Yazio ist eine App, die sich als digitaler Helfer beim Abnehmen anbietet: «Willkommen zu einem gesünderen Leben», schreibt die gleichnamige deutsche Firma auf ihrer Website. Laut ihren Angaben nutzen rund eine Million Leute die App auf ihrem Smartphone. Beim Installieren muss man sich mit Name und E-Mail-Adresse registrieren, gibt Alter, Grösse, Gewicht und Wunschgewicht ein. Danach erfasst der Benutzer jeden Tag in der App, was er isst, wie viele Schritte er geht und welchen Sport er macht.
Computerexperten prüften 15 Apps
Was die Benutzer nicht wissen: Yazio schickt diese Gesundheitsdaten an andere Unternehmen, die mit diesen Daten Geld verdienen. Und das ist kein Einzelfall. Das zeigt die Stichprobe des Gesundheitstipp: Er liess 15 beliebte Apps von den Computerexperten der Zürcher Firma Linuxfabrik testen. Diese ermittelten, wohin die Apps welche Daten sendeten.
Resultat: Bei sieben der geprüften Apps gelangten die Daten direkt zu Drittfirmen (siehe Tabelle im PDF). Die Yazio-App zum Beispiel schickt alles, was man anklickt, an die US-Firma Amplitude. Auf ihrer Website verspricht sie den Kunden «ein komplettes Bild vom Verhalten ihrer Benutzer». Damit lasse sich gezielt Werbung machen.
Pikant: Bei Amplitude landen auch die Daten der Meditations-App Calm und der Migräne-App M-sense. Benutzt jemand all diese Apps, weiss Amplitude genau, was man isst, wann man sich bewegt, wann man zu Bett geht und wie man sich fühlt.
Daniel Tapernoux von der SPO Patientenorganisation hält dies für sehr bedenklich. «Gerade bei Gesundheits-Apps gibt man Daten von sich preis, die heikel sind.» Interesse könnten zum Beispiel Krankenkassen und Versicherungen haben.
Die Apps Freeletics, Schwangerschaft+ und Rheumabuddy sendeten ebenfalls Daten an andere Firmen, etwa an Facebook oder Microsoft. Was dort mit den Daten geschieht, ist unklar. Ebenso bei der Helsana-Trails-App: Hier gehen die Daten nicht etwa zur Krankenkasse, sondern zur Firma Appwork, die das Programm entwickelt hat.
Migros-App will wissen, ob jemand schwanger ist
Auch die Hersteller selber machen mit den gesammelten Daten ein Geschäft. Zum Beispiel die Migros mit ihrer Impuls-App. Sie bietet Fitnessprogramme und Diätrezepte an. Um die App zu benutzen, muss man zuerst ein Migros-Login mit der eigenen E-Mail-Adresse erstellen. Dann gibt man persönliche Daten wie Alter, Gewicht und Essgewohnheiten ein. Frauen müssen sogar angeben, ob sie schwanger sind oder nicht. Die Migros sammelt all diese Daten. In der Datenschutzerklärung schreibt die Firma ausdrücklich, dass sie Daten aus verschiedenen Quellen wie Apps und Internetshops verwende, um ein Profil des Kunden mit seinen Vorlieben und Gewohnheiten zu erstellen. So kann die Migros gezielt Werbung verschicken.
Der Hersteller der App Medisafe sammelt ebenfalls heikle Daten. Die App erinnert die Benutzer daran, zu welcher Zeit sie ihre Medikamente einnehmen müssen. Alter, Geschlecht und E-Mail-Adresse gehen an die Firma in London, ebenso die Liste aller Medikamente. Für Daniel Tapernoux ist das besonders heikel: «Daraus lässt sich leicht eine exakte Diagnose ableiten.» Er rät auch davon ab, in einer App Informationen zur psychischen Gesundheit preiszugeben.
Medisafe nimmt sich das Recht heraus, Daten an Dritte weiterzuleiten. Das erfahren Benutzer allerdings nur, wenn sie das lange und komplizierte Kleingedruckte lesen. Dort heisst es: Persönliche Daten würden unter anderem an Forschungspartner und andere Firmen gehen. Welche es sind und was sie mit den Daten machen, schreibt Medisafe nicht.
Apps von Arud und Novartis «vorbildlich»
Es geht auch anders: Das zeigen die App des Arud Zentrums für Suchtmedizin und die Blutdruck-App von Novartis. Sie sammeln und verschicken keine Daten und funktionieren auch ohne Internet. Markus Frei von der Firma Linuxfabrik: «Das ist vorbildlicher Datenschutz.»
Freeletics schreibt, die Benutzer könnten den Datenfluss auf Wunsch unterbinden lassen. Das schreibt auch Helsana. Codecheck erklärt, dass die Firma die Angaben zu den Vorlieben verwende, um den Benutzern geeignete Produkte vorzuschlagen. Philips schreibt, die Schwangerschafts-App schicke nur Daten an Dritte, die nötig seien für die Funktionen. Daman will die Rheumabuddy-App überarbeiten, um die Benutzer transparenter über den Datenfluss zu informieren. Newsenselab verspricht, in einer überarbeiteten Version der App M-sense keine Daten mehr an Amplitude zu schicken. Die Migros schreibt, dass die Gesundheitsdaten zurzeit lediglich für Werbezwecke innerhalb des Impuls-Programms genutzt würden und nicht innerhalb der ganzen Migros-Gruppe.
So schützen Sie persönliche Daten
- Überlegen Sie, ob Sie die App wirklich brauchen.
- Wählen Sie Apps, die ohne Internetverbindung funktionieren. Dann bleiben die Daten auf dem Handy.
- Geben Sie nur die allernötigsten Daten ein.
- Geben Sie keine Daten preis zu Ihrer körperlichen und psychischen Gesundheit.
- Meiden Sie Apps, bei denen Sie sich registrieren müssen.
- Weitere Tipps finden Sie im «K-Tipp»-Ratgeber Das Smartphone clever nutzen. Zu bestellen auf www.gesundheitstipp.ch
Aufruf: Wie schützen Sie Ihre Daten auf dem Smartphone?
Schreiben Sie uns: Redaktion Gesundheitstipp, «Datenschutz», Postfach, 8024 Zürich, redaktion@gesundheitstipp.ch
