Der Markt für Wearables boomt. Inzwischen hat jeder Smartphone-Hersteller eigene „smarte“ Geräte im Angebot. Apple wird in Kürze mit der Apple Watch nun auch nachziehen. Eine Studie des Analystenhauses Canalys kommt zu dem Ergebnis, dass alleine in Deutschland in der ersten Jahreshälfte 2014 bereits sechs Millionen Smart Watches und Fitnessarmbänder verkauft wurden – ein Wachstum von knapp 700 Prozent innerhalb eines einzigen Jahres. Neben den smarten Armbändern und Uhren gibt es auch immer mehr betriebliche Wearables, u.a. Schutzanzüge mit Sensoren, Headsets und Datenbrillen.
Bei allen Wearables stellen sich aus datenschutzrechtlicher Sicht verschiedene Fragen: Welche Art von Daten werden erfasst? Wie werden diese gegen unberechtigten Zugriff und Missbrauch gesichert? Wer darf auf die Daten zugreifen? Wofür können diese Daten zukünftig verwendet werden? Die mit dem Gerät erhobenen und dann gespeicherten Daten sind in aller Regel personenbezogene Daten. Sobald diese – sei es über Smartphones oder andere Schnittstellen – auf Server übermittelt werden, liegt eine datenschutzrechtliche Übermittlung vor – es sei denn, diese werden zuvor anonymisiert. Im Regelfall werden sämtliche Verarbeitungsvorgänge durch eine Einwilligung des Nutzers legitimiert, dies ist unter der Bedingung, dass in den Nutzungsbedingungen tatsächlich die konkreten Verarbeitungszwecke, Empfänger und Speicherdauer genannt werden, auch datenschutzrechtlich wirksam.
Es ist allerdings darauf hinzuweisen, dass viele der genannten Daten (u.a. Blutdruck, Herzfrequenz etc.) in der Regel Gesundheitsdaten und damit sog. „besonderen Arten personenbezogener Daten“ im Sinne des Bundesdatenschutzgesetzes sind. Diese unterliegen nach dem BDSG besonders engen Verarbeitungszwecken, hinzu kommt, dass bereits die App-Programmierer bei der Entwicklung der jeweiligen App darauf achten müssen, dass die Daten technisch angemessen geschützt werden und dass sich Einwilligungen ausdrücklich auf diese Daten beziehen. Hier scheint es noch erheblichen Nachholbedarf zu geben:
Der Sicherheitsdienstleister Symantec hat kürzlich eine Reihe von Wearables mit dazugehörigen Apps getestet, mit ernüchterndem Ergebnis: Eine von fünf Apps überträgt Benutzerinformationen sogar ohne jegliche Verschlüsselung. Die Unternehmen selbst nutzen diese persönlichen Daten oftmals zu Marketingzwecken. Im Durchschnitt kommunizierte eine Wearable-App mit fünf (!) Webseiten. Bei einer App waren es sogar zwölf! Und das, wie oben beschrieben, in einem Fünftel der Fälle völlig unverschlüsselt. Davon abgesehen gab es bei über der Hälfte der Unternehmen keine Datenschutzerklärung für die Nutzung der App.
Dies sind lediglich Überlegungen zum Schutz der Daten für den Eigenbedarf. Was aber, wenn die Nutzung von Wearables so normal und verbreitet wird wie das Tragen einer Armbanduhr? Die so erzeugten Daten werden in Zukunft einen erheblichen ökonomischen Wert haben: So ist es z.B. naheliegend, dass Krankenversicherungen künftig Tarife anbieten werden, die umso günstiger sind, je mehr der Versicherte bereit ist, dem Versicherer Zugriff auf die über Wearables erzeugten Daten zu geben. Oder Leistungen einschränkt, wenn Minimalwerte von Fitness- und Bewegungs-Apps über längere Zeiträume unterschritten wurden? Der Phantasie, welche ökonomischen und jeden Einzelnen treffenden Folgen an die Kenntnis der so erzeugten Daten geknüpft werden, sind wenig Grenzen gesetzt. Es bleibt daher auch bei allem Hype, der momentan den stetig besser werdenden kleinen Sensoren zuteil wird, zu empfehlen, sich über die Verarbeitung seiner Daten und deren Empfänger genau zu informieren und erst auf der Grundlage einer möglichst präzisen Information zu entscheiden, ob und wie solche Geräte genutzt werden wollen.