Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy

Mit der gerade gestarteten Gesundheits-App Vivy sollen rund 13,5 Millionen Krankenversicherte ihre Gesundheitsdaten verwalten. Aktuell kann man aber nur ‘Finger weg’ raten, den datenschutzmäßig (und vom Konzept) erweist sich die ganze Sache als GAU – oder bei sehr wohlwollender Betrachtung, sehr als sehr wackelig und mit vielen Fragezeichen zu versehen.


Anzeige

Worum geht es bei der Gesundheits-App Vivy?

Seit letzten Montag steht die Gesundheits-App Vivy bereit, um Mitgliedern mehrerer deutscher Krankenkassen die Verwaltung ihrer Gesundheitsdaten über dieses Portal zu ermöglichen.

Gesundheits-App Vivy
(Zum Vergrößern auf das Bild klicken)

Die Gesundheits-App Vivy ist im Apple iTunes Store (ab iOS 11.0) und bei Google Play (ab Android 6.0) verfügbar. Angeboten wird die App gratis, einmal von der Uvita GmbH (iTunes) und der Vivy GmbH (Play Store). Laut App-Beschreibung ist:

Vivy ist eine offene Plattform für Versicherungen. Die folgenden Versicherungen sind bereits in Vivy: Allianz, Barmenia, DAK-Gesundheit, IKK classic, IKK Nord, IKK Südwest sowie BKK Bertelsmann, BKK Diakonie, BKK Dürkopp Adler, BKK Gildemeister, Heimat Krankenkasse, HMR (Herford, Minden, Ravensberg), BKK Melitta Plus, mhplus, BKK Pronova, BKK Stadt Augsburg.

Klingt erst einmal gut, sind ja namhafte Krankenversicherer dabei (nur bei Alianz und Barmenia habe ich gezuckt) – und Vivy soll als Gesundheits-App eine persönlicher Assistentin sein. Einfach, sicher, selbstbestimmt. So der Werbesprech der App-Beschreibung. Und dann geht es in der App-Beschreibung weiter:

Vivy unterstützt dich dabei deine medizinischen Daten zu bekommen, zu verstehen und zu nutzen. Mit der App hast du all diese Daten immer dabei – ob beim Umzug, auf Reisen oder beim Arztwechsel.

Wir sind überzeugt: Ein gesünderes Leben ist ein glücklicheres Leben. Vivy ist das tägliche Werkzeug, um dir eine bestmögliche Gesundheit zu ermöglichen.

Etwas störend ist die persönliche Ansprache mit Du, wodurch die Zielrichtung klar ist: Zielgruppe für die App sind unkritische Jugendliche, die zwischen Instagram und WhatsApp schnell noch die neueste Röntgenaufnahme checken müssen, sonst aber wenig Erfahrung mit ‘der Welt da draußen’ haben.

Das Versprechen: Sicherheit steht für uns an erster Stelle

In der App-Beschreibung heißt es: Vivy wurde mehrfach geprüft (z.B. TÜV) und als absolut sicher ausgezeichnet. Eine Ende-zu-Ende Verschlüsselung sorgt für einen sicheren, anonymen Datenaustausch. Höchste Anforderungen der schon hohen Datenschutzverordnung werden von Vivy erfüllt.

Wer aber einen Blick in die Seite Datenschutz der Vivy GmbH wirft, dem dürften sich die Fußnägel hochrollen.

  • Unter § 3 lässt man sich den Zugriff auf den Standort, das Mikrofon und die Kamera abnicken.
  • In § 4 wird der Nutzer informiert, dass Vivy Cookies nutzt, Web-Analysen durchführt und für die Vernetzung und den Komfort des Nutzers soziale Netzwerke und Kommunikationsmöglichkeiten einbindet.

Anzeige

Google Analytics ist genau so abgesegnet wie eine Konversionsmessung mit dem Besucheraktions-Pixel von Facebook. Und alles für ggf. gespeicherte sensitive medizinische Daten? Geht’s noch? Wer sich den Text durchliest (macht aber keiner), für den ist an dem Punkt mit Vivy Schluss.

Zweiter Punkt: Das Stichwort TÜV suggeriert erst einmal Seriösität, sagt aber unter dem Strich erst einmal gar nichts aus! Denn es wird nicht offen gelegt, was der TÜV überprüft hat. Mir ist beim Stichwort TÜV erst einmal mein Artikel Schwachstellen in IT-Sicherheitsprodukten mit BSI-Freigabe? durch den Kopf geschossen, der bei mir die Erkenntnis ‘Namen sind erst einmal Schall und Rauch – bei Bedarf wirst Du selbst genauer hin schauen müssen’ verankert hat.

Vivy muss Du nutzen, komm schon

Der Köder, der aus ‘Digitaliens Verantwortungslosigkeit’ ausgeworfen wird: Alle medizinischen Dokumente an einem Ort.

Mit Vivy kannst du Dokumente (Befunde, Laborwerte, Röntgenbilder, …) von deinem Arzt, Labor oder Krankenhaus digital anfragen und jederzeit auf deinem Telefon verwalten, unabhängig von Öffnungszeiten oder Sprechstunden. Außerdem kannst du deine Daten selbstbestimmt und sicher teilen und so von einer besseren Behandlung profitieren.
Deine Notfalldaten für den Ernstfall.

Du kannst auswählen, welche deiner medizinischen Daten (Blutgruppe, Allergien, Medikation, etc.) für den Notfall hinterlegt sind. Notärzte können im Ernstfall auf diese Daten zugreifen und richtig reagieren.

Dein Digitaler Impfpass.

Mit Vivy hast du deinen Impfpass immer dabei. Zudem klärt dich Vivy über relevante Impfungen auf und erinnert dich rechtzeitig daran, Impfungen zu erneuern.

Dein Medikationsplan immer dabei.

Du hast die Möglichkeit, deinen Medikationsplan zu scannen oder Medikamente manuell einzutragen. Vivy informiert dich über mögliche Wechselwirkungen und erinnert dich bei Bedarf an die Medikamenteneinnahme.

Klingt gut, ist gut und für den modernen Menschen unverzichtbar? Unverständlich, wie Generationen von Patienten ohne so etwas viele Jahre überlebt und ihre Medikamente eingenommen haben. Wer mag das Denken einschalten?

Kleiner Zwischenruf

Kein Notarzt, der alle fünf Sinne beisammen hat, wird im Ernstfall auf irgendwelche Handydaten zugreifen, sondern sein eingeübtes Notfallprogramm für den Rettungseinsatz abspulen. Im Zweifelsfall verlässt er sich auf die Daten, die die medizinische Ausrüstung ihm vor Ort zur Verfügung stellt – nicht aber auf Daten irgend einer App, die zufällig auf dem Handy eines Notfalls zu finden sind. Erster Fall von Dummenfang.

Kann man weiterführen – für Wechselwirkungen bei der Medikamenteneinnahme sind Arzt und Apotheker zuständig, und keine App, die als Black-Box agiert. Abseits dessen: Wie viele Patienten sind in der Lage, so etwas wie Wechselwirkungen sauber zu analysieren und Nutzen gegen Risiken abzuwägen? Setzen wir einen Beta-Blocker ab, nur weil die App Nebenwirkungen mit einem Blutverdünner auswirft, oder eher umgekehrt?

Der aktuelle Fall der Verunreinigungen beim Blutdrucksenker Valsartan zeigt, wie diffizil Risikobewertungen und -abwägungen sein können. Bezüglich Impfungen: In meinem Impfbuch sind Chargennummern der Seren, Datum, Stempel und Unterschrift der Arztpraxis enthalten. Das nimmt mir eine App nicht ab, bestenfalls fotografiere ich die Seite des Impfbuchs.

Erinnerungen an Impfungen? Mein Arzt (oder das Personal der Sprechstunde) prüft das per Impfbuch und beantwortet ggf. auch Fragen, ob diese oder jene Impfung Sinn macht. Zur Kontrolle und Erinnerung der Medikamenteneinnahme ist immer noch der betreffende Medikamentenspender (Tablettenbox) mit Wochentagen eine einfache und sichere Variante.

So ist die App-Beschreibung (in meinen Augen) eine Auflistung an Funktionen, von denen man glaubt, dass sie ‘die Sinnhaftigkeit des Ganzen’ belegt. Es gibt zwar einige Sachen, die (selbst für mich kritischen Geist) sinnvoll klingen, aber so wirklich Substanz a la ‘haben muss’ kann ich trotzdem nicht erkennen. Weitergehende Fragen hat jemand in diesem Kommentar aufgeworfen, muss ich also hier nicht wiederholen.

Meine ersten Gedanken …

Als ich die Meldung zum Start der Gesundheits-App bei heise.de las, schoss mir sofort der Gedanke ‘sind die noch zu retten’ durch den Kopf. Fast täglich kommen mir Meldungen über geleakte Gesundheitsdaten (meist aus den USA und Asien) unter die Augen (ich blogge nur über einen Bruchteil der Vorfälle). Und dann wollen die ‘Verantwortlichen’, dass die Leute ihre sensiblen Gesundheitsdaten per App auf einem so ‘sicheren’ Gerät wie einem Android-Smartphone speichern, welches über Jahre keine Updates bekommt? Und alles mit Facebook Tracking?

Bereits bei Lösungen wie Banking-Apps (speziell das Angebot der N26-Bank ist mir als Negativbeispiel in Erinnerung hängen geblieben) oder Google Pay auf Smartphones konnte ich über soviel sicherheitstechnische Sorglosigkeit nur den Kopf schütteln. Denn wie läuft es denn: Irgend ein Entwickler bekommt den Auftrag, eine App zu entwickeln. Der greift sich einige Frameworks (Hilfskomponenten) und ein Werkzeug (Tool), um die App zusammen zu bauen. Ob die verwendeten Frameworks und Komponenten Sicherheitslücken haben, ob aktuelle Versionen dieser Komponenten eingesetzt werden, ob diese über die Jahre mit (Sicherheits-)Updates versorgt werden und ob diese Updates auch den Weg in die App finden, etc., interessiert nicht. Der Doofe, wenn etwas schief geht, ist halt immer der Benutzer.

Täglich kommen mir aus Kreisen diverser Sicherheitsforscher haarsträubende Sachen unter die Augen. Ich habe daher den heise.de-Beitrag hier beim Schreiben dieses Artikels mit etwas ungläubigem Staunen gelesen – hätte dran gestanden ‘DPA-Meldung auf Basis der Vivi Pressemitteilung’, wäre das ok gewesen. Gut Tageschau & Co. haben die Meldung über die schöne neue Welt auch unkritisch raus geblasen.

Aber dann stieß ich auf diesen heise-Artikel: Gründer Christian Rebernik, zuvor CTO bei der Banking-App N26, hat sich mit der Allianz (Versicherung) zusammengetan und weitere 80 Krankenkassen und -versicherungen sowie den IT-Dienstleister der Krankenkassen, Bitmarck, mit ins Boot geholt. Schon fiel ein Puzzleteil ins Bild, was ich schon (ohne die im vorherigen Satz genannten Details zu kennen) geahnt hatte. Der Kommentar hier drückt meine Gedanken zurückhaltend aus – mir schoss nur ‘Verantwortungslosigkeit aus Digitalien?’ durch den Kopf. Auch und gerade weil interessierte Kreise die Zurückhaltung bei Verwendung von digitalem Payment, Datastores usw. auf Mobilgeräten als ‘old school’ brandmarken.

Nachrecheriert und Kleingedrucktes mal gelesen

Nachtrag: Gestört hat mich (siehe Text in den vorhergehenden Absätzen), dass bei den beiden Apps für Android und iOS zwei unterschiedliche Anbieter in den Stores von Apple und Google genannt wurden. Also habe ich etwas recherchiert. Laut dieser Seite ist die Uvita GmbH in Vivy GmbH umbenannt worden. Der Widerspruch hat sich aufgelöst, da wurde also gegründet und dann umbenannt – warum das bis zum 21. September 2018 in iTunes nicht nachgezogen wurde, bleibt mir schleierhaft. Gut kann schon mal passieren – aber im medizinischem Umfeld erwarte ich eigentlich, dass da penibel auf so etwas geachtet wird.

Noch was: Es geht um Gesundheitsdaten, verwaltet von einem privaten Unternehmen, unter der Flagge ‘wir machen es euch einfach’. Da gilt für mich: Folge der Spur des Geldes. Laut diesem Artikel ist der Hauptgesellschafter der Münchner Versicherungskonzern Allianz. Die Vivy GmbH hat eine Ausschreibung des Krankenkassen-Bündnisses gegen andere Health-Entwickler gewonnen. Da ist nichts gegen zu sagen, wirft aber Fragen auf.

Zum Beispiel: Wer bezahlt die ‘Musik’? Interessant ist da die Vivy-Seite mit den Versicherungspartnern. Dort heißt es sinngemäß: ‘Alle Personen, die bei den folgenden (Kranken-)Versicherungen krankenversichert sind, können Vivy exklusiv und kostenlos nutzen.’ Und in den Nutzungsbedingungen gibt es weitere Einschränkungen. Zitat:

‘Der Zugriff auf darüber hinausgehende Services sowie die genaue Ausgestaltung der Vivy App ist abhängig von:

  • der erfolgten Identifizierung des Nutzers
  • der Tatsache, ob die Krankenkasse/Krankenversicherung des Nutzers eine Partnerschaft mit der Vivy GmbH abgeschlossen hat und die Kosten für den Nutzer trägt
  • der Tatsache, ob der Nutzer die Kosten für Vivy selbst trägt

Vivy behält sich vor den Leistungsumfang der Vivy App auf Basis der oben beschriebenen Faktoren anzupassen.

Nur mal festgehalten: Da zahlen also u. a. gesetzliche Krankenkassen mit dem Geld der Versicherten für etwas, dessen Nutzen und Handhabbarkeit, zurückhaltend ausgedrückt, mit einem Fragezeichen zu versehen ist. Wenn Privatversicherungen meinen, das machen zu müssen, ist das deren Bier. Aber es kommt noch besser. In den Vivy-Nutzungsbedingungen findet sich fett folgender Hinweis:

Vivy unterstützt nur die digitale Infrastruktur und Kommunikation des Nutzers im Rahmen seiner Aufklärung, Selbsthilfe und Datenmedizin. Vivy bietet ausdrücklich keine eigenen medizinischen Leistungen, Diagnosen oder Therapien an. Die Nutzung von Vivy kann einen traditionellen Arztbesuch nicht ersetzen.

Dort wird also relativiert und ausgeschlossen – nix mehr mit den tollen Versprechungen in den App-Beschreibungen. Bis hierhin habe ich noch nichts in Sachen Sicherheit geschrieben und musste leider schon viele dicke Fragezeichen aufwerfen. Im Kommentar hier wirft jemand weitere, berechtigte Fragen nach der Zielgruppe der App/Leistung auf. Jemand, der bis zu diesem Punkt vorgedrungen ist, dürfte bezüglich Vivy, sofern er noch Herr seiner Sinne ist, schon ein deutliches ‘nicht mit mir’ aussprechen.

Mike Kuketz: Datenschutz-Bruchlandung

Mir fehlt die Zeit, die App einem Test zu unterziehen. Aber Mike Kuketz, der sich beruflich mit Sicherheitsthemen befasst, hat die App für einige Nutzer kurz unter die Lupe genommen und meine größten Befürchtungen in seinem Blog bestätigt. Zitat:

[1] Unmittelbar nach dem Start der App kontaktiert die App die Analysefirma Mixpanel (Firmensitz San Francisco, USA), die schon mehrfach negativ aufgefallen ist. Unter anderem werden folgende Informationen übermittelt [*.mixpanel.com]:

  • Android-Versionsnummer: 7.1.2
  • Hersteller und Modell: Xiaomi | Redmi Note 4
  • Ob die Google Play Services installiert sind
  • Displayauflösung: 1920×1080
  • App-Versionsnummer: 1.16
  • Ob ein NFC-Chip verbaut ist
  • Ob WiFi / Bluetooth verfügbar ist
  • Welcher Mobilfunkanbieter (Vodafone)
  • distinct_id=0472049e-5be2-41a3-8925-5eeeb4ee37d9
  • […]

[2] Weiterhin wird der Analysedienst Crashlytics (Firmensitz Boston, USA – gehört zu Google) mit folgenden Daten beliefert [*.crashlytics.com]:

[3] Als weiterer App-Tracker wird Branch.io (Firmensitz Redwood City, USA) eingesetzt, an den unter anderem folgende Daten übermittelt werden [api.branch.io]:

4] Auch der Google-Tracker »app-measurement.com« fehlt nicht, der den Google-Cloud-Messaging (GCM) Nachfolger Firebase-Cloud-Messaging (FCM) standardmäßig mit Daten beliefert, sofern die Entwickler dies nicht aktiv deaktivieren [app-measurement.com]:

[5] Schließlich registriert sich die App noch am GCM- / FCM-Dienst von Google, um Push-Benachrichtigungen zu erhalten:

Bis zu dieser Stelle hatte Kuketz mit der App noch nicht einmal interagiert. Dann geht es weiter im Text, man muss seine Daten eingeben, die dann an die Krankenkasse gehen. Genau so gut kann man auch die Daten offen auf eine Webseite stellen – da braucht man wenigstens keine E-Mail oder Handy-Nummer anzugeben. Datenschutzmäßig ist sowohl die App als das ganze Konzept ein GAU und für meinen Geschmack unprofessionell (zumindest bezogen auf einen so sensitiven Bereich wie persönliche Gesundheitsdaten) umgesetzt. Kuketz verlinkt in seinen Artikeln auch Beispiele, die belegen, dass Daten niemals anonym sind und die Identifikation des Individuums oft leicht möglicht ist. Da ist es dann auch nicht relevant, dass es nach Ansicht der Vivy GmbH ‘alle Apps so machen’.

Wir Bremser und Bedenkenträger?

Diese obigen Positionen werden nicht jedem so gefallen. Aufschlussreich ist aus diesem Blickwinkel dieser Artikel von Mike Kuketz, der auf Leserkommentare zu seinem Artikel eingeht, sowie dieser Text. Da sind sie wieder, die Stimmen, die uns Warner als Bedenkenträger und ewig Gestrige hinstellen, die jeglichen Fortschritt blockieren. Aber wenn in einem Leak plötzlich Millionen sehr intimer Daten öffentlich werden, ist das Geschrei groß. Haben wirklich alle den Hut mit dem Kopf zum Denken an der Garderobe oder beim Facebook-Login abgegeben?

Meine 2 Cents

Ich bin mir durchaus bewusst, dass ich mit dem Beitrag hier spalte. Klar, es ist eine faszinierende Vorstellung: Da greift ein ‘junger Gründer’ eine Idee auf und zeigt den schnarchnasigen Krankenkassenfunktionären, wie Gesundheit 4.0 geht. Eine App und eines der allgegenwärtigen Smartphones und wir sind in Digitalien angekommen. Leider zu schön, um wahr zu sein – und dumm, dass das erkennbar nicht funktioniert.

Bereits bei der Banking-App der N26-Bank ist man sicherheitstechnisch voll auf den Bauch gefallen. Und nun stehen wir mit der Vivy-App vor dem nächsten Schlamassel. Es wird in interessierten Kreisen zwar gerne ‘immer diese Bedenkenträger, wir müssen auch mal was ausprobieren’ kolportiert. Geschenkt, bin ich dabei, mache ich als Freiberufler seit 25 Jahren so gut wie jeden Tag. Aber bitte kein Ausprobieren mit meinen Gesundheitsdaten, meinen Bankdaten, meinen Steuerdaten und anderen essentiellen Sachen. Da möchte ich wissen, was mit den Daten passiert und das diese valide sowie sicher sind. Zum Stichwort Steuerdaten in Kombination mit einer ‘Wir-machen-alles-Einfach’-App: Für interessierte Leser geht’s hier weiter, zu einem brandaktuellen Fall. Wer garantiert mir, dass Vivy das besser macht?

In vielen Bereichen muss ich auch darauf bauen können, dass diese Daten in zwei, fünf oder 10 Jahren noch greifbar und sicher gespeichert sind. Da gilt dann am Ende des Tages oft die Erkenntnis: ‘weniger ist mehr’.

Nehmen wir mal an, dass die oben angerissenen Datenschutzaspekte und Sicherheitsbedenken ausgeräumt werden (aktuell ist mein Eindruck, dass die Verantwortlichen momentan eher auf Abwiegeln setzen – bei heise.de gibt es inzwischen diesen flauen Beitrag zum Thema). Es bleiben die Grundprobleme ungelöst. Keiner der Verantwortlichen von Seiten der Entwickler oder der teilnehmenden Krankenkassen hat sich offenbar intensiver mit dem Thema IT-Sicherheit befasst.

  • Wie ist denn der Stand bezüglich Sicherheitsaktualisierungen des typischen Android-Smartphones? Und wir haben noch nie was von Trojanern oder Keyloggern auf Mobilgeräten, die Daten abgreifen, gehört?
  • Wie lange werden die in der Vivy-App verwendeten Fremdkomponenten (Stichwort: Frameworks/Bibliotheken) mit Sicherheitsupdates versorgt und finden diese Aktualisierungen Eingang in die App?

Die Lebensdauer typischer Apps und der unterlagerten Mobilgeräte-Betriebssysteme bewegt sich im Bereich von 1 – 2 Jahren. Das typische Smartphone erweist sich, abhängig von den installierten Apps, als Sicherheitsrisiko par Excellence. Auch die von der Vivy GmbH vorgehaltene Infrastruktur mit Servern, wo die Daten angeblich verschlüsselt abgelegt werden, ist schlicht eine Black-Box. Keiner kann sagen, ob das sicherheitstechnisch auf einer soliden Softwarebasis steht oder offen wie ein Scheunentor ist. Ein unabhängiges und nachvollziehbares Audit ist mir jedenfalls unbekannt. Die aktuellen Geschehnisse zum besonderen elektronischen Anwaltspostfach (beA) lassen bei mir keinen Raum für Optimismus, dass es bei Vivy besser um Sicherheit steht.

Ich komme ja ursprünglich aus dem Handwerk. Ein Maler soll die Decke streichen, stellt aber fest, dass die Leiter ein oder zwei Meter zu kurz ist. Kein normal denkender Mensch käme auf die Idee, sich aus zufällig herum liegenden, leeren Apfelsinenkisten ein wackeliges Podest zu bauen, ein Brett drüber zu legen und dann die Leiter drauf zu stellen. Denn da ahnt jeder, der Absturz ist vorprogrammiert, und lediglich eine Frage der Zeit. Warum um Himmels willen meint man für kritische Funktionen aber genau auf ein solches wackelige ‘Podest’, in Form von Mobilgeräten zurückgreifen zu können? Da hilft es auch nicht mehr, wenn die Leiter ein TÜV-Prüfsiegel hat.

Auf den Punkt gebracht: Gesundheitsdaten sind extrem sensitiv und begleiten uns oft über Jahrzehnte. Ich soll diese auf einem Server einer Vivy GmbH speichern sowie per App verwalten, wenn ich nicht mal weiß, ob es das Ganze in 3 Jahren noch gibt oder halbwegs sicher ist? Mein Arzt soll dann sorglos auf diese Black-Box zugreifen, ohne die Validität der Daten zu kennen? Sorry, so wird das nix. Gesundheits- wie Bankdaten haben nichts auf einem Mobilgerät verloren! Ein größerer Datenskandal in diesem Bereich, möglicherweise noch mit Schadensersatzforderungen, dann wird die Infrastruktur samt den beteiligten Firmen schnell dicht gemacht. Je länger ich darüber nachdenke, umso unausgegorener stellt sich mir der Sachverhalt mit Vivy dar.

Es klang alles so schön. Aber aus dem hier skizzierten Blickwinkel kann man (da schließe ich mich Mike Kuketz an) nur von der Verwendung der App Vivy (samt Infrastruktur) abraten – auch wenn alles unter dem Mäntelchen ‘ist von den Krankenkassen’ daherkommt – es steckt eine Privatfirma als Betreiber dahinter. Wenn man eines Beispiels bedurft hätte, um mich als ewigen Bedenkenträger zu bestätigen: Das wurde gerade geliefert. Oder wie seht ihr das so?

Ähnliche Artikel:
Sicherheit: Possen um das Anwaltspostfach beA
beA: Auch Rechtsanwaltsregister abgeschaltet
Risiko: Alten beA-Client sofort deinstallieren
beA-Debakel führt zu möglichem Trojaner-Befall
GAU: US Wirtschaftsauskunftei Equifax gehackt
Untersuchungsbericht zum Equifax-Hack
Singapurs größter Gesundheitskonzern gehackt
Datenleck: Old-School-‘Hack’ für Gesundheitskarte
Gesundheitsdaten ziehen Kriminelle besonders an
Gesundheitswesen besonders anfällig für Hacker-Angriffe
Heartbleed-Lücke zum Klau der Gesundheitsdaten genutzt
Die Apple Watch 4, die EKG-Funktion und die FDA-Freigabe
Hacker infizieren Medizintechnik (CT, Röngen etc.)
App-Armaggedon: Sicherheit und Datenschutz miserabel
Vorsicht vor App-TANs beim Online-Banking
Trojaner Catelites Bot bedroht Online-Banking-Nutzer


Anzeige


Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit App, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Datenschutz-GAU: Finger weg von der Gesundheits-App Vivy


  1. Anzeige
  2. Blupp sagt:

    Gleich die ersten beiden Sätze bei Heise zeigen wo es lang geht und lassen jedem Juristen die Fußnägel hochrollen.
    Glaubt der Betreiber der App tatsächlich, dass Unrecht zu Recht wird wenn es nur genug machen, weil es ja sonst fast alle Apps beträfe? Da fehlen mir echt die Worte. Wie krank muss man eigentlich sein um solchen Unfug zu labern?

    • Blupp_blupp sagt:

      Es betrifft nicht alle Apps! Dafür sind die Anforderungen für Krankenkassen zu hoch. Die Betreiber von vivy kennen sich im Markt entweder nicht aus oder haben sich darüber wissentlich hinweggesetzt, dass diese Herangehensweise tabu ist. Sie haben es unter Garantie auch gewusst, weil der TÜV die App geprüft hat. Das läuft eigentlich genau so ab, wie Mike Kuketz es gemacht hat. Der Quellcode wird unter die Lupe genommen und eigentlich auch die Datenschutzbestimmungen. Wenn z.B. Crashlytics entdeckt wird, gibt es eine Warnung an den Betreiber. Das Siegel gibt es trotzdem, weil es eben nur eine Warnung ist. Jetzt kommt das gefährliche Halbwissen der Betreiber dazu. Die sind Start Up Leute und für die ist das vollkommen normal, dass diese Analysetools eingesetzt wird. ABER nicht in der Welt der Krankenversicherung! Sie hätten es entfernen müssen oder besser in den Datenschutzbestimmungen aufklären müssen. Jetzt stehen sie vor einem Scherbenhaufen. Schade.

  3. Uwe sagt:

    Unfähigkeit oder strafbare Handlung!? Naja, ich nutze so etwas und FB und WA eh nicht. Bin noch echt altmodisch mit Impfausweis … Uwe

  4. Anzeige

  5. Bürger Schreck sagt:

    Herr Gesundheitsminister Spahn nutzen Sie bereits diese hervorragende Datenschutzkrake, die Ihre Daten in die NSA sendet ?
    Teilen Sie uns, dem Bürger doch einfach Ihre Erfahrungen mit !

    mit freundlichen Gruß
    Bürger Schreck

  6. Al CiD sagt:

    Der größte Schlamassel ist, wie gesagt, dass so etwas auch noch von offizieller Stelle, seien es die Krankenkassen, Ärzteverband oder halt eben auch Tagesschau/Heute und nicht zuletzt wohl auch aus der Politik aktiv beworben wird…

    Frau Merkel geht da ja konform, also her damit: “… denn das sind die Rohstoffe des 21. Jahrhunderts: die Daten. Und in der Tat tut sich Deutschland an manchen Stellen noch schwerer als andere Länder, diese Daten auszuwerten.” (Rede zur Cebit 2016)

    Wie sieht es da eigentlich mit der DSGVO aus? Eigentlich müsste ja jede Klage von Erfolg gekrönt sein.

  7. Datenpanne sagt:

    Schwer zu glauben, dass es sich hier um einen »Skandal« handelt, weil ein »Sicherheitsexperte« (wie wird man das?) etwas »aufgedeckt« hat. Solange solche Aktivitäten durch Gesetze wie die DSGVO gedeckt sind, ist das in Ordnung. Für den Rest gibt es Gerichte und keine Schlammschlachten. Das einzige, was ich hier sehe, ist ein Herr Kuketz, der durch mediale Aufmerksamkeit sein Traum des autarken Lebens durch Geldsammeln von Lesern umsetzen will.

    Btw: Der große Widerspruch ist hier, dass Herr Kuketz stets Android-Apps wie Drittstore F-Droid bedenkenlos empfiehlt, obwohl Fails wie die aktuelle SET-Panne und Aussagen der Entwickler, Sicherheit steht nicht an erster Stelle, einen stark grübeln lassen!

    • Günter Born sagt:

      Nun ja, die Sichtweise muss ich Ihnen zugestehen – Mike Kuketz aber bestimmte Absichten zu unterstellen, empfinde ich als unlauter (oder haben Sie andere Informationen Beweise). Kuketz weist auf einen technischen Sachverhalt hin, den man bestätigen oder widerlegen – und ggf. vom Hersteller beseitigen kann.

      Das ändert aber nichts an der prinzipiellen Problematik, die sich jeder selbst beantworten muss: Gebe ich meine sensiblen (Gesundheits-)Daten auf einem unsicheren Mobilgerät in Apps mit Black-Box-Funktion ein, oder mache ich einen weiten Bogen darum.

      Kuketz und meine Wenigkeit weisen darauf hin, dass ein vernünftiger Mensch dies im aktuellen Fall tunlichst vermeiden soll – und begründen das auch. Sie werfen DSGVO und vorgebliche Motive von Mike Kuketz in die Debatte, was aber wenig bringt.

      Nur mal so: Bei Vivy wird auf der Webseite explizit mit den strengen Regeln der DDGVO und einer TÜV-Prüfung der Sicherheit geworben. Einfach mal z.B. Artikel 6 der DSGVO anschauen:

      Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung

      1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

      • Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
      • die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
      • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
      • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
      • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
      • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

      2. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

      Gehe ich die obigen Punkte durch, und gleiche die Tracking-Geschichten der Vivy-App mit den Erwägungsgrundsätzen zur Rechtmäßigkeit ab, bleibt mir nur Artikel 6a, Zustimmung der betreffenden Person. Wie vielen Nutzern der App ist das beim Abnicken der Nutzungsbedingungen klar?

      So richtig interessant wird das Ganze (was ich natürlich im Sinne der Betroffenen nicht für wünschenswert halte), wenn es zu einem Leak kommt und man im Sinne der DSGVO mal auf die von der Vivy GmbH getroffenen Maßnahmen samt Dokumentation zugreifen und über Sanktionen nachdenken muss.

      Spekulation meinerseits: Wenn ich mir aktuell so anschaue, was Mike Kuketz und meine Wenigkeit in wenigen Stunden Recherche zusammen getragen haben, ergibt sich für mich das Bild ‘da hat jemand aus dem Startup-Umfeld eine Idee, es gab einen Geldtopf der Krankenkassen, also entwickelt man mal mit dem aktuellen Wissen aus dem Umfeld, in dem Apps entstehen’. Aber keiner hat sich wirklich Gedanken gemacht, wie man mit so sensitivem Material wie Gesundheitsdaten umgeht, dass diese sicher, dauerhaft und nachvollziehbar über Jahrzehnte in einer Akte zusammengeführt, gespeichert und in sinnvoller Weise genutzt werden können.

      Interessant ist auch, wenn man mit diesem Wissen den Abschnitt Sicherheit bei Vivy durchliest. Abseits von Angaben, die ich nicht valide nachprüfen kann und will – am Ende der Seite wird auf die Randbedingungen hingewiesen. Z.B. Updates des Betriebssystems und der App – Binsenweisheiten, die aber durch die Praxis, zumindest bei Android, oft widerlegt werden. Und ob die App da ‘State of the Art’ ist und über 10 Jahre so bleibt, müsste man überprüfen bzw. abwarten. Viele wenns! Von per App eingeschleppten Trojanern möchte ich erst gar nicht reden. Damit sind wir bei den oben im Text als Methapher erwähnten Apfelsinenkisten als Plattform.

      Von den ‘Lautsprechern’, die jetzt wieder mit ‘warum hat meine Krankenkasse das noch nicht’ – oder ‘Entwicklungsland Deutschland’ herum tönen, habe ich bisher von diesen Überlegungen noch nichts – Null, nada, niente – lesen können. Und solange da nichts substantielles kommt, denke ich, werden Mike Kuketz und meine Wenigkeit die Finger in die ‘Wunden’ des Konzepts legen. Bin ja mal gespannt, ob da substantielles an Kommentaren kommt – auf Marketing-Sprech und Verschwörungstheorien können wir hier verzichten.

      Ein Gutes hat das Ganze schon mal. Auf der Vivy-Seite findet sich der Hinweis:

      Noch besserer Datenschutz
      Mit Vivy sind nicht nur eure Gesundheitsdaten auf höchstem Niveau gesichert (mehr dazu hier). Auch beim Thema Datenschutz wollen wir den bestmöglichen Mix aus Datenschutz und nutzerfreundlichen Prozessen finden. Eure Kritik haben wir gehört und setzen diese bereits in konkrete Maßnahmen um.

      Wenn nur Jubel-Perser und Claqueure unterwegs wären (und davon gibt es genug), hätte sich nicht mal da was bewegt (ich setzt wohlwollend voraus, dass das im vorhergehenden Absatz kein wohlfeiler Text ist). So können wir zukünftig darüber streiten, wo der ‘bestmögliche Mix aus Datenschutz und nutzerfreundlichen Prozessen’ zu liegen hat. Damit wären wir schon mal ein ganzes Stück weiter – wobei es imho dort genügend Reibfläche geben dürfte! Unter dem Strich: Die wenigen Zeilen hier zeigen schon, welches Spannungsfeld sich da bei genauer Betrachtung auftut.

      Zum F-Droid-Thema kann ich hier nichts sagen. Ich bin immer dafür, das alles an konkreten Apps festzumachen. Eine Taschenlampen-App aus dem F-Droid-Store wird einen anderen Stellenwert bekommen als eine Medizin-App. Aber generell fällt mir auf, dass Apps aus dem F-Droid-Store in Punkto ‘Datensparsamkeit und Tracking’ recht gut aufgestellt sind.

  8. Ralf Lindemann sagt:

    Heute berichtet taz.de über digital gespeicherter Gesundheitsdaten. Die TAZ brandmarkt es als den „Einstieg in die Entsolidarisierung“ [1]. Der Artikel betrifft zwar nicht die Gesundheitsapps, die zurzeit die deutschen Krankenversicherer entwickeln, sondern beschreibt einen neuen Trend im Versicherungswesen der USA. Das Konzept (Gesunde, Gesundheitsbewusste werden belohnt / Kranke, Nicht-Gesundheitsbewusste werden abgestraft oder ausgeschlossen) ist grundsätzlich aber übertragbar. Meiner Meinung nach wird die cloudbasierte Erfassung von Gesundheitsdaten langfristig genau darauf hinauslaufen: Ist die IT-Infrastruktur einmal geschaffen und die Datenerfassung flächendeckend, werden in der Gesundheitspolitik Begehrlichkeiten laut werden, die Daten anders und weitergehender zu nutzen. Warum Menschen, die durch ihre Lebensführung höhere Gesundheitsrisiken eingehen, nicht mit höheren Krankenkassenbeiträge belegen oder eventuell auch ganz von bestimmten kostenintensiven Leistungen der GKV ausschließen? Sind entsprechende Daten erst einmal gespeichert, bedarf es in Zukunft nur noch einer Verschiebung des rechtlichen Rahmens (neue Gesetze etc.), um einzelne Menschen mit dem Verweis auf die über sie gespeicherten Gesundheitsdaten zu sanktionieren und abzustrafen. Heute vielleicht noch undenkbar – aber die Gesundheitsapps der deutschen Krankenversicherer sind ein erster Schritt in diese Richtung.
    __________________
    [1] https://www.taz.de/Experte-ueber-Gesundheitsdaten/!5535194/

    • Günter Born sagt:

      Hab die Tage eine Schlagzeile aus einem Medium in den USA gelesen, dass dort ein Lebensversicherer nur noch Verträge anbietet, wenn die Leute einen Fitness-Tracker tragen und die Daten dem Versicherer zugänglich machen.

      Strap on the Fitbit: John Hancock to sell only interactive life insurance

      • Ralf Lindemann sagt:

        Ja, das ist eine schleichende Veränderung: Heute ist es eine Ausnahme …, problematisch wird es, wenn so etwas in ein paar Jahren vielleicht der Standard ist und Menschen, die ihre Fitness nicht tracken lassen (wollen), unter Druck geraten, weil sie nur verteuerte oder sogar keine Versicherungen bekommen. – Kann sich ja jeder mal selbst überlegen, ob wir wirklich in einer Gesellschaft leben wollen, in der Gesundheitsüberwachung sozusagen zur Verhaltensnorm wird.

  9. Anzeige

  10. Günter Born sagt:

    Wie es ausschaut, will die Vivy GmbH nach der Kritik nachbessern. Wie heise.de hier berichtet, sollen die Tracker reduziert und die Datenschutzbedingungen überarbeitet werden.

    Der heise.de-Beitrag ist auch interessant, weil Datenschützer inzwischen vor Ort kontrolliert haben. Grund waren auch Beschwerden von Ärzten, die, laut heise, von der App aufgefordert wurden, Patientendaten freizugeben. Zitat: Die Datenschutzaufsicht rät den Ärzten, sich bis zum Abschluss der Untersuchung jeweils zu vergewissern, dass die Anfragen tatsächlich von ihren Patienten angestoßen wurden.

  11. Ralf Lindemann sagt:

    Ich denke, am Ende wird sich die Datenschutzproblematik nicht wirklich lösen lassen: Selbst wenn es gelingt, eine in technischer Hinsicht datenschutzkonforme Gesundheits-App auszuliefern, es bleiben dann noch immer die Arztpraxen und Krankenhäuser, mit denen die Gesundheits-App interagieren muss, um mit „Content“ befüllt zu werden. Auch von dieser Seite muss der Datenschutz sichergestellt sein. Tja, wer’s glaubt … – Nehmen wir aber an, das alles funktioniert: Situativ wird der beste technische Datenschutz trotzdem ins Leere laufen, wenn Nutzer*innen der Gesundheits-App zum Beispiel von Arbeitgebern oder Versicherern aufgefordert werden, ‘freiwillig’ Einsicht in die Gesundheitsdaten zu gewähren. Sich in einer so einer Situation richtig zu verhalten, in der dann ggf. auch Machtverhältnisse und Abhängigkeiten hineinspielen, kann schwierig werden – vor allem, wenn man die Freigabe der Gesundheitsdaten verweigert.

    Laut Datenschutz-Aktivistin Rena Tangens liegt genau hier der Hund begraben. Ihre Einschätzung der Gesundheits-App ist einigermaßen vernichtend. Zitat: „Zentrales Problem ist, dass die Gesundheitsdaten vom Smartphone abgefragt werden sollen. Es wird zwar damit geworben, dass nur die Patienten selbst Zugriff haben, und es gibt eine Ende-zu-Ende-Verschlüsselung. Tatsächlich ist es aber so, wenn ich Zugang zu den Daten über das Smartphone bekommen kann, ist das auch für Arbeitgeber und andere Dritte möglich. Der Chef könnte vor einer Personalentscheidung nach den Gesundheitsdaten fragen und seine Wahl auch danach treffen. Wer seine Krankenakte nicht zeigt, kommt nicht in die engere Auswahl. […] Auch Versicherer haben großes Inter­esse an diesen Informationen. Etwa wenn es um den Abschluss einer Berufsunfähigkeitsversicherung geht. Die Konditionen könnten – unabhängig vom tatsächlichen Gesundheitszustand – teurer werden, wenn jemand seine Krankenakte nicht offenlegt.“ (Quelle: https://www.taz.de/Datenschuetzerin-ueber-Patienten-Apps/!5536235/)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.