Ada Health überträgt weiterhin Krankheitssymptome an Dritte

Das Webinterface von Ada, das eine US-Gesundheitsfirma nutzt, sendet nach wie vor Krankheitsdaten an Amplitude – trotz anders lautender Beteuerungen.

In Pocket speichern vorlesen Druckansicht 89 Kommentare lesen
Screenshot von Adas Webinterface bei sutterhealth.org

(Bild: Screenshot, Sutter Health / Ada)

Lesezeit: 3 Min.

Nachdem Mike Kuketz und c't erhebliche Datenschutzmängel in der App der Ada Health GmbH gefunden hatten, stellte Ada zwar mit Version 2.49.1 der Gesundheits-App für Android Übertragungen an die Tracking- und Analyse-Firma Amplitude ein. An anderer Stelle setzt Ada sie aber fort. Die App ist nämlich nur ein relativ dünnes Benutzerinterface, Fragen und Antworten kommen von einem Server. Ada bestritt in einer Stellungnahme die Existenz dieser Mängel.

Zusätzlich zur App bietet Ada auch ein Web-Interface für seine Chat-KI an, das der kalifornische Gesundheitsdienstleister Sutter Health nutzt – dort natürlich nicht nach den Vorgaben der europäischen DSGVO. Bei Sutter Health läuft Ada im Browser, eingebettet in der Website des Dienstleisters. Anders als die Android-App überträgt diese Web-Version von Ada noch immer Daten an Amplitude – einschließlich der vom Nutzer eingegebenen Symptome und der eingesehen Diagnosevorschläge. Das Versprechen "Your information will not be shared with any parties other than Ada", das der Hersteller den Nutzern auf dem Startbildschirm gibt, ist unserer Analyse des Datenverkehrs zufolge ein leeres.

Das Webinterface von Ada überträgt immer noch Symptome (hier "headache", also Kopfschmerzen) an Amplitude. Das zeigt unsere Netzwerkanalyse mithilfe der Developer-Tools von Firefox vom 16. Oktober.

(Bild: Heise Medien GmbH)

Die übertragenen Daten beinhalten über die Symptome hinaus unter anderem den Namen des Browsers, dessen Versionsnummer, das Betriebssystem sowie die genutzte Sprache. Eine Werbe-ID wie in der Android-App existiert hier nicht. Trotzdem lässt sich mit den übertragenen Zusatzdaten der Nutzer unter Umständen nachverfolgen. Zusätzlich werden beim Seitenaufruf verschiedene IDs generiert und im lokalen Speicher des Browsers abgelegt, um den Nutzer wiedererkennen zu können. Das macht die Mehrheit heutiger Webseiten zwar nicht anders, aber diese fragen für gewöhnlich auch keine sensiblen Gesundheitsdaten ab.

Interessant ist ein technisches Detail: Das Web-Interface von Ada definiert eine Content-Security-Policy (CSP). Damit verhindert Ada Health, dass beliebige Webseiten den KI-Berater einbinden können. Gestattet wird die Einbindung Ada selbst und Sutter Health sowie der deutschen Techniker Krankenkasse:

Content-Security-Policy: frame-ancestors 'self' https://*.adahealth.net https://www.tk.de https://*.sutterhealth.org https://pages.github.ada.com

Warum Ada das Web-Interface für www.tk.de freigibt, ist unklar. Die Techniker Krankenkasse ist zwar Kooperationspartner der Ada Health GmbH aus Berlin, auf Nachfrage von c't stellte die Versicherung jedoch in einem ersten Statement klar, dass man die Ada-Software nicht auf der eigenen Homepage anbiete und dergleichen auch nicht vorhabe. Man wolle den Fall aber weiter untersuchen.

Siehe dazu auch:

(syt)