nutzer ist für uns von größter Bedeutung und absolut grundlegend für die Art und Weise wie wir unsere Technologien sowie unsere Produkte entwickeln und unser Unternehmen führen.“