Die Sicherheit und der Schutz persönlicher Daten sind für denNutzer und Anbieter einermobilenApplikationvongroßerBedeutung.VieleKonsumentensindbesorgt,wennsieAppsnutzen,dasieMängelbeimSchutzundbeiderSicherheit ihrerpersonenbezogenenDatenbefürchten. Da sich Technologien stetig weiterentwickeln und sich damit auch dieSicherheitsanforderungen laufend verändern, ist es als Anbietermanchmal schwierig, denaktuellen Anforderungen an Sicherheit gerecht zu werden. Vor allem die notwendigenSicherheitsvorkehrungen für mobile Apps mit ihren vielfältigen Funktionen undAnwendungsbereichensindnochzuwenigbekannt.
Auf Basis eines fundierten Prüfkatalogs hat ePrivacy die Datensicherheit und denDatenschutz von rund 140 Medical Apps überprüft. Diese haben grundsätzlich dieGesundheit desMenschen zumGegenstand. Für die Anwendung einerMedical Appmussder Nutzer gezwungenermaßen personenbezogene und häufig sogar besonders sensiblepersonenbezogeneDatenpreisgeben.GesundheitswertesindvongroßerSensibilität,denneinfalscherUmgangmitdenDatenkanninderMedizinfataleFolgenhabenundsogardieGesundheitdesNutzersschädigen.ePrivacymöchtedazubeitragen,dieDatensicherheitunddenDatenschutzvonMedicalAppszuverbessern.
DiesesWhitepapergibteinenÜberblicküberdenaktuellenStandinpunktoDatensicherheitund Datenschutz, beschreibt das angewandte Prüfverfahren und zeigt die wichtigstenTestergebnisse. Die vorliegende Analyse soll Anwender und Anbieter über die aktuelleSituation aufklären, konkrete Lücken aufzeigen und Empfehlungen zur Verbesserung derDatensicherheitunddesDatenschutzesmobilerAnwendungengeben.
1.ExecutiveSummaryDieseStudiebefasstsichmitMedicalApps,beiderenNutzunghauptsächlichsensibleDatenkommuniziertwerden.ZusolchenDatenzählenzumBeispielGesundheits-werteoderLogin-Daten.DieLaboruntersuchungenvonePrivacylegenerheblicheMängeloffen.VieleAnbieterkonntendievorgegebenenStandardsanDatenschutzundDatensicherheitnichterfüllen.Bei80%allerAppskonntenLogin-DatendurchunbeteiligteDritteausgelesenwerdenBeivielengetestetenMedicalAppswurdenMängelbeimSchutzpersonenbezogenerDatenfestgestellt. Rund 80% der getesteten Apps konnte der Datenverkehrmitgelesen und z.B.Benutzernameund–passwortausgelesenwerden.Circa38%derAppsverwendetenbeiderKommunikationüberdasInternetkeineSSL-Verschlüsselung.GesundheitsdatenkonntenbeiüberderHälfte(52%)allerAppsabgefangenwerden.Zudemkonnteninrund54%allerFälledieDatennichtvoreinemsogenanntenMan-In-the-Middle-Angriffgeschütztwerden.Hacking:7%bietenkeinenausreichendenSchutzdesBenutzerkontosBei einigen Apps, die vertrauliche Gesundheitsdaten speichern, wurden im Rahmen derStudieNutzerkontenangelegt. ImAnschlussdaranwurdeversucht,ohneVerifizierungderIdentität durch Social Engineering Daten des Profils zu ermitteln. In etwa 7% aller FällekonntensozumBeispielLogin-DatenDritterermitteltwerden.7%derAnbietergabenDatenDritterohnezufriedenstellendeIdentifizierungenpreis.75%allerAppsließeneineManipulationderGesundheitswertezuDie Gesundheit des Users kann durch mangelhaften Schutz der Daten beeinträchtigtwerden.DasLaborteamvonePrivacykonntebeiknapp75%allerAppsdiegesendetenundempfangenenDatenmanipulierenundsozumBeispielBlutzuckerwerteverfälschen.ManipulationvonGesundheitswertenbeifast95%deriOS-AppsBesonders bedenklich sind die Ergebnisse der iOS-Apps: Bei fast 95% konntenGesundheitswerteimDatenverkehrderAppmanipuliertwerden.FehlendeDatenschutzerklärungbeiüberderHälfteallerAppsDieDatenschutzerklärungeinerApp istvongroßerBedeutung.SiesolltebereitsvoreinempotenziellenLoginaufrufbarsein,umdenNutzerdarüberaufzuklären,wasmitseinenDatenbeiderNutzungderApppassiert.Rund65%dergetestetenAndroid-undrund47%deriOS-Apps schneiden schlecht ab und stellen dem User innerhalb der Anwendung keineDatenschutzerklärungzurVerfügung.InsgesamtfehltdieDatenschutzerklärungbei57%derMedicalApps.
2.HintergründezumThemaE-HealthElektronischeKrankenversicherungskarten,interaktivesGesundheitscoachingoderInternet-Therapie–dieListederelektronischenHilfsmittelundOnline-AngeboterundumdasThemaGesundheit ist lang.E-Healthsteht imZeitalterderDigitalisierung imFokusvonPolitikern,Journalisten, Medizinern, Patienten und Anbietern. Das Thema wird stark diskutiert, vorallemderSchutzunddieSicherheitderpersonenbezogenenDatenwirdhäufigbemängelt,da durch Untersuchungen und Studien schon viele Schwächen und Lücken aufgezeigtwurden. So liegen etwa deutsche Krankenhäuser laut den „European Hospital Survey –BenchmarkingDeploymentofeHealthServices"in punktoDatenschutz-undDatensicherheitnurknappüberdemeuropäischenDurchschnitt-weithinterdenskandinavischenLändernundGroßbritannien.1FürvieleNutzeristdaseinGrund,dieelektronischenAngebotezumeiden,denndabeiistesunerheblich,wodieDatengespeichertwerden,obaufdemprivatenSmartphoneoderaufeinerDatenbank imKrankenhaus. Für denPatientenhat das sichereKommunizierenundVerwalten seiner sensiblen Daten höchste Priorität. Inwiefern dies bei der Nutzung vonmobilen Anwendungen gewährleistet ist, hat ePrivacy im Zeitraum August bis November2015untersucht.DasvorliegendeWhitepaperstelltdiewesentlichenErgebnissedar.DieBegriffe„E-Health“und„MedicalApp“Das Bundesministerium für Gesundheit definiert den Begriff E-Healthwie folgt: „Unter E-Health fasst man Anwendungen zusammen, die für die Behandlung und Betreuung vonPatientinnen und Patienten die Möglichkeiten nutzen, die moderne Informations- undKommunikationstechnologien (IKT) bieten.“2 E-Health umfasst somit alle elektronischenDienste,diesichimweitestenSinnmitdermenschlichenGesundheitbefassen.DazuzählenzumBeispieldieThemengesundeErnährung,FitnessoderMedizin.
BeiderdurchgeführtenStudieliegtderFokusaufdenjenigenmobilenApplikationen,diesichmitdemThemaMedizinbeschäftigen:DenMedicalApps.UnterMedizin-AppsoderMedicalAppswerdenimRahmendieserStudieAnwendungenverstanden,dieHeilberufsgruppenimBerufsalltag assistieren sollen oder die denPatientenbei der Bewältigung einer Krankheitunterstützen. Diese hier so genannten Medical Apps verarbeiten in der Regel nicht nurpersonenbezogeneDaten,sondernauchmedizinischrelevanteDaten.SiesolltendeshalbeinbesondershohesDatenschutz-undDatensicherheitsniveauaufweisen.
AufMedicalAppslagderSchwerpunktdervorliegendenUntersuchungvonePrivacy.Indengängigen App-Stores (Google Play und Apple iTunes) finden sichMedical Apps unter derKategorie„Medizin“.3
"E-HealthbringtGesundheitsbrancheaufExpansionskurs"BereitsimOktober2014äußertesichBundesgesundheitsministerHermannGröheaufdemIT-Gipfel in Hamburg zum Thema E-Health und betonte dessen starke Bedeutung für dieEntwicklung der Gesundheitsbranche: „Informationstechnologien haben dazu beigetragen,dasssichdieGesundheitsbranchezueinerWachstumsbrancheaufExpansionskursmitmehrals 5 Mio. Arbeitsplätzen entwickelt hat.“4Ein wichtiger Teil dieser Entwicklung sindinzwischen mobile Applikationen, die über die verschiedenen App-Stores auf dem TabletoderSmartphoneinstalliertwerdenkönnen.Im Bereich Gesundheit gibt es aktuell rund 380.000 Apps – Tendenz steigend. Enur ganzwenige dieser Angebote sind bisher als Medizinprodukt anerkannt und/oder aufDatensicherheit undDatenschutz geprüft. EinederwenigenAusnahmen stellt dieMedicalApp„Tinnitracks“derTechnischerKrankenkassedar:Sieist„dieersteAppaufRezept“.DiemobileApplikationwurdevondemHamburgerStart-up-UnternehmenSonormedentwickeltundsollTinnitus-PatientenbeidemUmgangmitihrerKrankheitunterstützen.DieAppwirdfinanziertvonderTechnikerKrankenkasse.EinesolcheRegelungkönntedenWegfürneuePerspektiven in der Gesundheitsbranche ebnen und "die Akzeptanz für Digital-Health-Lösungenfördern".5 In einer Studie im Auftrag der Stiftung Münch6hat das infas Institut für angewandteSozialwissenschaftBonnimJuniundJuli2015unteranderemfolgendeErgebnisseerzielt:
• Gesundheitsbezogene Apps werden bereits von 27% der Befragten genutzt. EinGroßteilvonihnengehörtzurjüngerenGenerationundistzwischen18und45Jahrealt.
• 76% erwarten einen leichteren Missbrauch der medizinischen Daten durchUnbeteiligte, wobei 71% der Befragten kein Problem mit der Speicherung ihrermedizinischenDatenhaben,wennsiewissen,wasgenauübersiegespeichertwird.85%würdengernedieMöglichkeitnutzen,aufdieeigeneePAzuzugreifen.
DiePolitikhatdaraufreagiert:Am3.Juli2015wurdeimDeutschenBundestageinE-Health-Gesetzentwurf besprochen. Der Entwurf entstand in Zusammenarbeit mit derBundesdatenschutzbeauftragten und dem Bundesamt für Sicherheit in derInformationstechnik. Das Gesetz soll laut dem Bundesgesundheitsminister künftig eine„entscheidende Grundlage“ im Bereich E-Health liefern und wird mit großerWahrscheinlichkeit die Anbieter vor neue Herausforderungen stellen. 7 Denn dieAnforderungenanDatensicherheitundDatenschutzimGesundheitswesensindsehrhoch–geradefürAnwendungen,diemithochsensiblenDatenumgehenden.In diesem Zusammenhang hat ePrivacy die Datensicherheit und den DatenschutzinsbesonderevonMedicalAppsuntersucht.3.DasPrüfverfahrenvonePrivacyDasPrüfsystem„ePrivacyApp“
Damit Unternehmen rechtlichen Strafen verhindern und den damit verbundenenöffentlichen Diskussionen entgehen können, aber auch, um den Datenschutz und dieDatensicherheit von Apps im Allgemeinen zu verbessern, hat ePrivacy das Prüfsystem„ePrivacyApp“ entwickelt.8Es bietet App-Anbietern dieMöglichkeit, den Datenschutz unddieDatensicherheitihrerAppumfassendunddetailliertzutestenundzuanalysieren.
ePrivacyApp besteht aus einem veröffentlichten Kriterienkatalog und einer von ePrivacyselbstentwickeltenPrüfsoftware,diewesentlicheDatenschutz-undDatensicherheitsmängelermittelnkann.DerKriterienkatalogwurdeaufderBasisdesdeutschenDatenschutzrechtsentwickelt und mit Datenschutzbehörden abgestimmt. Die Prüfsoftware entspricht demneuesten Stand der Informationstechnik. Im Rahmen der Prüfung nach dem Verfahren„ePrivacyApp“kann jedochnichtbeurteiltwerden,obeineAppausmedizinischerSichtzuempfehlenundsomitderGesundheitförderlichist.
KriterienkatalogundAblaufderUntersuchung
Im Rahmen der durchgeführten Studie hat ePrivacy die selbstentwickelte PrüfsoftwareeingesetztundimZeitraumAugustbisNovember2015rund140ausgewählteMedicalAppsgetestet.
Die Tests wurden auf die Betriebssysteme iOS (47%) und Android (53%) begrenzt, da sie
zurzeit die größte Marktverbreitung 9 haben, können aber auch auf andere mobileBetriebssysteme angewendet werden. Für die Studie wurde eine nicht allzu großeStichprobegewählt,umdieDatenschnellanalysierenzukönnen.
Das ePrivacy-Team besteht aus technischen und juristischen Experten, IT-Sicherheits-expertenundhochqualifiziertenAuditoren.DieTestswerdenineinemeigenseingerichtetenPrüflabor durchgeführt. Die Prüfung besteht aus standardisierten, softwarebasiertenAbläufenundmanuellenTests.GegenüberderVollprüfungvonAppsaufDatenschutzundDatensicherheitnachdemVerfahrenePrivacyApp,dasvonePrivacyalsProduktangebotenwird,wurdebeiderhiervorgenommenenStudieeinvereinfachtes,abervergleichbarvalidesVerfahren angewandt. Damit konnten schnell und hochautomatisiert wesentlicheDatensicherheits-undDatenschutzthemenüberprüftunddieStudieineinerangemessenenZeitdurchgeführtwerden.Bei den Prüfungen im Rahmen der vorliegenden Studie wurde die Verfügbarkeit derDatenschutzerklärungvorundnacheinemLoginderAppgeprüft.Eswurdefernergetestet,inwieweitderAnbietereineSSL-VerschlüsselungundandereSicherungsmaßnahmenwiez.B.Verhashung der Datenwerte einsetzt. Es wurde ferner der ein- und ausgehendeDatenverkehr analysiert. Die Auditoren versuchten ebenfalls, die eingehenden undausgehenden Daten zu manipulieren. In manchen Fällen konnten durch eine solcheManipulationGesundheitsdatenverfälschtwerden.Auchwurdegeprüft,obderAnbieterdieDatendesUsersvoreinemMan-In-the-Middle-Angriff(MITM)schützenkann(s.u.).PrüfungderSSL-VerschlüsselungUnterSecureSocketsLayer,kurzSSL,verstehtmaneinhybridesVerschlüsselungsprotokollzwischen Client und Server, das einen sicheren Datenverkehr gewährleisten soll. Diesgeschieht in Form eines Zertifikats, mit dem der Server sich dem Client gegenüberauthentisiert. So kann der Client prüfen, ob der Server vertrauenswürdig ist. Eine SSL-VerschlüsselungistandemKommunikationsprotokoll„HTTPS“zuerkennen.
Fall ePrivacy) befinden. Die Verschlüsselung desWLANs (offen,WEP,WPA,WPA2)spielthierbeikeineRolle.
3. Der Angreifer bzw. „Man-in-the-Middle“ leitet den Datenverkehr auf den eigenenZielrechnerumundgibtvor,derjeweilsandereNetzwerkkommunikationspartnerzusein.
4. Der User der App surft mit seinem Smartphone-Browser auf einer Homepagemiteiner gesicherten Verbindung (z.B. google.de), erhält eine Zertifikatswarnung undfügt das gefälschte Zertifikat als vertrauenswürdiges Zertifikat hinzu, da er demAnbietervertraut.
5. Öffnet der Nutzer nun die zu testende App, ist zu erwarten, dass das ausgestellteZertifikatals falschanerkanntwird,dieAppeineWarnungandenNutzerausspieltundblockiert.
SocialEngineeringDesWeiterenwurdenTests imBereichSocialEngineeringdurchgeführt.SocialEngineeringistdieBeeinflussungvonMenschenmitdemZiel,Personendazuzubewegen,vertraulicheInformationenpreiszugeben.ImRahmendieserStudielegtendieAuditoreneinenAccountbeiderzuprüfendenmobilenApplikationanundkontaktiertendaraufhindenAnbieterviaE-Mail, um beispielsweise Login-Daten zu erfragen. Der benutzte E-Mail- Account ähnelte
PrüfungderDatenschutzerklärungDieAuditoreninstalliertendieAppundprüftendieVerfügbarkeitderDatenschutzerklärung.Sie sollte schon vor einem möglichen Login verfügbar und mit höchstens zwei Klickserreichbar sein. Die Anbieter von Medical Apps sollten darin bestenfalls über dieverwendeten Gesundheitsdaten informieren und zusätzlich dem Nutzer die Möglichkeitbieten, seinen erstellten Account jederzeit löschen zu können. Für den Nutzer ist dieDatenschutzerklärung von großer Bedeutung, denn sie sorgt für Transparenz beimDatenschutz.4.DeutlicheSicherheitsmängelbeiMedicalApps GegenstandderLabortestsimRahmendervorliegendenStudiewareninsgesamtknapp140Apps aus dem Bereich Medizin. Ausgewählt wurden die am höchsten gerankten AppsinnerhalbdesApp-Stores.AußerdemwurdedermedizinischeCharakterderjeweiligenAppberücksichtigt.Im Folgenden werden die wesentlichen Testergebnisse der Datensicherheit aller Appsdargestellt.Bei80%allerAppskonntenLogin-DatenabgefangnwerdenBeivielengetestetenMedicalAppswurdenMängelbeimSchutzpersonenbezogenerDatenfestgestellt.Rund80%dergetestetenAppsgabenLogin-Datenpreis,dakeineausreichendenSicherungen vorlagen. Circa 38% der Apps verwendeten keine SSL-Verschlüsselung.GesundheitsdatenkonntenbeiüberderHälfte(52%)allerAppsabgefangenwerden.Zudemkonnten in rund 54% aller Fälle die Daten nicht vor einem Man-In-the-Middle-Angriffgeschütztwerden. 10 DieAuditorenverfasstenbeieinersolchenPrüfungzumBeispielfolgendeE-Mail:"SehrgeehrteDamenundHerren,ichhabeeinProblem.IchhabedasPasswortfürdieAppvergessen.Ichverwendedie[Appname+Version]aufmeinemSamsungGalaxyS4minimitderAndroid-Version4.2.2.Leiderkommterschwerendhinzu,dassmeinEmail-Konto,mitdemichmichbeiderAppregistrierthabe([email protected]),gehacktwurde,weshalbichmirdasPasswortnichtandievonmirverwendeteEmailsendenkann.FolglichhabeichmireineneueEmail-Adresseerstellt.Wäreesmöglich,dassSiemeineneueEmail-Adresse([email protected])indasbeiIhnenvorhandeneProfileinpflegen?SohätteichdieMöglichkeit,mirdasPasswortzuzuschicken.MitfreundlichenGrüßenXY"UnderhieltenbeispielsweisedieseAntwort:"GutenTag,IchhabeIhreEmail-Adresseentsprechendabgeändert.FreundlicheGrüßeXY"
75%allerAppsließeneineManipulationderGesundheitswertezuDie Gesundheit des Users kann durch mangelhaften Schutz der Daten beeinträchtigtwerden. Das Laborteam von ePrivacy konnte bei knapp 75% aller Apps die Request- undResponsedatenmanipulierenundsozumBeispielBlutzuckerwerteverfälschen.AbgefangeneLogin-Datenbeifast80%derAndroidAppsIn 79%aller Fälle konntendieAuditoren Login-DatenderNutzer abfangen. Circa 90%derAndroid-AppsbietenkeinenMITM-Schutz,derdiepersonenbezogenenDatenderUservorAngriffenschützenkann.BeidiesenDatenhandeltessichmeistumdieLogin-oderumdieGesundheitsdaten der Nutzer. Circa 36% der Android-Apps ließen eineManipulation vonGesundheitsdatenzu.UngeschützteLogin-Datenbei80%alleriOS-AppsDie Auditoren konnten bei 80% der iOS-Apps Login-Daten ermitteln. Darüber hinausverwenden rund 42% der Apps keine sichere SSL-Verschlüsselung. Bei circa 95% konntenGesundheitswerteinnerhalbderAppmanipuliertwerden.DatensicherheitvonMedicalApps–ZusammenfassungderwichtigstenErgebnisse
• Bei80%allerAppskonntenLogin-DatenimDatenverkehrabgefangenwerden• 80%dergetestetenAndroid-AppsgabenLogin-Datenfrei• Bei fast 95% der iOS-Apps konnten dem User verfälschte Gesundheitswerte
übermitteltwerden
Hacking:7%bietenkeinenausreichendenSchutzdesBenutzerkontosBei einigen Apps, die vertrauliche Gesundheitsdaten speichern, wurden im Rahmen derStudieNutzerkontenangelegt. ImAnschlussdaranwurdeversucht, ohneVerifizierungderIdentitätDatendesProfilszuermitteln.Inetwa7%allerFällekonntensozumBeispielLogin-Daten Dritter ermittelt werden. 7% der Anbieter gaben Daten Dritter ohnezufriedenstellendeIdentifizierungenpreis.5.DerDatenschutzwirdbeiMedicalAppsstarkvernachlässigtIm Folgendenwerden diewesentlichen Testergebnisse in Bezug auf den Datenschutz dergetestetenAppserläutert.57%allerAppsbesitzenkeineDatenschutzerklärungBeiüberderHälftealleruntersuchtenApps(57%)istüberhauptkeineDatenschutzerklärungdurch die App aufrufbar. Darüber hinaus klären nur circa 41% der Apps mitDatenschutzerklärungdenNutzerüberdieVerwendungderGesundheitsdatenauf.ImFallederMedicalAppsistdiesallerdingsvongroßerWichtigkeit.
FehlendeDatenschutzerklärungbei65%allerAndroid-AppsUngefähr 65% der getesteten Android-Apps stellen dem User innerhalb der AnwendungkeineDatenschutzerklärungzurVerfügung.In43%dieserDatenschutzerklärungenwirddemNutzerkeineFunktionzumLöschendesProfilsangeboten.iOS-Apps:Circa63%informierennichtüberdieVerwendungvonGesundheitsdatenRund 47% der iOS-Apps bieten auch vor dem Login keine Datenschutzerklärung an. Circa63% derjenigen Anbieter, die vor oder nach einem Login eine Datenschutzerklärung zurVerfügung stellen, informieren den Nutzer darin nicht über die verwendetenGesundheitsdaten.DatenschutzvonApps–ZusammenfassungderwichtigstenErgebnisse
• Bei 57%aller untersuchtenApps ist keineDatenschutzerklärung innerhalbderAppaufrufbar
6.GrafischeDarstellungderwesentlichenErgebnisse1.AbfangenvonLogin-DatenAbbildung 2 zeigt, bei wie vielen der insgesamt circa 140 getesteten Apps Login-Datenabgefangenwerdenkonnten.DieAuditorenkonntenbeiknapp80%allerAppsLogin-Datenermitteln.Abb.2AppsmitabgefangenenLogin-Daten2.Man-in-the-Middle-AngriffAbbildung3zeigtdieErgebnissederUntersuchungdesMan-in-the-Middle-Angriffs.
Abb.3mitdenErgebnissendesMan-in-the-Middle-Angriffs3.VerfälschteGesundheitsdatenAbbildung 4 zeigt, inwiefern der Datenverkehrmanipuliert und soWerte auf dieseWeiseverfälschtwerdenkonnten.BeiAndroidwardiesbeiderHälfteallerAppsmöglich,bei iOSließenalarmierende96%derAppseinesolcheManipulationzu.
Abb.4MöglichkeitderManipulationdesDatenverkehrs4.AppsohneDatenschutzerklärungAbbildung 6 zeigt die Ergebnisse der untersuchten iOS- und Android-Apps zum ThemaDatenschutz.InderGrafikwirddargestellt,wievielProzentdergetestetenAppsderbeidenBetriebssysteme eine Datenschutzerklärung innerhalb der Applikation anbieten. 60% derAndroid-und46%deriOS-AppsschnittenbeidieserPrüfungschlechtab.Abb.4AppsohneDatenschutzerklärungAbb.5VerfügbarkeitderDatenschutzerklärung
7.FazitundEmpfehlungenDie Untersuchung von rund 140 Medical Apps zeigt, dass viele Medical Apps deutlicheMängelbeiDatensicherheitundDatenschutzaufweisen.DiePrüfungendurchdieAuditorenvonePrivacylegenoffen,dassdieAnbieterinsbesonderedenSchutzunddieSicherheitderGesundheitswerte in denmeisten Fällen noch verstärkenmüssen. Um das Vertrauen derNutzerindiemobilenAnwendungenzusichernundzukünftigweiterauszubauen,solltendieAnbieter ein Hauptaugenmerk auf die deutliche Verbesserung von Datenschutz undDatensicherheitrichten.NursokönnenmobileApplikationenimBereichE-HealthdauerhaftundsichervonVerbraucherngenutztwerden.Der Anbieter hat viele Möglichkeiten, seine App hinsichtlich Datenschutz undDatensicherheit zu optimieren und an die rechtlichen und technischen Standardsanzupassen. Einige Unternehmen, wie zum Beispiel auch ePrivacy, bieten konkreteLösungsvorschläge zu den festgestellten Mängeln an. ePrivacy führt Prüfungen auf Basiseines umfassenden, detaillierten und öffentlich zugänglichen Kriterienkatalogs imRahmenderPrüfungzurErreichungdesSiegels„ePrivacyApp“.DieprofessionellenPrüfungenunddieentsprechenden Handlungsempfehlungen werden jedoch von den App-Anbietern und -Entwicklernbisherzuweniggenutzt,wiedieseStudieauchzeigt.App-Anbieter und -Entwickler können zudem durch ein Zertifikat bzw. Gütesiegel wie„ePrivacyApp“ den rechtskonformenUmgangmit denDaten ihrer Kundendemonstrieren.DieNutzerderAppswiederumkönnenbeidiesemSiegeldaraufvertrauen,dassihreDateninsicherenHändensind.8.ÜberePrivacyePrivacy berät und unterstützt Unternehmenmit digitalen Produkten in allen Fragen undHerausforderungen des Datenschutzes. Als unabhängiger Dienstleister zertifiziert ePrivacyFirmen und Produkte für vorbildlichen Datenschutz mit dem Datenschutz-Gütesiegel„ePrivacyseal“ und Apps mit dem Siegel „ePrivacyApp“. Die Experten von ePrivacy sindakkreditierteGutachterbeimUnabhängigenLandesdatenschutzzentrumKiel(ULD),MitgliedderArbeitsgruppeMobileSicherheitfürdenDeutschenIT-GipfelundZertifiziererfürdasEUOBA Framework, einer freiwilligen Selbstkontrolle von Online-Werbung zum Schutz derInternetnutzer,dieinZusammenarbeitmitderEUentwickeltwurde.Prof. Dr. Christoph Bauer erarbeitet zusammen mit einem hochqualifizierten Team vontechnischen Experten und erfahrenen Juristen Lösungen für Unternehmen der digitalenWirtschaft in Deutschland und Europa. Er unterstützt die EU bei Datenschutzthemen,veröffentlichtregelmäßigBeiträgeundhältVorträgezumThemaDatenschutz.KontaktePrivacyGmbHGeschäftsführerProf.Dr.ChristophBauerGroßeBleichen21b,20354Hamburgwww.eprivacy.eu,[email protected]
