Datenschutzprobleme: Ada bessert nach

In den App-Stores von Apple und Google wirbt Ada nicht mehr mit ISO-27001-Konformität. Ursprünglich fanden sich dort Bilder mit einem Siegel des TÜV Nord, das offenbar „geprüfte IT-Sicherheit“ bescheinigen sollte. Aufgrund der Platzierung in den Stores lag der Schluss nahe, dass der TÜV die IT-Sicherheit der App geprüft hätte.

Tatsächlich lässt sich die Norm auf einzelne Produkte wie die App gar nicht anwenden. Eine Zertifizierung nach ISO 27001 bescheinigt Unternehmen ein funktionierendes Informationssicherheitsmanagementsystem. Firmen können damit nachweisen, dass sie in der Lage sind, die eigene IT-Sicherheit zu verwalten und funktionierende Regelungen für den Umgang mit vertraulichen Informationen haben.

Das sei zwar eine gute Voraussetzung, teilte uns der TÜV Nord mit, aber es sei eine gesonderte Prüfung erforderlich, um die Sicherheit und Datenschutzkonformität von in Umlauf gebrachten Produkten zu zertifizieren.

Im Kontext eines Produktes mit der ISO 27001 zu werben, erscheint also zumindest missverständlich. Ob Ada das Zeichen damit in einer vom TÜV nicht erlaubten Weise verwendet hat, ist für Außenstehende allerdings nicht ohne Weiteres nachprüfbar: „Die Voraussetzungen für die Verwendung eines Prüfzeichens ergeben sich aus dem Zertifikat und dem dazugehörigen Vertrag“, teilte uns der TÜV Nord mit.

Verbesserte Datenschutzerklärung

Auch ihre Datenschutzerklärung hat die Ada Health GmbH erheblich geändert und in vielen Teilen verbessert. Gerade im Bereich des Umgangs mit äußerst sensiblen Krankendaten fanden sich in der alten Version vom April dieses Jahres Regelungen, die Datenschützern die Haare zu Berge stehen ließen.

Zum Beispiel wurde an mehreren Stellen als Rechtsgrund für eine Verarbeitung von Gesundheitsdaten das „überwiegende Interesse“ von Ada angegeben. Allerdings ist es alles andere als eindeutig, dass die Interessen von Ada etwa an der Verbesserung der eigenen Leistung „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person […] überwiegen“, wie die DSGVO das fordert. Vor allem aber ist diese Regelung in Art. 6 DSGVO überhaupt nicht auf sensible Informationen wie Gesundheitsdaten anwendbar.

Derart offenkundige rechtliche Fehler finden sich in der neuen Version der Datenschutzerklärung vom 13. November nicht mehr. Zweifelhaft bleiben einige Passagen aber trotzdem. So nimmt sich Ada das Recht heraus, im Falle eines Erwerbs oder Verkaufs von Geschäftsbereichen oder Vermögensgegenständen „dem in Aussicht stehenden Verkäufer oder Erwerber“ Kundendaten weitergeben zu dürfen.

Die Rechtsgrundlage für die Erhebung, Nutzung und Weitergabe von Krankendaten sieht Ada überwiegend in einer Einwilligung durch den Betroffenen. Das steht formal im Einklang mit Art. 9 DSGVO, aber die Einholung einer wirksamen Einwilligung ist alles andere als trivial. Voraussetzung ist, dass der User über die Details der geplanten Verarbeitung seiner Daten informiert wird. Zielbild ist ein „informierter Nutzer“, der beurteilen kann, wer was mit seinen Informationen vorhat und aus freien Stücken in diese Nutzung einwilligen kann.

Zumindest die Zustimmung, die sich Ada im Rahmen der Anmeldung bei der App von den Nutzern geben lässt, dürfte diesen Voraussetzungen nicht entsprechen. Denn den Texten fehlt jeder konkrete Hinweis, welche Daten wie an genau wen weitergegeben werden sollen.

Dieser Artikel stammt aus c't 26/2019. (syt)