Nachrichten

Gesundheits-Apps verschleiern die Verwendung der User-Daten

Informatiker und Rechtsexpert:innen der Universität Bremen haben nachgewiesen, dass die Datenschutzerklärungen von Gesundheits-Apps wenig Aufschluss über die Risiken liefern.

Gesundheits- und Fitness-Apps sind sehr beliebt – besonders bei Jugendlichen. Nutzerinnen und Nutzer wissen jedoch in der Regel nicht, wofür ihre gesammelten Gesundheitsdaten seitens der Anbieter verwendet werden. Diese Transparenz soll eigentlich durch die Datenschutzerklärungen der Apps gewährleistet werden, allerdings sind die dort gelieferten Angaben selten aussagekräftig genug für eine informierte Entscheidung. Darüber hinaus verleiten die Apps ihre User oft durch gezielte Design-Entscheidungen zur unreflektierten Einwilligung in die Datennutzung, wie eine gemeinsame Untersuchung von Informatikern des Technologie-Zentrums Informatik und Informationstechnik (TZI) sowie Rechtsexpert:innen des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) der Universität Bremen ergeben hat.

Ihre Ergebnisse haben sie im interdisziplinären Paper „Gesundheitsapps auf dem Prüfstand“ bei der Jahrestagung der Gesellschaft für Informatik und in der „ZD – Zeitschrift für Datenschutz“ veröffentlicht. Vertiefende Einblicke in manipulative Design-Entscheidungen liefert jetzt die Masterarbeit „Dark Patterns und Datenschutzerklärungskonformität in Gesundheits- & Fitness Apps“ von Alexander Herbst, die von Mehrdad Bahrini am TZI betreut wurde. Die rechtliche Expertise brachten Matthias Kohn und Merle Freye vom IGMR ein.

Quellcode und Datenverkehr ausgewertet

Eine Besonderheit der Kooperation besteht in der Beleuchtung des Problems aus drei verschiedenen Blickwinkeln: dem technischen Aspekt, den rechtlichen Implikationen und der Gestaltung der Mensch-Computer-Interaktion (HCI).

Für die technische Analyse der Apps nutzten die TZI-Wissenschaftler verschiedene Methoden aus der IT-Sicherheitsforschung, die auch für die Untersuchung von Schadsoftware verwendet werden. So wurde beispielsweise der Quellcode teilautomatisiert ausgewertet, um die hinterlegten Domains und IP-Adressen offenzulegen – also die Empfangsadressen von Datenübertragungen.

Ergänzend beobachtete Alexander Herbst das App-Verhalten im laufenden Betrieb, auch in zeitlicher Relation zur Eingabe personenbezogener Daten und zur Erteilung der Zustimmung zur Datennutzung. Per Netzwerkanalyse überwachte er darüber hinaus den ein- und ausgehenden Datenverkehr.

Diese Verfahren können nicht alle Datenflüsse aufdecken, aber sie zeichneten bereits ein deutliches Bild. In 35 Prozent der Apps war erkennbar, dass die Übermittlung der Daten in Drittländer nicht den Angaben der Datenschutzerklärungen entsprach. In 15 Prozent der Fälle waren die Empfänger der Datenweitergabe nicht korrekt angegeben. Die Google Advertising-ID wurde in praktisch allen Apps bereits vor einer Zustimmung versendet.

Nichtssagende Kategorien verschleiern die konkrete Nutzung

Dass die Zahlen nicht noch deutlich höher ausfielen, lag vor allem an den schwammigen Formulierungen der Datenschutzerklärungen. Als Empfänger und Zielregionen der Daten nutzten die Anbieter oft sehr allgemeine Kategorien wie „Geschäftspartner“, „Diensteanbieter“ oder „andere Drittländer“. Bei den untersuchten Apps entfielen auf jede genannte Kategorie im Schnitt mehr als zehn unterschiedliche Empfänger:innen. Eine weitere Auffälligkeit: Nur 60 Prozent der Apps, die einen Trackingdienstleister verwendeten, erwähnten diesen Umstand ausdrücklich.

„In dieser Form haben die Datenschutzerklärungen für die betroffenen Personen sehr wenig Aussagekraft und genügen kaum den Anforderungen an Transparenz und Verständlichkeit“, kritisiert Matthias Kohn. Damit entsprächen die Formulierungen nicht dem Anliegen der Datenschutzgrundverordnung (DSGVO) – und sie seien möglicherweise rechtlich anfechtbar.

„Dark Patterns“ in allen Apps

Ein weiteres Problem: Alexander Herbst wies in seiner Untersuchung nach, dass alle analysierten Apps sogenannte „Dark Patterns“ enthielten, die dazu dienen, Anwender:innen unreflektiert zum gewünschten Verhalten zu animieren. So werden die User verleitet, sich nicht ausreichend mit der Datenverarbeitung auseinanderzusetzen.

„Während der Nutzer durch eine gut formulierte Einwilligungserklärung über die Verwendung seiner personenbezogenen Daten informiert werden kann, besteht auch die Möglichkeit, dass er durch bewusst platzierte Designelemente getäuscht wird“, so Alexander Herbst. „Diese können den Nutzer dazu verleiten, der Verarbeitung zuzustimmen, ohne dass er sich über die Inhalte der gesammelten Daten bewusst ist.“

Empfänger:innen und Drittländer sollten konkret benannt werden

Um die gewünschte Transparenz zu erreichen, sollten die Apps in Zukunft deutlich präzisere Angaben machen, fordern die Bremer Wissenschaftler:innen. Dabei gelte es jedoch zu berücksichtigen, dass die Anwenderinnen und Anwender selten die Geduld aufbringen, vor der Einwilligung in die Datenverarbeitung noch lange rechtliche Texte zu lesen. Daher schlagen die Wissenschaftler:innen eine Trennung in zwei verschiedene Dokumente vor: Die Informationen vor der Einwilligung zur Datennutzung sollten möglichst kurz und knapp gehalten werden, während die ausführliche Datenschutzerklärung alle weiteren relevanten Angaben enthält. Die Datenschutzerklärung wäre dann nicht gleichzeitig das Informationsmedium für eine informierte Einwilligung.

Die Wissenschaftler:innen regen an, dass die Empfänger:innen und Drittländer in der Datenschutzerklärung konkret benannt werden müssen, soweit diese Informationen den Anbieter:innen vorliegen. Dagegen könnten Kategorien und Umschreibungen für die informierte Einwilligung zur Datennutzung zulässig sein – sofern sie konkreter gefasst sind als die in der Untersuchung gefundenen Beispiele. Hier bestehe weiterer Forschungsbedarf zur Konzeption solcher Kategorien.

Weitere Informationen:

Kohn, Matthias; Freye, Merle; Bahrini, Mehrdad; Herbst, Alexander (2023): Gesundheits-Apps auf dem Prüfstand –Überprüfung der Angaben in Datenschutzerklärungen zur Datenweitergabe. INFORMATIK 2023 - Designing Futures: Zukünfte gestalten. Bonn: Gesellschaft für Informatik e.V.. PISSN: 1617-5468. ISBN: 978-3-88579-731-9. pp. 677-688. Cybersecurity & Privatsphäre - Recht und Technik. Datenschutz im Diskurs (RuT2023). Berlin. 26.-29. September 2023

https://dl.gi.de/items/cfe1e8ee-a27e-435f-91db-a44fd53df920

Kontakt:
Mehrdad Bahrini

TZI Digital Media Lab
Universität Bremen
Tel.: +49 (0)421 218-64404
Email: mbahrini@uni-bremen.de

Frau hält Smartphone
© Pixabay
Aktualisiert von: TZI