Zugriff auf Gesundheitsdaten von Benutzern schützen
HealthKit stellt auf einem iPhone und einer Apple Watch einen zentralen Speicherort für Gesundheits- und Fitnessdaten bereit. HealthKit arbeitet direkt mit Gesundheits- und Fitnessgeräten zusammen, z. B. mit kompatiblen BLE-Herzfrequenzmessgeräten (Bluetooth Low Energy) und dem Motion-Coprozessor, der in viele iOS-Geräte integriert ist. Die gesamte Interaktion zwischen HealthKit, den für Gesundheit und Fitness verwendeten Apps und Geräten sowie den Gesundheitseinrichtungen bedarf der Zustimmung durch die Benutzer:innen. Diese Daten werden mit der Datensicherheitsklasse „Geschützt, außer wenn offen“ gespeichert. Zehn Minuten, nachdem das Gerät gesperrt wird, wird der Zugriff auf die Daten aufgehoben. Die Daten werden erst wieder zugänglich, wenn die Benutzer:innen das nächste Mal ihren Code eingeben oder Face ID oder Touch ID zum Entsperren des Geräts verwenden.
Erfassen und Speichern von Gesundheits- und Fitnessdaten
HealthKit sammelt und speichert auch Verwaltungsdaten (zum Beispiel Zugriffsrechte für Apps, Namen der mit HealthKit verbundenen Geräte) sowie Planungsinformationen, die verwendet werden, um Apps zu starten, wenn neue Daten verfügbar werden. Diese Daten werden mit der Datensicherheitsklasse „Geschützt bis zur ersten Benutzerauthentifizierung“ gespeichert. In temporären Journal-Dateien werden die Gesundheitsdatensätze gespeichert, die erzeugt werden, wenn das Gerät gesperrt ist, z. B. wenn die Person trainiert. Diese Daten werden mit der Datensicherheitsklasse „Geschützt, außer wenn offen“ gespeichert. Wenn das Gerät entsperrt wird, werden die temporären Journal-Dateien in die Hauptdatenbank für Gesundheitsdaten importiert und anschließend aus dem Journal gelöscht.
Gesundheitsdaten können in iCloud gespeichert werden. Für die Ende-zu-Ende-Verschlüsselung von Gesundheitsdaten sind iOS 12 (oder eine neuere Version) und die Zwei-Faktor-Authentifizierung erforderlich. Andernfalls werden die Daten eines Benutzers zwar beim Speichern und Übertragen verschlüsselt, es erfolgt jedoch keine Ende-zu-Ende-Verschlüsselung. Nach dem Aktivieren der Zwei-Faktor-Authentifizierung und dem Aktualisieren auf iOS 12 (oder eine neuere Version) werden die Gesundheitsdaten eines Benutzers für die Ende-zu-Ende-Verschlüsselung migriert.
Wenn Benutzer:innen ein Backup ihres Geräts mit dem Finder (macOS 10.15 oder neuer) oder mit iTunes (macOS 10.14 oder älter) erstellen, werden Gesundheitsdaten nur gespeichert, wenn das Backup verschlüsselt wird.
Klinische Gesundheitseinträge
Benutzer:innen können sich innerhalb der App „Health“ bei unterstützten Gesundheitssystemen anmelden, um eine Kopie ihrer klinischen Gesundheitseinträge abzurufen. Wenn Benutzer:innen mit einem Gesundheitssystem verbunden werden, müssen sie sich mit OAuth 2 Client-Anmeldedaten authentifizieren. Steht die Verbindung, werden die Gesundheitseinträge über eine mittels TLS 1.3 geschützte Verbindung direkt von der Gesundheitseinrichtung heruntergeladen. Nach dem Download werden die Gesundheitseinträge zusammen mit anderen Gesundheitsdaten sicher gespeichert.
Integrität von Gesundheitsdaten
Die in der Datenbank gespeicherten Daten enthalten Metadaten, um die Herkunft der Datensätze zurückverfolgen zu können. Zu diesen Metadaten gehört eine App-Kennung, die anzeigt, welche App den Datensatz gespeichert hat. Außerdem kann ein optionales Metadatenobjekt eine digital signierte Kopie des Datensatzes enthalten. Diese Kopie dient der Datenintegrität für Datensätze, die von einem vertrauenswürdigen Gerät erzeugt wurden. Für die digitale Signatur wird gemäß RFC 5652 das Format Cryptographic Message Syntax (CMS) verwendet.
Zugriff auf Gesundheitsdaten durch Apps anderer Anbieter
Der Zugriff auf die HealthKit-API wird über Berechtigungen gesteuert und Apps müssen sich an Einschränkungen für die Verwendung der Daten halten. Zum Beispiel dürfen Apps Gesundheitsdaten nicht zu Werbezwecken verwenden. Apps müssen Benutzer:innen auch eine Datenschutzrichtlinie bereitstellen, die beschreibt, wie die Gesundheitsdaten verwendet werden.
Der Zugriff von Apps auf die Gesundheitsdaten wird in den Datenschutzeinstellungen des Benutzers festgelegt. Ähnlich wie bei Kontakten, Fotos und anderen iOS-Datenquellen werden Benutzer:innen gefragt, ob der Zugriff gewährt werden soll, wenn Apps auf Gesundheitsdaten zuzugreifen versuchen. Aber bei Gesundheitsdaten werden Lese- und Schreibzugriff und Zugriff auf die einzelnen Arten von Gesundheitsdaten getrennt voneinander gewährt. Benutzer:innen können die für ihre Gesundheitsdaten erteilten Zugriffsrechte über „Einstellungen“ > „Health“ > „Datenzugriff & Geräte“ einsehen und widerrufen.
Apps mit Schreibzugriff können auch die von ihnen geschriebenen Daten lesen. Apps mit Lesezugriff können von allen Quellen geschriebene Daten lesen. Apps können aber nicht den Zugriff anderer Apps auf die Daten bestimmen. Außerdem können Apps nicht überprüfen, ob sie Lesezugriff auf Gesundheitsdaten haben. Apps ohne Lesezugriff erhalten keine Antworten auf ihre Anfragen – das Antwortverhalten entspricht damit dem einer leeren Datenbank. So können die Apps keine Informationen über die Gesundheit des Benutzers davon ableiten, welche Datenarten geschrieben werden.
Notfallpass für Benutzer:innen
Die App „Health“ bietet Benutzer:innen die Möglichkeit, ein Formular für den Notfallpass mit Informationen auszufüllen, die bei einem Notfall wichtig sein können. Diese Informationen werden manuell eingegeben bzw. aktualisiert und nicht mit den Daten in den Gesundheitsdatenbanken synchronisiert.
Die Informationen zum Notfallpass werden durch Tippen auf die Taste „Notfall“ im Sperrbildschirm angezeigt. Die Informationen werden mit der Datensicherheitsklasse „Kein Schutz“ auf dem Gerät gespeichert, sie sind also auch ohne Eingabe des Gerätecodes zugänglich. Das Einrichten eines Notfallpasses ist optional und ermöglicht Benutzer:innen, selbst zwischen Sicherheit und Datenschutz abzuwägen. Diese Daten werden bei iOS 13 (oder früheren Versionen) in einem iCloud Backup gesichert. Bei iOS 14 wird der Notfallpass zwischen den Geräten mittels CloudKit und mit denselben Verschlüsselungsmerkmalen wie die restlichen Health-Daten synchronisiert.
Teilen mit Health
Auf einem iPhone mit iOS 15 (oder neuer) haben Benutzer:innen mit der Health-App die Möglichkeit, ihre Gesundheitsdaten mit anderen Personen zu teilen. Die Gesundheitsdaten werden zwischen den beiden Personen mithilfe der Ende-zu-Ende-iCloud-Verschlüsselung ausgetauscht. Apple hat keinen Zugriff auf die mit Health geteilten Daten. Um diese Funktion verwenden zu können, müssen Sender und Empfänger iOS 15 (oder neuer) verwenden und die Zwei-Faktor-Authentifizierung aktiviert haben.
Benutzer:innen können in der Health-App mit der Funktion „Teilen mit“ ihre Gesundheitsdaten auch mit ihren Gesundheitsdienstleistern teilen. Die mit dieser Funktion geteilten Daten werden nur den von Benutzer:innen ausgewählten Gesundheitsdienstleistern zur Verfügung gestellt und mit Ende-zu-Ende-Verschlüsselung übertragen. Apple hat keinen Zugriff auf die Verschlüsselungsschlüssel, um die mit der Funktion „Teilen mit“ geteilten Daten zu entschlüsseln, anzuzeigen oder anderweitig zu verarbeiten. Weitere Informationen darüber, wie die Gesundheitsdaten der Benutzer:innen durch diesen Dienst geschützt werden, sind im Abschnitt Security and Privacy in der Apple-Registrierungsanleitung für Gesundheitsdienstleister verfügbar.