Landesdatenschutzbeauftragter Rheinland Pfalz rät zu Vorsicht bei Gesundheits-Apps: Schutz und Sicherheit von Patientendaten müssen höchste Priorität haben
Inzwischen ist bekannt geworden, dass bei einer der Apps, die zur Behandlung von Menschen mit Angsterkrankungen eingesetzt wird, IT-Sicherheitsexperten gravierende Datenschutz-Mängel festgestellt haben.
Quelle: Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM)
So hätten Angreifer durch Nutzung der Sicherheitslücken Angstpatienten als solche “enttarnen” und schlimmstenfalls deren Accounts mit sensiblen Daten übernehmen können.
Der stv. Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Helmut Eiermann, erklärte dazu u. a.: „Die Geräte und die Software-Anwendungen sammeln hochsensible Daten, die genaue Einblicke in die persönliche Lebensführung zulassen. Aus diesen Gründen ist es unerlässlich, dass gerade Apps, die vom BfArM freigegeben wurden, höchsten Sicherheits- und Datenschutzansprüchen genügen. Die Nutzerinnen und Nutzer von Gesundheitsanwendungen müssen darauf vertrauen können, dass ihre Daten wirksam geschützt werden. Dass eine der ersten freigegebenen Apps Sicherheitsmängel aufweist, ist beunruhigend. Das zuständige Bundesgesundheitsministerium sollte daher Nachbesserungen am Zulassungsverfahren angehen.“
Der LfDI Rheinland-Pfalz hatte in der Vergangenheit wiederholt – gemeinsam mit den anderen Datenschutz-Aufsichtsbehörden – Defizite bei der Ausgestaltung des gesetzlich vorgesehenen Prüfverfahrens zur Aufnahme von Gesundheits-Apps in das DiGA-Verzeichnis angemahnt. Dabei kritisierte er insbesondere, dass lediglich aufgrund von Herstellerangaben Apps in das Verzeichnis aufgenommen werden, ohne dass deren datenschutzrechtliche Vereinbarkeit durch unabhängige Stellen geprüft werde. Eiermann dazu: „Es wird deutlich, dass das vom BfArM durchgeführte Zulassungsverfahren nicht tauglich ist, um die Datenschutzkonformität der in das DiGA-Verzeichnis aufgenommenen Apps zu gewährleisten.“ Aus technischer Sicht sollten insbesondere folgende Punkte zur Bewertung und Aufnahme der Gesundheits-Apps in das DiGA-Verzeichnis berücksichtigt und im Rahmen unabhängiger Audits geprüft werden:
- die Vertraulichkeit und Integrität der Kommunikation (Inhalts- und Metadaten),
- die Sicherheit der auf dem Endgerät beziehungsweise in der App gespeicherten Gesundheitsinformationen,
- die beteiligten technischen Dienstleister sowie
- die Einbeziehung sonstiger Stellen (etwa zur Reichweitenmessung und App-Analyse).
Es reiche bei diesen Punkten nicht aus, sich allein auf Herstellerangaben zu verlassen.
Quelle: Erklärung des LfDI Rheinland-Pfalz vom 22.10.2020
Herr <Datenschutz-ist-was-für-Gesunde> Spahn:
Übernehmen Sie! Hier warten wichtige Aufgaben auf Sie, wenn Sie die Digitalisierung des Gesundheitswesens voranbringen und zugleich der Schutz von Gesundheits- und Behandlungsdaten ernst nehmen wollen.
Quelle: DAZ.online