Start-up Cerebral teilte sensible Gesundheitsdaten mit Facebook, Google, TikTok und mehr
Gesundheitsdaten sind ein sensibles Thema, das oft nicht ernst genug genommen wird. Leider auch nicht von der deutschen Bundesregierung, wenn man sich die E-Patientenakte oder das E-Rezept ansieht, die leider extrem unsicher aufgebaut sind, wie schon der CCC bemängelt hat. Kritisch wird es auch dann, wenn man seine Gesundheitsdaten privatwirtschaftlichen Unternehmen preisgibt oder dies ohne das eigene Wissen geschieht. So gibt es da aktuell in den USA Wirbel um das Start-up Cerebral.
In Deutschland ist Cerebral nicht aktiv gewesen, sodass ihr euch keine Sorgen zu machen braucht. Dennoch möchte ich den Fall als mahnendes Beispiel aufgreifen. Denn Cerebral hat die Daten von mehr als 3,1 Mio. Patienten aus den USA nicht nur mit Facebook, Google und Facebook geteilt, sondern auch mit Werbetreibenden. Unter den Informationen sollen unter anderem auch Bewertungen zur geistigen Gesundheit gewesen sein.
Cerebral erlangte mit seinen Telemedizin-Diensten in der Corona-Pandemie große Beliebtheit. Mittlerweile musste Cerebral aber gegenüber den Behörden offenlegen, dass besagte Daten unabsichtlich abgeflossen sind. Denn es wurden Daten mit Partnern geteilt, die nicht dafür vorgesehen gewesen sind. Unter den Informationen sind auch Namen, Telefonnummern, E-Mail-Adressen, Geburtstage und IP-Adressen sowie andere Identitätsmerkmale. Es ist aber eben pikanterweise auch wahrscheinlich, dass Angaben dazu weitergeleitet worden sind, welche Dienste ein Patient in Anspruch genommen hat und welche Tarife er oder sie beanspruchte.
Wie ist das passiert? Wie viele andere App-Entwickler, so hat Cerebral in seine Apps Code von Google, Facebook, TikTok und Co. eingebunden – Tracker eben. Nutzer stimmen diesem Tracking zu, wenn sie die App nutzen, denn dies ist in den AGB vermerkt – die sich aber realistisch gesehen aufgrund der Länge kaum ein Nutzer komplett durchlesen dürfte. Cerebral begräbt Angaben dazu außerdem am untersten Rand seiner Website. So wurden die Daten zu Analyse- und Werbezwecken schon seit 2019 geteilt.
Mittlerweile seien die Tracking-Pixel laut Cerebral aus den Apps entfernt. Was die Partner wie Google mit den bereits übermittelten Daten anfangen, ist aber offen. Sie sind nicht verpflichtet, die Daten zu löschen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
In Deutschland sind hier m.M.n. im Moment weniger Gesundheitsapps als Mobilitätsapps das größere Problemfeld.
Nicht, weil die deutschen Gesundheitsapps so gut wären – über die weiß ich bisher wenig – sondern weil Gesundheitsapps verglichen mit Mobilitätsapps (DB Navigator, Uber, FreeNow, weitere Sharing-Apps und regionale ÖPNV Apps) wenig genutzt werden. Zwar sind Gesundheitsdaten sensibler als Mobilitätsdaten, aber es ist 1. im Moment immer nur ein sehr kleiner Teil der Gesundheitsdaten gefährdet und 2. sind Mobilitätsdaten, vor allem über Zeit, wirklich gruseliger Scheiß.
Und anders als bei den Gesundheitsapps (über die es ja sogar wie hier gerade regelmäßig zu Artikeln kommt) ist es den Deutschen bei Mobilitätsapps leider egal.
Gebt mal die Paketnamen eurer Mobilitätsapps bei exodus-privacy.eu.org ein. Das sind regelmäßig die Tracker-reichsten Apps auf dem Telefon. Bei mir kommen DB Navigator & Uber, danach kommt erst mal lange nichts mehr.
On-Topic: Für unvermeidbare Gesundheitsapps (leider tut z.B. meine Krankenkasse so als könnten sie kein standardisiertes TOTP anbieten) hab ich extra ein zweites Telefon eingerichtet. Gegen das Lagern von Daten in der Cloud hilft das aber natürlich wenig.
Die größte Gefahr des Datenmissbrauchs geht aktuell von der geplanten elektronischen Patientenakte aus, der man nun aktiv widersprechen muss um nicht dabei zu sein. Wie viele, besser gesagt, wie wenige werden dem aktiv widersprechen? Wohl kaum welche. Die Daten sollen der Pharmazie für Forschung und Entwicklung zur Verfügung gestellt werden. Zum Glück habe ich dem bereits widersprochen. Ich möchte gerne selber entscheiden, wem ich meine Patientendaten zur Verfügung stelle
>>Zum Glück habe ich dem bereits widersprochen. Ich möchte gerne selber entscheiden, wem ich meine Patientendaten zur Verfügung stelle.
Hoffentlich gilt dein Widerspruch auch nach der gesetzlichen Neuregelung noch. Ich vermute mal, dass sämtliche bisherigen Widersprüche mit Inkrafttreten des neuen Gesetzes ihre Gültigkeit verlieren und man der Datennutzung erneut widersprechen muss. Das neue Opt-Out wird dann möglichst schwer gemacht werden. Hauptsache die Datennutzung wird vereinfacht und so unsicher wie nur irgendwie möglich gemacht. Leider ist bei den Akteuren in dieser Angelegenheit (BMG, gematik) wenig Gutes zu erwarten.
Der Klassiker sind ja temporäre Opt-Outs. So wie die Meldedatenweitergabe. Da müsste man einmal im Jahr drauf hinweisen. Die zugehörigen Clown Perücken sind aber noch keine Pflicht. 😀
Wäre es den so schwer eine Funktion einzubauen, mit der man direkt den Zugriff auf die Daten genehmigen muss ? Ich muss z.B. bei jeder Überweisung meiner Bank die Übereisung auf einem zweiten Gerät freigeben.
Gesundheitsdaten auf dem Handy sind eh ein absolutes unding. Jede App auf 99% aller Handys ist zwingend aus SDKs von Google/Apple angewiesen, um funktionieren zu können. Und die einzige Sicherheit die man hat, dass dort keine sensiblen (Gesundheits)daten abfließen, ist am Ende das Wort dieser Unternehmen…dont be evil und so.
Und in Open Source Stores wie FDroid, wo es sowas nicht gibt, werden sich bestimmt keine gesundheits Apps verirren.