Tracker in Barmer Android Krankenkassen-App (August 2022)

Unschöne Geschichte für Menschen, die bei der Barmer Ersatzkasse versichert sind und deren Barmer-App für Android nutzen. Obwohl in der App sensitive Gesundheitsdaten verarbeitet werden, ist diese mit Trackern von Google & Co. gespickt – nicht so wirklich prickelnd.


Anzeige

Die Barmer Ersatzkasse ist eine Körperschaft des öffentlichen Rechts mit 8.8 Millionen Versicherten (Juli 2021) und ca. 13.430 Mitarbeitern. Die Krankenkasse hat ein Haushaltsvolumen von 43,6 Milliarden Euro (Juli 2021) und ist eine der größten gesetzlichen Krankenkassen in Deutschland. Für mich interessant, die folgende Information der Wikipedia:

Zur weiteren Entwicklung der IT und zur Nutzung von Synergie-Effekten hat sich die Barmer im Jahr 2006 im Bereich des IT-Service mit der AOK Berlin, AOK Brandenburg, AOK Mecklenburg-Vorpommern, AOK Rheinland/Hamburg, AOK Sachsen-Anhalt, AOK Schleswig-Holstein und der AOK Westfalen-Lippe zu einer Arbeitsgemeinschaft in der Rechtsform einer Gesellschaft bürgerlichen Rechts zusammengeschlossen, der GKV Informatik (GKVI). Seit Oktober 2006 betreibt die GKVI ein gemeinsames Rechenzentrum im Gebäude der heutigen Barmer in Wuppertal-Lichtscheid. Weitere IT-Bereiche wie Anwendungsentwicklung, Spezifikation und Test sind bei den jeweiligen Kassen verblieben.

Die Barmer App

Die Barmer Krankenkasse bietet Nutzern mit Android eine Krankenkassen-App, über die sich viele Vorgänge mit dem Versicherer abwickeln lassen. Die Barmer App ist kostenlos im Google Play Store für Android erhältlich (siehe Screenshot). 

Barmer App

Ziel der App ist es, Versicherten die Kommunikation mit der Krankenkasse zu erleichtern – man kann beispielsweise Krankmeldungen hochladen, Anträge stellen und Bescheinigungen herunterladen oder auch Bonuspunkte sammeln. Sollte zwar auch alles im Browser zu erledigen sein, aber viele Versicherte greifen lieber zur App. Im Google Play Store heißt es zwar: "Keine Daten werden mit Drittunternehmen oder -organisationen geteilt". Aufgefallen sind mir auch einige negative Bewertungen, die sich über viele Fehler der App beklagen.


Anzeige

Tracking-Paradies Barmer-App

Ich habe die betreffenden Gesundheits-Apps nicht alle auf dem Radar, denn für meine Blogs gibt es einfach zu viele Themen. Aber ich wurde die Tage über einen Tweet von Mike Kuketz auf die Sachlage aufmerksam.

Tracking in Barmer Android-App

Die Aussage ist, dass in der App, in der die Versicherten sensible Gesundheitsdaten eingeben, gleich mehrere Tracker eingebettet sind. Basis ist die Analyse der Plattform Exodus, die hier abrufbar ist.

Exodus Tracking-Analyse der Barmer Android-App

Dort wird angegeben, dass die Code-Signatur der die drei oben aufgeführten Tracker gefunden wurden. Hier mal ein kurzer Blick auf diese Thematik.

Ein Tracker ist eine Software, deren Aufgabe es ist, Informationen über die Nutzer der App zu sammeln, wie die App verwendet wird, oder über das Smartphone, auf dem sie verwendet wird. Ein Tracker wird normalerweise von Unternehmen als SDK (Software Development Kit) vertrieben, eine Art fertiges Toolkit, das darauf abzielt, es für Anwendungsentwickler einfacher zu machen. Es gibt aber auch "Open Source"-Tracker, deren Code verfügbar und für jedermann zugänglich ist. Auf der Exodus-Seite finden sich weitere Hinweise zur Art der Tracker und wozu diese verwendet werden können.

Hier mal eine kurze Übersicht, wozu die oben genannten drei Tracker in der Barmer Android-App dienen.

  • Firebase Crashlytics ist ein einfacher Echtzeit-Crash-Reporter, mit dem Entwickler Stabilitätsprobleme in einer App verfolgen, priorisieren und beheben können.
  • Google Analytics for Firebase wird von Google als Herzstück der Firebase-Lösung gepriesen, erlaubt sie doch Google Analytics, eine unbegrenzte Analyselösung, die kostenlos zur Verfügung steht. Analytics-Berichte helfen Entwicklern oder Firmen dabei, das Verhalten der Benutzer zu zu verstehen, sodass fundierte Entscheidungen in Bezug auf App-Marketing und Leistungsoptimierungen getroffen werden können.
  • Tealium ist ein führender US-Anbieter im Bereich Real-Time Customer Data Orchestration und Enterprise Tag Management. Der Anbieter führt Daten zusammen, so dass Unternehmen gezielt mit Hilfe der Daten auf die Kunden zugehen können.

Mit der Installation der App und Anmeldung bei der Barmer dürfte auch die Zustimmung der Daten nach DSGVO abgefragt werden (ich habe es nicht überprüft). Aber ich habe massive Bauchschmerzen, wenn eine Krankenkasse eine Gesundheits-App mit Trackern von US-Unternehmen spickt, die meine Gewohnheiten und ggf. mein Gerät "ausspionieren" könnten. Man könnte auch sagen: Geht gar nicht.

So richtig ist das Thema "Privacy und Datenschutz" bei der Barmer wohl noch nicht angekommen. So weist mir Exodus für die BARMER eRezept-App für Android ebenfalls zwei Tracker (für Google AdMob-Werbung, und Firebase Analystics) auf. Bei andere BARMER-Apps werden keine Tracker eingesetzt. Allerdings sollen sich die Tracker für Analytics und für die App-Nutzung laut diesen Tweet (und den Angaben im Play Store) deaktivieren lassen. Das wird aber kaum ein Nutzer wissen oder auch tun.

Da ich nicht als Android-Entwickler arbeite, war ich mir unsicher, ob die oben genannten Tracker gebraucht werden und ob das Usus bei Krankenkassen-Apps ist. Also habe ich mal Exodus bezüglich der von mir benutzten TK-App der Techniker Krankenkasse befragt. Das Ergebnis ist nachfolgend zu sehen – diese Gesundheits-App ist frei von Trackern, sagt Exodus. Nach also, geht doch.

Exodus Tracking-Analyse der TK Android-App

Was sagt die BARMER?

In der Datenschutzerklärung der BARMER für die App lese ich auch nicht unbedingt Hinweise auf die obigen Tracker, sondern nur die allgemeine Angabe, dass man sich auf die Sammlung unbedingt notwendiger Daten beschränke. Da in der App Benachrichtigungen möglich sind, greifen die Entwickler auf Google Firebase Cloud Messaging zurück – auch nicht so prickelnd. Spannend sind auch die Angaben in der Datenschutzerklärung:

Webtracking

Um die Barmer-App zu optimieren, analysiert die Barmer regelmäßig das Nutzungsverhalten. Mit der Methode des sogenannten Webtrackings werten wir beispielsweise aus, wie häufig unsere Onlinedienste besucht werden und welche Inhalte besonders wertvoll für den Nutzer sind. Dazu werden anonymisierte Daten erfasst sowie gespeichert und daraus Nutzungsprofile unter der Verwendung von Pseudonymen erstellt. Technisch setzen wir Cookies ein, die die Wiederkennung eines Internet-Browsers ermöglichen.

Bei der Umsetzung des Webtrackings setzen wir die Technologien der econda GmbH ein, die das TÜV-Zertifikat "Geprüfter Datenschutz" des TÜV Saarland für den Bereich Web Controlling führt.

Ihre Zustimmung beziehungsweise Ablehnung zur Analyse des Nutzungsverhaltens können Sie unter "Analysen für Verbesserungen" in den App-Einstellungen ändern.

Tag Management

Mit dem Tag-Management-System Tealium iQ werden Pixel der in den Datenschutzhinweisen genannten Anbieter auf den Webseiten der Barmer geladen. Tealium erfasst dazu mittels Cookie einige nicht personenbezogene Daten. Dieses Cookie verliert nach 12 Monaten seine Gültigkeit. Folgende Informationen werden im Tealium Cookie gespeichert:

  • Zeitstempel des Webseitenbesuchs
  • ID für den Seitenaufruf
  • ID für den Besucher
  • ID für die Session

Sie können das Senden von Daten zur Nutzung (Nutzungsstatistik) jederzeit in den App-Einstellungen deaktivieren.

Es wird zwar transparent offen gelegt, was man macht – da aber die Deaktivierung der Funktionen möglich ist, steht das für mich im Widerspruch zu "wir erfassen nur die notwendigen Daten". Auf der BARMER-Seite findet sich noch der Hinweis:

Ihre Daten werden streng vertraulich behandelt. Ihre Daten werden nicht an Dritte weitergegeben. Die bei der Nutzung der Barmer-App anfallenden Daten werden ausschließlich auf Servern in Deutschland oder innerhalb des Europäischen Wirtschaftsraumes (EWR) einem anderem EU- oder EWR-Mitgliedsstaat verarbeitet.  

Anbieter wie Tealium haben entsprechende Seiten, in denen die GDPR (DSGVO) bestätigt wird. Schaue ich mir die Entscheidung der Vergabekammer im Beitrag Vergabekammer Baden-Württemberg schließt Anbieter eines US-Cloud-Diensts von Angebot aus an, hat bei der BARMER wohl noch nicht wirklich eine Sensibilisierung bezüglich solcher Tracker in Gesundheits-Apps eingesetzt. Zumindest bleibt bei mir ein schales Gefühl zurück, denn in der App lädt der Versicherte Krankschreibungen, Anträge und was weiß ich alles zur Barmer hoch. Da will ich keine Tracker, auch wenn die abwählbar sind – die Techniker-Krankenkasse hat sich in ihrer App gegen Tracker entschieden – was mir wesentlich sympathischer ist. Oder wie seht ihr das so?


Anzeige

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Tracker in Barmer Android Krankenkassen-App (August 2022)

  1. Svenny sagt:

    Vermutung: Der App-Framework-Zusammenklicker-Klitsche war erst nicht bewusst, dass man mit irgendwelchen Elementen auch die Tracker mit reingeklickt hat, der Rest mit Datenschutzerklärung usw. war dann rein kommunikative Schadensbegrenzung im Nachgang oä.

  2. Guido sagt:

    Hallo, ich bin selber bei der Barmer versichert und wollte, um bestimmte Dinge in der Vergangenheit zu erledigen, nicht die App nutzen. Bestimmte Dinge können jedoch NUR und ausschließlich über die App erfolgen wie die Teilnahme am Bonusprogramm. Über den Browser funktioniert das nicht! Mir wurde die Papiervariante angeboten. Ich erhielt ein Bonusheft via Post.
    Grüße Guido

  3. mvo sagt:

    Problematisch in Deutschland ist, dass es viel zu wenig digitale Angebote gibt. Noch problematischer ist aber, dass die ohnehin schon zu geringen Angebote digitaler Lösungen schlampig zusammengeklickt werden, Sicherheitslücken aufweisen oder Daten sonstwo hin abfließen.

  4. Alex sagt:

    Hallo Günter,

    zu der Liste kannst du dann auch die BKK VerbundPlus APP aufnehmen.
    Diese hat laut Exodus ebenfalls den "Google Firebase Analytics" Tracker drauf.

    • Günter Born sagt:

      Interessante Info – über Xing hat mich die DAK informiert, dass in deren App zwar ein Framework für einen solchen Tracker enthalten und möglicherweise auch von Exodus erkannt werden wird. Aber im Code sei diese Funktion deaktiviert – mehr Details zur DAK-App habe ich aber nicht.

      Das Thema aus obigen Beitrag wurde auch bei Computerbild aufgeriffen. Die obige Info der DAK geht auf diesen ComputerBild-Beitrag zurück – den Beitrag kannte ich noch nicht. Der ComputerBild-Beitrag bezieht sich aber auf meine obigen Ausführungen im Artikel.

  5. Karl sagt:

    > Problematisch in Deutschland ist, dass (…) die (…) Angebote digitaler Lösungen schlampig zusammengeklickt werden, Sicherheitslücken aufweisen oder Daten sonstwo hin abfließen.

    Die Begrenzung auf "in Deutschland" wirkt ein wenig wie ein zu enger Blick. Ich vermute mal begründet, dass es ausreichend Hinweise darauf gibt, dass das Phänomen in anderen Sphären ebenso auftritt. Ich würde hier und da auch die Vermutung drauf werfen wollen, dass es sich um ein systemiches Problem handelt.

  6. Paul Brusewitz sagt:

    Auch unglaublich: Schickt man der BARMER eine einfache E-Mail, geht diese durch. Schickt man eine E-Mail, die digital unterschrieben ist (nicht verschlüsselt!), wird diese abgewiesen mit der Begründung, dass "die digitale Unterschrift nicht bekannt sei". Das muss man auch erst mal hinbekommen.

    Freundliche Grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.