 Hi zusammen, herzlich willkommen zum dritten Tag auf der 21. Gulasch-Programmiernacht hier in Karlsruhe im Medientheater. Heute wird es um die Analyse von Gesundheits-Apps gehen und unser Speaker hat sich dafür weit über 200 Apps angeschaut. Und ich möchte, dass ihr mit einem großen Applaus Tim begrüßt. Und nun viel Spaß mit Analyse von Gesundheits-Apps der gesetzlichen Krankenkassen. Prima. Ja, hallo in der Runde auch von meiner Seite. Wir sprechen heute etwas über Gesundheits-Apps. Ich habe den Vortrag grundsätzlich nach drei verschiedenen Kapiteln aufgeteilt. Am Anfang schauen wir uns noch mal so ein ganz bisschen an, was sind eigentlich Gesundheits-Apps, wie ist es dazu gekommen. Wir werden vielleicht zwischendurch auch mal per Handzeichen machen, wer von euch hat vielleicht eine Gesundheits-Apps, wer nicht. Dann werden wir uns das ganze Thema Datenschutz und IT-Sicherheit anschauen bei diesen Gesundheits-Apps. Was kann man daraus Schluss folgern und am Ende noch ein Fazit, was könnte oder solltet ihr davon vielleicht mitnehmen entsprechend. Grundsätzlich das Thema Apps im Gesundheitskontext ist uns allen sicherlich spätestens seit der Corona-Pandemie sehr bekannt. Damals gab es eine breite gesellschaftliche Debatte rund um das Thema Tracing, rund um die Themen Datenschutz, IT-Sicherheit. Wie sicher sind da eigentlich die Daten? Das Spannende ist, dass diese Debatte mittlerweile verstärkt abgeäppt ist. Es gibt da keine großen Berichte mehr in der Zeitung oder in der Tagesschau oder ähnliches. Das war damals anders. Da hat auch der CCC beispielsweise Stellung zu verschiedenen Dingen genommen. Mittlerweile ist das Thema etwas aus der breiten Öffentlichkeit verschwunden, obwohl Gesundheits-Apps nicht verschwunden sind. Im Gegenteil, ich kann euch schon mal verraten, die sind in den letzten Jahren mehr geworden. Sie werden auch zukünftig sehr wahrscheinlich mehr werden. Von daher ist es spannend, sich das Thema anzuschauen. Was sind überhaupt Gesundheits-Apps? Wo gibt es die überall? Wie viele sind es? Da kann man ganz abstrakt mal quasi in Lexica oder in Literatur reingucken, findet dann sowas überraschendes VO. Das ist im Bereich mHealth einzuordnen, also im Medizinbereich und wird mit mobilen Endgeräten verwendet. Und auch spannend ist schon so eine wirklich kräftige, passende, gute Definition sucht man da vergeblich. Hier oben ist beispielsweise Rede davon, dass es von Anwendungen und Nutzerinnen und Nutzerinnen sehr verschieden ist. Was ist überhaupt eine Gesundheits-Apps? Das kann gehen von einer App über die man tracked, welche Tablet man einnimmt. Das kann bis hin zu einer Tracing-App im Corona-Kontext beispielsweise gehen oder auch Apps, wo man beispielsweise an die Krankenkassen Informationen schickt, nachdem man eine Behandlung hatte oder ähnliches. Auch hier rechts auf der Seite kann man nach Zielgruppen beispielsweise das Ganze aufgeliedern. Da gibt es eben verschiedene Ansätze in der Literatur zu. Wir interessieren uns aber nicht so sehr viel Literatur, sondern wir wollen mal etwas in die Praxis gucken und auch mal in die App-Stores beispielsweise. Da findet man so spannende Apps wie Spagat lernen in 30 Tagen, hat übrigens über 5 Millionen Downloads. Ich weiß nicht, wer hier im Raum sich schon dran versucht hat, kann man sicherlich mal ausprobieren. Dann auf der rechten Seite gibt es beispielsweise auch Apps von Krankenkassen. In dem Fall ist die Techniker und die AOK, was eben sehr große Krankenkassen in Deutschland sind. Wenn man sich dann mal anschaut, wie kam es eigentlich dazu, dass danach und nach Apps zustande gekommen sind, dann stößt man beispielsweise auf ein solches Buch, was ein gewisser Jens Spahn 2016 mal geschrieben hat. Zusammen mit zwei Best Buddies von ihm offensichtlich, App vom Arzt heißt dieses Buch. In den Buchkritiken damals dies ist schon, dass die Deutschen offensichtlich eine Datenhysterie haben. Also wir alle im Raum möglicherweise, wenn wir uns Gedanken um Datenschutz oder Artisie herrten machen, haben wir eine Datenhysterie. Das ist hier nochmal aus einer Buchkritik, die sich da im Spektrum gefunden hat zu. Sprich die Gesamtaussage dieses Buches ist eigentlich, man braucht Gesundheits-Apps, Leute, die irgendwie Datenschutz toll finden, wünschen sich, dass nur so lange, wie sie irgendwie gesund sind. Ansonsten sollte man eigentlich Gesundheitsdaten freigeben, preisgeben und ähnliches. Was euch sicherlich bekannt ist, dieser Jens Spahn ist einige Jahre später entsprechend Gesundheitsminister geworden und hat dann unter anderem ein Health Innovation Hub ausgerufen. Und die Grundidee war es, eine Brücke in die Digital-Szene zu schlagen. Das ist ihm auch recht gut gelungen, weil er hat mir überlegt, was kennt er noch für Leute von Frühjahr, die sich mit dem Thema beschäftigen. Und ihm ist eingefallen, er hat das Buch ja mit einem guten Kumpel geschrieben und hat sich gedacht, den mache ich gleich zum Vorsitzenden von diesem Health Innovation Hub. Also kann man einiges von lernen. Übrigens, die dritte Person, die das Buch mitgeschrieben hat, hat auch ein entsprechendes Unternehmen, was Health Apps entwickelt. Wenn ich zufall, ein Gesundheitsminister, ein Unternehmer und eine Person, die dann später in das Health Innovation Hub eingeladen wird. Positive Nachricht. Jens dachte, er wäre besonders schlau, aber in Deutschland gibt es immer noch die Bundestagswahl und nach der Bundestagswahl vier Monate später hat sich die Health Innovation Hub aufgelöst. Das heißt, Karl Lauterbach als Gesundheitsminister bleibt stabil, kleine Abklaus an der Stelle vielleicht für Karl. Jens meinte aber weiterhin damals, wir brauchen eine App auf Rezept. Man soll zum Arzt gehen können, das ist absolut wichtig. Parallel hat er auch noch gesagt, wir brauchen eine EPA, eine elektronische Patientenakte, wo wir digital unsere Gesundheitsdaten verwalten. Auch sicherlich ein spannendes Thema gibt es später übrigens hier auf der GPN auch noch einen Vortrag zu. Grundsätzlich gab es damals dann verschiedene Debatten, Kritiker warnen vor Hackern. Ich persönlich hätte jetzt nicht so viel Angst vor Hackern, sondern eher vor Sicherheitslücken in Apps, weil die Hacker sind eher selten an das Problem. Grundsätzlich ist es dann aber dazu gekommen, dass es vom Bundesinstitut für Arzneimitteln und Medizinprodukte vom Beefarm entsprechend eine Übersicht gibt, das sogenannte DIGA-Verzeichnis, in dem eben die Gesundheitsapps gesammelt werden. Das heißt, Jens hat es geschafft an der Stelle. Wenn man sich mal anschaut, wie die breite Gesellschaft das Thema damals wahrgenommen hat, hier beispielsweise vom Büro für Technikfolgenabschätzung des Deutschen Bundestages, dann besteht da primär die Sorge, dass Nachteile auch entstehen könnten. Ihr seht hier beispielsweise an der zweiten Stelle, dass Leute über drei Viertel die Sorge äußern, dass das zu Benachteilungen gewisser Gruppen füllen kann, wenn man entsprechend Gesundheitsapps flächendeckend einführt oder vielleicht sogar erzwingt, dass sie irgendwie umgesetzt werden sollen. Darüber hinaus hat auch die Verbraucherzentrale NRW 2020 mehr an einem Statement geschrieben, dass es keine einheitlichen Qualitätskriterien gibt über den Inhalt, Funktion oder Schutz der entsprechenden Daten. In der Zwischenzeit hat sich da etwas getan, in dem beispielsweise das Bundesamt für Sicherheit in der Informationstechnik, also genannte technische Richtlinie erstellt hat und veröffentlicht hat, in der dargestellt ist, worauf sollte man erachten, beispielsweise bei Apps oder Web-Applikationen in dem Zusammenhang. Da stehen auch durchaus nützliche Dinge drin. Die Frage, wie stark oder nicht stark das Anwendung findet, da kommen wir gleich etwas zu. Okay, so weit vielleicht ein bisschen zum ersten Kapitel darstellen, was sind Gesundheitsapps, wie kam es dazu? Haben wir schon mal ein bisschen was kennengelernt. Jetzt so ein bisschen zu der Untersuchung, die ich in den letzten 12 Monaten durchgeführt habe. Ich habe mir nämlich angeschaut, was gibt es an Gesundheitsapps der gesetzlichen Krankenkassen in Deutschland? Habe ich genau diese Digas angeschaut, also die digitalen Gesundheitsanwendung, die in einem öffentlichen Verzeichnis eben gepflegt werden. In der Umgangssprache nennt man die häufig auch App auf Rezept, weil beispielsweise die gesetzlichen Krankenkassen das Ganze bezahlen. Und der Fokus jetzt im Folgenden ist auf Android-Apps, weil für mich das ja im Praktikabelsten waren, eben sich Android-Apps anzuschauen. Und wir wollen uns ein bisschen die Punkte Datenschutz und IT-Sicherheit mal anschauen. Dann habe ich mich auf die Suche begeben, nach einer Liste von Apps von Krankenkassen. Und man findet auf den Webseiten der einzelnen Krankenkassen da vielleicht mal so ein paar Hinweise, aber eine wirklich geordnete Liste. Gibt es nicht? Gab es nicht? Deswegen habe ich gedacht, okay, wenn es nicht gibt, nichts gefunden. Also selbst erfassen. Bin erst mal losgelaufen und habe geguckt, okay, wie viele Krankenkassen gibt es denn so in Deutschland? Spannend da übrigens als Fact, die Zahl der Krankenkassen sinkt, während natürlich die Zahl der Gesundheitsapps in den letzten Jahren gestiegen ist. Auch dank Jens und seiner Freunde. Da kommen wir gleich nochmal etwas zu. Dann stößt man nach einiger Zeit unweigerlich auf die GKV-Seite. Das ist quasi der Spitzenverband der gesetzlichen Krankenkassen in Deutschland, wo es erstmal eine schöne Ausführung gibt. Spannend daran ist übrigens, die haben diese Liste und leider kann man sich da nicht alle Krankenkassen untereinander anzeigen, sondern muss sich durch die einzelnen Seiten durchblättern, was schon mehr interessant ist. Aber die haben ein Button implementiert, Krankenkassen zum Download, PDF. Da kriegt man eine PDF-Datei und die sieht eigentlich genauso aus wie das auf der Webseite mit einem Unterschied. Die URL ist da vorne nicht verlinkt, sondern die URL wird einzeln aufgeführt. Auch schon mal sehr hilfreich an der Stelle. Digitalisierung im Gesundheitsbereich. Dann habe ich angefangen, diesen Namen der gesetzlichen Krankenkassen im Google Play Store entsprechend zu suchen und die Metadaten dazu erfassen. heißt, wie viele Institutionen hat die App, welche Appkategorie ist das Ganze zugeordnet, welche Versionsnummer hat die App, um später auch nachzuvollziehen, wenn es zum Beispiel Änderungen an den Apps gibt. Ein bisschen doof ist, Google hat irgendwann den Google Play Store etwas verändert. Ihr seht jetzt links, wie das bis zum Sommer 2022 aussah. Und irgendwann im Sommer haben die es umgestellt, da musste man extra noch einen Button klicken, um Details zu den Apps zu sehen, was das ganze Thema Scraping erschwert hat. Es gab auf GitHub massenhaft Skripte, die da automatisiert Dinge auslesen konnten. Problem ist, dass Google das dann geändert hat, da hat erst mal gar kein Skript mehr funktioniert. Teilweise bin ich dann auf manuelle Wege dort zurückgeschritten. Hier seht ihr meinen Auszug aus einer entsprechenden Tabelle, die hat auch noch mehr Spalten, nur dann hätte man auf dem Screen hier gar nichts mehr gesehen. Und auch nach unten geht die natürlich weiter, sprich, es gibt noch deutlich mehr Krankenkassen und auch Apps von diesen Krankenkassen. Man sieht aber schon so ein paar interessante Dinge, beispielsweise die Versionsnummer, gibt einem manchmal schon Aufschluss darüber, dass es Apps von verschiedenen Krankenkassen gibt, aber alle die gleiche Versionsnummer aufweisen. Das heißt, die Krankenkassen entwickeln die Apps nicht selber, sondern da sind häufig Softwareagenturen für zuständig, da wird das Ganze bezogen. Das Ganze kann man auch an der ID der entsprechenden Apps beispielsweise sehen. Spannend, an der Stelle ist vielleicht auch in Deutschland gibt es nur 14 Apps der gesetzlichen Krankenkassen, welche über 100.000 Downloads haben. Da sind logischerweise die größten Krankenkassen in Deutschland dabei. Ein bisschen überrascht hat mich, dass da einige Themen, wie zum Beispiel die App Hustblume mit dabei ist, die kann man allerdings auch nutzen, bei der Technikerkrankkasse zu sein. Das Beispielsweise eine App, die einem hilft zu erkennen, wann sind welche Allergien quasi in der Jahreszeit vorhanden, um das Ganze einzustufen. Wenn man überlegt, wie kann man sich das Ganze anschauen für das Thema Datenschutz, dann gibt es da verschiedene Mittel und Wege. Man kann sich unter anderem natürlich die Datenschutzbestimmung erstmal anschauen, sprich, was beschreibt denn der entsprechende Anbieter einer Android App, wie diese App mit Nutzerdaten umgeht. Man kann sich das ganze Thema Netzwerk anschauen, wo nimmt denn die App eine versprechende Verbindung zu auf, wie wird diese Verbindung durchgeführt. Und man kann natürlich auch sich das App-Paket selber anschauen, Kurteanalysen durchführen, gucken, was für Berechtigung geklämt von der App. Auch das kennt ihr sicherlich alle, wenn man auf einmal für eine Taschenlampen App irgendwie GPS freigeben soll oder solche Dinge. Da sollte man schon skeptisch werden. Und das Ganze kann man dann in der Gesamtbetrachtung für das Thema Datenschutz überführen. Da habe ich mir sowohl die DIGAS, die wir gerade eben schon in diesem Verzeichnis gesehen hatten, angeschaut als auch die Apps, die ich da erhoben habe. Ich glaube, insgesamt waren das 104 Stück. Dann das ganze Thema kann man auch aus der IT-Sicherheitsbrille betrachten. Auch da gibt es verschiedene Angeswektoren. Man kann sich das App-Paket selber anschauen, gucken, gibt es da alte Bibliotheken drin, die bekannte Schwachstellen aufweisen. Man kann am Endgerät prüfen, was passiert denn, wenn eine App auf einem Gerät ist und das Gerät es möglicherweise durch andere Apps kompromitiert oder ähnlich ist. Man kann sich auch da den Netzwerk-Layer anschauen und auch Richtung Backend-Systeme, Schnittstellen, sprich Cloud- oder dritter Abenteildienste. Grundsätzlich sind hier die rot umranneten Kästchen im Fokus gewesen und ein ganz bisschen auch das Thema Netzwerk. Wenn man dann mal guckt und sich so ein paar Wahlspiele anschaut, dann lernt man schnell den Liga-Verzeichnis. Da geht es tatsächlich um recht ernste Themen und auch ernste Apps in dem Zusammenhang. Die beispielsweise, ja, hier jetzt exemplarisch mit der Caracher-App für Reizdarm-Erkrankungen angeführt werden. Es gibt da zahlreiche andere Apps, die beispielsweise um Themen wie Angststörungen oder Ähnliches gehen. Heißt also sehr sensible Themen in dem Zusammenhang. Wenn man sich dann durch das Verzeichnis durchklickt, sieht man erstmal, wann ist das Ganze anzuwenden, bei welchen Krankheitstypen, wo ist das Ganze verfügbar und recht später auch für spannend, in welcher Versionsnummer ist denn diese App in dieses Liga-Verzeichnis aufgenommen werden. Darüber hinaus gibt es zahlreiche weitere Informationen, beispielsweise einen Preis, was auch wieder recht spannend ist, weil der tatsächlich recht hoch ist. Es ist nicht ungewöhnlich, dass da für eine App, die einem verschrieben wird, plötzlich 500 Euro oder ähnliches stehen. Heißt, es gibt da möglicherweise auch natürlich Unternehmen, die Interesse daran haben, dass es diesen App mag und auch dieses Liga-Verzeichnis gibt. Genau, ansonsten gibt es zahlreiche Informationen auch zum Thema Datenschutz und Datensicherheit. Da kommen wir gleich nochmal verstärkt zu. Und Gebrauchserweisungen, Informationswebsite, weil das Ganze eben regulierte Medizinprodukte sind. Das ist übrigens der zentrale Unterschied zu den ganzen Bonus-Apps oder irgendwelchen Grundsätzen, die Erfassungs-Apps der Krankenkassen, wenngleich die manchmal auch sensible Informationen verarbeiten. Wenn jemand überlegt, was ihr vielleicht an eure gesetzliche Krankenkasse übermittelt an Dinge, sei es vom Zahnarzt oder von irgendwelchen anderen Abrechnungen, dann stecken da auch manchmal Diagnosen oder ähnliches mit drin. Genau, heißt also sensible Daten. Wenn man dann etwas tiefer reinschaut, stößt man schnell darauf, dass es zum Beispiel im Bereich Datenschutz so eine Art Fragenkatalog gibt, wo beispielsweise erst mal gefragt wird, hey, fällt die App eigentlich unter DSGVO, Datenschutzregulierung und ähnliches und dann sollen und können die entsprechenden Hersteller sagen, ja, das ist der Fall oder nein, das ist vielleicht nicht der Fall, da muss das etwas begründet werden. Das wird so angegeben, hier sehen wir mal der App, beispielsweise, der ist hier angegeben, dass eine freiwillige, spezifische und informierte Einwilligung der betroffenen Personen durchgeführt bzw. eingeholt wird und darunter eben, dass es ausdrücklich auch eine aktive eindeutige Handlung der betroffenen Personen ist. Das ist sehr wichtig, das kennt ihr sicherlich auch von zahlreichen Webseiten, wenn man so ein Cookie-Banner oder ähnliches hat, muss man explizit darauf hingewiesen werden, wenn im Hintergrund irgendwelche Daten übermittelt und geladen werden. Und wenn man dann mal in den Google Play Store beispielsweise schaut, für diese App steht da auch sehr groß drin, kein Daten werden mit Drittunternehmen oder Organisationen geteilt. Wenn man dann aber sich das Ganze mal in Analyse-Tools anschaut, beispielsweise gibt es das Exodus Privacy-Kollektiv, die betreiben eine Webseite, wo man sich entsprechende Android-Apps angucken kann, dann stellt man beispielsweise fest, dass in diese Apps drei Tracker integriert sind und über 37 Permissions angefragt werden, auch Permissions, bei denen man sich mal sagen würde, wozu braucht diese App, diese Zugriff überhaupt. Zum Beispiel kann die sich über andere Apps drüberlegen, also sprich eine Berechtigung, die sehr weitreichend ist oder auch Settings durchausschreiben. Hängt dann immer noch so ein bisschen von der Android-Version ab, ob das Ganze direkt akzeptiert wird oder ob ihr da noch mal ein Hinweis kriegt. In der Regel ist es mittlerweile so, dass man zum Beispiel auch bei anderen Apps einen Hinweis kriegt, wenn er auf bestimmte Sensoren oder ähnliches zugegriffen wird. Problematisch ist allerdings, dass bereits unmittelbar nach dem App-Start hier eine Verbindung aufgenommen wird zu einem Analyse-Tool mit dem Namen Firebase. Da werden dann Informationen zu dem Gerät übermittelt. Sprich, wenn man es ganz strengen sieht, googleapis.com weiß, dass euer Gerät das Ganze installiert worden ist und das ist zumindest eine personenbeziehbare Information. Man weiß nicht genau, wie die Person heißt oder ähnliches, aber das Gerät und die Geräterkennung sind sehr einläutig und zuordnbar. Also relativ unschön das Ganze. To do mean aus, hatte ich ja gerade eben gesagt, waren drei Tracker integriert, Facebook Analytics, Facebook Login und Google Firebase Analytics. Manchmal ist es recht schwierig herauszufinden, wann bestimmte Tracker überhaupt triggern oder ob die einfach nur eingebaut sind. Da habe ich teilweise Apps gefunden zwischendurch, die hatten über 9 Tracker eingebaut und trotzdem wurde irgendwie keiner dieser neuen Tracker benutzt. Schlankes Software Design sieht glaube ich anders aus. Hier seht ihr mal eine entsprechende Meldung, die ich tatsächlich auch so verschickt habe. Ich habe 50 Meldungen dort rausgeschickt an die entsprechenden Datenschutzbeauftragten der Hersteller, wo ich erst mal darauf hinweise, dass das eine App ist, die vom BFARM, also im Bundesinstitut für Arzneimittel und Medizin, Produkte geführt wird in dem entsprechenden Verzeichnis. Dann, dass die angegeben haben, dass diese App entsprechende Einwilligung einholt und dass das auch aktiv und eindeutig geschieht. Das ist hier beispielsweise nicht der Fall, sondern man startet die App und irgendwie war nach dem Appstart, dass man überhaupt irgendetwas akzeptiert hat oder darüber informiert wird, werden schon Daten übermittelt. Untere hinaus eben unten auch nochmal die Angabe, in denen Datenschutzbestimmung steht weder etwas zu Facebook noch zu Google Firebase. Das heißt auch dort findet keiner Aufklärung der Nutzer statt. Und ich bitte dann darum, dass dem ganz nachgegangen wird. Da kann ich sehr viel zu erzählen. Sprich, es gibt einzelne Hersteller, die haben gesagt, ja, das ist nicht so gut. Und ja, wir haben es behoben. Die sagen nichts, aber sie beheben es, was auch eine spannende Strategie ist. Dann gibt es manche Hersteller, die ignorieren es. Man schreibt in die E-Mail. Die interessieren sich da nicht so viel. Dann schreibt man noch eine E-Mail und schreibt vielleicht noch eine E-Mail. Und dann gibt es manche Hersteller, die sagen, das ist nicht so. Und dann sagt man, das ist so. Ich habe hier mal ein Video aufgezeichnet und ihr könnt es auch so und so nachvollziehen. Und manchmal bleibt man bei Ihrer Meinung. Manchmal bespricht man das dann aber und kriegt es auch noch in die richtige Richtung geleitet. Manchmal kann man das dann wieder ausbauen oder zumindest treffen darüber informieren oder explizite Einwägungen einholen, was eben grundsätzlich nach Datenschutzregeln so sein sollte. Wenn wir uns mal die DIGAS, das sind ja genau 27, deswegen passen die recht gut noch hier auf diese Folie, anders als die 204, anschauen, dann sehen wir, dass es 27 Gesundheits-Apps gibt, die in diesem DIGAS Verzeihendes gepflegt werden. Von denen acht unmittelbar nach Staat entsprechende Verbindungen aufnehmen zu entsprechenden Hosts, wo beispielsweise wieder Gerätekennungen und Ähnliches übermittelt werden. Und auch noch spannender Fakt, insgesamt gibt es 38 Treckerbibliotheken, das heißt mehr als Apps im Schnitt sind das 1,4 Trecker pro App. Wobei ihr seht, es gibt auch entsprechende Hersteller, die mit dem Thema vernünftig umgehen, also beispielsweise gar nichts eingebaut haben. Weder ein Tracker, noch irgendeine Kontaktaufnahme oder entsprechend umfassend eben darüber informieren in Ihrem Datenschutzbestimmung an der Stelle. Dann hatten wir gesagt, wir gucken uns auch das Thema IT-Sicherheit etwas an, auch da habe ich Beobachtungen gemacht, die ich hier gerne deutlich ausführlicher vorgestellt hätte. Nur leider hat der Hersteller, obwohl er weiß, dass ich darüber berichte, entsprechende Dinge nicht gefixt, vielleicht auch extra, damit ich nicht darüber berichten kann. Es gibt auf jeden Fall in Android-Apps die Möglichkeit sogenannte Webviews einzubauen, das ist eine Art eingebauter Browser, vielleicht kennt ihr das entsprechend vom DB-Navigator oder anderen Apps, wenn man sich da einloggen muss, dann wird sich quasi in der App eine Browserfenster und das kann man mitunter bei bestimmten Apps eines bestimmten Herstellers und es betrifft mehrere Krankenkassen so beeinflussen, dass dort etwas anderes sich öffnet. Das kann entweder geschehen, indem ein User einen Link zugeschickt bekommt und auf diesen Link draufklickt, dann wird ein Inhalt geladen, den man beeinflussen kann, es öffnet sich die XY-App, sage ich jetzt mal. Im schlimmsten Fall könnte es dazu führen, beispielsweise dass man auf den Link draufklickt, plötzlich öffnet sich die Mediziner App auf 100 Tabletten von diesem Medikament, was recht weit reichende Folgen haben kann, insbesondere für Leute, die vielleicht nicht ganz verstehen, dass so etwas möglich ist oder wieso jetzt diese App solche Informationen ausgibt. Grundsätzlich findet da eine unzureichende Filterung statt, das heißt man klickt auf eine URL, da kann man bestimmte Protokolle eben claim in dem Zusammenhang, so dass sich das dann in der jeweiligen App öffnet. Ziemlich unschön, weiterhin nicht geschlossen, aber ich bin in Gesprächen sage ich mal. Dann das Thema Screenshots von sensiblen Inhalten. Ihr kennt vielleicht Funktionen in euren Banking-Apps, das ihr mal versucht hattet, irgendwie von einer entsprechenden Banking-App einen Screenshot zu machen und dann kriegt ihr zum Beispiel unter Android die Meldung, hey hier ist kein Screenshot möglich. Das liegt daran, weil es sogenannte Flex gibt, die man in Android mitgeben kann, wo ganz bewusst gesagt wird, hey hier sind gerade sensibel Informationen enthalten, die sollen bitte nicht gescreensottet werden. In den Banking-Bereich, wie gesagt, sehr stark vorhanden, hier rechts seht ihr mal von der N26 App, wie man das dort einstellen kann, da kann man explizit sagen, ja es soll ein Screenshots erlaubt sein oder nicht, per Checkbox, das gibt es in den allermeisten Apps im Gesundheitsbereich kaum. Bei den E-Pars, den elektronischen Patenten-Akten, da sieht es übrigens anders aus, da ist das sehr weitreichend vorhanden, aber bei irgendwelchen Bonus-Apps, Service-Apps und so weiter habe ich das eher seltener beobachtet, obwohl Gesundheits-Apps natürlich sehr sensibel sind. Also nehmen wir mal an, auf einem Endgerät läuft auch irgendwie eine malizöse App mit drauf und die hat warum auch immer Berechtigung den Bildschirm aufzuzeichnen, dann würde es bedeuten, wenn man die App wechselt, dass man plötzlich Inhalte von der Gesundheits- oder Medizin-App sehen kann. Das könnte man verändern, wenn man dieses Secure-Flex setzt, viele haben das eben nicht gesetzt. Beim schlimmsten Fall kann es neben dem Aufzeichnen der Gesundheitsdaten übrigens auch dazu führen, dass Tastaturengaben mitgezeichnet werden. Anders als beim Rechner ist es ja so, dass die Tastature auf dem Handy auch gleichzeitig der Bildschirm ist, sprich auch das kann weitere reichende Folgen haben in dem Zusammenhang. Genau, das ist mal so ein bisschen zu einem Einblick zu einzelnen beobachteten Themen. Dann habe ich natürlich auch die Frage gestellt, hey, das B-Farm, die sind ja für diesen Katalog dazu ständig und hat mir gedacht, ich stelle mal nach IFG Informationsfreiheit gesetzene Anfrage und überfragt den Staat mal nach, wie genau funktioniert das Ganze, was prüfen die denn da? Und da ich verschiedene Antworten kriege, erst mal haben sie geantwortet, ja, wir sind dafür zuständig, fand ich schon mal spannend und interessant. Das BSI hat beispielsweise auf einer Seite drauf stehen, dass die ja auch komplett raus sind, wir haben ja nichts mehr zu tun, sondern nur das B-Farm prüft das entsprechend. Da habe ich mir gefragt, okay, was prüft ihr denn da genau? Dann haben sie geschrieben, ja, erst mal Plausibilitätsprüfung, also sind diese zutreffende Antworten, ist das irgendwie plausibel, ist das möglich, das ist also der erste Teil der Prüfung, was schon spannend ist, weil, wenn man sich das mal anguckt, das steht da meistens zutreffend, zutreffend, zutreffend, zutreffend, ist die Frage, wie intensiv und was man dann da prüft, wenn man immer nur überall zutreffend liest. Ja, dann gab es auch noch die zweite Antwort, es gibt eine inhaltliche Prüfung, sprich, es wird sich angeschaut beispielsweise die Datenschützerklärung, Authentiserungsmethoden und Datenverbindungen werden analysiert. Da stelle ich mir die Frage, wenn es 28 Apps in diesem entsprechenden Katalog gibt und acht davon aber unmittelbar nach Start schon Verbindung irgendwo zu herstellen, ob das entweder nicht ausreichend geprüft wurde oder ob es dafür andere Gründe gibt, zu denen wir jetzt auch noch mal kommen werden, denn für mich war es eine sehr große Herausforderung im Rahmen der Recherche immer auf dem Laufenden zu bleiben, was das Thema Updates der Apps angeht. Es gibt teilweise Gesundheits Apps, die bekommen einmal pro Woche ein Update, weil da irgendwas Neues eingespielt wird. Also habe ich auch damals die Frage gestellt, hey, wie ist das Ganze, wenn eine App geupdatet wird. Ihr habt das ja im Katalog drinstehen und wenn er stellt, irgendwas ändert, was passiert denn dann? Die Antwort ist, ja, dafür ist eigentlich der Hersteller zuständig, sprich sollte ein Update irgendwie Einfluss auf Datenschutz oder Informationssicherheit haben, dann hat er das anzuzeigen. Wenn er das aber nicht anzeigt, dann kriegen die das möglicherweise gar nicht mit. Es ist weiterhin gelistet beispielsweise in dem entsprechenden Katalog an der Stelle. Also auch mal wieder etwas fragt, will ich, ob da nicht Kontrollen noch engmaschiger stattfinden sollten oder kennen könnten. Wenn man sich damit den Updates mal beschäftigt, dann findet man im Video Verzeichnis, wo offiziell gelistet ist, okay, in welcher Version ist denn diese App geprüft und freigem worden. Und im App Store, da findet man Abweichung, sprich es gibt neuere Apps und soweit ich weiß, gibt es auch keine Möglichkeit im Google Play Store alte Apps überhaupt runter zu laden. Das heißt, es gibt da irgendwie ein Delta, ein Gap, von dem man nicht weiß, was ist da möglicherweise passiert. In der Beschreibung gerade eben hieß es ja, insbesondere wenn es um das Thema Datenschutz-Itsyheit geht, schlussendlich weiß man aber gar nicht, was verändert worden ist. Ich kenne sogar vereinzelt Fälle, wo genau in dem Bereich Sachen verändert worden sind und offiziell hätte dann übers B-Farm neue Freigabe erforderlich sein müssen. Ob die erfolgt ist, ist da allerdings nicht ganz ersichtlich. Sprich, wenn ihr mal Ideen von Jens oder so oft greift, dann könnt ihr ja mal überlegen, ob ihr nicht ein App verzeichnet ist, die da aufnehmen lässt und dann anschließend verändert, so als Heck für dieses Liga-Verzeichnis. Bisschen problematisch ist es auch aus meiner Sicht, es gibt manchmal so 1.1-Sternchen-Sachen, wo man sich aufragt, okay, Wildcard ist schon keine gute Idee im TLS-Bereich, wieso macht man das für Versionsnummern. Insbesondere wenn ich so sehe, okay, 1.19 Punkt Sternchen ist freigeben, aber es gibt irgendwie 1.24. Was ist denn dazwischen so passiert? Nicht so ganz nachvollziehbar aus meiner Sicht. Dann möchte ich hier noch ein Preis vergeben. Wir hatten viele Anwärter auf dem Preis, es ist leider ein Negativpreis. Gewonnen hat die Vita Body App von der BKK-Falz Körperschaft des öffentlichen Rechts. Die haben nämlich eine App, mit der ist man in der Lage, den Geist, das Herz, den Schlaf, Gewicht und Aktivitäten zu tracken und zu messen. Angaben zu machen und im Google Play Store schreiben die App, sie übermitteln keine Daten, ein Drittunternehmen oder Organisationen. Wenn man da mal reinschaut, fragt man sich, okay, wieso habt ihr dann eigentlich Facebook Tracker eingebaut? Wieso habt ihr Sachen von Google irgendwie eingebunden, die teilweise auch irgendwie stattfinden? Ist nicht so optimal, vor allem deshalb nicht, weil davon gar nichts in den Datenschutzrichtlinien und Bestimmungen drin steht. Wenn man sich dann mal beispielsweise, also sprich auch, wenn ihr das selber habt, eine App Tracker Control, die kann man sich herunterladen, da sieht man erstmal, okay, was für entsprechende Tracker sind dort drin und kann dann die App anstarten. Was die App tut, ist lokal quasi einen VPN einzurichten und dann kann man durch die App durchgehen. Hier mache ich jetzt sogar gar nichts, sondern man sieht, man öffnet die App, klickt da vielleicht, okay, ich möchte mich anmelden oder irgendwie registrieren und mehr macht man nicht in der App. Das heißt, es gibt keinen expliziten Hinweis, es gibt noch nicht mal einen Link in der App Tracker Control App. Dann sehen wir hier einfach mal Branche, Amazon.com, Google, Facebook und Functional Software Inc. wurden angefragt innerhalb der ersten, ich müsste mal gucken, 21 Sekunden haben diese ganzen Abfragen stattgefunden. Da kann man auch übermitteln, noch tiefer reingucken, auch da werden Gerätekennungen übermittelt, teilweise Informationen dazu, okay, was genau ist das jetzt für den Betriebssystem, welche Android Version, also auch wieder Dinge, wenn man sie in der Gesamtsicht machen, in dem Zusammenhang. Also an der Stelle eben der Negativpreis, es gab übrigens noch mehr Anwärter auf diesen Negativpreis, ich bin damit manchmal noch in Gesprächen, andere haben aber auch Dinge gefixt, auch da komme ich gleich noch zu. Jetzt auf mein persönliches Highlight, etwas Richtung Ende vielleicht auch schon, nehme ich die Response einer mittelgroßen Krankenkasse, ich habe mich gemerkt, okay, die haben irgendwie eine App, ich glaube es ist so eine Nichtraucher App gewesen, also spricht, dass man versucht und findet irgendwie Daten zu Facebook ohne Einwilligung. Nicht so cool, haben wir ja gerade eben schon gelernt, darüber gesprochen und es ist die Frage, wieso braucht man das eigentlich, weil es wirklich Features gibt, das ganze einem auch nicht. Erste Antwort, ja, danke für den Hinweis, wir gehen ihm nach, ich dachte mega, die gehen ihm nach, haben andere auch gefixt und gemacht, das hört sich prima an. Zweite Antwort, wir wissen gar nicht, wem dieser Google Account gehört, die Agentur, die das Ganze entwickelt hat, wir wissen gar nicht, oder es gibt es auch nicht mehr, wir bemühen uns aber, die App offline zu nehmen, die App ist leider immer noch nicht offline und es ist unverändert. Da bin ich auch noch am Rätseln, was der effektivste Weg ist, das Ganze offline zu nehmen, hatte ich auch schon gerade eben debattiert, ob man das Abuse melden sollte, oder ob die ein Brief an Google schreiben oder was da am meisten hilft. Fakt ist, es gibt offensichtlich Krankenkassen, die gar nicht mal so klein sind, ich glaube die hatte über 150.000 Mitglieder, die keine Kontrolle über ihre Apps haben, weil die so sehr von externen Software-Entwicklern abhängig sind und teilweise offensichtlich auch Verträge geschlossen werden, in den Reihen die Entwicklung abgebildet wird und vielleicht noch ein ganz bisschen Betrieb und wer eigentlich Zugriff auf den Play Google Play Store Account hat, ist da nicht ganz klar, ist übrigens auch bei der App, die wir gerade eben gesehen haben, ein bisschen problematisch die Vita Buddy App beispielsweise, die steht zwar im App Store offiziell als BKK FALZ App, wenn man in die Impressung geht, stößt man allerdings auf eine Firma, ich glaube aus der Schweiz, also auch wieder einen anderen Anbieter, möglicherweise haben die auch recht lokative, günstige Angebote, weil das Business-Modell einfach anders auszieht, weil sie einfach die entsprechenden Personen trecken, die diese App im Einsatz haben. Genau, da haben wir so ein bisschen Limitierung, sprich was, wenn man das nicht angeschaut, was ist noch so ein Thema, was man in den nächsten Monaten vorgenommen hat, bisher haben wir uns ausschließlich gesetzliche Krankenkassen und deren Apps angeschaut, wir haben sehr stark was diese Digas angeschaut, ausschließlich Android Apps aus dem Google Play Store, es gibt da auch noch weitere Sachen, Huawei Store oder sowas habe ich mal gehört, ist die Frage, ob das wirklich breit vertreten ist oder ob man sich da umschauen muss, starker Vogelgruß, bisher auch auf das Thema Tracking, was Vita Buddy übermittelt, meist ein Testing ohne Log-In-Daten, bei manchen Apps kann man sich einfach ein Account registrieren, bei anderen Apps ist es notwendig, dass man beispielsweise Mitglied in einer bestimmten Krankenkasse ist und weil ich nicht in allen 96 Krankenkassen irgendwie gleichzeitig Mitglied sein kann, kann man es entweder nacheinander machen, was glaube ich auch ein bisschen dauert oder man sammelt vielleicht mal Datenspenden ein. Was man sich anschauen könnte ist, dass man sich natürlich weitere Gesundheits-Apps anschaut, die Spagat-App vom Anfang hat übrigens ein Tracker drin, also wenn ihr Spagat in 30 Tagen lernen wollt, lieber ohne diese App, man könnte Risiko-Cluster bilden, ich hatte schon darüber gesprochen, manche Apps haben sehr sensibel Daten, andere bieten eher Informationen, da ist es jetzt nicht so sensibel, was man da an Daten drin hat. Man kann deutlich mehr Testing betreiben, zum Beispiel auf den Backend-System, die da in der Cloud einiges betrieben werden und man könnte sich auch autodot Components stärker anschauen, da habe ich auch schon etwas mit angefangen, auch da sieht es nicht unbedingt gut aus, so viel kann ich schon mal dazu verraten. Mehr Testing mit Login-Daten und eben auch einen stärkeren Fokus auf iOS-Apps, also sprich, dass Apple-Betriebssysteme dort auch abgedeckt werden, weil auch da gibt es sehr mächtige Nutzerinnen und Nutzer, die das Ganze nutzen. Falls ihr Anregungen und Fragen habt, könnt ihr mir die auch gerne zuschicken, falls ihr eine spannende App beobachtet habt, wo ihr sagt, hey, die fällt sich komisch oder die sollte man sich mal anschauen, genau, schreibt mir gerne an www.gesundheits-apps.org Ansonsten, kleines Fazit oder auch bitte an euch, schickt eure Gesundheits-Apps, beispielsweise mit Exodus Privacy, wo man recht guten, schnellen Einblick erhalten kann, was hinter für Tracker vielleicht drin, man kann dann auch mal so cross-checken, was steht eigentlich in der Datenschutzbestimmung, man kann die App Tracker-Kontroller nutzen, die wir gerade eben gesehen haben, die live wirklich sich den Netzwerkverkehr mit anschauen kann, informiert und sensibilisiert Leute in unserem ist, wir jetzt hier vielleicht im Raum, wir wissen, dass es Tracking gibt, wir wissen, dass es Tracker gibt, wir wissen, dass da Informationen übermittelt werden, dass das ein riesengroßer Markt ist. Es gibt ja sehr viele Leute, die bekommen, weil Jens und seine Kollegen das damals cool fanden, entsprechende Apps verschrieben und die wissen das alles nicht. Die haben möglicherweise auch kein Smartphone, auf dem sie gerade in der Lage sind, das zu ruten und das zu unterdrücken, sondern die spenden massiv Daten oder unabsichtlich und wie gesagt, schreibt mir gerne Hinweise, kleine Hinweise auch noch, das Ganze wirkt, also ihr seht hier mal Apps auf der linken Seite, das werden nämlich sonst der Negativpreisträger gewesen mit 6 Trackern und 11 Permissions. Alle 6 Tracker wurden ausgebaut, ich war highly impressed, dafür wurden aber 2 Permissions hinzugefügt und auch spannend, die App Trinkprofi, eine App, die eigentlich nur daran erinnern soll, dass man genug Wasser trinken soll, hatte 9 Tracker drin und 47 Permissions und sie haben sich entschieden, dass es doch etwas viele Tracker sind und dass man weniger Tracker nutzen könnte. Deswegen gibt es jetzt nur noch 1 Tracker und 29 Permissions. Es bewegt sich immerhin in die richtige Richtung an der Stelle, aber um als Trinken zu denken, könnte man sich auch ein Wecker oder so stellen, beispielsweise. Es gibt übrigens auch sehr gute Apps ohne Tracker, beispielsweise die Epa-Apps, da muss ich schon sagen, dass die grundsätzlich sehr valide sind in dem Zusammenhang und die kann man nutzen. Ansonsten von den ganz großen Krankenkassen ist es auch so, ich glaube, dass sie durchaus im Fokus sind, sowohl von Datenschutzbehörden als auch vielleicht von vereinzelten Versicherten, die sich da auch mal umschauen. Das heißt, da habe ich jetzt keine massiven Abweichung, in dem Zusammenhang gefunden. Und zu guter Letzt macht euch vielleicht selbst ein Bild. Ich werde in der Zukunft mehr noch auf gesundheits-apps.org stellen, an Daten, was ich herausgefunden habe, was ich gesammelt habe. Auch wenn ihr da spannende Dinge gesehen oder beobachtet habt, weißt mich da gerne drauf hin. Genau, jetzt sind wir tatsächlich schon etwas vor der Zeit fertig. Trotzdem an der Stelle schon mal vielen, vielen Dank. Und genau, jetzt freue ich mich sehr, sehr froh. Okay, super. Vielen Dank, Tim. Haben mir Fragen. Ich komme einfach so rum. Ich werde eine Runde machen und beginne vorne in der ersten Reihe und arbeite mich dann nach hinten durch. Hi, vielen Dank für den Talk erst mal. Ich wollte fragen, hast du dir auch so Online-Therapie-Apps angeguckt? Da gab es ja in jüngerer Vergangenheit irgendwie diesen Zwischenfall mit BetterHelp, die ja sehr massiv Daten an Facebook verkauft haben. Hast du dir da in dem Bereich was es gibt? Ich glaube, zwei Apps mindestens von großen Krankenkassen, die nennen sich Tele-Doc oder so ähnlich diese Apps. Die haben auch Tracker mit drin. Grundsätzlich klären die aber recht schlüssig in den Datenschutzbestimmungen auf, darüber, dass da Daten übermittelt werden. Dass das natürlich trotzdem nicht unbedingt cool ist, wenn es da Tracker drin gibt, muss ich glaube ich kaum verraten. Da ist jetzt aber nichts, wo ich sagen würde, ich glaube auch, dass da wirklich sich mit beschäftigt wird. Manche Apps, die von den größeren sind, die sind da echt sehr im Fokus von den kleinen Ränder, findet man eher Sachen. Und das Thema ist in Deutschland glaube ich noch nicht so krass verbreitet wie in den USA, wo das schon eher die Regel ist, dass man Telemedizin intensiver nutzt. In Deutschland kommt das noch verstärkt. Plus, ich habe ja sehr stark mir die Krankenkassen angeschaut. Es gibt wahrscheinlich auch noch eine Übersicht von diesen Telemedizin-Apps, der nochmal recht separat ist. Vielen Dank für deine Mühen. Hast du bei den Mehrverkehr mal daran gedacht, unheinsichtige Krankenkassen nicht nur selber anzuschreiben, sondern es vielleicht zu eskalieren an die zuständigen Landesdatenschutzbehörden? Ja, da habe ich durchaus schon dran gedacht. In manchen Fällen werde ich das sicherlich auch noch tun. Aktuell hoffe ich so ein bisschen darauf, dass zumindest diese sehr stark regulierten Apps, dass die von sich aus auch merken, hey, Sie müssen da was tun, weil sonst werden die irgendwann auch die listet aus diesen Befahrübersichten. Ich hatte ja auf der Slide übrigens auch die IFG-Anfrage glaube ich verlinkt. Da kann man noch ein paar mehr Informationen aus meiner IFG-Anfrage rauskriegen. Da sieht man beispielsweise, dass die auch mal Apps abgelehnt haben. Es gibt eine Apps, die wurde aus Datenschutz und Artiseherzgründen abgelehnt. Eine einzige, wohl gemerkt. Die hatten sie nicht gut, keine Ahnung, ob es da gar keine Datenschutzbestimmung oder so gab. Aber natürlich ist das ein plausibler Weg, zum einen Richtung B-Farm irgendwann zu gehen und zu sagen, hey, ihr habt da Apps gelistet, die kommen mir ein bisschen komisch vor oder Richtung eines Datenschutzbeauftragten oder Beauftragten zu gehen. Ja, definitiv. Hast du schon mal darüber nachgedacht, Apps über längeren Zeitrum dir anzuschauen? Ich kenne, dass manche Apps fangen mich erst nach fünf Tagen oder zehn Tagen an, Werbung und Tracker oder so. Das habe ich noch nicht so explizit gemacht, muss ich sagen. Ich beobachte diesen Gesamtmarkt, der jetzt ungefähr seit 12 Monaten, da kommen auch immer mal wieder spannende Apps hinzu. Manche sind irgendwie auch nicht mehr da im Play Store. Aber es ist ein guter Hinweis, kann ich mal gerne mit aufnehmen. Es ist nur die Frage, wie man das in der Scale hinbekommt, weil immer auf einem End-Device das Manuell sich anzuschauen, ist, glaube ich, herausfordernd. Und wenn man sich da irgendwie über Android Studio eine VRM, also eine emuliertes Android holt, dann könnte das auch erkennbar sein. Also quasi, dass die Tracking-Apps Anti-Tracking-Tracking Funktionen bieten oder so, müsste ich mich mal beschäftigen. Aber klingt auf jeden Fall spannend. Und ja, will ich auch nicht ausschließen, dass es sowas gibt, ob es jetzt bei den Krankenkassen so krass vorhanden ist. Hoffe ich mal lieber nicht für die. Aber wenn ich es raus finde, ist eigentlich Bescheid. Gibt es denn für die Nutzerinnen irgendein Vorteil, dass Daten getrackt werden? Oder so Permissions gegeben werden? Ja, also ich sag mal so, die Permissionsbasieren ja recht stark darauf, was tut die App? Es ist zum Beispiel durchaus pausibel, dass ein App den GPS-Standort haben möchte, wenn man wissen will, wo ist die nächste Apotheke. Wenn das allerdings nur eine Trink-App ist, dann braucht ihr eigentlich kein GPS-Standort. Ansonsten von den Verbindungen selbst jetzt zu Firebase, zu Facebook, zu Google oder so, haben die Nutzerinnen eigentlich recht wenig. Für die Entwicklenden ist das natürlich recht spannend, weil man dann mal sieht, auf was für Betriebssystem ist und das Ganze da draußen am Laufen. Wenn es irgendwelche Crashes gibt, warum sind die wie zustande gekommen? Das heißt, aus der Perspektive kann es Sinn machen, Dinge zu tracken. Allerdings muss man dann nicht, wie hier in dargestellten Fällen, eindeutige Kennzeichen zu genau diesem einen Gerät dann erfassen, sondern vielleicht nur in dieser, auch da gibt es halt zwischen man tracked oder man tracked gar nicht auch ein super Bereich, den man ausführen kann, wo man auch plausibler Lösungen finden kann, dass man die Dinge, die wirklich interessant und relevant sind, dass man die tracked und andere Dinge, die man nicht tracken sollte oder dürfte, nicht tracked. Was mich übrigens beruhigt hat, ist auch, dass ich keine App gefunden habe, wo jetzt wirklich eins zu eins ich tippe an, ich suche diese und die in der Krankheit, dass das irgendwohin reported wird. Das habe ich da nicht beobachtet, die Information, hey, diese App wurde auf einem Gerät, die so in jener Art installiert, dass es das, was da beobachtet worden ist. Alles andere wäre ja noch dystopischer, vielleicht mal. Zu dem Thema, dass die Tracker eingeschaltet sind, aber scheinbar nicht benutzt werden, das klingt für mich sehr stark, dass irgendwelche Standard-Frameworks benutzt werden, wo im Default-Detail aktiv sind. Hast du da Hinweise gefunden, dass sich die Entwickler da vielleicht dies Leben einfacher gemacht haben, was es sein sollte, vielleicht in dem Bereich? Ja, relativ, ich sag mal so, ist auch durchaus plausibel, weil manche Dinge, klar, kann man sich holen und schnappen. Ich hatte ja ganz am Anfang auch schon darauf hingewiesen, es gibt so gewisse Muster, was die Version angeht, genauso gibt es Muster, was verschiedene Software-Komponenten angeht. Also auch da kann man erkennen, wenn das 4MXY mal entwickelt hat, dass dann da ähnliche Komponenten drin verbaut sind. Und wenn die einmal den Fehler gemacht haben bei einer Krankenkasse, dann haben sie das meist auch weil das wirklich auch im Jahr einen begrenzter Markt ist. Also da kennt man sich doch recht gut. Man kriegt da auch teilweise Hinweise über die Entwickler-Zertifikate, die in den Android-Apps selber sind, von wem da was wie, wann mal entwickelt wurde. Auch das ist recht spannend. Die haben häufig übrigens Ausstellen im Bereich Security ausgeschrieben oder auch Privacy. Mir ist auch durchaus bewusst, warum, sag ich mal, genau. Danke für die Liste vorher. Du hast ja auch vorher den Preis genannt, dass die mehrere 100 Euro teilweise kosten. Ist da bekannt, ob sich die App-Stores auch noch mal dazwischenschalten und da auch gut mit verdienen oder nicht? Nee, in der Regel ist das nicht so, dass sie sich dazwischenschalten, weil diese Apps im App-Store gratis sind, was man dann allerdings eingeben muss. Also das ist ja, wie Jens und seine Kumpel sich das ausgedacht haben, die App auf Rezept. Das heißt, man bekommt tatsächlich vom Arzt ein Rezept. Erhält man dann quasi so eine Art Code und diesen Code gibt man in der App ein und dann kann man diese App entsprechend nutzen. Das heißt aber, die App-Stores schalten sich in dem Sinne nicht dazwischen. Da sind die Dinge kostellos. Genau, das ist so da die Grundidee hinter. Auch von mir, danke für den Talk. Es ist ja auch Veranstaltungen, wie diesen gerne mal so, dass man nach so einem Vortrag gewisse Dinge nicht mehr so gern benutzt. Nachdem du dich da jetzt ein Jahr in dieses Rabbit Hole gestürzt hast, benutzt du sowas immer noch guten Gewissens zumindest für die Kasse, für die Kasse, bei der du Mitglied bist? Tatsächlich nicht. Also bei meiner kranken Kasse schicke ich per Postweg entsprechende Dinge, wenn da mal was geregelt werden muss. Auch weil ich mit der EPA Elektronisch-Patientenakte zum Beispiel andere Kritikpunkte sehe, auf die heute Nachmittag oder heute Abend bei einem anderen Vortrag aber sicherlich noch mal ausführlicher eingegangen wird. Grundsätzlich kann man das nutzen. Man müsste sich halt immer überlegen, was bringt mir das und kann natürlich so gut es geht untersuchen, wohin wird da was wie übermittelt. Ich habe sogar zwischendurch auch mal überlegt, ob ich nicht mal auf Mastodon oder Twitter einen Aufruf starte. Zum Beispiel von der Lieblings-App, die ich hier gerade eben gefunden habe, von vielen Leuten, die sich da mal registrieren, weil sie bei der BKK falsch versichert sind. Also ihr verstößt ja gegen Datenschutzregeln. Weil es da auch Möglichkeiten gibt, dann an Geld zu kommen. Sieht man immer wieder bei irgendwelchen Databreaches, beispielsweise von Facebook oder irgendwelchen Streaming-Liednissen. Zuletzt, dass da nach DSGVO eben auch entsprechende Ansprüche gelten gemacht werden können. Das soll aber natürlich kein Empfehlung für den Einzelnen sein, sich jetzt überall zu registrieren, bei diesen Apps die Daten lusten zu werden und dann im Nachhinein der Geldrausung zu klagen. Wenn ich das richtig verstanden habe, bezog sich deine Recherche ausschließlich auf das Angebot gesetzlicher Krankenversicherung. Hast du auch mal geschaut, wie es aussieht bei den privaten Voll- und Zusatzversicherungen? Die bieten ja auch einiges an. Ja, ein bisschen habe ich mir das angeschaut, habe aber festgestellt, dass darüber einen Überblick zu erhalten, noch schwieriger ist, weil es da meiner Kenntnis nach nicht so eine Seite gibt, die Sie hier gerade eben einmal gesehen hatten. Auch wenn die Seite nicht unbedingt schön ist, aber ihr erinnert euch vielleicht, am Anfang hatten wir diese Webseite vom GKV-Spitzenverband. Ein solcher Verband ist mir jetzt nicht unbedingt geläufig für die privaten Krankenkassen. Wo man dann sauber ableiten könnte, was sind das denn für Versicherungen? Weil da auch teilweise Unternehmen mit drin sind und mein Ziel war es auch explizit gesetzliche Krankenkassen weil das eben sehr häufig Körperschaften öffentlichen Rechts sind. Das heißt, da gibt es auch noch mal einen anderen Einwirkungshebel, als wenn das ein geschlossener Vertrag zwischen Versicherten und der Krankenkasse ist. Sie erfüllen ja einen gesellschaftlichen Auftrag in dem Sinne dieser Krankenkasse. Ja, hi, danke erstmal für den Talk. Du hast ja vorhin angeschnitten, dass viele Kommunikation auch an die Krankenkassen ging. Gab es da noch andere Trends, ja, danke oder gibt es da irgendwie Prozentsahlen, was wer so gesagt hat? Prozentsahlen habe ich jetzt nicht parat, aber wie gesagt die Reaktionen fallen da recht unterschiedlich aus. Das Spannende da ist glaube ich ähnlich wie auch in anderen Unternehmen. Mitunter ist es so, dass Datenschutzbeauftragte gar nicht mitkriegen. Was haben wir denn so an Apps im Angebot? Weil das irgendwie so komplett dran vorbeigegangen ist. Und dann kriegen die mal so einen Hinweis und freuen sich fast, dass sie dann merken, dass sie wichtig sind oder dass sie sich darum kümmern müssen. Von daher, die Datenschutzbeauftragte nehmen das durchaus ernst. Also das ist schon deren Auftrag, wobei die natürlich auch wahrscheinlich intern immer gut überlegen, wie äußern wir uns jetzt dazu. Deswegen sind das manchmal auch so Einzahler mit. Vielen Dank für den Hinweis. Wir kümmern uns drum. Oder recht ausführlicher, wo man versucht zu erklären, warum das jetzt da eingebaut ist. Warum? Sondern nur, ob das denn so richtig ist. Genau. Manchmal bin ich dann auch mit den Herstellern dahinter im Gespräch, sag ich mal. Weil, ja, da recht ersichtlich ist von welchen Herstellern. Das ist insbesondere wenn Flächendecken, Probleme aufstoßen. Ist das natürlich sinnvoller an die Entwicklerinnen heranzutreten und zu sagen, hey, ihr baut irgendwie immer ein Facebook-Trecker ein. Wollt ihr das wirklich? Da übrigens auch noch spannender Fun-Fact. Bei manchen Apps ist es auch so, dass offensichtlich ein Geschäftsmodell rund um die Datenschutzbestimmung gemacht wird, weil die vom Wortlaut komplett gleich sind. Also, zum Beispiel diese Trink-App oder so, die gibt es auch bei einem, zwei anderen Anbietern. Und da werden auch die Datenschutzbestimmung mitverkauft. Und die Preise sind das dann auf Ihrem Webseiten auch immer an, hey, Sie haben hier ein super duper Komplettpaket. Da wird auch manchmal auf Einzweilslites was zu IT-Sicherheit und Datenschutz gesagt, was manchmal nicht so ist. Ja. Ja, vielen Dank für den Vortrag. Meine Frage geht so ein bisschen in Richtung, in was, also mit was, diese Apps entwickelt sind. Da war dann deine IFG-Anfrage irgendwas drin. Also, meine Überlegung war, müssen jetzt die Hersteller irgendwie ihren Code an die Prüfungsbehörde schicken. Ist da überhaupt irgendwas open-source, dass man reinschauen könnte? Also, ich gehe mal nicht davon aus, aber das ist wahrscheinlich eine komplett Deckbox oder ist es? Da kann ich schnell nochmal auf die IFG-Anfrage springen. Weil sich darin quasi der Haupthinweis her befindet, hey, wir prüfen da nur so ein bisschen rum. Und das sind diese Anlage 1 und Anlage 2, wo es explizit Sachen oder Anforderungen zum Thema Datenschutz und IT-Sicherheit gibt. Und da bleibt die Prüfung auch recht an der Oberfläche. Ich glaube, gesetzlich ist es geplant, dass das Thema ISMS irgendwie mehr eine Betrachtung finden soll. Also, dass man schaut, was gibt es an Dokumenten, an Risikofolgenabschätzung und ähnliches, dass man in so eine Richtung geht. Das gucken die sich auch mit an. Nur der Abgleich zwischen Technik und dem, was dokumentiert ist. Da gibt es aus meiner Sicht auch ein Gap. Das ist durchaus ja leider öfter vorhanden so eine Informatik. Genau, also von daher, dass die Info und hier steht ja auch der Hersteller. Also, ich drehe hinten, die sind nur da und sie fühlen nur dieses Verzeichnis und sie kontrollieren da so ein bisschen. Aber wenn da was verändert wird, dann hat der Hersteller das verändert nicht. Obwohl ich persönlich sagen würde, die hätten natürlich auch Möglichkeiten, strenger zu kontrollieren, da strenger drauf zu gucken. Wobei ich glaube, dass da auch maximal ein, zwei Personen im BFAM sich mit dem Thema beschäftigen. Und da ist die Frage, wie tief sind die jetzt wirklich in Reversing von iOS oder Android Apps drin? Ich glaube, das wäre der letzte, um iOS zu sein. Okay, haben wir noch weitere Fragen? Ja, da hinten. Okay, da muss ich ein bisschen laufen. Ich trecke jetzt zwar nicht meine Schritte, aber wäre vielleicht keine schlechte Idee damit anzufangen. Vielleicht nicht mit einer App. Was durchaus auch noch ganz interessant sein könnte, und zwar ist mir bei der Corona-Warnheit beispielsweise damals aufgefallen, eine App mit einer Betriebssystem, die unterschiedlich groß war. Gerade bei iOS war das Ding irgendwie fast dreimal so groß am Anfang wie bei Android, was total kompios ist. Ja, ist sogar noch weitreichender. Ich habe die Apps primär auf einem S8-Samsungs-Mapphone mir verstärkt angeschaut. Auch da kann es verschiedene App-Versionen geben. Ich hatte sogar explizit eine App, die ich noch mal abhängig davon gewesen mit welchen Gerätetypen man in die Google Play Store gegangen ist. Das heißt, nicht jede App ist auf jedem Endgerät immer gleich. Und natürlich zwischen Android und iOS gibt es da auch noch mal massive Abweichungen. Das heißt, ich gehe nicht unbedingt davon aus, dass die Ergebnisse, die jetzt für Android vorliegen, auch eins zu eins übertragbar sind für das ganze Thema iOS. Das kommt ein bisschen darauf an, wie die Programmierung dahinter erfolgt, sage ich mal. Aber da müsste man eigentlich noch mal eine separate Analyse für starten und dann für das Thema. Können die Apps überhaupt wirksam verschrieben werden, wenn die Version, die gelistet ist, nicht verfügbar ist? Ja, das ist eine spannende Frage, die du da stellst. Ich kann dir die nicht beantworten. Ich weiß auch nicht ganz genau, was das BFAM dazu sagen würde. Aber wenn man das mal auf die Gesundheitswelt grundsätzlich überträgt, ich glaube nicht, dass man irgendeine Medizinprodukt entwickeln dürfte und danach träglich super viel daran noch verändert. Wenn man insbesondere nicht bei irgendwelchen Tabletten oder so, wenn man auf einmal den Wirkstoff verdoppelt, dann sollte man vielleicht noch mal eine Zulassung beantragen. Das ist halt so ein bisschen die Herausforderung bei dem Thema Updates und bei Gesundheits-Apps insbesondere, weil da ändert sich durchaus mal einiges und da habe ich auch selber festgestellt, dass ein bisschen auch ein Dilemma ist, weil grundsätzlich sind Updates ja gut und ist ja jetzt Lücken zu schließen und das Kontergerät so ein bisschen das Thema mit, dass die zugelassen werden sollten. Wenn es irgendwie nachvollziehbare Bildprozesse gibt bei den entwickelnden und die irgendwie einen Reporting an die BFAM schicken und sagen hier, wir haben keine neuen Tracker eingebaut und dann läuft das durch jeden Pipeline durch und alle wissen, was es da wie passiert. Ich bin mir nur nicht sicher, in wie vielen Jahren wir das erreicht hätten, im Zusammenhang, aber man kann damit schon mal starten, glaube ich, sehr cool. Also ich würde sagen, wenn wir jetzt keine weiteren Fragen haben, dann bitte nochmal einen großen Applaus für Tim.