Gestern Vormittag habe ich kurz mit Judith Horchert von Spiegel Online telefoniert und ihr ein paar Fragen zur »Datenschutz-Bruchlandung« der Gesundheits-App Vivy beantwortet. Entstanden ist dann dieser Beitrag: Neue Gesundheits-App Vivy: „Ich kann von einer Nutzung nur abraten“.

Die Reaktionen auf den Beitrag waren sehr gemischt. Neben vielen positiven Stimmen wurde ich natürlich auch mit negativen Meinungen konfrontiert. Auf ein paar Reaktionen aus dem Netz möchte ich kurz eingehen.

Kein Wunder, dass Deutschland im Bereich Technologie in Zukunft keine Rolle spielen kann. Beitrag und Kommentare sprechen Bände der Unkenntnis. Wann verstehen wir, dass Datenschutz nicht bedeutet keine Daten analysieren oder nutzen zu dürfen?

Solche eindimensionalen Aussagen höre ich leider oft, doch im Kern der Sache bringen sie uns leider nicht weiter. Für mich bedeutet Datenschutz: Respekt vor den Daten anderer zu haben. Dieser Respekt zeigt sich, wenn ich jemanden bspw. um Erlaubnis bitte, ob ich seine Daten für Analysezwecke nutzen darf. Pauschal davon auszugehen, dass Daten einfach für Analysezwecke herangezogen werden dürfen, halte ich für die falsche Herangehensweise.

Weiter geht’s mit einem Sammelsurium von Meinungen, die alle in die selbe Kerbe hauen:

[1] Ich habe bis vor kurzem für 10 Jahre im Ausland gelebt, und erlebe nun zurück in Deutschland mit Schrecken ein Land voller Zyniker, Angsthasen und jenen, die eine fast schon perverse Lust am Zerreden von jeglichem Fortschritt verspüren. In spätestens 20 Jahren wird man sehen, was man davon hat. Software is eating the world, und Deutschland wird von anderen, die mutig die Chancen der Digitalisierung nutzen, den Rang abgelaufen bekommen. Bis dahin werden die sogenannten „Datenschutzexperten“ mit Freude weiter jegliche Versuche, Deutschland aus der digitalen Wüste ans Wasser zu führen im Keim ersticken. [2] Wo Spinner und ewige Angsthasen den Ton angeben da ist Deutschland. Kein wunder wenn es IT mäßig in unserem Land immer weiter nach hinten geht. [3] Das ist jetzt mal wieder ein rückwärts gewandter Artikel erst Güte. Nur Probleme, keine Chancen. Kein Wunder, dass die Sicherheitsprüfungen an eine Firma in San Francisco auslagert werden mussten. In Deutschland gab es offensichtlich nichts vergleichbares. Mit der Einstellung der Autorin und des besserwissersichen Prüfers wird die digitale Revolution im Gesundheitswesen ausserhalb Deutschlands stattfinden. Bis auf Weiteres können Sie dann die Daten über ihr Leben Facebook, Google und Co. anvertauen.

Auch mit solchen Meinungen werde ich des Öfteren konfrontiert. Sie stammen insbesondere von jenen Menschen, die die Komplexität und Risiken, die mit unserer vernetzten IT einhergehen, (noch) nicht verstanden haben. Ich halte es für falsch den Datenschutz als Ursache für die drittklassige Digitalisierung in unserem Land verantwortlich zu machen. Die Probleme sitzen tiefer – diese platte Stammtisch-Rhetorik nützt keinem. Mir persönlich ist es unbegreiflich, weshalb das Thema Datenschutz in Deutschland noch immer nicht als Chance verstanden wird, sondern als »Digitalisierungsverhinderer«.

Auf ein paar Aussagen von Christian Rebernik (Geschätsführer Vivy) möchte ich auch noch kurz eingehen:

Konfrontiert mit dieser Kritik betonte die Herstellerfirma auf SPIEGEL-Anfrage, „dass allein der Vivy-Nutzer Zugriff auf seine persönlichen Daten hat“. In den Fällen, in denen mit Anbietern von Analysewerkzeugen zusammengearbeitet werde, gehe es „ausschließlich um technische Informationen“, die „notwendig sind, um technische Fehler frühzeitig zu erkennen und fortlaufend die Funktionalität und Nutzererfahrung von Vivy zu verbessern“.

Was sind denn persönliche Daten Herr Rebernik?

Auch wenn das keiner gerne hören will. Meiner Ansicht nach gibt es heute praktisch keine Daten mehr ohne Personenbezug. Denn durch die Masse an bereits gesammelten Daten wird es immer irgendjemanden geben, der aus einem Datum (Daten) einen Personenbezug herleiten kann.

Die Übermittlung der ausgewählten Krankenkasse ist im Übrigen keine »technische Information«, darüber sind wir uns glaube ich einig. Wenn die Informationen unbedingt notwendig sind, um »technische Fehler frühzeitig zu erkennen und die Nutzererfahrung von Vivy zu verbessern«, weshalb erheben Sie diese Daten dann nicht selbst bzw. vertrauen an dieser Stelle diversen Drittanbietern?

„Bei uns steht der Nutzer im Vordergrund“, heißt es von Vivy. „Damit seine Erfahrung so angenehm, reibungslos und vor allem zuverlässig wie möglich ist, benötigen wir bestimmte technische Informationen.“

Wenn bei Vivy tatsächlich der Nutzer im Vordergrund steht, weshalb lasst ihr dem Nutzer dann keine Wahl, euch diese offenbar benötigten Informationen zur Verfügung zu stellen? Weder aus der Datenschutzerklärung, noch an einer anderen Stelle erfährt der Nutzer, an welche Analysedienste seine Daten einfach ungefragt weitergereicht werden. Insbesondere in einer App, die sensible Gesundheitsdaten verarbeitet, wäre ein Opt-In in eine Datenanalyse das Minium an Transparenz und Respekt vor dem Nutzer.

Auch die Zustimmung zur Datenschutzerklärung sei „an einer nutzerfreundlichen Stelle des Registrierungsprozesses“ eingebaut worden. „Vivy ist ein riesiger Schritt in Richtung Digitalisierung im Gesundheitswesen, ein Quantensprung in Bezug auf Nutzerfreundlichkeit bei Gesundheitsdaten“, schreibt Vivy-Chef Christian Rebernik dem SPIEGEL.

Nein, die Zustimmung zur Datenschutzerklärung ist nach meiner Auffassung an keiner »nutzerfreundlichen« Stelle untergebracht. Gerade die Verantwortlichen einer Gesundheits-App sollten sich vor Augen führen, dass mit jeder Datenverbindung personenbezogene Daten übermittelt werden. Denn laut dem Europäischen Gerichtshof ist bereits eine IP-Adresse ein personenbezogenes Datum (siehe auch DSGVO, Art. 4 Abs. 1), bzw. kann einen Personenbezug zulassen. Das wiederum hat zur Konsequenz, dass es für jede aufgebaute Verbindung bzw. für mit der Software durchgeführten Datenverarbeitungen, stets einer Legitimation bedarf.

Fazit: Vivy hat Fehler gemacht. Anstatt sich diese einzugestehen wird am falsch eingeschlagenen Kurs festgehalten. Eine Gesundheits-App muss das Vertrauen seiner Nutzer haben und die höchsten Anforderungen an Datenschutz und Sicherheit erfüllen – andernfalls wird sie nicht lange am Markt bestehen. Privacy by Design und Datensparsamkeit wären da schonmal ein Anfang…

Hiermit schließe ich die Akte Vivy – es gibt noch weitere Themen, denen ich mich nun widmen möchte.

Gesundheits-App Vivy: Stimmen und Reaktionen