Bald beginnt wieder die Zeit der guten Vorsätze. Regelmäßig Sport machen, sich gesünder ernähren und das Gewicht in Balance halten. Wer seine Vorhabenliste mithilfe von Gesundheits- und Fitness-Apps und den dazugehörigen Wearables abarbeiten will, sollte allerdings vorsichtig sein. Wir haben bereits (hier) darüber berichtet, dass smarte Alltagsgeräte wie vernetzte Zahnbürsten, Smartphones mit Fitness-Apps, etc. bei einem internationalen Test der OECD-Datenschutzvereinigung Global Privacy Enforcement Network (GPEN) größtenteils in puncto Datenschutzerklärung durchgefallen sind.
Fitness- und Gesundheits-Apps gibt es inzwischen viele am Markt. Egal für welche man sich entscheidet, klar ist, dass sie die Körperdaten ihrer Nutzer elektronisch erfassen. Unklar ist jedoch, was mit diesen sensiblen Daten genau geschieht. Um dies besser nachvollziehen zu können, haben Datenschutzbehörden aus Bund und Ländern im Rahmen einer kürzlich durchgeführten Prüfaktion stichprobenartig 16 Geräte und Apps von verschiedenen Anbietern überprüft. An der Überprüfung waren die Datenschutzbehörden von Bayern, Schleswig-Holstein, Brandenburg, Niedersachsen, Nordrhein-Westfalen und Hessen sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, beteiligt. Das am 5. Dezember 2016 in einer Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlichte Ergebnis (hier) ist erschreckend: Kein Gerät erfüllt umfassend die datenschutzrechtlichen Anforderungen.
Datenschutzerklärungen oftmals unverständlich
Zum einen kritisieren die Datenschützer, dass weder Hersteller, Betreiber noch Verkäufer der getesteten Geräte und Apps die Nutzer hinreichend darüber informieren, was mit ihren Daten geschieht. Die meisten der untersuchten Datenschutzerklärungen erfüllen nicht die gesetzlichen Anforderungen. Gemäß § 13 Abs. 1 TMG muss der Diensteanbieter den Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten an Staaten außerhalb der EU bzw. des EWR unterrichten. Der notwendige Inhalt der Datenschutzerklärung ergibt sich aus den auf der Webseite erfolgenden Datenverwendungen. Über diese ist wahr und vollständig zu unterrichten, insbesondere müssen sie in möglichst allgemein verständlicher Form verfasst sein.
Gerade der letzte Punkt wird von den Aufsichtsbehörden moniert. Die im Rahmen der Prüfaktion untersuchten Datenschutzerklärungen sind oftmals viel zu lang, schwer verständlich und enthalten zu essentiellen Datenschutzfragen lediglich pauschale Hinweise. Zudem sind viele Erklärungen nicht einmal in deutscher Sprache abgebildet. Oftmals wurde auch nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen, die jedoch kaum konkreten Bezug zu dem Wearable und den besonders schützenswerten Gesundheitsdaten hat.
Datenverarbeitung durch externe Dritte. Und wer bekommt die Daten sonst noch?
Zum anderen kritisieren die Datenschützer, dass die erhobenen Gesundheitsdaten, die durch die Geräte erhoben werden, durch externe Dritte verarbeitet würden und ein Nutzer keine Kontrolle darüber habe, wer die Daten von ihm sonst noch hat. Durch die unklaren Regelungen zur Datenverarbeitung sind diese Daten dabei der Kontrolle durch die Nutzer praktisch entzogen.
Auf den ersten Blick scheinen Einzelinformationen wie Körpergewicht, zurückgelegte Schritte oder Dauer des Schlafes für sich betrachtet zwar kaum aussagekräftig und somit datenschutzrechtlich wenig bedenklich. Etwas anderes gilt jedoch, wenn diese Daten mit eindeutigen Personenkennungen oder auch Standortdaten verknüpft werden und sich auf diese Weise ein präzises Bild des Tagesablaufs und Gesundheitszustands der jeweiligen Nutzer ergibt.
Viele der Geräte und Apps bieten zudem die Möglichkeit, aufgezeichnete Fitness-Daten mit Freunden zu teilen. Der dabei erforderliche Warnhinweis, dass die Weitergabe der sensiblen Nutzerdaten nur dann geschehen darf, wenn der Nutzer dieses ausdrücklich wünscht und bewusst hierin einwilligt, fehlt hingegen. Nicht zuletzt geben einige Hersteller an, dass sie die Fitness-Daten der Nutzer für Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Die Nutzer erfahren jedoch auch hier häufig nicht, um wen es sich dabei handelt, noch können sie der Weitergabe ihrer Daten widersprechen.
Löschen der Daten fast unmöglich
Die Prüfung hat zudem ergeben, dass die untersuchten Geräte und die damit verbundenen Nutzerkonten keine Möglichkeit böten, Daten selbst vollständig zu löschen. Das heißt, will man etwa sein gebrauchtes Gerät weiterverkaufen, so genügt es nicht, die App zu löschen, um bereits gesammelte Daten zu vernichten. Bedenken bereiten den Datenschützern auch die technischen Analysetools, mit denen Hersteller nachverfolgen, wie die Geräte oder Apps genutzt werden. Hier fehlt der Nachweis, dass gesammelte Daten tatsächlich anonym sind. Es besteht die Gefahr, dass diese Daten für Werbezwecke und zur Profilbildung verwendet werden.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hatte bereits im April 2016 von den Herstellern von Gesundheits-Apps und Wearables mehr Transparenz gefordert sowie korrekte Einwilligungserklärungen und ein Bekenntnis zur Datensparsamkeit gefordert. Die jetzt vorliegenden Untersuchungsergebnisse unterstreichen die Dringlichkeit der Forderungen der Datenschutzkonferenz. Die Entschließung steht auf der offiziellen Homepage des BfDI zum Download (hier) bereit.
Fazit
Fitness- und Bewegungsdaten, wie sie von vielen Wearables erhoben werden, verraten also sehr viel über das Leben und die Gesundheit ihrer Nutzer. Vor dem Kauf von Wearables und der Installation der dazugehörigen Apps auf dem Smartphone sollten Sie sich also dringend fragen, ob Sie wissen, was mit Ihren Gesundheitsdaten geschieht und an wen sie weitergegeben werden. Oder noch besser: Einfach Turnschuhe anziehen und ab in den Wald!