Die Gesundheits-App „Ada Health“ sorgt aktuell für Furore. Die App soll dem Nutzer durch die Beantwortung einfacher Fragen die wahrscheinlichste Ursache für seine Krankheitssymptome nennen. Die Angaben des Users werden mit den Antworten ähnlicher Fälle abgeglichen. Nach der Analyse erhält der Nutzer Vorschläge für sein weiteres Vorgehen: Angaben zur Selbsthilfe, Aufsuchen eines Facharztes, Apothekers oder schlimmstenfalls der Notaufnahme.
Sensible Gesundheitsdaten
In die Kritik geraten ist die Anwendung aufgrund ihres Umgangs mit personenbezogenen Daten. Neben den Krankheitssymptomen im interaktiven Chat erfragt die App Namen, E-Mail-Adresse, Geburtsdatum, Krankengeschichte, Allergien, aktuellen Standort und sogar den Namen der Krankenkasse. Die Übertragung sensibler Gesundheitsdaten ist in Art. 9 EU-DSGVO geregelt. Prinzipiell ist die Verarbeitung untersagt, für den Zwecke der Gesundheitsvorsorge kann jedoch eine Ausnahme gemacht werden. Ginge es nur um die Funktionalität der App selber, wäre die Verarbeitung der Krankheitssymptome und weiterer Angaben zur Person durchaus rechtens. Problematisch ist aber die Weitergabe an Drittanbieter, die keinen Bezug zur Gesundheitsvorsorge vorweisen können.
Alles steht in der Datenschutzerklärung
Dabei kann der App keine mangelnde Transparenz vorgeworfen werden. Die Datenschutzerklärung, hier Datenschutzrichtlinie genannt, (Stand 08.04.19) enthält alle nötigen Informationen darüber, dass die Daten an Dritte weitergegeben und dort verarbeitet werden, beispielsweise um personifizierte Werbung anzubieten. Zudem wird explizit betont, dass die personenbezogenen Daten des Nutzers jederzeit an einen Drittanbieter verkauft werden können, welcher somit alle Rechte an diesen Daten von Ada erbt. Ob dies überhaupt rechtmäßig ist, sei erstmal dahingestellt.
Beim Durchklicken der offiziellen Ada-Website findet sich sogar eine Seite mit den Service-Anbietern, an die Ada die gesammelten Daten weitergibt. Unter anderem zu finden sind dort Amazon, Adjust, Amplitude, Facebook, Sentry und Zendesk. Somit gehen die privaten Informationen unter anderem an einen Onlineversandhandel, verschiedene Tracking-Dienste, ein Marketingunternehmen und ein soziales Netzwerk, das wegen seiner Datenschutzprobleme bereits mehrfach in der Kritik stand. Dass diese Drittanbieter automatisch Zugriff auf alle gesammelten Daten erhalten, ist in der Datenschutzerklärung nachzulesen.
Zur Speicherung der Daten ist angegeben, dass diese im Europäischen Wirtschaftsraum („EWR”) verarbeitet und auf Amazon Web Services (Europe) Cloud Servern gespeichert werden, mit dem Zusatz, dass die Verarbeitung jedoch durchaus von Mitarbeitern außerhalb des EWR möglich ist. „Länder außerhalb des EWR können nicht das gleiche angemessene Schutzniveau für die Rechte und Freiheiten betroffener Personen in Bezug auf die Verarbeitung personenbezogener Daten erbringen; allerdings erteilen Sie durch Nutzung unserer Leistungen Ihre Einwilligung für die Ada Health GmbH, Ihre personenbezogenen Daten diesen Dritten gegenüber zu offenbaren.“ (Originalzitat, Privacy Policy, Ada.com)
Mit anderen Worten: Wenn Sie dem zustimmen, finden Sie sich damit ab, dass ihre Daten in anderen Ländern mit niedrigerem Schutzniveau und anderen Gesetzesgrundlagen verarbeitet werden.
Datenweitergabe
Ein Test des IT-Sicherheitsexperten Mike Kuketz hat gezeigt, dass die Weitergabe von Tracking-Daten bereits beim Öffnen des Dienstes vonstatten geht. Somit wird ohne die Einwilligung und das Wissen des Nutzers gehandelt, der erst bei der darauffolgenden Registrierung die Möglichkeit hat dieser Weitergabe zuzustimmen oder zu widersprechen. Der Service übermittelt die Android Werbe-ID, die es ermöglicht einen Anwender über mehrere verschiedene Dienste hinweg wiederzuerkennen, an das soziale Netzwerk Facebook und den Analyse-Service Amplitude. Eine solche Übertragung ist rechtlich äußerst bedenklich: Die DSGVO schreibt vor, dass die Erhebung personenbezogener Daten nur dann zulässig ist, wenn die Personen zum Zeitpunkt der Erhebung dieser Daten bereits darüber informiert wurden.
Nach der Offenlegung dieser Tatsache war die App kurzzeitig nicht mehr im Google Play Store zu erwerben und ist dann in einer aktualisierten Form (Version 2.49.1) wieder eingestellt worden – ohne die vorzeitige Weitergabe an Amplitude. An der Verbindung zu Facebook hat sich allerdings nichts geändert. Nach der Registrierung, und somit auch nach der Zustimmung der Datenschutzbestimmungen, erhält auch Amplitude wieder die gewohnten Tracking-Daten.
Auf Nachfrage des c’t Magazins wieso Services wie Amplitude diese sensiblen Daten erhalten, gab Ada an, dass sich die sensiblen Daten auf einem geschützten Bereich innerhalb von Amplitude befinden würden, auf den Amplitude keinen Zugriff hätte. Weitere Nachfragen dazu, wie dies technisch sichergestellt wird und wieso die Daten denn dann überhaupt an Amplitude weitergegeben werden, blieben unbeantwortet. Ein Blick auf die AGBs der amerikanischen Analysefirma Amplitude verrät, dass sich die Firma vertraglich Zugriffsrechte an den Daten ihrer Kunden zusichert, die ihre Services in Anspruch nehmen. Selbst wenn Ada einen Vertrag abgeschlossen hat, der von diesen Standard-AGBs abweicht, lässt sich kaum leugnen, dass Amplitude Zugriff benötigt, um die Daten entgegennehmen zu können.
Zwei unterschiedliche Datenschutzerklärungen
Ebenfalls fragwürdig sind die Abweichungen zwischen der deutschen und der englischen Datenschutzerklärung von Ada, welche normalerweise inhaltlich nicht differieren sollten. Tatsächlich lassen sich jedoch grobe Unterschiede in der Beschreibung der Datenweitergabe und -verarbeitung finden. Dass die Formulierungen in der englischen Fassung deutlich oberflächlicher gehalten sind, lässt sich mit einem zugedrückten Auge noch durch die sprachliche Divergenz begründen. Besonders auffallend ist allerdings, dass ein Absatz zur Nutzung personenbezogener Daten im Englischen schlichtweg fehlt. Die deutsche Version beschreibt, dass Name, Geburtsdatum und Facebook-Accountdaten in der Benutzerdatenbank eingepflegt werden. In der englischen Fassung, welche, laut Ada, die offizielle und in Rechtsangelegenheiten maßgebende Fassung ist, wird nichts dergleichen erwähnt. Damit verstößt Ada auch in diesem Punkt gegen eine Richtlinie der DSGVO, da diese vorschreibt, dass die Datenschutzregelungen verständlich und in klarer, einfacher Sprache zu konzipieren sind.
Wie die Datenverarbeitung vonstattengeht, ist also kein Geheimnis. Bedeutet dies im Umkehrschluss, dass die 8 Millionen Nutzer, die Ada eigenen Angaben zufolge hat, die Datenschutzbestimmungen schlichtweg nicht gelesen haben? Es ist zu hoffen, dass die Enthüllung der unzähligen Sicherheitsmakel innerhalb der letzten Monate einen Großteil der potentiellen Anwender zukünftig davon abhalten wird, ihre Daten mit dieser App zu teilen.
23. Oktober 2019 @ 8:38
Siehe hierzu auch
https://www.datenschutz.de/ihre-rechte/
Ich würde mir zuerst ALLE Informationen einholen, um mir einen Überblick zu verschaffen.
Dann prüfen, ob rechtliche Schritte notwendig bzw. sinnvoll sind.
Erst dann würde ich die Löschung beantragen und bestätigen lassen.
Bei sofortiger Löschung würden sonst möglicherweise Beweise vernichtet.
Oder schätze ich das falsch ein?
18. Oktober 2019 @ 11:45
Wie und wo kann man der Nutzung der schon bisher erfassten Daten widersprechen? Bin leider Nutzer dieser APP…
21. Oktober 2019 @ 14:36
Am besten sollte die App sofort deinstalliert werden, damit nicht noch weitere Daten erfasst werden. Laut der Datenschutzrichtlinie werden die bereits gespeicherten Daten dann ebenfalls gelöscht.
Zusätzlich kann eine E-Mail an den Support gesendet werden (legal@ada.com), in der die Administratoren dazu aufgefordert werden, alle erhaltenen Daten zu löschen. Eine Garantie gibt es aber in beiden Fällen leider nicht.