Gesundheits-App Vivy: Wie sieht es aus mit dem Datenschutz?
Mitte September wurde die Gesundheits-App ViVy gestartet. Mitglieder der DAK-Gesundheit, mehrerer Innungskranken- und Betriebskrankenkassen sowie der Allianz Private Krankenversicherung und der Barmenia sollen sie kostenlos nutzen können; insgesamt 13,5 Millionen Versicherte. Weitere Krankenkassen sollen dazukommen, im Februar etwa die Gothaer. Bei der DAK-Gesundheit soll Vivy auch eingesetzt werden, um Bescheinigungen anzufordern oder Punkte für Bonusprogramme zu sammeln.
Damit geht auch die erste elektronischen Gesundheitsakte nach den rechtlichen Vorgaben des § 68 SGB V in den Echtbetrieb. Zu diesen Gesundheitsakten hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit am 19.07.2018 in einem Schreiben festgestellt: “Das Zurverfügungstellen einer elektronischen Gesundheitsakte (eGA) ist keine gesetzliche Aufgabe der Sozialleistungsträger im Sinne des Sozialgesetzbuches. Die Krankenkassen haben gemäß § 68 SGB V lediglich die Möglichkeit finanzielle Unterstützung zu einer persönlichen eGA ihrer Versicherten zu leisten. Es handelt sich bei den eGA-Lösungen um ein privates Angebot von Dritten, die weder Sozialdaten im Sinne des § 67 Abs. 1 SGB X verarbeiten noch das Sozialgeheimnis gemäß § 35 SGB I beachten müssen.”
Nicht nur deshalb ist die Frage berechtigt: Wie sieht es aus mit dem Datenschutz bei Vivy?
Das Unternehmen Vivy stellt sich auf seiner Homepage in bestem Licht dar. Und verkündet vollmundig: “Es ist an der Zeit von den weitreichenden Möglichkeiten der Digitalisierung im Gesundheitsbereich zu profitieren. Vivy hilft bei der Vernetzung von Versicherern, Patienten & Leistungserbringern und gestaltet somit das Gesundheits-Ökosystem der Zukunft – mit dem Menschen im Zentrum. Durch dieses offene System, in dem erstmalig PKV und GKV gemeinsam arbeiten, können wir den Menschen in seiner Gesundheit besser unterstützen als je zuvor. Erstmalig wird es Patienten durch Vivy ermöglicht, volle Einsicht in ihre Daten und die komplette Kontrolle über ihre Daten zu haben: einfach, sicher und selbstbestimmt… Vivy erfüllt höchste Ansprüche der schon hohen Datenschutzanforderungen und wurde vom TÜV als absolut sicher ausgezeichnet. Deine Daten gehören nur dir…”
Aber wie so häufig sind es unabhängige Datenschützer und IT-Fachleute, die gegenüber solchen vollmundigen Versprechungen misstrauisch sind und genauer hinsehen.
In der Frankfurter Allgemeinen Zeitung vom 17.09.2018 wird Falk Garbsch, Sprecher des Chaos Computer Clubs zitiert: “‘Es wird mit der Zeit herauskommen, wie gut die Verschlüsselung wirklich ist… Die Zahl der Angriffe auf Smartphones steigt immer weiter.’ Nach zwei Jahren gebe es für die Geräte üblicherweise keine Sicherheitsupdates mehr. Da Gesundheitsdaten nicht nur intim seien, sondern auch lukrativ sein könnten, könnte es sich lohnen, Viren und Trojaner zu entwickeln, um von unbefugter Seite heranzukommen… Es stelle sich auch die Frage, ob die Software in den Arztpraxen immer sicher sei. Insgesamt meint der kritische Experte, wenn Daten zentral abgelegt würden, steige nicht nur die Missbrauchsgefahr, sondern auch die Intransparenz: ‘Viele können sich nicht vorstellen, was da im Hintergrund passiert.’”
Und genau diesen Hintergrund der Gesundheits-App ViVy hat sich Mike Kuketz, freiberuflich tätig im Bereich IT-Sicherheit, genauer angesehen. Auf seinem Blog schreibt er unter dem Titel “Gesundheits-App Vivy: Datenschutz-Bruchlandung“:
“[ 1] Unmittelbar nach dem Start der App kontaktiert die App die Analysefirma Mixpanel (Firmensitz San Francisco, USA)… Unter anderem werden folgende Informationen übermittelt… [2] Weiterhin wird der Analysedienst Crashlytics (Firmensitz Boston, USA – gehört zu Google) mit folgenden Daten beliefert… [3] Als weiterer App-Tracker wird Branch.io (Firmensitz Redwood City, USA) eingesetzt, an den unter anderem folgende Daten übermittelt werden… [4] …”
Der Verfasser zieht ein Fazit: “Eine App, die sensible Gesundheitsdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – bei Vivy kann ich das leider nicht erkennen. Denn noch bevor der Nutzer überhaupt die Möglichkeit hat, in die Datenschutzerklärung einzuwilligen, werden zahlreiche Informationen an Drittanbieter (Tracking-Unternehmen im Ausland) übermittelt. Sind unsere Ansprüche an einen sicheren, sensiblen und datenschutzfreundlichen Umgang mit unseren Daten wirklich schon auf so einem Tiefpunkt angekommen? Wie kann es sein, dass solche Anbieter / Apps dazu autorisiert werden, die Verwaltung von aktuell 13,5 Millionen Krankenversicherten zu ermöglichen?”
Vivy-App gibt Daten preis
Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.
Quelle: https://www.golem.de/news/krankenkassen-vivy-app-gibt-daten-preis-1810-137376.html