Experten warnen: Finger weg von Gesundheits-App "Vivy"

Berlin - Mit der neuen Handy-App "Vivy" können Krankenversicherte ihre Gesundheitsdaten selbst verwalten. Klingt gut? Sicherheitsexperten raten trotzdem ab!

Ein Handyschirm zeigt ein Röntgenbild eine Fußes, aufgenommen bei der Vorstellung der neuen digitalen Gesundheitsakte "Vivy".
Ein Handyschirm zeigt ein Röntgenbild eine Fußes, aufgenommen bei der Vorstellung der neuen digitalen Gesundheitsakte "Vivy".  © Michael Kappeler/dpa

Rund 13,5 Millionen Versicherte sollen die App seit 17. September schon nutzen können, hieß es von den beteiligten Kassen. Dazu gehören die DAK-Gesundheit, mehrere Innungskranken- und Betriebskrankenkassen sowie die Allianz Private Krankenversicherung und die Barmenia.

Doch bald soll "Vivy" für weitere Versicherungen offen stehen und dann rund 25 Millionen Versicherte erreichen.

25 Millionen! Und die liefern jede Menge Daten. Aber sind die auch sicher? Ein IT-Sicherheitsexperte sagt: Nein!

Auf seinem Blog erklärt Mike Kuketz genau, warum die App besser nicht genutzt werden sollte. Gleich am Anfang warnt der Sicherheitsberater, dass unmittelbar nach dem Start der App erstmal verschiedene Analysefirmen - alle mit Sitz in den USA - kontaktiert und mit Daten vom Handy beliefert werden. Darunter sei auch "Mixpanel", "die schon mehrfach negativ aufgefallen ist", so Kuketz.

Interaktion mit dem Hersteller der App oder mit einer Krankenkasse? Finden bis dahin nicht statt. Stattdessen wandern Geräte- und Metadaten als Erstes an besagte Drittanbieter.

Daten landen bei Drittanbietern mit Sitz im Ausland

In der digitalen Akte können etwa Befunde, Laborwerte und Röntgenbilder gespeichert werden.
In der digitalen Akte können etwa Befunde, Laborwerte und Röntgenbilder gespeichert werden.  © Michael Kappeler/dpa

Vivy funktioniert auch nur mit einem Nutzer-Konto. Dazu muss man seinen Namen und die Krankenversicherung angeben. Die Daten würden ebenfalls an "Mixpanel" übersendet. Und so geht es auch weiter. Auswahl der Krankenkasse, E-Mail-Adresse und Passwort - "auch dieser Schritt wird wieder von Mixpanel verfolgt bzw. protokolliert".

Kuketz hat genug gesehen, nach der Registrierung bricht er ab.

Sein Fazit: "Eine App, die sensible Gesundheitsdaten verarbeitet, sollte die höchsten Anforderungen und (Nutzer-)Ansprüche an Datenschutz und Sicherheit erfüllen – bei Vivy kann ich das leider nicht erkennen."

Denn erst, nachdem "zahlreiche Informationen an Drittanbieter (Tracking-Unternehmen im Ausland)" übermittelt wurden, besteht die Möglichkeit, dass der Nutzer in die Datenschutzerklärung einwilligen kann.

"Sind unsere Ansprüche an einen sicheren, sensiblen und datenschutzfreundlichen Umgang mit unseren (Gesundheits-)Daten wirklich schon auf so einem Tiefpunkt angekommen? Wie kann es sein, dass solche Anbieter / Apps dazu autorisiert werden, die Verwaltung von aktuell 13,5 Millionen Krankenversicherten zu ermöglichen?", fragt sich Kuketz.

Und weiter: "Die App wirft etliche Fragen auf – persönlich kann ich von einer Nutzung nur abraten." Dazu würde auch schon ein kritischer Blick in die Datenschutzerklärung reichen.

Sensible Daten gehören nichts aufs Handy

 Christian Rebernik, Gründer und Geschäftsführer von "Vivy".
Christian Rebernik, Gründer und Geschäftsführer von "Vivy".  © Michael Kappeler/dpa

Wie der "Spiegel" berichtet, möchte der Hersteller aber nicht auf die umstrittenen Analysedienste verzichten. Um die App so reibungslos wie möglich zu gestalten, würden laut Vivy eben bestimmte technische Informationen benötigt.

Das sieht auch die Datenschützerin Rena Tanges vom Bielefelder Verein Digitalcourage kritisch. "Das Smartphone sei keineswegs ein sicherer Ort für sensible Daten, sagt sie, sondern könne ein Einfallstor sein, wenn das Gerät etwa mit Schadsoftware infiziert werde" (Spiegel).

Unterdessen preist der Hersteller nur die Vorzüge der App an: Sie erinnert an den nächsten Impftermin oder die Vorsorgeuntersuchung, ganze Medikationspläne könnten abgespeichert werden, genauso Mutterpass, Überweisungen und Informationen vom Fitnesstracker. Das solle im Praxisalltag vieles einfacher machen und Doppeluntersuchungen vermeiden helfen.

Und was sagt der Hersteller zur Datensicherheit? Die Daten der Nutzer seien sicher, nur die Nutzer würden über deren Verwendung entscheiden, betonen die Verantwortlichen. Die Versicherer, der beteiligte IT-Dienstleister Bitmarck oder die Vivy GmbH hätten keinen Zugriff.

Bei jeder Datenübertragung gebe es mehrstufige Sicherheitsprozesse und eine Verschlüsselung, für die nur der Versicherte den Schlüssel habe. Es sei als sichere Plattform zertifiziert und als Medizinprodukt zugelassen. Von den Drittanbietern war erst gar nicht die Rede.

Titelfoto: Michael Kappeler/dpa


WhatsApp Wir bei WhatsApp: 0160 - 24 24 24 0