Was Ada sich leistet, ist ein starkes Stück. Man hat sich ja fast schon dran gewöhnt, dass praktisch jede Website, App und Online-Spiel alle möglichen Tracker einbindet (was es nicht besser macht), aber Gesundheits- und Versicherungsdaten an Amplitude beziehungsweise Facebook weiterzugeben ist schon sehr ungeniert.

Ein Kommentar von Sylvester Tremmel Sylvester Tremmel hat Informatik und Philosophie studiert und als Entwickler und Administrator gearbeitet. Jetzt schreibt er für c't und heise online, unter anderem über Netzpolitik, IT-Sicherheit und Datenschutz.

Deutschland ist traditionell ein Markt, in dem Privatsphäre vergleichsweise hoch gehalten wird, und Gesundheitsdaten sind besonders sensibel. Gerade von einem Unternehmen, das in diesem Markt beheimatet ist, in diesem Markt operiert und mit solchen Daten hantiert, darf man mehr erwarten. Man darf sogar geradezu mustergültigen Umgang mit Daten erwarten – jeder Arzt und Apotheker unterliegt schließlich auch strengen Verschwiegenheitspflichten und für die ist es keineswegs "ein übliches Vorgehen", die Symptome ihrer Patienten auf Systemen von Drittfirmen im Ausland zu verwalten.

Überhaupt ist es bezeichnend, wie uneinsichtig Ada sich gibt: Erst wird bestritten, dass Dritte überhaupt Zugriff haben, dann wird umgeschwenkt darauf, dass Dritten der Zugriff vertraglich untersagt sei. Auf den Hinweis, dass sich diese Dritten (nämlich Amplitude) durchaus Zugriff in ihren AGB einräumen, haben wir übrigens keine Antwort mehr erhalten. In ihrer Datenschutzerklärung erzählt Ada den eigenen Kunden, dass die Weitergabe von Gesundheitsdaten an Dritte notwendig sei zur "Vertragserfüllung" – gegenüber dem Kunden, wohlgemerkt – beziehungsweise "um unseren Dienstanbietern die Erbringung der erforderlichen Dienstleistungen zu ermöglichen". Dennoch ist es offenbar möglich, eine Version der App binnen weniger Tage zu produzieren, die diese Weitergabe unterlässt. Der Vertrag mit dem Kunden wird trotzdem erfüllt, so richtig "erforderlich" können die Dienstleistungen wohl nicht sein. Bezeichnend ist auch, dass die Nummer dieser Version 2.49.1 nur minimal inkrementiert wurde und die Beschreibung im Play Store nur ganz allgemein von kleinen Fehlerbehebungen und Performanceverbesserungen redet.

Will nicht hören, muss nicht fühlen

Nachdem Firmen wie Ada scheinbar nicht willens sind, Standards an sich anzulegen, die auch nur geringfügig über das rechtlich erlaubte hinausgehen, ist es höchste Zeit, bestehende Regelungen klarzustellen und ihre Einhaltung besser zu überwachen. Denn das ist eigentlich das Traurigste an der ganzen Geschichte: Es ist nicht klar, ob Adas Verhalten DSGVO-widrig war. Und das, obwohl die DSGVO Gesundheitsdaten durchaus als besonders schützenswert ansieht und ihre Verarbeitung im Allgemeinen untersagt. Allerdings definiert die DSGVO zu diesem Verbot in Art. 9 ein paar Ausnahmefälle. Dazu gehört – neben einigen Sonderfällen – auch, dass betroffene Personen in die Verarbeitung der Daten einwilligen können.

Ada holt sich diese Einwilligung bei ihren Nutzern über die Zustimmung zur Datenschutzerklärung, die die App zwar spät (oder auch zu spät) präsentiert, aber jedenfalls bevor Gesundheitsdaten übertragen werden. Ob Nutzer durch das Vorgehen ausreichend informiert werden, sodass ihre Einwilligung wirksam ist, müssten Gerichte entscheiden. An der fehlerhaften Übersetzung der Datenschutzerklärung und der Maßgabe, dass die englische Version gültig sei, hätten Gerichte vermutlich ebenfalls etwas auszusetzen, aber solche Dinge harren der Klärung.

Theoretisch mag das Schwert der DSGVO also durchaus scharf sein, es kommt nur nicht zur Anwendung. Schon die zuständige Berliner Datenschutzbehörde ist offenbar komplett überlastet und kommt wohl gerade noch mit den Prüfungen von Apps hinterher, die Nutzer beanstandet haben. Eine generelle proaktive Prüfung – die gerade bei Apps, die besonders sensible Daten verarbeiten, keine schlechte Idee wäre – ist gar nicht vorgesehen. Auch die mögliche Prüfung einzelner Apps von Amts wegen geben die Ressourcen kaum her. Hier müsste dringend aufgestockt werden.

Wie es besser geht, beweist absurderweise Google. Das Unternehmen wollte uns nicht explizit bestätigen, dass aufgrund unserer Nachfragen Ada zwischenzeitlich nicht mehr im Play Store verfügbar war, aber es wirkt durchaus so, als sei Google tätig geworden. Und zwar schnell und effektiv: Binnen weniger Tage war Ada wieder verfügbar und die Übertragungen an Amplitude (und auch fast alle Übertagungen an Facebook) blieben aus. Das gleiche Update – mutmaßlich mit den gleichen Änderungen – hat es auch in Apples App Store geschafft.

Es ist aber ein Zeugnis der Machtlosigkeit des Staates und der Gesellschaft, wenn die einzige wirksame Aktion von Google kommt. Der Konzern forciert hier schließlich nicht Recht und Gesetz (dazu sollte er auch tunlichst keinen Auftrag haben), sondern seine privaten Richtlinien. Das ist gut und schön, kann aber nicht den Mangel an klaren gesellschaftlichen Richtlinien und deren Überwachung kompensieren. (syt)