Wie sicher sind die Gesundheits-Apps auf Rezept?
Mit dem Inkrafttreten des Digitalen Versorgungsgesetzes (DVG) können Ärzt:innen seit Oktober 2020 bestimmte Gesundheits-Apps verschreiben. Die Krankenkassen übernehmen in dem Fall die Kosten für die medizinischen Apps. Man spricht deshalb auch von „Apps auf Rezept“ oder offiziell von „Digitalen Gesundheitsanwendungen“ (DiGA), die Erkrankungen diagnostizieren und/oder therapieren können. Diese Gesundheits-Apps benötigen eine Zulassung als Medizinprodukt und werden deshalb in einem offiziellen Verfahren geprüft und mit dem CE-Kennzeichen versehen. Da Nutzer:innen in diesen Apps sehr sensible, gesundheitsbezogene Daten preisgeben, fragt sich, wie die Gesundheits-Apps datenschutztechnisch aufgestellt sind. mediaTest digital hat einige wichtige Medizin-Apps deshalb mithilfe des App Scans einer Datenschutz-Prüfung unterzogen.
Ergebnisse des Datenschutz-Tests
Die Datenschutz-Prüfung war für die getesteten Gesundheits-Apps sehr zufriedenstellend: Basierend auf dem Framwork weist keine der medizinischen Apps größere sicherheitstechnische Mängel vor. Die meisten Medizin-Apps fordern zwar diverse Berechtigungen, wie den Zugriff auf den Standort oder die Kamera, ein. Diese Berechtigungen sind jedoch für den vollen Funktionsumfang der App notwendig und werden deshalb nicht als überprivilegiert eingestuft. Weiterhin verwenden, bis auf die Android-Version der Mika- und der Oviva-App, keine der Anwendungen externe Tracker und Analyse-Tools. Die Oviva-App nutzt das Anaylse-Tool Mixpanel, während Mika Gebrauch von dem Webanalyse-Tool Matomo macht. Beide Tools können das Nutzungsverhalten analysieren – dies erfolgt jedoch datenschutzkonform. Alle Gesundheits-Apps klären User:innen in einer umfangreichen Datenschutzerklärung über die erhobenen und verarbeiteten Nutzer:innendaten auf.
Lediglich die Selfapy-App für iOS fiel in der statischen Datenschutz-Analyse negativ auf. Zum einen weist sie Probleme mit der Certificate Transparency vor. Es handelt sich dabei um einen Sicherheitsmechanismus gegen Man-in-the-Middle-Attacken. Das bedeutet, dass die Selfapy-App unsichere Internetverbindungen unter Umständen nicht zuverlässig identifizieren kann. Zudem baut die Selfapy-App zahlreiche Verbindungen in die USA, und somit in nicht DSGVO-konforme Staaten, auf.
Fazit zu den Gesundheits-Apps
Die Nutzung der Gesundheits-Apps ist nicht nur aus medizinischer Sicht sinnvoll. Die Apps punkten auch hinsichtlich Datenschutz und Datensicherheit. Wie bei jeder Anwendung sollten User:innen sich vor dem Download jedoch die Allgemeinen Geschäftsbedingungen durchlesen, um zu prüfen welche personenbezogene Daten die App abruft. Nutzer:innen müssen außerdem im Hinterkopf behalten, dass medizinische Apps keine ärztliche Beratung ersetzen, sondern lediglich eine zusätzliche Unterstützung im Umgang mit Krankheiten bieten.
