Nach Datenschutzbedenken: Vivy bessert nach
Die Betreiber der Gesundheits-App Vivy überarbeiten ihre Datenschutzerklärung und reduzieren die verwendeten Tracker. Datenschützer prüfen nun.
(Bild: dpa, Michael Kappeler)
Die Berliner Datenschutzbeauftragte hat am Montag eine Vor-Ort-Kontrolle bei dem Berliner Unternehmen Vivy durchgeführt – dem Entwickler und Betreiber der gleichnamigen Gesundheits-App. Anlass waren Datenschutzbedenken gegen Vivy und Beschwerden von Ärzten, die von der App aufgefordert worden waren, Patientendaten freizugeben, erfuhr heise online. Die Datenschutzaufsicht rät den Ärzten, sich bis zum Abschluss der Untersuchung jeweils zu vergewissern, dass die Anfragen tatsächlich von ihren Patienten angestoßen wurden.
Großes Vertrauen in den Datenschutz
Die Ärzte sollen sich überdies selbst von der Übertragungssicherheit der App überzeugen. Laut der Datenschutzgrundverordnung (DSGVO) kann der Betreiber beispielsweise anhand von Zertifizierungen nachweisen, dass er den gesetzlich geforderten "Stand der Technik" beherrscht. Aktuell gibt es jedoch auf dem Markt keine Zertifizierungen, die alle Anforderungen der DSGVO systematisch abdecken. Die deutschen Aufsichtsbehörden erproben derzeit die von ihnen entwickelte Prüfmethode nach dem Standard-Datenschutzmodell (SDM). Vivy selbst spricht nur davon, dass die App durch ePrivacy, TÜV Rheinland, ERNW und Blue Frost Security geprüft worden sei.
Roland Engehausen, Vorstand der IKK Südwest, sieht die App in Sachen IT-Sicherheit auf der sicheren Seite: "Wir haben uns ganz stark auf das Thema fokussiert: Sind die Gesundheitsdaten sicher? Dafür würde ich die Hand ins Feuer legen." Engehausen ergänzt, "wenn man überlegt, wie viele Daten die Ärzte einfach über eine ungeschützte Mail verschicken, wird mir eher gruselig.“
Vergangene Woche war die App aufgrund von fünf Tracking-Diensten öffentlich in die Kritik geraten. Dabei handelte es sich um Mixpanel, Crashlytics , Branch.io und zwei Google-Dienste. Diese waren nicht in der Datenschutzerklärung aufgelistet. Roland Engehausen, Vorstand der IKK Südwest, erklärte gegenüber heise online, dass man künftig darauf verzichten wolle, das Klickverhalten der Nutzer aus Gründen der Usability auszuwerten: „Wir werden darauf achten, dass wir die Tracker auf das Nötigste reduzieren, wie etwa die Systemverfügbarkeit. Alle Experten haben betont, dass man da was machen muss.“
Neue Datenschutzerklärung mit mehr Informationen
Am heutigen Montagmorgen informierte Vivy seine Kunden nun per Mail über eine Aktualisierung seiner Datenschutzerklärung. Demnach gibt es nun eine Datenschutzerklärung für die eigene Website und eine andere speziell für die App. In der Datenschutzerklärung sind nun die monierten Tracker Mixpanel und Crashlytics aufgeführt, die Tracker von Branch.io und Google wurden anscheinend abgeschaltet. Auch wird der Kunde darüber informiert, dass die Daten auf Servern von Amazon Web Services gespeichert werden, die in Frankfurt am Main stehen. Die 2-Faktor-Authentifizierung mittels SMS erfolgt über das US-Unternehmen Twilio mit Sitz in San Francisco.
Es ist davon auszugehen, dass diese Angaben sowie die verwendeten Absicherungsmethoden nun auch von der Berliner Datenschutzaufsicht überprüft werden. In der Vergangenheit wurden ursprünglich fehlerhafte, aber umgehend korrigierte Datenschutzerklärungen von den zuständigen Aufsichtsbehörden nicht mit Bußgeldern geahndet. (mho)
