Berlin � Erneut ist eine Gesundheits-App unter Verdacht geraten, sensible Daten ohne Wissen des Nutzers an Facebook und Analysefirmen in den USA �bermittelt zu haben. Nach Recherchen der Computerzeitschrift c�t und einem Blog des IT-Sicherheitsexperten Mike Kuketz, der schon einmal Ende 2018 Sicherheitsm�ngel in der elektronischen Ge�sundheitsakten-App Vivy aufgedeckt hatte, ist es auch um den Datenschutz der Ge�sundheits-App Ada nicht gut bestellt.

Ada, eine Entwicklung der Ada Health GmbH mit Hauptsitz in Berlin, ist ein auf Verfahren der k�nstlichen Intelligenz (KI) basierender medizinischer Chatbot, der Nutzer nach Be�schwer�den und Symptomen befragt, um daraus Wahrscheinlichkeiten f�r m�gliche Er�krankungen abzuleiten und gegebenenfalls Empfehlungen f�r einen Arztbesuch abzuge�ben.

Die App geh�rt in den App-Stores von Google und Apple zu den beliebtesten Gesund�heits-Apps. Seit dem weltweiten Launch der App im Jahr 2016 wurden dar�ber nach An�gaben der Firma 15 Millionen Symptom-Befragungen durchgef�hrt. In Deutschland ko�operiert unter anderem die Techniker Krankenkasse (TK) mit dem Start-up: TK-versicherte Nutzer der App erhalten nicht nur eine pers�nliche Einsch�tzung, sondern werden auf Wunsch �ber passende digitale Versorgungsangebote der TK informiert.

Datenversand vor Zustimmung des Nutzers

Der Hauptvorwurf der IT-Sicherheitsexperten: Ada weist zwar in seiner Datenschutzerkl�rung darauf hin, dass Tracking- und Analyse-Dienstleister wie Amplitude, Adjust und Face�book genutzt werden, allerdings wurden laut Kuketz Daten sowohl an Facebook als auch an Amplitude bereits versendet, bevor der Nutzer Gelegenheit hatte, den AGB und der Datenschutzerkl�rung zuzustimmen.

Dabei handelte es sich ihm zufolge nicht nur um technische, sondern auch um personen�bezogene Daten, wie etwa Symptomeingaben. Dies w�re nach der Datenschutz-Grundver�ordnung (DSGVO) datenschutzrechtlich wohl �u�erst bedenklich. Das Magazin Ct be�st�tigte die Ergebnisse des IT-Experten und ermittelte, dass etwa der Name der Kranken�kasse an Facebook �bermittelt wurde. Erst in einer Folgeversion der getesteten Android-App war keine Daten�bertragung an Amplitude mehr zu erkennen.

Zu Nachfragen, warum die Symptome und Versichertendaten an Fremdfirmen �bertragen wurden und wie technisch ein Zugriff der Drittfirmen auf die Daten verhindert wird, �u��erste sich Ada laut der c�t-Redaktion nicht. Die Daten�bertragung sei ein �bliches Vor�gehen, so das Unternehmen. Die Behauptung, dass Amplitude Personen identifizieren k�nne, sei falsch.

Die Frage ist hierbei jedoch stets, ob zus�tzlich weitere Quellen f�r eine Profilbildung zur Verf�gung stehen. Nach einer im M�rz ver�ffentlichten Studie im British Medical Journal, in der australische Forscher den Datenverkehr von 24 Gesundheits-Apps analysierten, war Ada diejenige App, die Daten an die gr��te Zahl von Drittfirmen �bermittelte. Daten�lieferungen an weitere Subunternehmen d�rften von dort aus kaum zu kontrollieren sein.

�Falsche Anschuldigungen�

Ada Health betont unterdessen in einer Stellungnahme vom 11. Oktober: �Dritte haben ohne die ausdr�ckliche Zustimmung der Nutzer keinen Zugang zu pers�nlichen Gesund�heitsinformationen.�

Aus Sicht des Unternehmens enthalten die Berichte �eine Reihe von Anschuldigungen, die falsch sind� und auf Missverst�ndnissen beruhen, wie mobile Applikationen funktio�nie�ren. Es verweist darauf, dass das Landesamt f�r Gesundheit und Soziales Berlin die Ada-App gepr�ft und dabei keine Verst��e gegen Qualit�tsstandards und geltendem Recht festgestellt hat. Dar�ber hinaus sei die App CE-zertifiziert und erf�lle die h�chsten regulatorischen Standards etwa der DSGVO.

TK will die Vorw�rfe pr�fen

Die TK nimmt die Vorw�rfe indes sehr ernst. �Bei der Kooperation zwischen TK und Ada Health gilt: Es werden zu keiner Zeit Daten zwischen Ada und der TK ausge�tauscht�, sagte ein Sprecher der Krankenkasse auf Nachfrage dem Deutschen �rzteblatt. Ada habe die Anforderungen an den europ�ischen Datenschutz zu erf�llen. Zu�s�tzlich zu diesen Anfor�derungen an Kooperationspartner lege man �gr��ten Wert auf die Transparenz der Daten�schutzhinweise, um den Nutzern eine informierte Entscheidung zu erm�glichen�.

Basis f�r die Zusammenarbeit sei die verbindliche Einhaltung der Datenschutzrichtlinie sowie die vertragliche Zusage, dass keine personenbezogenen Daten an Dritte weiterge�ge�ben werden. Daher sei man bislang davon ausgegangen, dass keine personenbezoge�nen Daten im Rahmen der Kooperation an Dritte weitergegeben wurden.

�Den einzelnen Punkten der jetzt erhobenen Vorw�rfe werden wir sorgf�ltig und so schnell wie m�glich nachgehen�, hie� es. Man habe bereits von Ada Health eine voll�st�n�dige Offenlegung der Datenstrukturen angefordert. �Das Ergebnis werden wir dann um�gehend durch von uns beauftragte IT-Sicherheitsexperten gegenpr�fen lassen. Best�tigen sich die Vorw�rfe, werden wir die Kooperation mit Ada sofort beenden�, so die TK.

© KBr/aerzteblatt.de