Presse-Informationen
c't

  1. Heise Gruppe
  2. Presse-Informationen
  3. c't

c’t deckt auf: Massive Datenschutzmängel in Gesundheits-App
Datenschleuder Ada-App

Hannover, 11. Oktober 2019 – Gesundheits-Apps wie die der Ada Health GmbH verarbeiten besonders sensible Daten und betonen gerne, dass ihnen die Privatsphäre der Nutzer wichtig sei. Doch eine Analyse des Datenverkehrs belegt, dass die Ada-App Gesundheitsdaten an Dritte weitergab. Das berichtet Europas größtes IT- und Techmagazin c’t in seiner aktuellen Ausgabe 22/19.

Die App Ada ist eine Art Chat-Programm, das den Nutzer nach Symptomen befragt, auf mögliche Erkrankungen hinweist und gegebenenfalls rät, einen Arzt aufzusuchen. Bekannt wurde die kostenlose App unter anderem, weil die Techniker Krankenkasse mit dem Unternehmen kooperiert, sodass die App Versicherten der TK passende Angebote unterbreiten kann. In den App-Stores von Google und Apple rangiert sie unter den populärsten Gesundheits-Apps.

Ada nutzt Tracking- und Analyse-Dienstleister wie Amplitude, Adjust und Facebook und weist darauf auch in der Datenschutz­erklärung hin. Allerdings wurden sowohl an Facebook als auch an Amplitude Daten versendet, bevor die App dem Nutzer AGB und Datenschutzerklärung präsentierte und ihn um die Akzeptanz derselben bat, wie der IT-Sicherheits-Experte Mike Kuketz herausfand. „Selbst wenn der Nutzer die Zustimmung verweigerte und die App beendete, waren nach Kuketz’ Erkenntnissen bereits Daten an Facebook und Amplitude abgeflossen“, erklärt Sylvester Tremmel, Redakteur beim c’t-Magazin. Juristisch ist eine solche Übertragung äußerst zweifelhaft: Die DSGVO schreibt nämlich vor, dass bei der Erhebung personenbezogener Daten die betroffene Person „zum Zeitpunkt der Erhebung dieser Daten“ informiert werden und eine Rechtsgrundlage für die Übertragung existieren muss.

Auf Nachfrage von c’t erklärte die Ada Health GmbH: „Dritte haben keinen Zugriff auf persönliche Gesundheitsinformationen der User.“ Daraufhin stellte das c’t-Magazin seine eigenen Analysen mit der zu dem Zeitpunkt aktuellen Version 2.49.0 an. Das Ergebnis: Die Ada-App übertrug unter anderem den Namen der Krankenversicherung des Nutzers an Facebook. Vor allem aber über­mittelte sie die Symptombeschreibung an Amplitude und reicherte sie zusätzlich mit diversen Metadaten an, wie dem Geschlecht des Nutzers und der Android Advertising-ID.

Kurz vor Redaktionsschluss verschwand die Ada-App aus dem Play-Store, am 4. Oktober tauchte sie dann wieder auf – in der neuen Version 2.49.1. „In einem kurzen Check konnten wir keine Datenübertragungen an Amplitude mehr feststellen“, sagt Tremmel.

Das Verhalten und die Reaktionen von Ada zeigen, dass in puncto Datenschutz bei Gesundheits-Apps offenbar großer Nachholbedarf besteht.

Für die Redaktionen: Gerne stellen wir Ihnen den Artikel kostenlos zur Rezension zur Verfügung.