Mike Kuketz
11. Oktober 2019 | 08:34 Uhr

Übermittlung von Gesundheitsdaten bei der App Ada Health

Der Beitrag »Massive Datenschutzmängel in der Gesundheits-App Ada« der ct beginnt mit folgendem Satz:

Gesundheits-Apps verarbeiten sensible Daten, die Anbieter versichern, auf die Privatsphäre der Nutzer zu achten. Eine Analyse des Datenverkehrs belegt anderes.

Das trifft den Nagel leider auf den Kopf. Vordergründig wird dem Nutzer versichert, dass seine Privatsphäre gewahrt bleibt – bei genauerem Hinsehen ist allerdings oftmals genau das Gegenteil der Fall, wie aktuell die Gesundheits-App Ada Health beweist.

Sylvester Tremmel von der ct hat meine Analyse »Ada: Gesundheits-App mit Facebook-Tracker« genau gelesen. Daraufhin kontaktierte er mich. Nachdem wir ein paar E-Mails und ein Telefonat ausgetauscht hatten, konnte die ct die Übertragung der Gesundheitsdaten an die Drittanbieter Facebook und Amplitude ebenfalls nachvollziehen.

Die Übertragung sensibler Gesundheitsdaten vor dem Hintergrund EU-DSGVO Art. 9 ist schon schlimm genug. Noch schlimmer ist allerdings die Reaktion von Ada, nachdem sie mit der Analyse konfrontiert wurden:

Dritte haben keinen Zugriff auf persönliche Gesundheitsinformationen der User. Facebook, Adjust oder Amplitude erfahren folglich nicht, ob ein User beispielsweise angibt, Bluthochdruck zu haben oder wo er versichert ist.

Doch aber genau das ist der Fall. Gesundheitsinformationen werden an Facebook und auch Amplitude in die USA übermittelt. Die Reaktion von Ada wirft nun natürlich die Frage auf, ob das Unternehmen die Datenübermittlung bewusst verschweigt oder selbst keine Kenntnis darüber hat, welche Daten die Tracker-Dienste der Ada-Gesundheits-App eigentlich übermitteln. Wie auch immer die Antwort ausfallen mag, es ist ein absolut unverantwortliches Verhalten.

Aus dem ct-Artikel geht weiterhin hervor, dass der Hersteller mittlerweile wohl nachgebessert hat:

Kurz vor Redaktionsschluss überschlugen sich daraufhin die Ereignisse – offenbar durch die Recherche von c’t: Zuerst verschwand die Ada-App aus dem Play-Store, am 4. Oktober tauchte sie dann wieder auf – in der neuen Version 2.49.1. In einem kurzen Check konnten wir keine Datenübertragungen an Amplitude mehr feststellen.

Wer mit Gesundheitsdaten arbeitet, kann sich solche Schnitzer allerdings nicht erlauben. Ebenso wie die App Vivy, die ebenfalls durch eklatante Mängel aufgefallen ist, kann ich jedem Nutzer nur raten: Deinstallieren. Für solche Pannen gibt es keine Entschuldigung.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
Microblog
25. September 2019

Ada: Gesundheits-App mit Facebook-Tracker

Am dritten Tag der App-Review-Week wird die Android-App Ada (Version 2.48.0) einem Kurzcheck unterzogen – eine Gesundheits-App, die eine Vielzahl…
Microblog
17. Oktober 2019

Ada Health GmbH: Anfrage an die Techniker Krankenkasse versendet

Bereits am 20. Dezember 2018 hatte ich die Techniker Krankenkasse auf die bedenkliche Zusammenarbeit mit der Ada Health GmbH hingewiesen:…
Tracking in Apps
3. März 2021

Wie Tracking in Apps die Sicherheit und den Datenschutz unnötig gefährdet

Die Integration von App-Tracking wird von Entwicklern bzw. Verantwortlichen vehement verteidigt, obwohl es ein Risiko für die Daten der Nutzer darstellt.
Gesundheits-App
21. September 2018

Gesundheits-App: Anforderungen an Sicherheit und Datenschutz

Meine ganz persönlichen technischen und auch organisatorischen Anforderungen an Gesundheits-Apps auf dem Smartphone.
Microblog
20. Dezember 2018

Ada Health: Gesundheits-App mit Facebook-Tracker

Ich warne nun schon seit geraumer Zeit vor der Integration von Trackern oder anderen Drittquellen in Gesundheits-Apps. Überall wo (hoch-)sensible…
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.