1. Themen
  2. IT-Management
  3. Datenschutz unter der Lupe: Neue Studie enthüllt Risiken mobiler Gesundheits-Apps

Datenschutz unter der Lupe: Neue Studie enthüllt Risiken mobiler Gesundheits-Apps

App

Veröffentlicht 24.10.2025 10:40, Kai Wehrs

Neue Studie deckt Datenschutzlücken in beliebten mHealth-Apps auf - Forschende der Universität Bremen haben erhebliche Diskrepanzen zwischen den Datenschutzversprechen und dem tatsächlichen Verhalten von mobilen Gesundheitsanwendungen (mHealth-Apps) aufgedeckt: Viele Apps übermitteln personenbezogene Daten, bevor Nutzer:innen ihre Zustimmung gegeben haben.

Bild: mHealth-Apps sind aus dem Alltag vieler Menschen kaum wegzudenken. Sie helfen beim Fitnesstraining, der Zykluskontrolle oder beim Einnehmen von Medikamenten – und verarbeiten dabei besonders sensible Gesundheitsdaten. Foto: © Patrick Pollmeier / Universität Bremen

Die Arbeit mit dem Titel „Transparency and Consent Challenges in mHealth Apps: An Inter-disciplinary Study of Privacy Policies, Data Sharing, and Dark Patterns“ veröffentlichte Dr. Mehrdad Bahrini mit fünf weiteren Forschenden der Universität Bremen im Anschluss an die Tagung „European Symposium on Research in Computer Security (ESORICS 2025)“. Dabei handelt es sich um eine der führenden internationalen Konferenzen im Bereich Computersicherheit, auf der das Team seine Ergebnisse vorgestellt hatte. Die Forschung der Bremer Wissenschaftler:innen verbindet Ansätze aus Informationssicherheit, Human-Computer Interaction und Datenschutzrecht – ein zentraler Schwerpunkt des Digital Media Lab an der Universität Bremen.

Die Forschenden haben zwanzig populäre mHealth-Apps, die in Deutschland verfügbar sind, umfassend analysiert. Solche Apps sind aus dem Alltag vieler Menschen kaum wegzudenken. Sie helfen beim Fitnesstraining, der Zykluskontrolle oder beim Einnehmen von Medikamenten – und verarbeiten dabei besonders sensible Gesundheitsdaten. Doch wie sicher und transparent gehen diese Anwendungen tatsächlich mit diesen Informationen um?

Um das herauszufinden, brachten die Wissenschaftler:innen statische und dynamische Analysemethoden zum Einsatz, um das App-Verhalten und Datenflüsse zu untersuchen. Auch die Datenschutzrichtlinien und Einwilligungsdialoge untersuchten sie im Detail. „Wir wollten nicht nur sehen, ob Daten geteilt werden, sondern auch, wann und wohin sie gesendet werden – und ob die Nutzer:innen überhaupt informiert werden“, erklärt Dr. Mehrdad Bahrini. „Unser Ziel war es, die technische Perspektive mit rechtlichen und nutzerzentrierten Aspekten zu verbinden.“

Gravierende Probleme: Datenweitergabe ohne Zustimmung, manipulative Tricks, sprachliche Unklarheiten

Die Untersuchung offenbart mehrere gravierende Probleme in Bezug auf Datenschutz und Transparenz: So übermittelten mehrere Apps personen-bezogene Daten wie etwa Werbe-IDs, noch bevor die Nutzer:innen ihre Zustimmung gegeben hatten. Alle zwanzig untersuchten Apps sendeten außerdem Daten in Drittländer, insbesondere in die USA. Etwa 40 Prozent kommunizierten zusätzlich mit Servern in Irland, das häufig als europäischer Datenknotenpunkt dient. Darüber hinaus wurden Verbindungen zu Servern in Australien, Schweden, China und Singapur festgestellt – ein Hinweis auf die weltweite Verteilung der Datenflüsse in mHealth-Apps. Um die Zustimmung der Nutzer:innen zur Datenweitergabe zu erhalten, enthielten alle Apps mindestens einen manipulativen Designtrick („Dark Pattern“), der Nutzer:innen dazu verleitet, voreilig alle Bedingungen zu akzeptieren.

Dazu kamen Sprach- und Verständlichkeitsprobleme: In 10 von 16 Apps mit deutscher Oberfläche waren die Datenschutzrichtlinien ausschließlich auf Englisch verfügbar. Und selbst bei deutschen Datenschutzrichtlinien blieb manches im Unklaren: Viele Apps nannten Datenempfänger:innen nur in allgemeinen Kategorien wie „Partner“ oder „Dienstleister“, anstatt konkrete Unternehmen aufzuführen.

„Rechtliche Konformität allein reicht nicht aus, wenn Nutzer:innen nicht nachvollziehen können, was mit ihren Daten geschieht“

Die Studie zeigt eine deutliche Lücke zwischen den erklärten Datenschutzpraktiken und dem tatsächlichen Verhalten der Apps. Auch wenn viele Anwendungen formal den Anforderungen der Datenschutzgrundverordnung der EU (DSGVO) genügen, mangelt es häufig an echter Transparenz und Verständlichkeit.

„Rechtliche Konformität allein reicht nicht aus, wenn Nutzer:innen nicht nachvollziehen können, was mit ihren Daten geschieht“, betont Bahrini. „Gerade bei sensiblen Gesundheitsdaten ist Vertrauen entscheidend – hier geht es um Ethik ebenso wie um Regulierung.“

Die Ergebnisse verdeutlichen den Bedarf nach klareren Vorgaben für transparente Datenschutzinformationen sowie nach Designstandards, die manipulative Einwilligungsdialoge verhindern – insbesondere im Bereich digitaler Gesundheitsanwendungen.

In zukünftigen Projekten plant das Team, automatisierte Verfahren zur Analyse von Datenflüssen und zur Erkennung von Dark Patterns zu entwickeln. Ziel ist es, Entwickler:innen und Aufsichtsbehörden bei der Bewertung und Verbesserung digitaler Gesundheitsanwendungen zu unterstützen.

 

Weitere Informationen:

https://doi.org/10.1007/978-3-032-07901-5_1

Quelle: © Universität Bremen

 

 


Lesen Sie mehr zum Thema "IT-Management"

Permanente „Mission Impossible“: Wenn die Krankenhaus-IT an ihre Grenzen stößt
IT-Management
IT

Permanente „Mission Impossible“: Wenn die Krankenhaus-IT an ihre Grenzen stößt

Viva Insights: Mitarbeiter-Aktivität und -Erfahrung durchleuchten
IT-Management
365

Viva Insights: Mitarbeiter-Aktivität und -Erfahrung durchleuchten

Wie die KHTFV Krankenhäuser resilienter macht – ein Beispiel aus der Cybersecurity
IT-Management
KHTFV

Wie die KHTFV Krankenhäuser resilienter macht – ein Beispiel aus der Cybersecurity

Risiken: Nutzung von IT-Ressourcen in nicht-europäischen Rechtsräumen
IT-Management
Daten

Risiken: Nutzung von IT-Ressourcen in nicht-europäischen Rechtsräumen

Digitale Zerreißprobe: Klinik-IT und CIO im Umbruch
IT-Management
CIO

Digitale Zerreißprobe: Klinik-IT und CIO im Umbruch

CIO als moderner Dienstleister im Krankenhaus
IT-Management
Chief

CIO als moderner Dienstleister im Krankenhaus

Lesen Sie hier die neuesten Beiträge

Belastbar unter Beschuss: Deutschlands Krankenhäuser fit machen für den Ernstfall
IT-Sicherheit & Kritis
KAEP

Belastbar unter Beschuss: Deutschlands Krankenhäuser fit machen für den Ernstfall

Helios Kliniken: Robotik-Technik für präzise Lungenkrebsdiagnostik im Einsatz
Robotik
ION

Helios Kliniken: Robotik-Technik für präzise Lungenkrebsdiagnostik im Einsatz

Robotik in der Augenheilkunde: Neuer TUM-OP-Assistent revolutioniert Behandlung der Makuladegeneration
Robotik
GRATA

Robotik in der Augenheilkunde: Neuer TUM-OP-Assistent revolutioniert Behandlung der Makuladegeneration

Diese Webseite verwendet Cookies.   Mehr Info.      oder