Datenschutzprobleme bei Gesundheits-Apps und Mental-Health-Apps

Der Alltag wird stets digitaler, mobiler und smarter! Das zeigen uns u. a. die Nutzung von Smart Home-Geräten und Wearables. Diese Smartwatches zeichnen Daten wie Puls, Aktivitäten mit zurückgelegter Wegstrecke, Ruhephasen und Schlafphasen u.v.m. auf und werden in Gesundheits-Apps Ihrer Wahl transformiert und optisch aufbereitet. Diese Daten zählen allerdings zu den hoch sensiblen personenbezogenen Daten und der korrekte Umgang mit den Daten ist essenziell, handelt es sich doch teils um sensible Daten. In unserem Blogbeitrag beleuchten wir genau diese Aspekte der Gesundheits- und Mental-Health-Apps und geben Ihnen einen Einblick in die aktuelle Thematik rund um sensible Gesundheitsdaten.

Privatsphäre auf dem Prüfstand: Datenschutz und Mental-Health-Apps im Alltag

Gesundheits-Apps und auch Mental-Health-Apps erfreuen sich in den letzten Jahren größer werdender Beliebtheit. Das Spektrum der Gesundheits-Apps ist hier sehr vielfältig: Es gibt Apps zum Sport treiben, diese bieten Work-outs mit kurzer bis langer Trainingseinheiten von Yoga, Pilates, Krafttraining bis hin zum Laufen und tragen somit zum allgemeinen Wohlbefinden der eigenen Gesundheit bei. Die sogenannten Mental-Health-Apps widmen sich hingegen der psychischen Gesundheit mit Ratschlägen zu einem gesunden Leben, Informationen zur Verbesserung der aktuellen Situation, beispielsweise bei Depression oder Burn-out und auch Anleitungen zur Meditation und Hilfestellung zum Einschlafen. Bei beiden Arten von Gesundheits-Apps werden Daten des Nutzenden erhoben und in einem personalisierten Profil abgespeichert.

Mental-Health-Apps: Datenschutzleck und Sicherheitsbedenken bei der Nutzung

In den letzten Jahren ist die Sicherheit unserer Daten insgesamt gestiegen. Nichtdestotrotz kommt es immer wieder durch ausgenutzte Schwachstellen zu Datenschutz-Pannen. Wenn es um die Privatsphäre und den Schutz der eigenen Daten bei psychischen Apps zur Gesundheit geht, bietet der Großteil dieser Mental-Health-Apps einen unzureichenden Datenschutz, so resümieren die  Forschenden von Mozilla in ihrem Guide „Privacy Not Included“.

In dem Mai 2022 veröffentlichten Leitfaden untersuchte Mozilla 32 Apps für psychische Gesundheit im Hinblick auf die Datenschutz- und Sicherheitspraktiken. Untersucht wurden hier Mental-Health-Apps wie Calm, Talkspace, Better Help und Glorify. 28 der 32 untersuchten Gesundheits-Apps wurden mit einem „Privacy Not Included“-Warnhinweis versehen, der auf starke Bedenken hinsichtlich der personenbezogenen Daten und der Sicherheit von Nutzerdaten hinweist. Nicht nur das, 25 der Apps erfüllten nicht einmal die Mindestsicherheitsstandards von Mozilla, wie z. B. die Forderung nach sicheren Passwörtern, Aktualität und Verwaltung von Sicherheitsupdates oder Minimierung der Schwachstellen.

Umgang mit hochsensiblen Gesundheitsdaten

Die Mental-Health Apps befassen sich mit unglaublich sensiblen Themen und Daten der Nutzenden. Hierbei handelt es sich um Angaben über Angstzustände, Depressionen, Selbstmordgedanken, häuslicher Gewalt, Essstörungen und posttraumatischer Belastungsstörung (PTBS). Dabei können sich die Nutzenden mit ihrem Therapeuten verbinden, Stimmungsjournale und Bewertungen nutzen, mit KI-Bots chatten oder den Community-Support anfragen und anschließend Hilfe von einem Expert:innen bekommen.

Die Daten werden laut Mozilla routinemäßig ohne weitere Schutzmaßnahmen weitergeleitet, die Apps erlauben schwache Passwörter, sprechen die gefährdeten Nutzenden der Mental-Health-Apps mit personalisierter Werbung an und bieten keine sicheren Datenschutzrichtlinien für die Nutzung der personenbezogenen Daten.

„Die überwiegende Mehrheit der Apps für psychische Gesundheit und Meditation ist ausgesprochen unheimlich. Sie verfolgen, teilen und nutzen die intimsten persönlichen Gedanken und Gefühle der Nutzer wie Stimmungen, Geisteszustand und biometrische Daten. Es stellt sich heraus, dass die Erforschung von Apps zur psychischen Gesundheit nicht gut für die psychische Gesundheit ist, da sie zeigt, wie fahrlässig und feige diese Unternehmen der Gesundheits-Apps mit unseren intimsten persönlichen Informationen umgehen können.“ – Jen Caltrider, Leitung von Mozilla „Privacy Not Included“

Kritik und Stellungnahme zu Mental-Health-Apps

Die Zeiten der Pandemie mit Home-office, Quarantäne und den Verlust der zwischenmenschlichen Kommunikation haben uns in den letzten Jahren gezeigt, dass die Gesundheit auch mental und psychisch ausgeglichen sein und im Alltag gefördert werden muss. Der heutige Alltag wird immer schnelllebiger. Der schleichende Druck, überall „Mithalten“ zu müssen, ist allgegenwärtig. Die Mental-Health-Apps wurden kreiert, um eine Auszeit für den Einzelnen zu schaffen (Erholungsphase) und entsprechend der Bedürfnisse zu agieren, bei der Umsetzung der gesundheitsfördernden Maßnahmen zu helfen und ggf. auch fachmännische Hilfestellung zu bieten.

Umso mehr ist der mangelnde und auch teils fehlender Datenschutz ein Armutszeugnis im Bereich der Datensicherheit. Wie aus dem Bericht von Mozilla hervorgeht, ist der leichte Zugang zu den Nutzerdaten eine immense Schwächung der Privatsphäre, sensible Daten werden erkauft.

Guter Ansatz bei den Gesundheits-Apps mit mangelnder Umsetzung im Datenschutz

Herstellende von Gesundheits- und Mental-Health-Apps müssen Nutzende nach Art. 13 DSGVO zum Zeitpunkt der Erhebung der Daten informieren. Da bereits zum Zeitpunkt der Installation der App personenbezogene Daten verarbeitet werden, ist schon vor dem Download eine Datenschutzerklärung vom Hersteller der App für Nutzende bereitzustellen. Diese Datenschutzerklärung kann man im App-Store direkt ansehen oder man wird zur entsprechenden Seite weitergeleitet. Das Einfügen eines Links, welcher zur Datenschutzerklärung auf der Firmen-Website führt, ist für den Zweck ausreichend, sofern die Datenschutzerklärung auch über die Datenverarbeitung der App informiert.

Nutzung von personenbezogenen Daten in der App

Die Informationspflichten aus Art. 13 DSGVO erfüllen Anbietende, wenn sie die folgenden Fragen beantworten.

Hier muss folgendes berücksichtig werden:

• Welche personenbezogenen Daten werden verarbeitet?
• Wie lange werden die Daten gespeichert?
• Auf welche Rechtsgrundlage stützt sich die Verarbeitung?
• Welche Rechte haben Betroffene – einschließlich Beschwerderecht bei der Aufsichtsbehörde?
• Wer ist für die Verarbeitung der Daten verantwortlich?

Ergänzung zur Rechtsgrundlage:

• Wenn diese Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) ist, muss der Verantwortliche die Interessen benennen.
• Zu welchem Zweck werden die Daten verarbeitet?
• Falls vorhanden: Wie können Nutzende den Datenschutzbeauftragten erreichen?
• Existiert eine automatisierte Entscheidungsfindung (einschl. Profiling) – wenn ja, welche Logik liegt zugrunde, mit welcher Tragweite und Auswirkungen müssen Nutzende rechnen?
• Erfolgt eine Weitergabe an Dritte? Wenn ja: Innerhalb der EU/ des EWR oder in (unsicheren) Drittländern? Falls Drittländer: Welche Garantien existieren?

In der Praxis häufig vertreten ist die Verlinkung der Datenschutzerklärung auf die allgemeinen Datenschutzerklärungen der Firmenseite. Das kann allerdings dazu führen, dass die Hinweise zur Datenverarbeitung unvollständig sind und die Daten, die durch die App erfasst werden, in dieser Erklärung gar nicht berücksichtigt werden.

Generell gilt:
Hinweise zum Datenschutz müssen leicht auffindbar sein. Neben dem Einstellen der Datenschutzerklärung im App-Store muss die Datenschutzerklärung auch in der App selbst jederzeit abrufbar sein und zwar so, dass der Nutzenden diese ohne Anstrengung finden können.

Unsere Empfehlung an Sie:

Falls Sie unsicher sind oder an manchen Stellen der Datenschutzerklärung Fragen bestehen, welche nicht beantwortet werden, oder unklar ist, wie genau Ihre Daten genutzt werden, falls die Datenschutzerklärung zu der entsprechenden App gänzlich fehlt, nehmen Sie Abstand von der App und verzichten Sie auf die Installation sowie auf die Verwendung der App. Zudem sind nicht alle Datenschutzerklärungen so geschrieben, dass man die Verarbeitung der Daten genau nachvollziehen kann. Auch dann sollten Sie nach Alternativen suchen und auf eine Installation verzichten.

Ausblick in die Datenschutz-konforme Zukunft der Gesundheits-Apps

Grundlegend ist zu erwähnen, dass Apps – und insbesondere deren Datenschutzpraktiken – zunehmend von Aufsichtsbehörden in den Fokus genommen werden. Apps haben in der Vergangenheit bei der Installation weitreichende Zugriffsbefugnisse erhoben und haben diese zum Teil weitergeleitet; auch an Drittanbietende. So wurde beispielsweise in einer Analyse von Privacy International gezeigt, dass über 60% der installierten Smartphone-Apps, die erhobenen Daten an Facebook weitergeben.

Zu den häufigsten geforderten Berechtigungen zählen:

• Zugriff auf Adressbücher,
• Zugriff auf Fotoalben,
• Zugriff auf Standort,
• und weitere Zugriffe auf Nutzerdaten (Mikrofon, Kamera, …)

Zu erwähnen ist, dass jeder EU-Mitgliedsstaat die DSGVO (durch die Eröffnungsklauseln) anders auslegt, aber ein grundsätzlicher „roter Faden“ im Datenschutz existiert. Die gesetzliche Handhabung unterscheidet sich jedoch nach Kontinent und nach dem jeweiligen Land sowie dem entsprechenden Serverstandort des App-Entwickelnden. Allgemein hat sich der Bereich der Datensicherheit rund um die Apps in den letzten Jahren positiv entwickelt – auch weil die App-Stores selbst ihre Anforderungen gesteigert haben. So wird auch der Datenschutz zunehmend von den jeweiligen App-Stores geprüft und eingefordert. Beispielsweise verpflichtet der Google Play Store Entwickelnde zur Einhaltung gewisser Richtlinien im Bereich Datenschutz, Datensicherheit und Verschlüsselung.

 

Haben Sie schon Gesundheits-Apps genutzt? Wie ist oder war Ihre Erfahrung? Haben Sie sich im Vorfeld die Datenschutzerklärung durchgelesen?

Sie haben Fragen zum Thema Datenschutz oder Informationssicherheit? Wir beraten Sie gerne bei der Umsetzung des Datenschutzes in Ihrer Firma.