In den letzten Monaten gab es in Deutschland mehrfach Untersuchungen zu Datenschutz und Datensicherheit von elektronischen Gesundheitsakten auf dem Smartphone. Es sind aber nicht nur die Gesundheitsakten, die ein Datenschutzrisiko darstellen können. Auch bei Symptom-Checkern, Medikationstagebücher oder – auf Seiten der Ärzte und anderer Heilberufler – bei Apps, die professionelle medizinische Informationen zur Verfügung stellen, können schützenswerte Daten anfallen.
Wissenschaftler um Professor Quinn Grundy von der Faculty of Nursing an der University of Toronto haben sich jetzt insgesamt 24 medizinische Apps etwas genauer angesehen, die in englischsprachigen App-Stores gute Bewertungen erhalten und die entweder von Patienten oder von Heilberuflern viel genutzt werden. Es handelte sich ausschließlich um Android Apps, darunter waren unter anderem Ada, Drugs.com Medication Guide, Epocrates Plus, Dosecast Medication Reminder, MediTracker, Medsmart Meds, My PillBox, Nurse’s Drug Handbook, Pedi Safe, UpToDate und viele andere.
Traffic Analyse: Nutzerdaten gehen an 55 verschiedene Dienste
Die Wissenschaftler erstellten Fake Accounts und führten eine so genannte Traffic Analyse durch, bei der sie untersuchten, welche Arten von Nutzerdaten verschlüsselt oder unverschlüsselt von den Apps übertragen wurden und inwieweit Veränderungen von Nutzerdaten zu veränderten Signalen führten, was ein Datenschutzrisiko darstellen kann. Sie wollten auch wissen, wie transparent die jeweiligen Anbieter die Datenweitergabe machten.
Im Detail können die Ergebnisse in einer Online-Datenbank nachgelesen werden. Die Quintessenz ist, dass acht von zehn Apps Nutzerdaten unterschiedlicher Art an insgesamt 55 Dienste übermitteln, die zu 46 Unternehmen gehörten. Die am häufigsten übermittelten Daten waren der Gerätetyp und das Betriebssystem, aber auch das Browsing-Verhalten des Nutzers und die E-Mail-Adresse wurden regelmäßig, von mehr als jeder dritten App, übertragen. Auch Medikationslisten und Geburtstage wurden übermittelt. Sechs von insgesamt 104 Datenübertragungen geschahen unverschlüsselt, und drei von 24 Apps übertrugen mindestens einen Typ von Nutzerdaten in Klartext.
Geschäftsmodell von Third Parties: Analyse gehen Nutzerdaten
Natürlich ist nicht jede Art von Datenübertragung gleich zu werten. Medikations-Apps übermitteln Medikationslisten für Arzneimittelsicherheits-Checks, um nur ein Beispiel zu nennen. Aber es gibt auch andere Nutzungszwecke, und vor allem gibt es problematische vertragliche Konstrukte zwischen den Anbietern der medizinischen Apps und so genannte „Third Parties“.
Das gilt insbesondere für einige Analytik-Tools. Die BMJ-Publikation nennt beispielhaft Flurry Analytics, eine Yahoo-Tochter, die nützliche Analyse-Tools für App-Entwickler zur Verfügung stellt. Im Austausch müssen die Entwickler aber selbst etwas zur Verfügung stellen, nämlich „the right for any purpose, to collect, retain, use, and publish in an aggregate manner … characteristics and activities of end users of your application”.
Aggregatoren am Ende der Nahrungskette: Die üblichen Verdächtigen
Die „Third Parties“ könnten zumindest potenziell auch als Aggregatoren von Nutzerdaten in Erscheinung treten, da sie mit unterschiedlichen medizinischen Apps Daten austauschen. Im Fall von Flurry könnte eine solche Zusammenführung, so die Wissenschaftler, über die Android ID erfolgen, die es erlaubt, quasi ein pseudonymisiertes Nutzerprofil über unterschiedliche Apps und Anwendungen hinweg zu generieren – zum Beispiel für Werbezwecke.
Das „Aggregatorenpotenzial“ wird natürlich umso größer, je mehr Kunden ein Unternehmen hat und je mehr Subunternehmen dieses Unternehmens Teil des mobilen Ökosystem sind. Um das zu quantifizieren, haben die kanadischen Wissenschaftler eine so genannte Network-Analyse unternommen. Diese Art der Analyse zeigt wenig überraschend, dass es als so genannte „Fourth Parties“ große Plattformunternehmen sind, bei denen viele Informationen potenziell zusammenlaufen. Ganz vorne standen als potenzielle Datenempfänger Alphabet und Facebook.
Am Beispiel von Alphabet wird das in der Publikation ein wenig ausgeführt: Es ist der Mutterkonzern von Google sowie des Datenintegrators Mixpanel. Google wiederum besitzt die Dienste Crashlytics und Google Analytics, die, wie auch Mixpanel, im mHealth-Ökosystem der untersuchten 24 Apps die Rolle von „Third Parties“ haben.
Ein hypothetischer ärztlicher Nutzer der in der UpToDate App nach „Rosacea“ sucht, würde seinen Nicknamen, sein Betriebssystem und seine Android ID an den Dienst Crashlytics übermitteln, der Teil von Alphabet ist. Schlägt er in einer anderen App – „Pill Identifier and Drug List“ – nach, landen entsprechende Informationen über Google Analytics bei Alphabet, und wird noch eine digitale Medikationsliste mit Reminder-Funktion genutzt, dann sind auch wichtige Mobilfunkdaten potenziell aggregierbar. Diese Informationen lassen sich dann über Android ID und/oder persönliche Telefonnummer mit anderen Smartphone-Nutzerdaten zu einem ziemlich umfangreichen Profil verknüpfen, das unter anderem auch medizinische Informationen enthält.
Hauptproblem: Mangelnde Transparenz
Die Autoren betonen abschließend, dass das Datensammeln zu kommerziellen Zwecken nicht illegal sei. Hauptproblem ist aus ihrer Sicht, dass es den meisten Apps an Transparenz mangele, sodass sich Nutzer gar nicht wirklich vorstellen könnten, was mit ihren Daten passiert und wozu sie verwendet werden. Zusätzlich mache der Einsatz von Trackern und Analyse-Tools die Medical Apps zumindest potenziell angreifbarer. Die Autoren sehen also nicht nur Datenschutzprobleme, sondern auch ein Datensicherheitsrisiko.
Weitere Informationen:
Datenbank der Untersuchung: https://healthprivacy.info/
Originalpublikation der Studie: https://www.bmj.com/content/364/bmj.l920