Datenschutzlücken in Gesundheits-Apps: Bremer Forscher enthüllen Widersprüche zwischen Versprechen und Praxis
Bremen/Toulouse, 22. Oktober 2025 – Forscher der Universität Bremen haben in einer umfassenden Untersuchung erhebliche Abweichungen zwischen den Datenschutzversprechen und dem realen Verhalten mobiler Gesundheitsanwendungen festgestellt. Viele dieser Apps übermitteln personenbezogene Daten bereits, bevor die Nutzer ihre Einwilligung erteilt haben. Die Studie, die auf der renommierten internationalen Konferenz für Computersicherheit ESORICS 2025 in Toulouse präsentiert wurde, unterstreicht die Notwendigkeit strengerer Regulierungen und transparenterer Designs in diesem sensiblen Bereich.
Die Arbeit mit dem Titel „Transparency and Consent Challenges in mHealth Apps: An Interdisciplinary Study of Privacy Policies, Data Sharing, and Dark Patterns“ wurde von Dr. Mehrdad Bahrini und fünf weiteren Wissenschaftlern des Digital Media Lab der Universität Bremen veröffentlicht. Sie kombiniert Methoden aus Informationssicherheit, Mensch-Computer-Interaktion und Datenschutzrecht, um die Praktiken von 20 populären mHealth-Apps zu analysieren, die in Deutschland verfügbar sind. Diese Anwendungen unterstützen Nutzer bei Aktivitäten wie Fitnesstraining, Zyklusüberwachung oder Medikamenteneinnahme und verarbeiten dabei hoch sensible Gesundheitsdaten.
Durch den Einsatz statischer und dynamischer Analysetechniken haben die Forscher das tatsächliche Verhalten der Apps, einschließlich Datenflüssen und Einwilligungsprozessen, detailliert untersucht. Die Ergebnisse zeigen gravierende Mängel auf: In mehreren Fällen werden personenbezogene Informationen wie Werbe-IDs an Dritte weitergegeben, noch ehe eine explizite Zustimmung vorliegt. Alle untersuchten Apps leiten Daten in Länder außerhalb der EU weiter, vor allem in die USA. Rund 40 Prozent der Anwendungen kommunizieren zudem mit Servern in Irland, das als zentraler Datenhub in Europa gilt. Weitere Verbindungen reichen bis nach Australien, Schweden, China und Singapur, was die globale Verteilung sensibler Informationen unterstreicht.
Ein weiteres Problemfeld sind manipulative Designelemente, sogenannte Dark Patterns, die in allen 20 Apps vorkommen. Diese Tricks sollen Nutzer dazu bringen, voreilig Einwilligungen zu erteilen, ohne die Konsequenzen vollständig zu verstehen. Hinzu kommen sprachliche Barrieren: In der Hälfte der Apps mit deutscher Benutzeroberfläche sind die Datenschutzrichtlinien ausschließlich auf Englisch verfügbar. Selbst bei deutschsprachigen Versionen bleiben Formulierungen oft vage, indem Datenempfänger lediglich als „Partner“ oder „Dienstleister“ bezeichnet werden, ohne konkrete Namen zu nennen.
Die Studie macht deutlich, dass formale Einhaltung der EU-Datenschutzgrundverordnung allein nicht ausreicht, um echtes Vertrauen aufzubauen. Obwohl viele Apps den gesetzlichen Anforderungen genügen, fehlt es an echter Transparenz und Nachvollziehbarkeit für die Nutzer. Gerade bei Gesundheitsdaten, die ein hohes Missbrauchspotenzial bergen, sei eine Kombination aus ethischen Standards und regulatorischen Vorgaben unerlässlich. Die Forscher plädieren für klarere Richtlinien zu transparenten Informationen und Designvorgaben, die manipulative Praktiken verhindern.
In kommenden Projekten wollen die Bremer Wissenschaftler automatisierte Tools entwickeln, um Datenflüsse und Dark Patterns effizient zu erkennen. Solche Instrumente könnten Entwicklern und Aufsichtsbehörden helfen, die Qualität digitaler Gesundheitslösungen zu verbessern und den Schutz der Nutzer zu stärken. Die Erkenntnisse der Studie, die kürzlich in Fachpublikationen erschienen sind, könnten zu einer breiteren Debatte über Datenschutz in der digitalen Gesundheitsbranche beitragen und langfristig zu sichereren Anwendungen führen.
