Am 26.04.2017 hat die Verbraucherzentrale (vzbv) die Ergebnisse einer Marktwächter-Studie zum Thema Wearables und Fitness-Apps veröffentlicht [1]. Die technische Analyse und Teile der datenschutzrechtlichen Untersuchung zum Datensendungsverhalten von zwölf Wearables und 24 Fitness-Apps wurden von der datenschutz nord GmbH durchgeführt. Auf die Kriterien, die sowohl aus datenschutzrechtlicher als auch aus sicherheitstechnischer Sicht an Wearables und Fitness-Apps zu stellen sind, wird im Folgenden ausführlicher eingegangen.

Kontrollierbare Datenübermittlung

Fitness-Apps sammeln und übermitteln eine Vielzahl an Daten. Einige davon können für die Verwendung der App-Funktionen sinnvoll sein, wie z.B. die über das Wearable erfassten Schrittzahlen oder die Herzfrequenz. Bei anderen Daten wiederum erschließt sich der Zweck der Übertragung nicht ohne Weiteres, wie z.B. bei Daten zum Benutzerverhalten oder Informationen über das eingesetzte Smartphone und dessen Betriebssystem. Der Benutzer eines Wearables sollte daher die Möglichkeit haben, die Art und Menge der an den Anbieter übertragenen Daten zu kontrollieren.  Diese Möglichkeit hat der Benutzer laut der Studie bei keiner der getesteten Apps mit Online-Anbindung (s. [1], S. 23).

Nicht nur die Art und Menge der übertragenen Daten sollte kontrollierbar sein, sondern auch deren Empfänger. Benutzer einer Fitness-App sollten entscheiden können, ob sie das Wearable offline nutzen möchten oder die Daten auf einem Cloud-Dienst ihrer Wahl speichern. Die Übertragung von Daten an Drittanbieter, z.B. zu Analysezwecken, sollte ebenfalls optional sein. Eine Offline-Nutzung war bei den getesteten Produkten mit Online-Anbindung nicht vorgesehen (s. [1], S. 23). Eine Wahl bezüglich des Speicherorts scheint ein Benutzer laut der Produktbeschreibungen der getesteten Wearables auch nicht zu haben. Laut der Studie ließ sich auch die Datenübermittlung an Drittanbieter nicht beeinflussen.

Wichtig für die hier geforderten Kontrollmöglichkeiten ist auch, dass die Wearables und Fitness-Apps standardmäßig bis zur transparent gestalteten Einwilligung durch den Benutzer (s.u.) keinerlei Daten versenden. Auch dies war bei 16 von 20 der in der Studie untersuchten Apps nicht der Fall (s. [1], S. 21).

Sichere Verbindung

Eine Datenübertragung über das Internet ist stets dem Risiko des Mithörens ausgesetzt. Ob im Gratis-WLAN, Firmen- oder Heimnetz – für andere Netzteilnehmer gibt es Möglichkeiten, die gesendeten Daten umzuleiten und abzuhören. Daher ist eine verschlüsselte Übertragung unabdingbar. Laut Studie setzten alle Hersteller, die Daten per Internet übertragen, eine Transportverschlüsselung per https ein (s. [1], S. 18).

Durch die Verschlüsselung wird die Vertraulichkeit der übertragenen Daten geschützt. Allerdings muss sichergestellt werden, dass die App wirklich mit dem gewünschten Server kommuniziert. Ohne Authentisierungsmechanismus kann sonst die Verschlüsselung per Man-in-the-Middle-Attacke und durch das Ersetzen von Zertifikaten umgangen werden. Die Studie zeigt, dass eine Man-in-the-Middle-Attacke bei allen Anbietern mit Online-Anbindung möglich war – abgesehen von Apple. Die getesteten Apps von Apple nutzten offenbar sog. Certificate Pinning, um sicherzustellen, dass auch wirklich nur mit Servern von Apple kommuniziert wird (s. [1], S. 18).

Die Datenübermittlung von Wearable zur App fand bei allen Produkten – laut Studie – per Bluetooth statt. Die Bluetooth-Verbindung der Wearables sollte so gestaltet sein, dass sich die Daten nicht von Dritten auslesen lassen. Allerdings erfolgte laut Studie die Verbindung bei zehn von zwölf Geräten auf eine Art und Weise, die eine Identifikation des Gerätes und dadurch das Erstellen von Bewegungsprofilen durch Dritte zulässt (s. [1], S. 16).

Transparente Datenschutzerklärungen

Aus datenschutzrechtlicher Sicht ist im Rahmen des § 13 Abs. 1 TMG eine transparente Datenschutzerklärung erforderlich, damit Nutzer ihr Recht auf informationelle Selbstbestimmung ausüben können. Die Anbieter müssen ihre Nutzer also zu Beginn des ersten Nutzungsvorgangs darüber informieren, auf welche Weise, in welchem Umfang und zu welchem Zweck sie personenbezogene Daten erheben. Diese Datenschutzhinweise können gemäß §§ 305 ff. BGB auch Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) sein, soweit es zu einem Vertragsverhältnis mit Verbrauchern kommt.

Im Rahmen der Analyse der Datenschutzerklärungen bzw. AGBs kam die Studie zu dem Ergebnis, dass es in vielen Fällen an der erforderlichen Transparenz fehlte: Drei Anbieter stellten ihre Datenschutzhinweise nur in englischer Sprache bereit, nur zwei Anbieter informierten über die besondere Sensibilität der erhobenen Gesundheitsdaten. Nur ein Anbieter holte eine separate Einwilligung für die Verarbeitung dieser sensiblen Gesundheitsdaten von den Nutzern ein. Ebenfalls kritisch war, dass sechs Anbieter sich die Möglichkeit einräumten, Änderungen in den Datenschutzerklärungen jederzeit und ohne aktive Information des Nutzers vornehmen zu können. Fünf Anbieter behielten sich vor, die personenbezogenen Daten ihrer Nutzer bei Fusion oder Übernahme durch andere Unternehmen weiterzugeben. Als Konsequenz aus diesen Verstößen hat die Verbraucherzentrale Abmahnungen gegen insgesamt neun Anbieter ausgesprochen.

Die rechtliche Prüfung der Datenschutzerklärungen zeigte weiterhin, dass nur einer der sechs relevanten Anbieter eine korrekte Bestimmung bezüglich einer Übertragung von Daten ins Nicht-EU-Ausland formuliert (s. [1], S. 28-29). Drei Anbieter beziehen sich in ihren Datenschutzerklärungen auf die vom Europäischen Gerichtshof in 2015 für unwirksam erklärte Safe-Harbor-Vereinbarung. Ein Anbieter stützte sich jedoch zusätzlich auf EU-Standardvertragsklauseln. Das seit Juli 2016 ersatzweise heranzuziehende EU-US Privacy Shield wurde in keiner der relevanten Datenschutzerklärungen erwähnt. Bis auf zwei Anbieter holte keiner der entsprechenden Anbieter eine separate Einwilligung für die Datenübertragung in das Nicht-EU-Ausland ein. Allerdings informierte einer der beiden Anbieter in den Datenschutzhinweisen, auf die im Rahmen der Einwilligung Bezug genommen wurde, nicht ausreichend über die Datenübermittlung außerhalb der EU (vgl. insgesamt hierzu [1], S. 29).

Freiwillige und wirksame Einwilligungen

Da die mit der Nutzung der Wearables und Apps verbundene Datenverarbeitung ausschließlich darauf basiert, dass der Käufer in die Datenverarbeitung einwilligt, sind an die Einwilligung zwei wesentliche Anforderungen zu stellen. Zum einen muss sichergestellt werden, dass er in der Datenschutzerklärung umfassend über die Datenverarbeitung informiert wird (siehe vorherige Ausführungen). Zum anderen muss die Einwilligung freiwillig erfolgen. Wünschenswert wäre es, wenn der Nutzer der Wearables und Apps differenziert wählen könnte, welche Gesundheitsdaten erhoben und verarbeitet werden und welche nicht. Dies war allerdings bei kaum einem der Geräte möglich. In vielen Fällen hatte der Verbraucher nach Erwerb des Produkts keine andere Wahl, als sich auf die Bedingungen der Hersteller einzulassen und die jeweilige Datenschutzerklärung zu akzeptieren, da er andernfalls das Wearable nicht verwenden kann.

Ein Rücktritt vom Kaufvertrag lässt sich in einem solchen Fall rechtlich nur schwer durchsetzen. Der Rücktritt setzt zunächst einen Sachmangel voraus, der erst dann vorliegt, wenn die Software nicht die vereinbarte Beschaffenheit aufweist. Die Software der Fitness-App funktioniert allerdings so, wie dies der Anbieter (und ggf. der Verkäufer) zugesichert hat. Auf der anderen Seite würde ein Gericht in der Regel annehmen, dass ein mündiger Verbraucher – ausgehend vom Empfängerhorizont i.S.d. §§ 133, 157 BGB – zumindest grob mit den Umständen der Datenübermittlung vertraut ist oder diese hätte kennen müssen, bevor er das Wearable erwirbt. Aus diesem Grund wäre auch eine Anfechtung des Kaufvertrags wegen eines solchen Irrtums über die für den bestimmungsgemäßen Gebrauch des Wearables erforderliche Datenerhebung und -übermittlung in der Praxis vermutlich relativ erfolglos.

Zur Stärkung der Verbraucherrechte wäre es daher sinnvoll, für die geschilderten Fälle ein Rücktritts- bzw. Anfechtungsrecht im BGB aufzunehmen – losgelöst davon, ob das Wearable über das Internet oder im Laden erworben wurde.

Die Untersuchung der Verbraucherzentrale bietet aufgrund ihrer Verknüpfung technischer und rechtlicher Aspekte einen umfassenden Einblick in das Datensendungsverhalten von Fitness-Apps und stieß damit auch bei der Presse auf ein breites Interesse. Nicht zuletzt die im Rahmen der vzbv-Studie durchgeführte repräsentative Verbraucherbefragung trägt dazu bei, ein transparentes Bild eines noch relativ jungen technologischen Trends zu zeichnen. Die Verbraucherzentrale verweist in ihrer Studie zu Recht auf die Aushöhlung des Solidaritätsgedankens (vgl. [1], S. 8), wenn Krankenkassen Fitnessdaten individualisiert auswerten.

Wir halten Sie über die technische und rechtliche Entwicklung zu Wearables und Fitness-Apps gerne weiter auf dem Laufenden.

Referenzen

[1] Moll, R., Schulze, A., Rusch-Rodosthenous, M., Kunke, C., & Scheibel, L. (2017). Wearables, Fitness-Apps und der Datenschutz: Alles unter Kontrolle?. Verbraucherzentrale NRW e.V. (Hrsg.). Online verfügbar unter http://www.marktwaechter.de/sites/default/files/downloads/mw-untersuchung_wearables_0.pdf