Digitale Gesundheits-Apps geben hochsensible Daten preis
Das Hackerkollektiv Zerforschung hat sich Digitale Gesundheits-Apps angesehen. Das Ergebnis ist ernüchternd: Der Datenschutz war mangelhaft.
Apps auf Rezept mit Datenschutzverstößen
(Bild: heise online)
Digitale Gesundheits-Apps (DiGA) sollen bei vielerlei Erkrankungen und Beschwerden technische Hilfestellung leisten und Vorgänge wie das Anlegen von Tagebüchern erleichtern. Das Hackerkollektiv Zerforschung hat zwei DiGAs unter die Lupe genommen und dabei erhebliche Sicherheitsmängel gefunden.
Kaum wirksame Sicherungsmechanismen im Einsatz
Zerforschung stieß auf teilweise haarsträubende Schwachstellen. Die App Novego etwa soll Menschen mit Depressionen unterstützen. Da die DSGVO vorschreibt, dass Patienten ihre Daten exportieren können müssen, bietet Novego das auch an. Der Download erfolgt über einen Link mit einer kurzen Nummer am Ende, die sich als Nutzer-ID entpuppt. Es ließen sich durch Änderung der Zahlen die Daten anderer App-Nutzer herunterladen. Darin fanden sich neben der Mail-Adresse auch Geschlecht, welches Therapie-Programm genutzt wird, sowie Ergebnisse von Selbsteinstufungen, die den Schweregrad der Depression erfassen sollen.
Die App Cankado hingegen soll Brustkrebs-Patienten bei der Einstufung von Beschwerden helfen, ob diese ärztlich abgeklärt werden sollten. Hier kann sich jeder als Ärztin oder Arzt registrieren. Aufgrund weiterer fehlender Prüfungen gelangen mittels API-Zugriffen dann auch Einsichten in Daten anderer Ärzte respektive Einrichtungen. Darin enthalten: Name, E-Mail, Adresse, Klartext-Passwörter, Diagnosen, Tagebuchdaten, Arztberichte und weitere schützenswerte, höchst private Informationen.
Die IT-Zerforscher haben die Hersteller kontaktiert und diese nach eigener Auskunft die Fehler inzwischen behoben. Dennoch zeigen diese Tests, dass die IT-Sicherheit sowie der Patienten-Datenschutz bei DiGAs offenbar öfters keine Priorität besitzt. Der Hackerverbund bringt es folgendermaßen auf den Punkt: "Patient*innendatensicherheit ist nicht optional. Nicht etwas, das man noch 'nachziehen' kann, nachdem eine App schon ein Jahr lang von Patient*innen benutzt wurde. Wenn eine App marktreif genug ist, um Patient*innen-Daten zu verarbeiten, muss sie auch reif genug sein, diese für sich zu behalten. Daher sehen wir momentan keinen anderen Weg, als alle Apps, die noch keine ausreichenden Sicherheitsvorkehrungen implementiert haben, vorerst vom Markt zu nehmen."
DiGA-Kosten in der Kritik
Solche eklatanten Sicherheitsmängel wiegen umso schwerer, als dass die Kosten der auf Rezept verschreibbaren DiGAs horrend hoch sind – im Schnitt 400 Euro pro Quartal, berichtet die Pharmazeutische Zeitung. Lag der durchschnittliche Preis der DiGAs im Oktober 2020 noch bei 329 Euro, stieg er im März 2022 auf 456 Euro, nach Preiserhöhungen durch vier Hersteller. Krankenkassen, die die Kosten kritisieren, erfahren teils als Rechtfertigung, dass die Anforderungen an die Sicherheit und den Datenschutz diese treiben würden.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Verschreibungsfähige DiGAs werden vom Bundesinstitut für Arzneimittel und Medizinprodukte (BfARM) geprüft und landen im DiGA-Verzeichnis des BfArM. Bei den Prüfungen zu Marktzugangsvoraussetzungen und damit bei der CE-Zertifizierung der DiGAs sei man nicht eingebunden, teilte ein Sprecher des BfArM heise online mit. Die Hersteller zertifizieren ihre Produkte selbst, gegebenenfalls unter Einbeziehung einer Medizinprodukt-Zertifizierungsstelle. Das Prüfverfahren folge anschließend und zielt vorrangig auf die Verordnungs- und Erstattungsfähgikeit der gelisteten Apps ab.
Auf Nachfrage von heise online hat das BSI darauf verwiesen, dass das BfArM dafür zuständig ist, die selbst erstellten Zertifizierungen der Hersteller anzuerkennen: "Eine Anerkennung der Zertifizierung nach Technischer Richtlinie für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM)." Für 2023 soll es zudem weitere datenschutzrechtliche Anforderungen an DiGAs geben, wonach dann auch ein Datenschutzsicherheitszertifikat des BSI erforderlich sein wird. Die technische Richtlinie zu "bisherigen Anforderungen an mobile Anwendungen um die Bereiche Web-Anwendungen und Hintergrundsysteme" wurde bereits am 3. Juni 2022 erweitert.
Mit dem Gesetz zur digitalen Modernisierung von Versorgung und Pflege wurde 2019 der Weg für die DiGAs geebnet, eine Aufnahme in die Regelversorgung erfolgte. Seit Herbst 2020 ist es Ärztinnen und Ärzten möglich, Patienten die Apps auf Rezept zu verschreiben.
Eine vorläufige Aufnahme ist auch ohne hinreichende Evaluierung der Wirksamkeit möglich. Eine dauerhafte Aufnahme kann nach 24 Monaten im Zuge von Verhandlungen mit den Krankenkassen erfolgen, wobei der Hersteller dazu die Wirksamkeit der App nachweisen muss. Zu einer abgeschlossenen Verhandlung ist es nach Angaben von Apotheke Adhoc bislang allerdings erst einmal gekommen.
Details zum Zulassungsprozess der DiGAs ergänzt.
Derzeit prüft das Bundesgesundheitsministerium in Zusammenarbeit mit dem BfArM die Verantwortlichkeiten bei den Datenlecks, so Susanne Ozegowski, Leiterin der Abteilung 5 Digitalisierung und Innovation, gegenüber dem Handelsblatt.
Lesen Sie auch
E-Rezept-App hat noch einige Kinderkrankheiten
(dmk)