NewsÄrzteschaftGesundheits-App Ada wegen Datenschutz in der Kritik
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Ärzteschaft

Gesundheits-App Ada wegen Datenschutz in der Kritik

Dienstag, 15. Oktober 2019

/dpa

Berlin – Erneut ist eine Gesundheits-App unter Verdacht geraten, sensible Daten ohne Wissen des Nutzers an Facebook und Analysefirmen in den USA übermittelt zu haben. Nach Recherchen der Computerzeitschrift c’t und einem Blog des IT-Sicherheitsexperten Mike Kuketz, der schon einmal Ende 2018 Sicherheitsmängel in der elektronischen Ge­sundheitsakten-App Vivy aufgedeckt hatte, ist es auch um den Datenschutz der Ge­sundheits-App Ada nicht gut bestellt.

Ada, eine Entwicklung der Ada Health GmbH mit Hauptsitz in Berlin, ist ein auf Verfahren der künstlichen Intelligenz (KI) basierender medizinischer Chatbot, der Nutzer nach Be­schwer­den und Symptomen befragt, um daraus Wahrscheinlichkeiten für mögliche Er­krankungen abzuleiten und gegebenenfalls Empfehlungen für einen Arztbesuch abzuge­ben.

Anzeige

Die App gehört in den App-Stores von Google und Apple zu den beliebtesten Gesund­heits-Apps. Seit dem weltweiten Launch der App im Jahr 2016 wurden darüber nach An­gaben der Firma 15 Millionen Symptom-Befragungen durchgeführt. In Deutschland ko­operiert unter anderem die Techniker Krankenkasse (TK) mit dem Start-up: TK-versicherte Nutzer der App erhalten nicht nur eine persönliche Einschätzung, sondern werden auf Wunsch über passende digitale Versorgungsangebote der TK informiert.

Datenversand vor Zustimmung des Nutzers

Der Hauptvorwurf der IT-Sicherheitsexperten: Ada weist zwar in seiner Datenschutzerklä­rung darauf hin, dass Tracking- und Analyse-Dienstleister wie Amplitude, Adjust und Face­book genutzt werden, allerdings wurden laut Kuketz Daten sowohl an Facebook als auch an Amplitude bereits versendet, bevor der Nutzer Gelegenheit hatte, den AGB und der Datenschutzerklärung zuzustimmen.

Dabei handelte es sich ihm zufolge nicht nur um technische, sondern auch um personen­bezogene Daten, wie etwa Symptomeingaben. Dies wäre nach der Datenschutz-Grundver­ordnung (DSGVO) datenschutzrechtlich wohl äußerst bedenklich. Das Magazin Ct be­stätigte die Ergebnisse des IT-Experten und ermittelte, dass etwa der Name der Kranken­kasse an Facebook übermittelt wurde. Erst in einer Folgeversion der getesteten Android-App war keine Datenübertragung an Amplitude mehr zu erkennen.

Zu Nachfragen, warum die Symptome und Versichertendaten an Fremdfirmen übertragen wurden und wie technisch ein Zugriff der Drittfirmen auf die Daten verhindert wird, äu­ßerste sich Ada laut der c’t-Redaktion nicht. Die Datenübertragung sei ein übliches Vor­gehen, so das Unternehmen. Die Behauptung, dass Amplitude Personen identifizieren könne, sei falsch.

Die Frage ist hierbei jedoch stets, ob zusätzlich weitere Quellen für eine Profilbildung zur Verfügung stehen. Nach einer im März veröffentlichten Studie im British Medical Journal, in der australische Forscher den Datenverkehr von 24 Gesundheits-Apps analysierten, war Ada diejenige App, die Daten an die größte Zahl von Drittfirmen übermittelte. Daten­lieferungen an weitere Subunternehmen dürften von dort aus kaum zu kontrollieren sein.

„Falsche Anschuldigungen“

Ada Health betont unterdessen in einer Stellungnahme vom 11. Oktober: „Dritte haben ohne die ausdrückliche Zustimmung der Nutzer keinen Zugang zu persönlichen Gesund­heitsinformationen.“

Aus Sicht des Unternehmens enthalten die Berichte „eine Reihe von Anschuldigungen, die falsch sind“ und auf Missverständnissen beruhen, wie mobile Applikationen funktio­nie­ren. Es verweist darauf, dass das Landesamt für Gesundheit und Soziales Berlin die Ada-App geprüft und dabei keine Verstöße gegen Qualitätsstandards und geltendem Recht festgestellt hat. Darüber hinaus sei die App CE-zertifiziert und erfülle die höchsten regulatorischen Standards etwa der DSGVO.

TK will die Vorwürfe prüfen

Die TK nimmt die Vorwürfe indes sehr ernst. „Bei der Kooperation zwischen TK und Ada Health gilt: Es werden zu keiner Zeit Daten zwischen Ada und der TK ausge­tauscht“, sagte ein Sprecher der Krankenkasse auf Nachfrage dem Deutschen Ärzteblatt. Ada habe die Anforderungen an den europäischen Datenschutz zu erfüllen. Zu­sätzlich zu diesen Anfor­derungen an Kooperationspartner lege man „größten Wert auf die Transparenz der Daten­schutzhinweise, um den Nutzern eine informierte Entscheidung zu ermöglichen“.

Basis für die Zusammenarbeit sei die verbindliche Einhaltung der Datenschutzrichtlinie sowie die vertragliche Zusage, dass keine personenbezogenen Daten an Dritte weiterge­ge­ben werden. Daher sei man bislang davon ausgegangen, dass keine personenbezoge­nen Daten im Rahmen der Kooperation an Dritte weitergegeben wurden.

„Den einzelnen Punkten der jetzt erhobenen Vorwürfe werden wir sorgfältig und so schnell wie möglich nachgehen“, hieß es. Man habe bereits von Ada Health eine voll­stän­dige Offenlegung der Datenstrukturen angefordert. „Das Ergebnis werden wir dann um­gehend durch von uns beauftragte IT-Sicherheitsexperten gegenprüfen lassen. Bestätigen sich die Vorwürfe, werden wir die Kooperation mit Ada sofort beenden“, so die TK.

© KBr/aerzteblatt.de

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.
LNS
LNS LNS LNS

Fachgebiet

Stellenangebote

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER