Schrift:
Ansicht Home:
Netzwelt

Gesundheitshelfer Ada

App soll Patientendaten an Dritte verschickt haben

Mit der Gesundheits-App Ada sollen Patienten herausfinden, welche Krankheit sie haben. Doch sensible Patientendaten werden dabei angeblich auch an US-Unternehmen geschickt. Die Entwickler weisen das zurück.

Akio Kon / Bloomberg via Getty Images

Ob man Raucher ist, muss Facebook ja nicht unbedingt wissen

Von
Freitag, 11.10.2019   16:20 Uhr

Wenn es um Gesundheitsdaten von Patienten geht, gelten strenge Datenschutzregeln in Europa. Doch Berichten zufolge soll die Gesundheits-App Ada sensible Daten an Facebook und Analysefirmen in den USA übermittelt haben.

Laut einem "Heise online"-Artikel und einem Blogpost des IT-Sicherheitsexperten Mike Kuketz überträgt die Anwendung des Berliner Start-ups Ada Health auf Android-Smartphones unter anderem den Nutzernamen und die Krankenkasse an Facebook. Die App gebe an Facebook außerdem Informationen darüber weiter, ob man rauche, erhöhten Blutdruck habe oder Diabetes. Das haben sowohl "Heise online" als auch Kuketz durch Analysen des Datenverkehrs nachgewiesen.

Sicherheitsexperte rät von der App-Nutzung ab

Die App soll Nutzern helfen, Krankheitssymptome zu deuten. Ein Bot befragt die Patienten nach Beschwerden wie Kopfschmerzen, Appetitlosigkeit und Fieber. Aus den Antworten ermittelt eine Software, welche Erkrankung vorliegen könnte und ob der Patient zu einem Arzt gehen sollte. Die App ist im Google-Play-Store bereits mehr als fünf Millionen Mal heruntergeladen worden.

Kuketz, der bereits im vergangenen Jahr in der Gesundheits-App Vivy Datenschutzmängel entdeckt hatte, schreibt: "Im Grunde genügt ein Blick in die Datenschutzerklärung, um um die App einen großen Bogen zu machen." An Facebook würden bereits Daten gesendet, bevor der Nutzer überhaupt die Chance hat, die Allgemeinen Geschäftsbedingungen zu lesen. Außerdem seien zwei weitere Tracker während der Chat-Befragung durch eine frühere Ada-Version aktiv gewesen.

Neben Facebook würden so auch Informationen an die Analysefirmen Amplitude und Adjust geschickt. An Amplitude würden demnach die sensibelsten Details übertragen: die Symptome. Der Sicherheitsexperte entdeckte in den versendeten Daten seine Testeingabe "Inkontinenz", die er der App anvertraut hatte. Erst in der Ada-Version 2.49.1., die nach der Konfrontation der Entwickler durch "Heise" veröffentlicht wurde, war keine Datenübertragung an Amplitude mehr zu sehen.

Ada-Entwickler drohen mit rechtlichen Schritten

Die Ada-Entwickler wehren sich vehement gegen die Vorwürfe. "Dritte haben ohne die ausdrückliche Zustimmung der Nutzer keinen Zugang zu persönlichen Gesundheitsinformationen", teilte ein Sprecher am Freitag auf Anfrage des SPIEGEL mit. "Facebook oder Amplitude erfahren folglich nicht, ob ein User beispielsweise angibt, Bluthochdruck zu haben oder wo er versichert ist."

Man werde eine "sofortige und formelle Richtigstellung verlangen und weitere rechtliche Schritte in Erwägung ziehen". Man erfülle alle Anforderungen der Datenschutzgrundverordnung und sei ein Medizinprodukt mit CE-Prüfsiegel der Klasse eins. Neben hausinternen Kontrollen habe auch das Landesamt für Gesundheit und Soziales Berlin die App geprüft und dabei "keine Verstöße gegen Qualitätsstandards und geltendes Recht festgestellt".

"Heise" kritisiert an der App unter anderem, dass die sogenannte Android-Advertising-ID mitgeschickt werde. Damit sei es möglich, Nutzer zu identifizieren. Der Grund: Die Werbe-ID könne zwar geändert werden, was aber wenige Nutzer machten. Damit sei es möglich, die wahre Identität der Patienten anhand zusätzlicher Daten wie Geburtstag, Wohnort und Hobbys zu ermitteln.

Seit rund einem Jahr unterstützt die Techniker Krankenkasse (TK) die App und empfiehlt ihren Kunden den virtuellen Symptomcheck. Auf eine Anfrage des SPIEGEL teilte eine Sprecherin mit: "Es werden zu keiner Zeit Daten zwischen Ada und der TK ausgetauscht." Basis für die Zusammenarbeit sei die verbindliche Einhaltung der Datenschutzrichtlinie und die vertraglich gesicherte Zusage, dass "keine personenbezogenen Daten an Dritte weitergegeben werden".

Ein Spezialist habe diese Aussage überprüft. Den Vorwürfen werde man so schnell wie möglich nachgehen. "Wir haben bereits von der Ada Health GmbH eine vollständige Offenlegung der Datenstrukturen angefordert", schreibt die Sprecherin in einer E-Mail. "Bestätigen sich die Vorwürfe, werden wir die Kooperation mit Ada sofort beenden."

insgesamt 18 Beiträge
Der Jürgen aus M 11.10.2019
1. Da bin ich mal gespannt......
habe eben in der ct den Artikel auch schon gelesen und so wie es scheint kann heise das gut belegen, dass Daten an Drittfirmen übertragen werden. Da bin ich mal gespannt wie Ada sich da wehren will.
habe eben in der ct den Artikel auch schon gelesen und so wie es scheint kann heise das gut belegen, dass Daten an Drittfirmen übertragen werden. Da bin ich mal gespannt wie Ada sich da wehren will.
Horst Haber 11.10.2019
2.
Wenn heise so etwas äußert, ist es üblicherweise sehr gut belegbar, wie die Vergangenheit zeigte. Und wenn Ada tatsächlich unerlaubt Daten an Dritte weitergibt, wird der DSGVO-Hammer vermutlich mal etwas härter zuschlagen.
Wenn heise so etwas äußert, ist es üblicherweise sehr gut belegbar, wie die Vergangenheit zeigte. Und wenn Ada tatsächlich unerlaubt Daten an Dritte weitergibt, wird der DSGVO-Hammer vermutlich mal etwas härter zuschlagen.
Actionscript 11.10.2019
3. Solch eine App ist Unsinn.
Wenn ich bestimmte Symptome habe, gehe ich zum Doktor und lasse mich untersuchen. Es gibt eine Reihe von Krankheiten, die ähnliche Symptome haben. Warum muss man erst über eine App gehen, warum nicht gleich zum Doktor? Was mache [...]
Wenn ich bestimmte Symptome habe, gehe ich zum Doktor und lasse mich untersuchen. Es gibt eine Reihe von Krankheiten, die ähnliche Symptome haben. Warum muss man erst über eine App gehen, warum nicht gleich zum Doktor? Was mache ich denn, wenn die App eine Krankheit bestimmten Symptomen zuordnet?
bichsel 11.10.2019
4. Es gibt Alternativen.
Ich finde z. B. die WebMD-App in Ordnung und konnte zumindest auf die Schnelle keine Veröffentlichungen Dritter finden, die darauf hindeuten, dass diese eine Datenschleuder sei.
Ich finde z. B. die WebMD-App in Ordnung und konnte zumindest auf die Schnelle keine Veröffentlichungen Dritter finden, die darauf hindeuten, dass diese eine Datenschleuder sei.
bert1966 11.10.2019
5.
Es gibt Apps, mit denen man sein Mittagessen fotografieren kann, Apps, die einem helfen sollen, ein besserer Liebhaber zu werden, Apps, die einem Tips zur Mondphase geben, Apps, mit denen man eine Arbeitsunfähigkeitsbescheinigung [...]
Es gibt Apps, mit denen man sein Mittagessen fotografieren kann, Apps, die einem helfen sollen, ein besserer Liebhaber zu werden, Apps, die einem Tips zur Mondphase geben, Apps, mit denen man eine Arbeitsunfähigkeitsbescheinigung bestellen kann und jetzt natürlich auch Apps, die einem die Diagnose des Arztes ersparen sollen. Wer meint, solche Spirenzchen zu brauchen, der soll sie benutzen. Bedenklich ist allerdings, dass nach Meinung des Bundesgesundheitsministers die Allgemeinheit über ihre Krankenkassenbeiträge für die Smartphonesucht und App-Gläubigkeit Einzelner aufkommen soll. Das ist nicht innovativ sondern hat für mich eher einen merkwürdigen Beigeschmack von gezielter politischer Förderung bestimmter Industrieprodukte unter bewusster Umgehung der sonst üblichen und erforderlichen Kontrolle auf ihren Nutzen und ihre Sicherheit.

Verwandte Themen

Verwandte Artikel

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP