Tadel & Lob (2019)

Apps, Gesundheitsdaten und Kameras

Tadel gehen im Jahr 2019 an Moodtracker-Apps, die Berliner Verkehrs-Gesellschaft und das Edeka-Center in Porta Westfalica. Ein Lob erhält die Freie Ärzteschaft zusammen mit dem IT-Dienstleister Jens Ernst.

Mood Tracker

Die Zahl der Menschen, denen eine Depression diagnostiziert wird, steigt konstant. Das hat mehrere Ursachen. Unter anderem ist das Tabu nicht mehr so stark. Für viele ist das Thema dennoch weiterhin schambehaftet: Sie werten es als Schwäche, traurig, antriebslos und verzweifelt zu sein. Entsprechend hoch ist die Hemmschwelle, mit Freunden oder der Ärztin über solche Gefühle zu sprechen. Deshalb hilft sich die eine oder der andere mit sogenannten Moodtracker-Apps aus: Die helfen, die eigene Stimmung zu reflektieren und einzuordnen, ob man unter einer Depression leidet.

Diese Verletzlichkeit nur mit meinem Smartphone zu teilen, in das nur ich rein schaue – vertraulich und anonym – klingt erstmal sehr verlockend. Leider ist das manchmal gar nicht so anonym: Unternehmen wie Google und Facebook machen selbst vor sensiblen Gesundheitsdaten nicht halt.

Ein beliebter Moodtracker ist beispielsweise Moodpath1. Die App wirbt mit dem Slogan „Wege aus der Depression“ und damit, ein CE-zertifiziertes Produkt zu sein. Außerdem behaupten sie, die Nutzung sei anonym: Es sei keine Anmeldung per E-Mail oder via Facebook nötig. Letzteres stimmt zwar, Anonymität gibt es aber nicht.

Der Tech-Blogger Mike Kuketz hat sich die App genauer angeschaut2 und herausgefunden, welche Daten eben doch – genau! – an die Datenkrake Facebook übermittelt werden:

  • IP-Adresse

  • Google Werbe-ID (82bbc559-8c1d-4202-a9f0-deb029f62a45)

  • Paketname der App (de.moodpath.android)

  • App-Versionsnummer (1.0.5)

  • Android-Version (6.0.1)

  • Gerät (Nexus 5)

  • Displayauflösung (1080, 1800)

  • […]

Das reicht aus, um Sie – ja, Sie höchstpersönlich – als Nutzer.in der App zu identifizieren.

Ähnlich verhält es sich bei dem Online-Angebot Selfapy3. Die Plattform wirbt damit, die Zeit zu überbrücken, bis jemand einen Therapieplatz hat, oder laufende Therapien unterstützend zu begleiten. Angeboten werden Beratungen und Online-Kurse mit ausgebildeten Psychotherapeut.innen. Das Problem: Die Website ist verseucht mit Google-Trackern.

Diverse Datenskandale haben gezeigt, dass auch den größten Unternehmen bei Datensicherheit nicht zu trauen ist. Erst im April 2019 wurde bekannt, dass die Passwörter von Millionen Instagram-Nutzer.innen abhanden gekommen sind, im Mai wurde eine Sicherheitslücke in WhatsApp bekannt, die es erlaubt, Spyware zu installieren – beide Dienste gehören zur Facebook-Unternehmensgruppe4.

Und selbst wenn unsere Daten zumindest nicht gestohlen würden – wollen wir unsere psychische Gesundheit und Krankheit mit einem Unternehmen teilen, dass nicht einmal davor zurückschreckt, psychisch labile Jugendliche seinen Werbekunden als Zielgruppe anzubieten5?

BVG

Eine Lüge begleitet uns schon so lange und begegnet uns so oft im Alltag, dass viele Menschen angefangen haben, sie zu glauben: „Zu Ihrer Sicherheit wird dieser Bereich videoüberwacht“. Alle Studien legen nahe, dass Videoüberwachung vor Gewalt und Terror nicht schützt6. Zugleich ist der Kollateralschaden gewaltig: Wer sich beobachtet fühlt, verhält sich anders. Diesem Überwachungsdruck und dieser Selbstzensur sind alle Menschen ausgesetzt, die sich durch eine Innenstadt bewegen. Kaum noch ein Ort, an dem wir nicht von Kameras angeglotzt und abgefilmt werden.

Transparenz gibt es nicht: Ich weiß nicht, ob die Kamera speichert oder nicht. Ich weiß nicht, wann die Aufnahmen gelöscht werden. Ich weiß nicht ob die Kamera vernetzt ist und wo die Bilddaten hingeschickt werden. Wir sind dem ausgeliefert, solange wir uns im öffentlichen Raum bewegen, und können nichts tun, außer zu hoffen, dass die Betreiber der Überwachungsanlage Gesetze einhalten und wissen, wie IT-Sicherheit geht.

Die Berliner Verkehrsbetriebe (BVG) legt noch einen drauf: Eine Kleine Anfrage im Berliner Senat brachte zum Vorschein, dass die neuen Kameras in den Bahnen und Stationen der BVG neben Bildern auch Tonaufnahmen aufzeichnen und versenden können7.

Die BVG versichert zwar, die Mikrofone seien deaktiviert, überprüfen können die Fahrgäste das jedoch nicht. Außerdem zeigt die Erfahrung: Überwachungstechnik, die einmal angeschafft wurde, wird irgendwann genutzt. Nie wird die Anschaffung von Überwachungsanlagen als Fehlschlag abgehakt und wieder entfernt. Meistens werden sie ausgebaut und für immer mehr Zwecke verwendet.

So viel Vertrauen von allen Fahrgästen zu verlangen, erscheint absurd. Vor allem, wenn das fragliche Unternehmen seinen Fahrgästen offenbar genug misstraut, um sie zu jeder Zeit aus mehreren Winkeln mit Kameras zu überwachen.

Eigentlich sollte längst klar sein: Sicherheit braucht weder Kameras noch Mikrofone. Menschen, die aufeinander Acht geben und in Notsituationen couragiert eingreifen, funktionieren da besser.

[In einer vorherigen Version dieses Artikels stand "Berliner Verkehrsgesellschaft". Diesen Fehler haben wir 11.06.2019 korrigiert.]

„Smart Cart“ – Edeka in Porta Westfalica

„Der modernste Einkaufswagen der Welt!“ Dieser Werbeslogan eines datensammelnden Startups und des Edeka-Centers in Porta-Westfalica wirkt etwas gequält. Gemeint ist der sogenannte „EASY Shopper“8, ein vernetzter Einkaufswagen, der den Kund.innen die ultimative Bequemlichkeit verspricht: Selber scannen, und dafür nicht lange an der Kasse anstehen. Auf dem eingebauten Tablet das gesuchte Produkt eingeben und per GPS direkt dort hin navigiert werden. Tolle Rabatt-Aktionen, und: Schon zuhause die Einkaufsliste erstellen und den Wagen müssen Sie dann im Laden nur noch dahin schieben, wo er es sagt!

Woher der Wagen Ihre Einkaufsliste kennt? Genau da liegt der Haken.

Die Wägen können auf zwei Wegen aktiviert werden: Mit der dazugehörigen App, oder mit der „DeutschlandCard“ – eine Rabattkarte à la Payback, die sich für die teilnehmenden Unternehmen nur durch Datenhandel lohnt. gespeichert werden die Vorlieben der Einkaufenden: Kaffee oder Tee, Billig-Fleischwurst oder veganer Bioaufstrich, Menstruationstasse oder Binden, das Klopapier recyclet oder extra weich …

Diese Daten zu erheben, zu speichern, zu verkaufen ist schamlos – das auch noch im Superlativ als „modern“ zu bewerben erst recht.

Wir haben es schon mal gesagt – damals ging es um Gesichtserkennung und personalisierte Werbung9: Lieber Einzelhandel, wir mögen es, unüberwacht und anonym einzukaufen. Im Internet ist das leider nahezu unmöglich, im Offline-Laden geht das – noch! Und wir wollen, dass das so bleibt. Bitte macht euch dieses Alleinstellungsmerkmal nicht selber kaputt!

Lob: Freie Ärzteschaft und Jens Ernst

Unter dem Titel Telematik soll eine Infrastruktur aufgebaut werden, um Gesundheitsdaten zwischen Arztpraxen, Krankenkassen und Apotheken auszutauschen. Das ist ein Teil der Umstellung auf die elektronische Gesundheitskarte, die eCard. Umsetzen soll das die Gematik, die „Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH“.

Der Austausch von Gesundheitsdaten über das Internet ist an sich problematisch. Die grundsätzliche Kritik daran sei hier aber nur am Rande erwähnt.

Hier geht es um Sorgfalt bei der IT-Sicherheit. Für die Anbindung an die Telematik-infrastruktur müssen Praxen und Krankenhäuser zertifizierte Konnektoren kaufen und installieren lassen. Das ist leider ordentlich schief gegangen.

In hunderten von Arztpraxen wurden bei der Installation der Konnektoren, durch eine falsche Konfiguration, die Firewall und Antivirenprogramme deaktiviert: Die Daten aller Patientinnen und Patienten hingen schlecht geschützt im Netz. Die Verantwortung für den Fehler will die Gematik auf die umsetzenden Dienstleister und die Ärzte abschieben. Diese stehen massiv unter Druck, weil Strafzahlungen drohen, wenn sie nicht bis Ende Juni 2019 – also bis Ende dieses Monats! – an die Infrastruktur angeschlossen sind.

Nur dort, wo aufmerksame IT-Arbeiter.innen der Praxen den Telematik-Admins auf die Finger geschaut haben, ist dieser grobe Fehler aufgefallen. Vor allem Jens Ernst: Er pflegt die IT einiger Ärzt.innen und hat die Schlamperei öffentlich gemacht. Das ist Courage! Dieses Lob gebührt Jens Ernst und allen anderen Menschen in freien Arztpraxen, die fahrlässigen Umgang mit sensiblen Daten sehen und sich Arbeit machen, um die Öffentlichkeit zu informieren und das Problem hinter dem einzelnen Fall zu lösen.

Jahr
Kategorie

Über die BigBrotherAwards

Spannend, unterhaltsam und gut verständlich wird dieser Datenschutz-Negativpreis an Firmen, Organisationen und Politiker.innen verliehen. Die BigBrotherAwards prämieren Datensünder in Wirtschaft und Politik und wurden deshalb von Le Monde „Oscars für Datenkraken“ genannt.

Ausgerichtet von (unter anderem):

BigBrother Awards International (Logo)

BigBrotherAwards International

Die BigBrotherAwards sind ein internationales Projekt: In bisher 19 Ländern wurden fragwürdige Praktiken mit diesen Preisen ausgezeichnet.