Datenschutz bei Gesundheits-Apps und Wearables mangelhaft
Immer mehr Menschen nutzen beim Sport Fitness-Apps und die dazugehörigen „Wearables“, um ihre Leistungen besser nachvollziehen zu können. Damit diese Geräte und Apps jedoch überhaupt genutzt werden können, ist es nötig, persönliche Daten anzugeben. Was mit diesen Daten geschieht, ist für viele Nutzer dabei nur zweitrangig. Doch gerade hier ist Vorsicht geboten. Denn bei einer kürzlich durchgeführten Prüfaktion mehrere Datenschutzbehörden hat keines der getesteten Geräte die datenschutzrechtlichen Anforderungen erfüllt.
Mittlerweile wird der Markt von Fitness- und Gesundheits-Apps regelrecht überschwemmt. Doch ganz egal, für welches Angebot sich der Nutzer schlussendlich entscheidet, eines haben sie alle gemeinsam: Zur Nutzung ist es erforderlich, persönliche Daten an den Hersteller zu übermitteln. Doch wie gut sind diese sensiblen Daten geschützt? Um diese Frage beantworten zu können, haben Datenschutzbehörden aus Bund und Ländern im Rahmen einer Prüfaktion stichprobenartig 16 Geräte und Apps von verschiedenen Anbietern bezüglich des Datenschutzes getestet.
An der Überprüfung waren die Datenschutzbehörden von Bayern und sechs weiteren Bundesländern, sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, beteiligt. Das Ergebnis der Prüfaktion wurde am 5. Dezember 2016 in einer Pressemitteilung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlicht: Keines der getesteten Geräte erfüllte umfassend die datenschutzrechtlichen Anforderungen.
Die erhobenen Daten
Einzelinformationen wie Körpergewicht, zurückgelegte Schritte oder Dauer des Schlafes erscheinen für sich betrachtet kaum aussagekräftig und somit datenschutzrechtlich wenig bedenklich. Etwas ganz anderes gilt jedoch dann, wenn diese Daten mit eindeutigen Personenkennungen oder auch Standortdaten verknüpft werden – was fast immer der Fall ist – und sich auf diese Weise ein präzises Bild des Tagesablaufs und Gesundheitszustands der jeweiligen Nutzer ergibt.
Bei diesen Gesundheitsdaten handelt es sich um durch § 3 Abs. 9 BDSG besonders geschützte Daten (besondere Anforderungen stellen etwa § 4 Abs. 3 BDSG und § 28 Abs. 6 BDSG).
Datenschutzerklärungen häufig unverständlich
Die Datenschützer kritisierten zunächst, dass weder Hersteller, Betreiber noch Verkäufer der getesteten Geräte und Apps die Nutzer hinreichend darüber informieren, was mit ihren Daten geschieht. Dies zeige sich daran, dass fast alle der untersuchten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen würden. Denn gemäß § 13 Abs. 1 TMG habe der Diensteanbieter den Nutzer über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über etwaige Weitergaben von Daten zu unterrichten. Der notwendige Inhalt der Datenschutzerklärung ist wahr und vollständig wiederzugeben, insbesondere muss er in leicht verständlicher Form verfasst sein.
Im Rahmen der Prüfaktion habe sich jedoch gezeigt, dass die Datenschutzerklärungen oftmals lang, schwer verständlich und bezüglich essentieller Datenschutzfragen lediglich pauschale Hinweise enthielten. Wiederholt werde nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen, die jedoch kaum konkreten Bezug zu dem Wearables und den besonders schützenswerten Gesundheitsdaten habe. Zudem seien viele Erklärungen nicht in deutscher Sprache abgebildet.
Unbefugte Weitergabe der Daten an Dritte
Der zweite große Kritikpunkt der Datenschützer ist, dass die erhobenen Gesundheitsdaten, durch externe Dritte verarbeitet werden würden. Die unklaren Regelungen zur Datenverarbeitung würden es dabei ermöglichen, dass Daten der Kontrolle durch ihre Nutzer praktisch entzogen werden. Teilweise geben Hersteller zwar an, die Fitness-Daten der Nutzer für Forschungszwecke und Marketing zu verwenden und an verbundene Unternehmen weiterzugeben. Die Nutzer würden jedoch auch hier häufig nicht darüber informiert, um wen es sich dabei handelt. Ein Widerspruch hiergegen sei schon gar nicht möglich.
Viele der Geräte und Apps bieten des Weiteren die Möglichkeit an, aufgezeichnete Fitness-Daten mit Freunden zu teilen. Der dabei erforderliche Warnhinweis, dass die Weitergabe der sensiblen Nutzerdaten nur dann geschehen darf, wenn der Nutzer dieses ausdrücklich wünscht und bewusst hierin einwilligt, fehle jedoch auch hier.
Löschen der Daten kaum möglich
Der dritte Punkt, der von den Datenschützern moniert wurde, ist dass die untersuchten Geräte keine Möglichkeit bieten, Daten vollständig zu löschen. Bedenken bereiten den Datenschützern gerade auch die technischen Analysetools, mit denen Hersteller nachverfolgen können, wie die Geräte oder Apps genutzt werden. Hier fehle der Nachweis, dass gesammelte Daten tatsächlich anonym sind. Es bestehe deshalb die Gefahr, dass Daten für Werbezwecke und zur Profilbildung verwendet werden.
Forderung der Datenschützer
Stichpunktartige Anfragen der Datenschützer nach Auskunft zu gespeicherten Daten wurden mit pauschalen Verweisen auf Datenschutzerklärungen beantwortet oder wegen Nicht-Zuständigkeit abgewiesen. Grund hierfür ist, dass viele Hersteller in Deutschland nur mit Serviceniederlassungen präsent sind, während ihr Hauptsitz in anderen EU- oder Dritt-Staaten liegt. Erst unter der ab Mai 2018 EU-weit gültigen Datenschutzgrundverordnung können deutsche Aufsichtsbehörden Beschwerden deutscher Verbraucher wirksamer bearbeiten.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hatte bereits im April 2016 (in Form ihrer Entschließung zur 91. Konferenz unabhängigen Datenschutzbehörden des Bundes und der Länder) von den Herstellern von Gesundheits-Apps und Wearables mehr Transparenz, sowie korrekte Einwilligungserklärungen und ein Bekenntnis zur Datensparsamkeit gefordert. Darüber hinaus forderten die Datenschutzbehörde den Gesetzgeber auf zu prüfen, ob und inwieweit im Zusammenhang mit Wearables und Gesundheits-Apps die Möglichkeit beschränkt werden sollte, materielle Vorteile von der Einwilligung in die Verwendung von Gesundheitsdaten abhängig zu machen. Die jetzt vorliegenden Untersuchungsergebnisse unterstreichen nach Ansicht der Datenschützer die Dringlichkeit der Forderungen.
Fazit
Die Daten, die nötig sind um Gesundheits-Apps und die entsprechenden Wearables in Gebrauch zu nehmen, geben sehr viel über das Leben und die Gesundheit ihrer Nutzer preis. Fakt ist jedoch, dass diese Daten aktuell nicht ausreichend geschützt werden. Vor dem Kauf von Wearables und der Nutzung der dazugehörigen Apps auf dem Smartphone sollte sich deshalb dringend darüber informiert werden, wie mit den erhobenen Daten umgegangen wird. Es bleibt abzuwarten, ob der Gesetzgeber der Forderung der Datenschutzbehörde nachkommt.