Sicherheitsstandards bei Gesundheits- und Fitness-Apps

Das jüngste Datenleck der App runtastic zeigt: Die Sicherung von Nutzerdaten ist auch bei Gesundheits-Apps im Wesentlichem dem jeweiligen Anbieter überlassen. Während in den USA mit HIPAA grobe Richtlinien existieren, scheint es in Deutschland bisher lediglich für Medizinprodukte eine – wenn auch schwammige – Regelung zu geben. So lautet es im §6 DIMDIV:

„Bei der Datenübermittlung sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten; im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden.“

Für Anbieter von Apps, die kein Medizinprodukt darstellen, bleiben damit neben dem Handeln „nach bestem Wissen und Gewissen“ vor allem generische Sicherheitsstandards (z.B. die Vorgaben des BSI zum Cloud Computing). Diese Lücke versuchen bekannte und neue Zertifizierungsanbieter zu füllen

  • Der TÜV Süd erteilt sein Prüfsiegel nach einer Prüfung von Datensicherheit, Funktionalität und Usability
  • Neue Anbieter wie mediaTest digital versuchen sich mit Zertifikaten wie „Trusted App„. Mediatest hat im Rahmen seiner Recherchen auch die jüngste Sicherheitslücke bei RunTastic entdeckt.
  • Die DEKRA zertifiziert die Konformität mit §9 Anlage Datenschutzgesetzes

Nach aktuellem Stand scheint es somit den Anbietern überlassen, den richtigen Sicherheitsstandard zu wählen und diesen glaubwürdig an seine Nutzer zu kommunizieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA

*