Datenschutz

Angesichts der ungesunden Datenerfassungsgewohnheiten einiger mHealth-Apps sollten Sie bei der Auswahl der Personen, mit denen Sie einige Ihrer sensibelsten Daten teilen, vorsichtig vorgehen

Phil Muncaster

März 19 2024
 • 
,
5 Minute. lesen

In der heutigen digitalen Wirtschaft gibt es für fast alles eine App. Ein Bereich, der stärker boomt als die meisten anderen, ist das Gesundheitswesen. Von Perioden- und Fruchtbarkeits-Trackern bis hin zu psychischer Gesundheit und Achtsamkeit stehen mobile Gesundheitsanwendungen (mHealth) zur Verfügung, die bei fast jeder Erkrankung helfen können. Tatsächlich ist es ein Markt, der bereits ein zweistelliges Wachstum verzeichnet und sich voraussichtlich lohnen wird ein geschätzter 861 Mrd. USD von 2030.

Aber wenn Sie diese Apps nutzen, geben Sie möglicherweise einige der sensibelsten Daten weiter, die Sie besitzen. Tatsächlich ist die DSGVO klassifiziert Medizinische Informationen gelten als Daten einer „besonderen Kategorie“, was bedeutet, dass sie bei Offenlegung „erhebliche Risiken für die Grundrechte und Grundfreiheiten des Einzelnen mit sich bringen könnten“. Aus diesem Grund schreiben die Aufsichtsbehörden den Organisationen vor, zusätzliche Schutzmaßnahmen zu ergreifen.

Leider haben nicht alle App-Entwickler das Wohl ihrer Nutzer im Blick oder wissen immer, wie sie diese schützen können. Sie können an Datenschutzmaßnahmen sparen, oder auch nicht immer mach es klar darüber, wie viele Ihrer persönlichen Daten sie an Dritte weitergeben. Werfen wir vor diesem Hintergrund einen Blick auf die größten Datenschutz- und Sicherheitsrisiken bei der Verwendung dieser Apps und wie Sie für die Sicherheit sorgen können.

Was sind die größten Datenschutz- und Sicherheitsrisiken für Gesundheits-Apps?

Die Hauptrisiken bei der Nutzung von mHealth-Apps lassen sich in drei Kategorien einteilen: unzureichende Datensicherheit, übermäßiger Datenaustausch und schlecht formulierte oder absichtlich ausweichende Datenschutzrichtlinien.

1. Bedenken hinsichtlich der Datensicherheit

Diese sind oft darauf zurückzuführen, dass Entwickler die Best-Practice-Regeln zur Cybersicherheit nicht einhalten. Dazu könnten gehören:

• Apps, die nicht mehr unterstützt werden oder keine Updates erhalten: Anbieter verfügen möglicherweise nicht über ein Programm zur Offenlegung/Verwaltung von Schwachstellen oder haben wenig Interesse an der Aktualisierung ihrer Produkte. Was auch immer der Grund sein mag: Wenn Software keine Updates erhält, bedeutet das, dass sie möglicherweise mit Schwachstellen übersät ist, die Angreifer ausnutzen können, um Ihre Daten zu stehlen.
• Unsichere Protokolle: Apps, die unsichere Kommunikationsprotokolle verwenden, können Benutzer dem Risiko aussetzen, dass Hacker ihre Daten auf dem Weg von der App zum Back-End oder zu den Cloud-Servern des Anbieters abfangen, wo sie verarbeitet werden.
• Keine Multi-Faktor-Authentifizierung (MFA): Die meisten seriösen Dienste bieten heute MFA an, um die Sicherheit in der Anmeldephase zu erhöhen. Ohne sie könnten Hacker durch Phishing oder einen separaten Verstoß (wenn Sie Passwörter in verschiedenen Apps wiederverwenden) an Ihr Passwort gelangen und sich anmelden, als ob sie Sie wären.
• Schlechte Passwortverwaltung: Zum Beispiel Apps, die es Benutzern ermöglichen, die werkseitig voreingestellten Passwörter beizubehalten oder unsichere Anmeldeinformationen wie „passw0rd“ oder „111111“ festzulegen. Dadurch ist der Benutzer Credential Stuffing und anderen Brute-Force-Versuchen ausgesetzt, seine Konten zu knacken.
• Unternehmenssicherheit: App-Unternehmen verfügen möglicherweise auch über begrenzte Sicherheitskontrollen und -prozesse in ihrer eigenen Datenspeicherumgebung. Dazu können eine unzureichende Sensibilisierung der Benutzer, eingeschränkte Anti-Malware- und Endpunkt-/Netzwerkerkennung, keine Datenverschlüsselung, eingeschränkte Zugriffskontrollen und kein vorhandenes Schwachstellenmanagement oder Vorfallreaktionsprozesse gehören. All dies erhöht die Wahrscheinlichkeit einer Datenschutzverletzung.

2. Übermäßiger Datenaustausch

Die Gesundheitsinformationen (PHI) der Benutzer können hochsensible Details zu sexuell übertragbaren Krankheiten, Substanzzusätzen oder anderen stigmatisierten Zuständen enthalten. Diese können an Dritte verkauft oder weitergegeben werden, einschließlich Werbetreibenden für Marketingzwecke und gezielte Werbung. Unter den Beispielen von Mozilla notiert sind mHealth-Anbieter, die:

• Informationen über Benutzer mit Daten kombinieren, die von Datenbrokern, Social-Media-Sites und anderen Anbietern gekauft wurden, um vollständigere Identitätsprofile zu erstellen,
• Benutzern nicht erlauben, die Löschung bestimmter Daten anzufordern,
• Rückschlüsse auf Benutzer ziehen, wenn sie Anmeldefragebögen ausfüllen, in denen aufschlussreiche Fragen zu sexueller Orientierung, Depression, Geschlechtsidentität und mehr gestellt werden,
• Sitzungscookies von Drittanbietern zulassen, die Benutzer auf anderen Websites identifizieren und verfolgen, um relevante Anzeigen zu schalten,
• Erlauben Sie die Sitzungsaufzeichnung, die Mausbewegungen, Scrollen und Tippen des Benutzers überwacht.

3. Unklare Datenschutzrichtlinien

Einige mHealth-Anbieter sind möglicherweise nicht offen über einige der oben genannten Datenschutzpraktiken, verwenden eine vage Formulierung oder verbergen ihre Aktivitäten im Kleingedruckten der AGB. Dies kann den Benutzern ein falsches Gefühl von Sicherheit/Privatsphäre vermitteln.

Was das Gesetz sagt,

• DSGVO: Europas Flaggschiff-Datenschutzgesetz ist ziemlich eindeutig in Bezug auf Organisationen, die mit PHI der besonderen Kategorie umgehen. Entwickler müssen Datenschutz-Folgenabschätzungen durchführen, die Grundsätze des Rechts auf Löschung und Datenminimierung befolgen und „geeignete technische Maßnahmen“ ergreifen, um sicherzustellen, dass „die notwendigen Sicherheitsvorkehrungen“ zum Schutz personenbezogener Daten integriert sind.
• HIPAA: Von kommerziellen Anbietern zur Nutzung durch Einzelpersonen angebotene mHealth-Apps fallen nicht unter HIPAA, da Anbieter keine „abgedeckte Einheit" oder "Geschäftspartner.“ Bei einigen ist dies jedoch der Fall – und erfordert entsprechende administrative, physische und technische Sicherheitsvorkehrungen sowie eine jährliche Überprüfung Risikoanalyse.
• CCPA und CMIA: Einwohner Kaliforniens verfügen über zwei Gesetze zum Schutz ihrer Sicherheit und Privatsphäre im mHealth-Kontext: den Confidentiality of Medical Information Act (CMIA) und den California Consumer Privacy Act (CCPA). Diese verlangen ein hoher Datenschutzstandard und eine ausdrückliche Einwilligung. Sie gelten jedoch nur für Kalifornier.

Maßnahmen ergreifen, um Ihre Privatsphäre zu schützen

Jeder Mensch hat eine andere Risikobereitschaft. Einige werden den Kompromiss zwischen personalisierten Diensten/Werbung und Datenschutz als einen Kompromiss empfinden, den sie bereit sind, einzugehen. Andere stört es möglicherweise nicht, wenn medizinische Daten verletzt oder an Dritte verkauft werden. Es geht darum, die richtige Balance zu finden. Wenn Sie besorgt sind, bedenken Sie Folgendes:

• Recherchieren Sie vor dem Herunterladen. Sehen Sie, was andere Benutzer sagen und ob es Warnsignale von vertrauenswürdigen Rezensenten gibt
• Begrenzen Sie, was Sie über diese Apps teilen, und gehen Sie davon aus, dass alles, was Sie sagen, geteilt werden kann
• Verbinden Sie die App nicht mit Ihren Social-Media-Konten und verwenden Sie diese nicht zur Anmeldung. Dadurch wird die Datenweitergabe an diese Unternehmen eingeschränkt
• Erteilen Sie den Apps keine Erlaubnis um auf die Kamera, den Standort usw. Ihres Geräts zuzugreifen.
• Beschränken Sie die Anzeigenverfolgung in den Datenschutzeinstellungen Ihres Telefons
• Verwenden Sie immer MFA, sofern angeboten, und erstellen Sie sichere, eindeutige Passwörter
• Halten Sie die App auf der neuesten (sichersten) Version

Seit Roe vs. Wade gestürzt wurde, hat die Debatte über den Datenschutz im mHealth-Bereich eine besorgniserregende Wendung genommen. Manche haben Alarm geschlagen dass Daten von Perioden-Trackern bei der Strafverfolgung gegen Frauen verwendet werden könnten, die ihre Schwangerschaft abbrechen wollen. Für eine wachsende Zahl von Menschen, die nach datenschutzkonformen mHealth-Apps suchen, könnte der Einsatz nicht höher sein.