Gesundheits-Apps: Wie sicher sind sie wirklich?
Mit dem Inkrafttreten des Digitalen Versorgungsgesetzes (DVG) können Ärzt:innen seit Oktober 2020 bestimmte Gesundheits-Apps verschreiben. Da Nutzer:innen in diesen Apps sehr sensible, gesundheitsbezogene Daten preisgeben, fragen sich viele User:innen, wie die Gesundheits-Apps datenschutztechnisch aufgestellt sind. mediaTest digital hat einige wichtige Medizin-Apps deshalb mithilfe des App Scans einer Datenschutz-Prüfung unterzogen.
Was sind Gesundheits-Apps?
Gesundheits-Apps können Erkrankungen diagnostizieren und/oder therapieren. Ärzt:innen müssen diese offiziell verschreiben, damit Erkrankte die medizinischen Apps nutzen können. Man spricht deshalb auch von „Apps auf Rezept“ oder offiziell von „Digitalen Gesundheitsanwendungen“ (DiGA). Die Krankenkassen übernehmen in dem Fall die Kosten für die jeweilige Gesundheits-App. Diese Gesundheits-Apps benötigen eine Zulassung als Medizinprodukt und werden deshalb in einem offiziellen Verfahren geprüft und mit dem CE-Kennzeichen versehen.
Oviva Direkt
iOS 1.4.0
Android 1.4.0
Anwendung
Adipositas, starkes Übergewicht
Datenschutz-Test
bestanden
Vivira
iOS 2.35.4
Android 2.29.11
Anwendung
Rücken-, Knie- und Hüftschmerzen
Datenschutz-Test
bestanden
Gesundheits-Apps: Ergebnisse des Datenschutz-Tests
Mittels einer statischen App-Analyse, dem App Scan, analysierte unsere App Risk Management-Lösung APPVISORY das Framework der Gesundheits-Apps und lieferte folgende Ergebnisse:
Diese Gesundheits-Apps bestehen die Prüfung
Die Datenschutz-Prüfung war für die getesteten Gesundheits-Apps sehr zufriedenstellend: Basierend auf dem Framwork weist keine der medizinischen Apps größere sicherheitstechnische Mängel vor. Die meisten Gesundheit-Apps fordern zwar diverse Berechtigungen, wie den Zugriff auf den Standort oder die Kamera, ein. Diese Berechtigungen sind jedoch für den vollen Funktionsumfang der Gesundheits-App notwendig und werden deshalb nicht als überprivilegiert eingestuft. Weiterhin verwenden, bis auf die Android-Version der Mika- und der Oviva-App, keine der Anwendungen externe Tracker und Analyse-Tools. Die Oviva-App nutzt das Anaylse-Tool Mixpanel, während Mika Gebrauch von dem Webanalyse-Tool Matomo macht. Beide Tools können das Nutzungsverhalten analysieren – dies erfolgt jedoch datenschutzkonform. Alle Gesundheits-Apps klären User:innen in einer umfangreichen Datenschutzerklärung über die erhobenen und verarbeiteten Nutzer:innendaten auf.
Gesundheits-App Selfapy ist mangelhaft
Lediglich die Selfapy-App für iOS fiel in der statischen Datenschutz-Analyse negativ auf. Zum einen weist sie Probleme mit der Certificate Transparency vor. Es handelt sich dabei um einen Sicherheitsmechanismus gegen Man-in-the-Middle-Attacken. Das bedeutet, dass die Gesundheit-App Selfapy unsichere Internetverbindungen unter Umständen nicht zuverlässig identifizieren kann. Zudem baut die Selfapy-App zahlreiche Verbindungen in die USA, und somit in nicht DSGVO-konforme Staaten, auf.
Fazit zu den Gesundheits-Apps
Die Nutzung der Gesundheits-Apps ist nicht nur aus medizinischer Sicht sinnvoll. Die Medizin-Apps punkten auch hinsichtlich Datenschutz und Datensicherheit. Wie bei jeder Anwendung sollten User:innen sich vor dem Download jedoch die Allgemeinen Geschäftsbedingungen durchlesen, um zu prüfen welche personenbezogene Daten die Gesundheitsapp abruft. Nutzer:innen müssen außerdem im Hinterkopf behalten, dass medizinische Apps keine ärztliche Beratung ersetzen, sondern lediglich eine zusätzliche Unterstützung im Umgang mit Krankheiten bieten.