O du fröhliche! Weihnachten steht vor der Tür und damit fällt auch der Startschuss für die guten Vorsätze ab dem 1. Januar! Was würde da besser als Geschenk unter dem Tannenbaum passen als ein Fitnesstracker? Fitnessarmband oder Smartwatch können die körperliche Fitness überwachen, die Qualität unseres Schlafes analysieren und nützliche Ratschläge für den sportlichen Alltag bieten – idealer Weise kombiniert mit einer Gesundheits-App.
Wie sieht es aber mit dem Datenschutz bei den smarten Geräten für die Selbstoptimierung aus?
Die auf den Geräten und in den Apps gesammelten Daten zur Aktivität, zum Standort, zu Schlaf- und Ernährungsgewohnheiten, zum Kalorienverbrauch oder Informationen über Blutdruck und Pulsfrequenz sind personenbezogene Daten im Sinne der DSGVO und in den meisten Fällen auch besonders schützenswerte Gesundheitsdaten nach Art. 9 DSGVO. Entsprechend müssen die Vorgaben der DSGVO bei der Verarbeitung dieser Daten auf den Geräten und Anwendungen eingehalten werden.
Nehmen wir als Beispiel die Samsung-Smartwatch. Bei diesem Gerät, in Verbindung mit der App Samsung Health und der dazugehörigen Datenschutzerklärung, werden einige Probleme hinsichtlich des Transparenzgrundsatzes und der Sicherheit der Verarbeitung deutlich:
Die App verarbeitet neben personenbezogenen Profildaten auch gesundheitsbezogene Daten wie Körpergröße, Gewicht, Puls, Körperfett, Skelettmuskulatur, Muskelmasse, Grundumsatz, Blutglukosespiegel, Blutdruck, Sauerstoffsättigung, Hämoglobinspiegel sowie Angaben zum Menstruationszyklus (bei Frauen) und dem Stresspegel und schlafbezogene Informationen. Daneben werden Fitness- und ernährungsbezogene Informationen wie Aktivität, Trainingsarten, Schrittzahl, Standortdaten, Nahrungs- und Wasseraufnahme und somit eine Vielzahl von Gesundheits- und Verhaltensinformationen verarbeitet.
Laut Samsung können zudem personenbezogene Daten über die Online-Aktivitäten des Betroffenen auf verbundenen Geräten und für diverse Websites, Geräte, Apps und andere Online-Funktionen und ‑Dienste von Drittanbietern erhoben, hierbei Analysedienste wie Google Analytics verwendet und die gesammelten Daten auch an diesen Drittanbieter und „andere relevante Dienste“ weitergegeben werden. Was diese anderen relevanten Dienste sein sollen, oder welche Anbieter aus welchen Ländern sich dahinter verbergen, wird offengelassen.
Und obwohl mit der Einbindung von Google Analytics eine Datenübermittlung in die USA als unsicheres Drittland (EuGH-Urteil Schrems II) anzunehmen ist, weist Samsung hinsichtlich der Übertragung, Speicherung und Verarbeitung personenbezogener Daten in andere(n) Länder(n) namentlich lediglich auf Länder des Europäischen Wirtschaftsraums und Südkorea hin. Die USA und die bekanntermaßen damit verbundenen datenschutzrechtlichen Risiken bleiben ebenso unerwähnt wie weitere nach dem EuGH-Urteil erforderliche Schutzmaßnahmen – wenn diese überhaupt ergriffen werden. Intransparenter wird es da nur noch für iPhone-Nutzer der Samsung-App: Die über den App Store abrufbaren Datenschutzrichtlinien werden lediglich auf Koreanisch angezeigt.
Ein weiteres Beispiel für datenschutzrechtliche Risiken bietet das Xiaomi-Fitnessarmband Xiaomi Mi Band 5, welches mit der App Mi Fit des chinesischen Anbieters Huami genutzt wird:
In deren Datenschutzrichtlinie wird zwar auf die weltweite Speicherung der personenbezogenen Daten, u. a. in China, Russland und den USA und die damit verbundenen Risiken hingewiesen (der Nutzer erkläre sich damit mit der Datenbereitstellung an Huami einverstanden), was aus datenschutzrechtlicher Sicht jedoch kein Grund zum Aufatmen ist. Unklar ist nämlich, ob bei der Verarbeitung in diesen unsicheren Drittländern ein angemessenes Datenschutzniveau nach Maßgabe der DSGVO gewährleistet wird. Eine Übersicht über die Länder, für die ein Angemessenheitsbeschluss vorliegt, finden Sie hier.
Auch kann Huami bspw. bei der Nutzung von Gesundheitsfunktionen für Frauen, die von ihnen gemachten Angaben erheben, darunter die taggenaue Dauer der Menstruation, den Menstruationszyklus sowie die körperliche Verfassung und Stimmung während der Menstruation. Diese Gesundheitsdaten können sodann für die Entwicklung, Fertigung und Vermarktung von Waren oder Dienstleistungen genutzt werden – ob die dahingehend erklärte Zustimmung datenschutzkonform eingeholt wird und wirksam ist und ob die Betroffenen auf diesen Umstand bei der App-Nutzung überhaupt ausdrücklich hingewiesen werden, bleibt fraglich.
Insgesamt bleiben also Zweifel, ob eine derart umfassende Datenverarbeitung überhaupt auf Grundlage der Einwilligung der betroffenen Person rechtskonform erfolgen kann und inwiefern die jeweiligen Anbieter mit den weiteren, damit zusammenhängenden Fragestellungen, z. B. zum Widerruf der Einwilligung oder zur Umsetzung von den Betroffenenrechten, gesetzeskonform umgehen.
Neben den Datenschutzproblemen, die mit den einzelnen Geräten, Apps und Anbietern einhergehen, sollte ein weiterer Aspekt nicht außer Acht gelassen werden: Immer mehr Krankenkassen bieten ihren Mitgliedern an, Smartwatches und Fitnesstracker zu bezuschussen. Das daraus auch kontroverse Debatten rund um den Datenschutz erwachsen können, zeigt sich am Beispiel der Generali und deren Vitality-Programm (wir berichteten) und stellt die Frage in den Raum, ob nicht auch andere Krankenkassen künftig ihre Versicherungsleistung anhand der Gesundheitsüberwachung über Smartwatch und Fitnessarmband bemessen.
Fazit
Sicherlich bieten Fitnesstracker einige Vorteile und Möglichkeiten, das persönliche Verhalten im Hinblick auf Ernährung und Gesundheit zu verbessern und den Nutzer zu motivieren. Die vorab gezeigten Aspekte verdeutlichen aber auch, dass man sich bei der Nutzung der Geräte und Apps mit den Aspekten des Datenschutzes auseinandersetzen und bewusst sein sollte, welche Konsequenzen damit einhergehen könnten.
Unabhängig vom Datenschutz bleibt zudem die Frage, ob die Geräte und Apps tatsächlich immer den Gesundheitszustand und das eigene Wohlbefinden korrekt widerspiegeln. So vermag z. B. eine hohe Schrittanzahl und ein geringer Kalorienverbrauch allein nicht auf eine gesunde Lebensweise schließen zu lassen, wenn die Grundlage dieser Parameter ein stressiger Arbeitsalltag ist, der wenig Zeit zum Ausruhen und Essen zulässt. Weder der einzelne Nutzer, noch etwaige Empfänger sollten den Werten und Analysen von Fitnesstrackern eine zu hohe Aussagekraft beimessen. Ob dann die teils hohen Anschaffungskosten gerechtfertigt sein mögen, sollte jeder für sich selbst entscheiden.
PC-Fluesterer.info Christoph Schmees
16. Dezember 2021 @ 12:11
Alles, was Android oder iOS wissen, wissen auch Google bzw. Apple und deren „Partner“. Die einzige Chance, einen Fitness Tracker datensparsam zu betreiben, ist ein Android, das auf in sauberes (Google-freies) Custom-ROM wie LineageOS umgerüstet wurde. Selbst dort muss man aufpassen, dass der Hersteller des Trackers nicht eine eigene Cloud-Anbindung am BS vorbei verlangt. Alles in allem: Unnütze und gefährliche Spielzeuge.