Datenschutz bei Gesundheits-Apps
Der Anbieter der digitalen Gesundheitsanwendung (DiGA) edupression hat sich Daten von mehr als 2.000 Nutzer:innen stehlen lassen, die die App wegen psychischer Probleme genutzt haben. Darüber berichtete Zeit Online Anfang Mai 2023.1
Datenschutz-Aktivisten hätten die persönlichen Angaben und Gesundheitsdaten „abgezogen“, um auf Sicherheitsprobleme der App aufmerksam zu machen, teilte das Unternehmen Betroffenen mit. Deshalb sei das Risiko gering, dass die Daten in Umlauf kämen. Ausschließen lasse sich das aber nicht. Die Aktivisten wiesen darauf hin, dass es außer der identifizierten, schlecht gesicherten Schnittstelle möglicherweise weitere Sicherheitsprobleme geben könnte.
Edupression ist nicht die erste DiGA mit Sicherheitsproblemen. Dieselbe Hacker-Gruppe konnte bereits im Vorjahr bei einer weiteren App zur Behandlung von Depressionen und einer für die Begleitung von Frauen mit Brustkrebs die Sicherheitsvorkehrungen umgehen.
Künftig sollen bei DiGA strengere Datenschutz-Regeln gelten, die Apps müssen sich dann durch eine beauftragte Stelle zertifizieren lassen. Bis Anfang 2025 müssen die Anbieter ein entsprechendes Zertifikat vorlegen. Ursprünglich sollte das bereits ab 2023 erforderlich sein.
DiGA sind Apps, die als Medizinprodukte zertifiziert sind und bestimmte Anforderungen erfüllen müssen. Dann übernehmen die gesetzlichen Krankenversicherungen die Kosten. Der Nutzen ist bei vielen DiGA jedoch umstritten.
Stand: 30. Juni 2023 – Gute Pillen – Schlechte Pillen 04/2023 / S.15