Logo Universit?t Bremen, zurück zur Startseite
Logo des TZI - die drei Buchstaben T Z I mit rotem Punkt

Suche

Platzhalter: Sternchen (*)
Fachbereich 3 - Mathematik und Informatik: Technologie-Zentrum Informatik und Informationstechnik

Nachrichten

Gesundheits-Apps verschleiern die Verwendung der User-Daten

Informatiker und Rechtsexpert:innen der Universit?t Bremen haben nachgewiesen, dass die Datenschutzerkl?rungen von Gesundheits-Apps wenig Aufschluss über die Risiken liefern.

Gesundheits- und Fitness-Apps sind sehr beliebt – besonders bei Jugendlichen. Nutzerinnen und Nutzer wissen jedoch in der Regel nicht, wofür ihre gesammelten Gesundheitsdaten seitens der Anbieter verwendet werden. Diese Transparenz soll eigentlich durch die Datenschutzerkl?rungen der Apps gew?hrleistet werden, allerdings sind die dort gelieferten Angaben selten aussagekr?ftig genug für eine informierte Entscheidung. Darüber hinaus verleiten die Apps ihre User oft durch gezielte Design-Entscheidungen zur unreflektierten Einwilligung in die Datennutzung, wie eine gemeinsame Untersuchung von Informatikern des Technologie-Zentrums Informatik und Informationstechnik (TZI) sowie Rechtsexpert:innen des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) der Universit?t Bremen ergeben hat.

Ihre Ergebnisse haben sie im interdisziplin?ren Paper ?Gesundheitsapps auf dem Prüfstand“ bei der Jahrestagung der Gesellschaft für Informatik und in der ?ZD – Zeitschrift für Datenschutz“ ver?ffentlicht. Vertiefende Einblicke in manipulative Design-Entscheidungen liefert jetzt die Masterarbeit ?Dark Patterns und Datenschutzerkl?rungskonformit?t in Gesundheits- & Fitness Apps“ von Alexander Herbst, die von Mehrdad Bahrini am TZI betreut wurde. Die rechtliche Expertise brachten Matthias Kohn und Merle Freye vom IGMR ein.

Quellcode und Datenverkehr ausgewertet

Eine Besonderheit der Kooperation besteht in der Beleuchtung des Problems aus drei verschiedenen Blickwinkeln: dem technischen Aspekt, den rechtlichen Implikationen und der Gestaltung der Mensch-Computer-Interaktion (HCI).

Für die technische Analyse der Apps nutzten die TZI-Wissenschaftler verschiedene Methoden aus der IT-Sicherheitsforschung, die auch für die Untersuchung von Schadsoftware verwendet werden. So wurde beispielsweise der Quellcode teilautomatisiert ausgewertet, um die hinterlegten Domains und IP-Adressen offenzulegen – also die Empfangsadressen von Datenübertragungen.

Erg?nzend beobachtete Alexander Herbst das App-Verhalten im laufenden Betrieb, auch in zeitlicher Relation zur Eingabe personenbezogener Daten und zur Erteilung der Zustimmung zur Datennutzung. Per Netzwerkanalyse überwachte er darüber hinaus den ein- und ausgehenden Datenverkehr.

Diese Verfahren k?nnen nicht alle Datenflüsse aufdecken, aber sie zeichneten bereits ein deutliches Bild. In 35 Prozent der Apps war erkennbar, dass die ?bermittlung der Daten in Drittl?nder nicht den Angaben der Datenschutzerkl?rungen entsprach. In 15 Prozent der F?lle waren die Empf?nger der Datenweitergabe nicht korrekt angegeben. Die Google Advertising-ID wurde in praktisch allen Apps bereits vor einer Zustimmung versendet.

Nichtssagende Kategorien verschleiern die konkrete Nutzung

Dass die Zahlen nicht noch deutlich h?her ausfielen, lag vor allem an den schwammigen Formulierungen der Datenschutzerkl?rungen. Als Empf?nger und Zielregionen der Daten nutzten die Anbieter oft sehr allgemeine Kategorien wie ?Gesch?ftspartner“, ?Diensteanbieter“ oder ?andere Drittl?nder“. Bei den untersuchten Apps entfielen auf jede genannte Kategorie im Schnitt 澳门皇冠_皇冠足球比分-劲爆体育 als zehn unterschiedliche Empf?nger:innen. Eine weitere Auff?lligkeit: Nur 60 Prozent der Apps, die einen Trackingdienstleister verwendeten, erw?hnten diesen Umstand ausdrücklich.

?In dieser Form haben die Datenschutzerkl?rungen für die betroffenen Personen sehr wenig Aussagekraft und genügen kaum den Anforderungen an Transparenz und Verst?ndlichkeit“, kritisiert Matthias Kohn. Damit entspr?chen die Formulierungen nicht dem Anliegen der Datenschutzgrundverordnung (DSGVO) – und sie seien m?glicherweise rechtlich anfechtbar.

?Dark Patterns“ in allen Apps

Ein weiteres Problem: Alexander Herbst wies in seiner Untersuchung nach, dass alle analysierten Apps sogenannte ?Dark Patterns“ enthielten, die dazu dienen, Anwender:innen unreflektiert zum gewünschten Verhalten zu animieren. So werden die User verleitet, sich nicht ausreichend mit der Datenverarbeitung auseinanderzusetzen.

?W?hrend der Nutzer durch eine gut formulierte Einwilligungserkl?rung über die Verwendung seiner personenbezogenen Daten informiert werden kann, besteht auch die M?glichkeit, dass er durch bewusst platzierte Designelemente get?uscht wird“, so Alexander Herbst. ?Diese k?nnen den Nutzer dazu verleiten, der Verarbeitung zuzustimmen, ohne dass er sich über die Inhalte der gesammelten Daten bewusst ist.“

Empf?nger:innen und Drittl?nder sollten konkret benannt werden

Um die gewünschte Transparenz zu erreichen, sollten die Apps in Zukunft deutlich pr?zisere Angaben machen, fordern die Bremer Wissenschaftler:innen. Dabei gelte es jedoch zu berücksichtigen, dass die Anwenderinnen und Anwender selten die Geduld aufbringen, vor der Einwilligung in die Datenverarbeitung noch lange rechtliche Texte zu lesen. Daher schlagen die Wissenschaftler:innen eine Trennung in zwei verschiedene Dokumente vor: Die Informationen vor der Einwilligung zur Datennutzung sollten m?glichst kurz und knapp gehalten werden, w?hrend die ausführliche Datenschutzerkl?rung alle weiteren relevanten Angaben enth?lt. Die Datenschutzerkl?rung w?re dann nicht gleichzeitig das Informationsmedium für eine informierte Einwilligung.

Die Wissenschaftler:innen regen an, dass die Empf?nger:innen und Drittl?nder in der Datenschutzerkl?rung konkret benannt werden müssen, soweit diese Informationen den Anbieter:innen vorliegen. Dagegen k?nnten Kategorien und Umschreibungen für die informierte Einwilligung zur Datennutzung zul?ssig sein – sofern sie konkreter gefasst sind als die in der Untersuchung gefundenen Beispiele. Hier bestehe weiterer Forschungsbedarf zur Konzeption solcher Kategorien.

澳门皇冠_皇冠足球比分-劲爆体育:

Kohn, Matthias; Freye, Merle; Bahrini, Mehrdad; Herbst, Alexander (2023): Gesundheits-Apps auf dem Prüfstand –?berprüfung der Angaben in Datenschutzerkl?rungen zur Datenweitergabe. INFORMATIK 2023 - Designing Futures: Zukünfte gestalten. Bonn: Gesellschaft für Informatik e.V.. PISSN: 1617-5468. ISBN: 978-3-88579-731-9. pp. 677-688. Cybersecurity & Privatsph?re - Recht und Technik. Datenschutz im Diskurs (RuT2023). Berlin. 26.-29. September 2023

https://dl.gi.de/items/cfe1e8ee-a27e-435f-91db-a44fd53df920

Kontakt:
Mehrdad Bahrini

TZI Digital Media Lab
Universit?t Bremen
Tel.: +49 (0)421 218-64404
Email: mbahrini@uni-bremen.de

Frau h?lt Smartphone
© ? pixabay
? Pixabay
zur ?bersicht
Aktualisiert von: TZI
RSS
Seite drucken