Als mir kürzlich ein bekennender Apple-Fan zu verstehen gab, Nein, eine AppleWatch werde er sich trotz aller Begeisterung für die Produkte aus Cupertino nun doch nicht anschaffen, da er Apple und weiteren Dritten nun nicht auch noch seine Gesundheitsdaten überlassen wolle, kam ich ins Grübeln..: Wie war das noch? Gab es da nicht ein irgendwie „offizielles“ Statement, dass die mit der AppleWatch erzeugten „Gesundheitsdaten“ (ob es sich nach der Definition des BDSG wirklich um solche handelt, wird im weiteren noch zu besprechen sein) weder Apple noch Dritten offenbart werden? Jedenfalls nicht ohne meine Zustimmung? Habe ich als Datenschützer ggfls. nicht richtig hingehört? Gibt es dazu etwas Schriftliches? Welche Aussagen werden bzw. wurden dazu getroffen? Was wird den Nutzern zugesichert? Wo bleiben die Daten, wer hat Zugriff darauf? Fragen, Fragen, Fragen..
Ausgangspunkt der Recherche war zunächst die zentrale Aussage von Tim Cook in seiner Keynote zur Vorstellung der AppleWatch im September 2014:
„Apple itself will never see your health data!“
Aus den Nutzungsbedingungen lässt sich keine schriftliche Wiederholung dieser Aussage im Sinne einer rechtlich bindenden bzw. belastbaren Zusage finden. Allerdings drängen sich angesichts der Medienpräsenz, der Öffentlichkeit der Aussage und auch angesichts der Tatsache, dass diese Aussage vom CEO des Unternehmens getätigt wurde, kaum Zweifel auf, dieser Aussage nicht zu trauen. Zu groß wäre der Image- und damit Wertverlust für das Unternehmen. Aber um es mit Descartes zu sagen: Zweifel ist der Weisheit Anfang.
Ausgeräumt werden die Zweifel durch den Umstand, dass Apple offensichtlich bei der Gestaltung der Nutzungsbedingungen (auch der für Entwickler) einen „Profi“ hinzugezogen hat, nämlich Pam Dixon, Gründerin und Vorstand des World Privacy Forums (in diesem Zusammenhang als Repräsentantin des Privacy Rights Clearinghouse tätig), zwar noch nicht, aber die Information sorgt zunächst für ein besseres Bauchgefühl, wenn Pam Dixon bestätigt,
“They’ve set the defaults correctly. Their backend use agreement [for app develops] forbids people from taking this data off users’ devices and selling it. They showed it to me in advance and asked if there was more they could do. They were really attentive. I was really relieved.“
Diese Vorgabe für Entwickler ist allerdings nichts Neues im Zusammenhang mit der AppleWatch, sondern eine Standard-Vorgabe von Apple. Neu ist allerdings die Hardware und die (Eingriffs-)Qualität der damit zu gewinnenden Daten, denn kein iPhone konnte bisher ohne weiteres die Herzfrequenz messen und in Zusammenhang mit der körperlichen Aktivität setzen.
Ein Blick in die AppStore Review Guidelines bestätigt die o.g. Aussage vollumfänglich, dort heißt es u.a. (Ziff. 27.4):
Apps may not use or disclose to third parties user data gathered from the HealthKit API or from health-related human subject research for advertising or other use-based data mining purposes other than improving health, or for the purpose of health research.
Hieraus lässt sich jedoch noch immer keine Bestätigung über die o.g. zentrale Aussage von Tim Cook ableiten. Und auch lässt diese Klausel zumindest für die Zwecke der Gesundheitsförderung und der Forschung noch Hintertüren offen, was die Nutzung der Daten betrifft.
Die für eine der aufgeworfenen Fragen zentrale Vorgabe findet sich indes in der nächsten Klausel:
Apps that share user data acquired via the HealthKit API with third parties without user consent will be rejected.
Als Zwischenergebnis lässt sich somit festhalten, dass allein der Nutzer darüber bestimmt, wer (welche) Daten der „HealthKit API“ zu welchen Zwecken nutzen darf (damit der Nutzer die für eine solche Entscheidung relevanten Informationen darüber erhält, zu welchen Zwecken welche Daten genutzt werden, sieht eine weitere Vorgabe aus den AppStore Review Guidelines zwingend die Verwendung einer (aussagekräftigen) Datenschutzerklärung vor)
Oder, anders formuliert, wenn ich als Nutzer keinem Dritten den Zugriff erlaube, bleiben es auch „meine“ Daten? Damit bleibt die Frage zu klären, wo die Daten denn tatsächlich „liegen“ respektive gespeichert sind und ob nicht doch der Hersteller eine Zugriffsmöglichkeit hat. Mittelbar gibt bereits Ziff. 27.3 der Guidelines Auskunft darüber, dass Gesundheitsdaten nicht in der iCloud gespeichert werden (dürfen):
Apps using the HealthKit framework that store users’ health information in iCloud will be rejected.
Endgültige Aufklärung über diese Frage gab nach weiterer Recherche dann aber doch (endlich) das sog. HealthKit-Framework, also der Entwickler-Leitfaden für die Entwicklung von Apps, die HealthKit-Daten nutzen wollen. Hier heißt es:
„The HealthKit data is only kept locally on the user’s device. For security, the HealthKit store is encrypted when the device is not unlocked. The HealthKit store can only be accessed by an authorized app. You cannot access HealthKit from extensions (like the Today view) or from a WatchKit app.“
Auch wenn der englische Begriff des HealthKit stores bei deutschen Nutzern fraglos den in diesem Fall den Gipfel der Ironie darstellenden Begriff des „Ladengeschäfts“ nahelegt, so ist mit „store“ hier jedoch allein der Speicher (im Sinne von RAM) gemeint. Insoweit werden die „HealthKit-Daten“ also in ähnlich – sicherer – Weise wie der Schlüssel für die Nutzung von ApplePay (vgl. unseren Beitrag hierzu) gespeichert, nämlich grundsätzlich lokal auf dem Gerät und grundsätzlich verschlüsselt. Der Nutzer selbst – und nur dieser – vergibt die Schlüssel hierzu.
Mit diesem Wissen haben sich meine anfänglichen Sorgen um die „Verfügbarkeit“ der über die AppleWatch (bzw. auch das iPhone mit M7-Co-Prozessor) generierten „Gesundheitsdaten“ doch im Wesentlichen verflüchtigt. Es bleibt allein mir überlassen, wem ich welche Daten zur Verfügung stelle. Dass ich insofern die (genaue) Wahl habe, ist dem Anbieter zu verdanken und sicherlich noch in den wenigsten Fällen eine Selbstverständlichkeit.
Exkurs HealthKit data /Gesundheitsdaten (im Sinne des BDSG):
Die hier relevanten Daten sind – mangels gleicher Termini – weder Gesundheitsdaten im Sinne des BDSG, noch „personal health information (PHI)“ im Sinne des HIPAA, also Informationen, die per se der ärztlichen Schweigepflicht unterlägen. Ausschlaggebend für die Terminus-Verwirrung ist hier eher der Begriff der HealthKit-API, die mit „health“-data“ sowohl Biometriedaten (wie z.B. den über die AppleWatch messbaren Puls), wie auch Fitnessdaten (wie weit bin ich in welcher Zeit gelaufen) erfasst. Eine Übereinstimmung der unterschiedlichen Begrifflichkeiten lässt sich wohl kaum herstellen, denn „Gesundheitsdaten“ im Sinne des BDSG sind Angaben, die den körperlichen und geistigen Zustand eines Menschen betreffen – womit z.B. die bloße Herzfrequenz nicht in jedem Fall unter die Definition „Gesundheitsdatum“ fiele, die Kombination von Daten aus zurückgelegter Strecke, Zeit und Herzfrequenz aber ggfls. schon.
Festgehalten werden kann hierzu also nur, dass Daten der HealthKit-API ggfls. auch Gesundheitsdaten im Sinne des BDSG sein können, aber nicht zwingend sein müssen.