Nur wenige Tage nach dem Launch wird die Vivy-Gesundheitsakte von einem Security-Experten scharf kritisiert. Grund ist der Einsatz von Trackern und Analysemodulen.
Die Krankenkassen haben ihr Engagement für elektronische Gesundheitsakten bisher oft auch damit begründet, dass die Patientendaten im deutschen Gesundheitswesen bleiben sollen und nicht einfach großen IT-Konzernen aus Übersee das Feld überlassen werden sollte. Und tatsächlich arbeiten die großen Kassenaktenprojekte von AOK über Techniker bis Allianz/Bitmarck relativ konsequent mit Ende-zu-Ende-verschlüsselter Übertragung der medizinischen Daten und lassen Letztere im Land.
Tracker wurden in der Datenschutzerklärung nicht erwähnt
Im Fall der Vivy-Akte und der TK-Safe-Akte der Techniker Krankenkasse liegen die medizinischen Patientendaten in Rechenzentren in Frankfurt am Main, und nur der Patient selbst kann sie mit seinem persönlichen Schlüssel zugänglich machen. Dass eine Gesundheitsakte mehr ist als die reine Speicherung der im engeren Sinne medizinischen Daten, zeigt jetzt die auf den IT-Sicherheitsexperten Mike Kuketz zurückgehende und durch eine Veröffentlichung bei Spiegel Online bekanntgewordene Datenschutzkritik an der Vivy-Akte.
Kuketz arbeitet freiberuflich im Bereich IT-Security als Sicherheitstester. Seine Vivy-Kritik hat er sehr detailliert und sachlich in mehreren Blog-Einträgen publiziert. Im Kern wirft er der Akte einen laxen Umgang mit dem europäischen Datenschutzrecht vor. Unter anderem würden bereits bevor der künftige Nutzer die Datenschutzerklärung überhaupt akzeptiert hat Daten an Tracker und Analyse-Tools verschickt, die außerhalb des Geltungsbereichs der Europäischen Datenschutzgrundverordnung agierten. Ein weiterer Vorwurf lautet, dass die eingesetzten Tools – darunter MixPanel, Branch.io, Crashlytics und Google FCM – in der Datenschutzerklärung nicht separat erwähnt würden.
Insbesondere MixPanel ist ein Tool, das im Zusammenhang mit Gesundheitsdaten auch in der Vergangenheit schon von sich reden gemacht hat. Kuketz hatte Ende 2017 in einem Blogeintrag die Übermittlung personenbezogener Daten – E-Mail-Adresse, Vor- und Nachname, Diabetes-Typ, Art der Therapie und anderes – durch die zu diesem Zeitpunkt schon zu Roche gehörende Diabetes-App mySugr an MixPanel kritisiert. Das hatte ihm prompt Anwaltspost des Unternehmens mySugr/Roche wegen angeblicher Rufschädigung eingebracht. Der Fall ist online unter anderem auf Kuketz‘ Blog und auf der Webseite des Onlinemagazins Mobilsicher.de gut dokumentiert.
Vivy reagiert auf die Kritik
Das Unternehmen Vivy hat in Reaktion auf die kritische Berichterstattung betont, dass es seine App unter anderem durch ePrivacy, den TÜV Rheinland, ENRW und Blue Frost habe prüfen lassen. Auch auf die breite öffentliche Kritik geht das Unternehmen ein: „Eure Kritik haben wir gehört und setzen diese bereits in konkrete Maßnahmen um“, heißt es an die Adresse der User auf der Homepage.
Heise.de berichtete unterdessen, dass die Datenschutzerklärung am Montag aktualisiert worden sei und jetzt die Tracker MixPanel und Cashlytics aufführe, außerdem die Information, dass die Ende-zu-Ende-verschlüsselten medizinischen Daten auf Servern von Amazon Web Services in Frankfurt lägen und dass die Zwei-Faktor-Authentifizierung per SMS über das kalifornische Unternehmen Twilio erfolge. Die Tracker von Branch.io und Google seien „anscheinend abgeschaltet“ worden, so Heise.de.
Weitere Informationen:
Kuketz‘ Blog: Gesundheits-App Vivy: Datenschutz-Bruchlandung https://www.kuketz-blog.de/gesundheits-app-vivy-datenschutz-bruchlandung/
Kuketz‘ Blog: Gesundheits-App Vivy: Erläuterung der Kritik https://www.kuketz-blog.de/gesundheits-app-vivy-erlaeuterung-der-kritik/
Philipp Grätzel