Süß, happy und fit

Von wegen zuckerkrank – ein Blog über glückliches Leben, leckere Ernährung und Sport mit Typ-1-Diabetes

Libre-Daten auf US-Servern? Neues vom Hessischen Datenschutzbeauftragten

3 Kommentare

Vor einer Weile hatte ich mich beim für den deutschen Sitz von Abbott zuständigen Hessischen Datenschutzbeauftragten gewandt und um Informationen zum Datenschutz im Zusammenhang mit der Software des Freestyle Libre gebeten. Heute habe ich eine Antwort erhalten.

Es ist schon eine Weile her, dass ich dem Hessischen Datenschutzbeauftragten geschrieben habe. Ich habe im Zusammenhang mit der Pressekonferenz der DAK im Februar 2015 darüber berichtet. Hintergrund war der Blogbeitrag eines belgischen Arztes und IT-Experten, der merkwürdige Datenübertragungen der Software des Freestyle Libre an den zentralen Abbott-Server in den USA bemerkt hatte. Der deutsche Sitz von Firma Abbott ist in Wiesbaden, daher ist der Hessische Datenschutzbeauftragte zuständig für Fragen rund um den Datenschutz bei Abbott-Produkten. Am 22. Januar 2015 stellte ich also per Mail folgende Anfrage an die zuständigen Experten für das Themenfeld Gesundheit:

Sehr geehrte Damen und Herren,

als Typ-1-Diabetikerin, Journalistin und Bloggerin interessiere ich mich für den Datenschutz bei der Datenübertragung durch die Software des Blutzuckermesssystems „Freestyle Libre“ des US-Pharmakonzerns Abbott, die seit Oktober 2014 in Deutschland erhältlich ist (siehe http://www.freestylelibre.de). Da Abbott seinen deutschen Sitz in Wiesbaden hat, sind m. E. Sie zuständig für meine Anfrage.

Ich bin durch einen Blogbeitrag (siehe http://www.blutzucker-coach.com/freestyle_libre.html), der sich wiederum auf einen belgischen Blogger (siehe http://type1tennis.blogspot.be/2014/12/abbott-freestyle-libre-something-every.html) beruft, auf eine mögliche Datensicherheitslücke bei der Software des Freestyle Libre aufmerksam geworden. Leider übersteigt der englischsprachige Blogeintrag mein technisches Verständnis. Als Anwenderin des Systems (allerdings habe ich bislang nicht die Software heruntergeladen, bin daher also bislang nicht persönlich von einer möglichen unfreiwilligen Datenweitergabe betroffen) bin ich dennoch beunruhigt, als Journalistin und Bloggerin neugierig, was es damit auf sich hat. Auf meinem Blog habe ich bislang 3 Beiträge zum Freestyle Libre veröffentlicht (siehe https://suesshappyfit.wordpress.com/?s=freestyle+libre), falls Sie sich hierzu erst einmal orientieren möchten.

Ich würde mich freuen, wenn Sie mich bei der Recherche unterstützen könnten – vielleicht gibt es ja längst Erkenntnisse auf diesem Gebiet – und freue mich auf Ihre Rückmeldung per Mail oder Telefon.

Mit freundlichen Grüßen

Antje Thiel

Heute nun traf – nach einer Eingangsbestätigung per Mail am darauffolgenden Tag – endlich per klassischer Post eine Antwort ein, die ich euch nicht vorenthalten möchte. Wer nicht alles durchlesen möchte, hier ist meine Kurzfassung:

Es findet eine Datenübertragung über die Software an Abbott USA statt. Abbott USA kann aus den übertragenen Daten aber offenbar tatsächlich keine Rückschlüsse über die Identität der Nutzer gewinnen. Wer sicher gehen möchte, sollte vor Nutzung der Freestyle Libre Software den Rechner vom Internet trennen. Der Datenschutzbeauftragte will Abbott aber dazu verdonnern, genau diese Dinge seinen Kunden transparent zu machen. Allerdings gestalten sich die Gespräche hierzu so zäh, dass es auch ein halbes Jahr nach den ersten Beschwerden noch kein Ergebnis gibt.

FullSizeRender

Wer ganz sicher gehen will, dass Abbott USA nichts von den persönlichen Glukoseprofilen mitbekommt, sollte vor Verbindes des Lesegeräts mit dem Rechner die Internetverbindung unterbrechen.

Und hier nun für die Leser mit mehr Muße die ungekürzte Fassung des Antwortschreibens:

Abbott Freestyle Libre / Datentransfer in die USA

Sehr geehrte Frau Thiel,

Anfang des Jahres haben Sie sich an uns gewandt, weil Sie befürchtet haben, dass über die von Ihnen im Zusammenhang mit dem von Ihnen erworbenen Flash Glucose Messsystem Gesundheitsdaten von Ihnen personenbezogen ohne Ihre Einwilligung in die USA übermittelt werden. Unsere Dienststelle hat weitere ähnliche Anfragen und Beschwerden zu diesem Thema erhalten.

In der Zwischenzeit haben wir die Abbott GmbH & Co. KG in Wiesbaden (Im Folgenden: Abbott D), die den Sensor und das Lesegerät des Systems verkauft, zur Stellungnahme aufgefordert. Die uns übersandte Stellungnahme hat uns veranlasst, schriftlich und in Besprechungen mündlich weitere Details zu recherchieren. IN die Besprechungen wurde teilweise auch die Abbott Diabetes Care Inc. (im Folgenden: Abbott USA), die den Nutzern von Sensor und Lesegerät eine kostenlose Nutzung einer Software anbietet, einbezogen. Wegen der Komplexität der Vorgänge können wir Ihnen leider erst heute antworten.

Im Ergebnis haben wir bezüglich der uns dargelegten Verarbeitung personenbezogener Daten von Käufern und Nutzern des Sensors und des Lesegeräts – bis auf die fehlende Transparenz für Käufer und Nutzer – keine datenschutzrechtlichen Bedenken:

Wir haben keine Anhaltspunkte dafür gewonnen, dass Abbott D Daten über Käufer des Sensors und des Lesegeräts an Abbott USA übermittelt, mit deren Hilfe Abbott USA die Nutzer der Software identifizieren könnte.

Darüber hinaus werden Daten vom Lesegerät bei Nutzung der Software nur in die USA übertragen, wenn das Lesegerät angeschlossen wird und der Computer zu diesem Zeitpunkt mit dem Internet verbunden ist. Der Nutzer der Software kann daher verhindern, dass überhaupt Daten von seinem Lesegerät in die USA übertragen werden, indem er vor der Übertragung seinen Rechner vom Internet trennt.

Wir sehen es allerdings als sehr problematisch an, dass die Datentransfers in die USA, die bei Nutzung der Software erfolgen, nicht hinreichend transparent sind. Abbott D sollte seinen Kunden nach unserer Auffassung mit ausreichender Klarheit verbindlich zusichern, dass Abbott USA die Käufer und Nutzer nicht identifiziert und nicht identifizieren kann.

Unser Anliegen ist es, für die Nutzer der Lesegeräte in Deutschland eine möglichst umfassende Transparenz über die Verarbeitung von Daten der Käufer des Sensors und des Lesegeräts sowie der Nutzer der Software herzustellen. Wir gehen davon aus, dass das auch im Interesse von Abbott D und Abbott USA ist. Grundsätzlich besteht auch Konsens zwischen Abbott D und unserer Dienststelle, dass die Transparenz für die Kunden verbessert werden soll. Hinsichtlich der Details konnten die Gespräche darüber jedoch leider immer noch nicht abgeschlossen werden, insbesondere auch deshalb, weil Abbott D und Abbott USA die Produkte international anbieten und es ihr Anliegen ist, den Käufern von Sensor und Lesegerät bzw. den Nutzern der Software international einheitliche Informationen zur Verfügung zu stellen. Die Gespräche über geeignete Formulierungen konnten daher noch nicht abgeschlossen werden.

Mit freundlichen Grüßen

Im Auftrag

Dr. Wellbrock            Wehrmann

3 Kommentare zu “Libre-Daten auf US-Servern? Neues vom Hessischen Datenschutzbeauftragten

  1. Pingback: Libre-Daten auf US-Servern? Neues vom Hessischen Datenschutzbeauftragten | DIABETIZER.net

  2. Pingback: Freestyle Libre - Erfahrungsbericht - PEP ME UP Diabetes Blog

  3. Pingback: Freestyle Libre: Datenschutzbeauftragter hat Gespräche mit Abbott abgeschlossen | Süß, happy und fit

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s