Datenschutzdebatte um neue Gesundheits-App Vivy
Ein IT-Sicherheitsexperte bezeichnet Vivy als "Datenschutz-Bruchlandung". Der App-Betreiber weist die Vorwürfe zurück, da sie im Grunde fast alle Apps beträfen.
Vivy soll an Impftermine und Vorsorgeuntersuchungen erinnern. Ein Medikamentencheck soll mögliche Wechselwirkungen anzeigen.
(Bild: dpa, Michael Kappeler)
Kurz nach Einführung der Gesundheits-App Vivy von 16 deutschen Krankenkassen, gab es Kritik am Datenschutz bei der Software. So störte sich der IT-Sicherheitsexperte Mike Kuketz an Datenverbindungen der App und urteilte: "Danke nein, dürft ihr behalten." Die Verbindungen werden bereits vor der Registrierung sowie der Zustimmung zu den Datenschutz- und Nutzungsbedingungen aufgebaut: So verschickte die App Geräte- und Nutzungsdaten an US-Unternehmen wie Mixpanel, Crashlytics oder Branch.io. Auch zwei Google-Dienste fielen ihm auf, die in der Datenschutzerklärung nicht genannt werden. "Nach meiner Auffassung wird die Zustimmung viel zu spät eingeholt", schreibt Kuketz.
Kontakt zu US-Diensten sollen Problemen vorbeugen
Die Kritik von Kuketz ist fundamental, da viele Apps diese Analytik-Module von Drittanbietern verwenden. Sören Schönnagel von Vivy weist deshalb im Namen der Firma "die grundsätzliche, pauschale Kritik zurück". Gleichwohl wolle das Unternehmen die App dort verbessern, wo es möglich sei. Schönnagel stellte gegenüber heise online klar: "In den wenigen Fällen, in denen wir mit Anbietern von Analyse-Tools zusammenarbeiten, geht es um technische Informationen wie verwendetes Smartphone Betriebssystem oder Auflösung." Die Nutzung dieser Services diene dazu, feststellen zu können, ob Anwender etwa bei der Registrierung Probleme haben.
Schönnagel: "Ein vollständiger Verzicht auf diese Tools würde einen Verzicht auf Verlässlichkeit und technische Qualität der Vivy App bedeuten." Die Daten würden zudem nur in pseudonymisierter Form verwendet. Als Rechtsgrundlage für die Datenübermittlungen nennt er die von der EU-Kommission verabschiedeten Standardvertragsklauseln. In einem Statement betont das Unternehmen, dass keine Gesundheitsdaten geteilt werden.
Datenschützer plant Kontrolle
Die Berliner Datenschutzbeauftragte, die für die Kontrolle von Vivy zuständig ist, sagte gegenüber heise online, dass für nächste Woche eine Vor-Ort-Kontrolle geplant sei. Zum jetzigen Zeitpunkt könne deshalb keine Aussage über die rechtmäßige Funktionsweise der App getroffen werden. "Unabhängig vom Anbieter empfehlen wir Ärztinnen und Ärzten dringend, sich von der Übertragungssicherheit und der Identität der anfragenden Patienten zu überzeugen, bevor sie Patientendaten an einen solchen Dienstleister übermitteln," sagte eine Sprecherin.
Vivy hingegen verweist darauf, dass bereits während der Konzeption, der Entwicklung und des Launches bewusst der Austausch "mit vielen Institutionen und Aufsichten gesucht" wurde. Man habe "von Anfang An" in Kontakt mit der Berliner Datenschutzaufsichtsbehörde gestanden. Vorschläge der Behörde seien aufgegriffen und umgesetzt worden. Überdies sei die App intensiv von ePrivacy, TÜV Rheinland, ERNW und Blue Frost Security geprüft worden. Martin Reinicke, Sprecher der IKK Südwest, betonte gegenüber heise online darauf, dass die Krankenkasse für die Authentifizierung der Nutzer und die Datenübermittlung die Sicherheitsstandards übernommen habe, die auch von den Banken angewandt werden.
Daten liegen verschlüsselt bei Vivy
Die Krankenkassen sind derzeit von etwaigen Sicherheitslücken oder Datenschutzproblemen bei Vivy nicht betroffen, da es keine Auftragsdatenverarbeitung durch Vivy gibt. Abrechnungsdaten der Krankenkassen werden nämlich von der App gar nicht erfasst. Die verwendeten Daten wie etwa die Röntgenbilder oder der Medikamentenplan werden nur zwischen Patienten und Arzt geteilt, wobei sie verschlüsselt auf einem Backend-Server von Vivy vorgehalten werden. Die Anmeldung der Patienten und Ärzte im System basiert auf einer Zwei-Faktoren-Authentifizierung, Vivy selbst kann die Daten nicht einsehen. Die Datenübermittlungen erfolgen geschützt.
Vivy entwickelte die App im Auftrag von Bitmarck, dem gemeinsamen IT-Dienstleister der Krankenkassen in Deutschland auf Basis eines Ausschreibungsverfahrens. Das Bundesgesundheitsministerium hatte sich im Vorfeld für eine App-Lösung ausgesprochen, die an den Funktionalitäten der elektronischen Gesundheitsakte andockt. Dem Vernehmen nach setzen sich die Krankenkassen derzeit beim Bundesgesundheitsministerium dafür ein, das Genehmigungsverfahren durch die zuständigen Aufsichtsbehörden zu vereinfachen. (mho)
