Menü
Neue Presse | Ihre Zeitung aus Hannover
Anmelden
Meine Stadt Erste E-Rezept-App „eRIXa“: Große Schwachstellen im Test
Hannover Meine Stadt

Datenschutz Hannover: E-Rezept-App „eRIXa“ mit Schwachstellen

Partner im Redaktionsnetzwerk Deutschland
13:13 27.11.2020
E-Rezept-App „eRIXa“: Datenschutzproblem oder nicht? Quelle: rahü/dpa
Anzeige
Hannover

„Die erste offizielle E-Rezepte App namens ,eRiXa‘ ist eher abschreckend als Vorfreude erweckend“ – so das Urteil der hannoverschen App-Tester und Datenschutzexperten von „mediaTest digital“. Sie haben die von „PSO PrimaSmartOffice“ aus Ravensburg in Oberschwaben entwickelte Anwendung im Labor mit ihrer bewährten Prüfsoftware „Appvisory“ gecheckt – und konnten nicht nur den Datenverkehr mitlesen.

Mit eRixa können Ärzte schon jetzt Rezepte erstellen und an Patienten übermitteln, und diese über die App in der Apotheke online oder stationär einlösen. Die App bietet auch eine Chatfunktion zwischen Arzt, Patient, Apotheke und Angehörigen. Zudem gewährt sie den Ärzten Einsicht in Arztbriefe, Laborbefunde und Röntgenbilder. Damit verarbeitet die App viele sensible persönliche Daten.

Anzeige

Wertlose Siegel?

Die App wurde laut PSO-Eigenwerbung gemäß den Vorgaben der „gematik“ (Gesellschaft des Bundesgesundheitsministeriums, der Bundesärztekammer und weiteren öffentlichen Stellen) entwickelt. Sie ist laut PSO inzwischen an Apotheken.de angebunden, ermöglicht auch Telemedizin in Form von Video-Sprechstundenn mit dem Arzt und trägt zwei Datenschutzsiegel „Pridatect“ und „Teambeam“.

Die Knackpunkte

Aus Datenschutz- und Datensicherheitsperspektive habe man „einiges an Optimierungsbedarf festgestellt“, erklärt mediaTest digital-Geschäftsführer Sebastian Wolters. So würden die Daten beim Microsoft Cloud Dienst „Azure“ gespeichert - dessen Rechenzentrum befindet sich in Deutschland, Microsoft hat dennoch Zugriff und erhebe trotzdem einige Daten, die so den EU-Raum (wo der Datenschutz strikter als in den USA ist) verlassen.

So sieht sie aus: Neue e-Rezepte-App. Quelle: Screenshot

Dazu kommt laut Wolters: „Die App nutzt bisher keine Ende-zu-Ende-Verschlüsselung, was in Anbetracht der sehr sensiblen Daten, die eine Rezepte-App verarbeitet, nicht optimal ist“. Zudem habe man im Test die Übertragung von Rezept, E-Mail, Passwort, Name und Metadaten mitlesen können. Noch nicht alles: „Beim Senden von Rezeptdaten an eine Demo-Apotheke landeten die Daten in einem E-Mail-Postfach des Anbieters, was „aus Datenschutzsicht ebenfalls höchst bedenklich ist“, sagt Wolters.

Nicht alles schlecht

Positiv sei, dass in der Version für Apple keine Trackingdienste (verfolgen „Nutzerbewegungen“ im Internet) eingebunden seien. Die Android-Variante dagegen nutze ein Microsoft Analytics Tool sowie den Crash-Reporter.

Eine weitere „unschöne Auffälligkeit“ sei die fehlerhafte Datenschutzerklärung. An einigen Stellen tauche etwa irreführend der Begriff „Arbeitszeugnisse“ auf – wohl, weil PSO auch Produkte für diesen Bereich anbietet.

MediaTest digital rät daher dazu, die App „mit Vorsicht zu genießen“ – zumal es keinen Hinweis gebe, dass die App etwa nur eine Demoversion oder in der Beta-Phase sei.

Neues aus dem NP-Newsroom

Unsere Übersicht zu den wichtigsten Nachrichten aus Hannover täglich gegen 13 Uhr in Ihrem E-Mail-Postfach.

Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.

Das sagt der PSO-Chef

Die NP wollte vom Entwickler PSO wissen, was er zu dem Test sagt. Gründer und Geschäftsführer Stefan Odenbach erfuhr erst durch die Anfrage von dem Test und erklärte, man habe die „Bedenken sofort an unseren externen Datenschutzbeauftragten weitergeleitet“ um die „angesprochenen Punkte im Detail“ zu analysieren.

Inzwischen hat der PSO-Chef – er nennt sich „e-health“-Experte, mache in diesem Gebiet gerade seine Doktorarbeit – auch mit mediaTest digital gesprochen und sagt: „Wir werden jetzt diese Themen so bald wie möglich gemeinsam lösen und bekommen dann ein offizielles Zertifikat von Appvisory“. Im Grunde seien die im Labor gefundenen Schwachstellen keine schwerwiegenden Mängel, sondern „eher theoretisch und nur Kleinigkeiten“, das habe sein Gespräch mit der hannoverschen Testfirma ergeben. Und da seine Firma „zu keinem Zeitpunkt Zugriff – weil das eine Straftat ist, die mit bis zu fünf Jahren Gefängnis geahndet werden kann – auf echte Daten hatte“ gebe es laut des einbezogenen externen Datenschutzbeauftragte „auch keinen meldepflichtigen Datenschutzvorfall“ und „ist die Kuh damit vom Eis“. Im Übrigen brauche die App Zugriff auf das Mikrofon bei Apples iPhones (darüber hatte sich mediTest digital gewundert), um von Blinden mittels Sprachassistent „Siri“ genutzt werden zu können –das sei „innovativ“.*

Der E-Rezept-Plan

Mit der Einführung des elektronischen Rezeptes wird das bisherige Verfahren mit dem gedruckten Formular laut „gematik“ ab Mitte 2021 zum Auslaufmodell. Ärzte dürfen ab diesem Zeitpunkt in einer Einführungsphase ihren Patienten Rezepte direkt digital bereitstellen. Ab 2022 sei die Nutzung des E-Rezepts bundesweit für gesetzlich Versicherte und apothekenpflichtige Arzneimittel verpflichtend.

Die App-Checker

Die hannoversche „mediaTest digital“ sichert nach eigenen Angaben für Firmenkunden weltweit betrieblich genutzte Smartphones und Tablets in der Größe von drei bis 50.000 Endgeräten ab. Die Firma checkt Apps professionell auf Datenschutz und Sicherheitslücken, kombiniert dafür ein von ihr entwickeltes automatisches Programm namens Appvisory auch mit manuellen Angriffen auf die Anwendungen in ihrem Labor. Zu den Kunden zählten Dax30-Unternehmen genauso wie mittelständische und kleine Unternehmen aus Wirtschaftszweigen wie Banken, Automotive, Energieversorgung oder Behörden. Das Unternehmen war 2013 nach dem NSA-Abhörskandal durch die Snowden-Veröffentlichung daran beteiligt, das „Merkel-Phone“ für falsche Freunde möglichst unabhörbar zu machen und dafür zu sorgen, dass die Kanzlerin und ihre Regierung auf ihren Handys sichere Anwendungen haben – und nicht Apps, die hintenrum alles nach Übersee weitergeben.

Lesen Sie auch

Von Ralph Hübner