Calm, Headspace oder Happify – Mental-Health-Apps wollen via Smartphone die psychische Gesundheit ihrer Nutzer:innen erhalten oder verbessern. Die Services reichen dabei von Meditations-Guides bis hin zu Einzelgesprächen mit Therapeut:innen. Laut einer Studie des Marktforschers Appinio haben in Deutschland rund 13 Prozent der Befragten solche Anwendungen zur Verbesserung der psychischen Gesundheit und des allgemeinen Wohlbefindens bereits genutzt, Tendenz steigend.

Einer Untersuchung der Non-Profit-Organisation Mozilla zufolge weisen viele dieser Apps jedoch tiefgreifende Mängel hinsichtlich der Sicherheit und des Datenschutzes auf. 32 Apps wurden gescannt, 28 Anwendungen davon sind beim „Privacy Not Included“-Check durchgefallen.

Mental-Health-Apps: Wenig Datenschutz und Sicherheit

Mozilla hat die bedenklichen Apps in Kategorien von „etwas gefährlich“ bis „sehr gefährlich“ eingeteilt. Unbedenklich sind demnach Apps wie Headspace, Wysa oder Glorify. Bei den folgenden Apps hat Mozilla die größten Sicherheitsbedenken:

  • Better Help
  • Youper
  • Woebot Health
  • Better Stop Suicide
  • Pray.com
  • Talkspace

Je nach Anwendung gibt es dafür unterschiedliche Gründe. Die Apps fallen etwa durch, weil sie vertrauliche Daten weitergeben, schwache Passwörter erlauben, gefährdete Nutzer:innen mit personalisierten Anzeigen ansprechen oder weil sie nur vage und instransparente Datenschutzrichtlinien haben.

Schwache Passwörter und Weitergabe von Daten

Gerade die fehlende Passwort-Sicherheit sei laut Mozilla verheerend: Einige Apps lassen beispielsweise Zahlenreihen wie „123456“ oder sogar einzelne Zeichen als Passwörter zu. Angesichts der sensiblen Gesundheitsdaten, die geschützt werden sollen, versprechen solche schwachen Passwörter wenig Schutz. Andere Anwendungen würden dagegen persönliche Nutzer:innendaten zu Werbezwecken an Drittanbieter weitergeben. Dazu zählen etwa Alter und Geschlecht, aber auch Angaben zu psychischen Erkrankungen oder sogar Chat-Verläufe innerhalb der App.

Dementsprechend ernüchternd fällt das Fazit von Jen Caltrider in ihrem Blogpost aus, sie ist die hauptverantwortliche Mozilla-Mitarbeiterin der Untersuchung: „Die Untersuchung von Apps für psychische Gesundheit ist nicht gut für die psychische Gesundheit, weil sie offenbart, wie fahrlässig und feige diese Unternehmen mit unseren intimsten persönlichen Informationen umgehen können.“

Ein grundlegendes Problem sei laut Mozilla nicht nur der mangelhafte Datenschutz. Nutzer:innen würden zudem in den Datenschutzerklärungen der Apps auch nur bedingt über diese Praktiken aufgeklärt.

Welche Schlupflöcher es in den Datenschutzerklärungen gibt

Das Nachrichtenportal „The Verge“ hat sich die Datenschutztexte der Mental-Health-Apps daraufhin genauer angeschaut und zusammengefasst, bei welchen Passagen die Nutzer:innen stutzig werden sollten:

  • „Wir können diese Datenschutzrichtlinie jederzeit ändern“: In einigen Datenschutztexten finden sich Passagen, die darauf hinweisen, dass die Privatsphäre-Regelungen der Nutzer:innen nicht dauerhaft gelten, sondern zu jedem Zeitpunkt angepasst werden können.

„We may change this Privacy Policy from time to time at our discretion.“ (7 Cups)

 

Auf Deutsch: „Wir können diese Datenschutzrichtlinie ab und an nach unserem Ermessen ändern.“

Durch einen solchen Passus können Nutzer:innen nicht sicher sein, ob die Richtlinien zum Zeitpunkt der Anmeldung auch langfristig Bestand haben – oder sich kurzfristig ändern. Der Knackpunkt: Einige Anwendungen informieren ihre Nutzer:innen dann nicht gesondert über solche Änderungen, sodass man regelmäßig selbst prüfen muss, ob die App beispielsweise die Nutzung der persönlichen Daten ausweitet.

 

Diese Flexibilität in den Datenschutzrichtlinien ist durchaus beabsichtigt, um sich als App-Anbieter Möglichkeiten offen zu halten, für welche Zwecke man die sensiblen Gesundheitsdaten der Nutzer:innen künftig verwendet.

  • „Wir teilen persönliche Daten unter Umständen mit Dritten“: Einige Apps geben an, dass sie die persönlichen Daten ihrer Nutzer:innen an nicht näher genannte Dritte weitergeben.

„In certain circumstances, we share and/or are obliged to share your personal data with third parties […]. These third parties include: administrative authorities (tax or social security authorities) financial institutions, insurance companies, police, public prosecutors, regulators, external advisors.“ (Woebot Health)

 

Auf Deutsch: „Unter bestimmten Umständen geben wir Ihre personenbezogenen Daten an Dritte weiter und/oder sind dazu verpflichtet […]. Zu diesen Dritten gehören: Verwaltungsbehörden (Steuer- oder Sozialversicherungsbehörden), Finanzinstitute, Versicherungsunternehmen, Polizei, Staatsanwaltschaft, Aufsichtsbehörden und externe Berater.“

Das können persönliche Informationen wie Name, E-Mail-Adresse oder die Telefonnummer sowie die IP-Adresse sein oder aber auch andere sensible Informationen, die Nutzer:innen beispielsweise in Gesprächen mit einem Chatbot teilen. Oftmals bleibt unklar, wie diese Umstände konkret definiert sind und wer genau mit „externe Berater“ gemeint sind.

 

Auch in diesem Punkt scheinen App-Anbieter sich mit den vagen Formulierungen alle Türen offen halten zu wollen, was den künftigen Umgang mit der eigenen Datensammlung angeht.

 

Schließlich können sich mit zunehmender Digitalisierung des Gesundheitssektors in den nächsten Jahren neue und aus Anbietersicht lohnenswerte Geschäftsmöglichkeiten mit den Daten auftun.

  • „Wird das Unternehmen verkauft, werden auch die persönlichen Daten verkauft“: Einige Apps verwenden Klauseln, die besagen, dass die privaten Daten der Nutzer:innen bei einem Verkauf der App in die Hände von anderen Geschäftspartnern gelangen können.

„We may share your information in connection with an asset sale, merger, bankruptcy, or other business transaction.“ (BetterHelp)

 

Auf Deutsch: „Wir können Ihre Informationen im Zusammenhang mit einem Verkauf von Vermögenswerten, einer Fusion, einem Konkurs oder einer anderen Geschäftstransaktion weitergeben.“

In vielen Datenschutzrichtlinien findet sich laut „The Verge“ ein Hinweis darauf, dass die persönlichen Daten der Nutzer:innen zu anderen Firmen und Einrichtungen weitergereicht werden, wenn die App beispielsweise verkauft wird oder fusioniert.

 

Pikant dabei: App-Anbieter könnten gerade aufgrund ihres Datenschatzes von anderen Unternehmen gekauft werden. Die Gesundheitsdaten der Nutzer:innen sind schließlich sehr sensibel und deshalb sehr wertvoll – etwa für Werbetreibende, die Menschen mit besonderen psychischen Veranlagungen für ihre Produkte begeistern wollen oder für Forschungszwecke, zu denen Chat-Transkripte einer Therapie ausgewertet werden könnten.

Vorsicht bei der Weitergabe persönlicher Gesundheitsdaten

Mangelhafte Datenschutzbestimmungen und unklar formulierte Erklärungen gibt es nicht nur Gesundheits-Anwendungen, sondern bei Apps im Allgemeinen. Die Besonderheit bei den Mental-Health-Apps ist, dass diese Dienste meist besonders sensible Informationen über ihre Nutzer:innen sammeln. Lücken im Datenschutz können dafür sorgen, dass etwa sehr vertrauliche Daten über eigene Krankheiten ohne die Absicht der Nutzer:innen an Dritte gelangen.

Auch wenn den Anwendungen eine positive Absicht zugrunde liegt, sollten Verbraucher:innen immer vorab kontrollieren, ob ihre Daten bei einer bestimmten Mental-Health-App auch sicher sind – und im Zweifel die Finger davon lassen. Die Übersicht von Mozilla bietet hierfür eine gute Entscheidungshilfe.

Wenn Sie an Depressionen leiden oder Suizidgedanken haben, können Sie jederzeit bei der Telefonseelsorge Hilfe finden. Online oder auch anonym und vertraulich per Telefon unter den kostenlosen Hotlines 0800/1110 111 und 0800/1110 222.

Alles über die Speicherung, Verwaltung und den Schutz von (sensiblen) Daten erfahren.
In der DiFü-Lernzentrale herausfinden, wie man seine Daten schützen kann.