Viele Anbieter von Gesundheits-Apps und Wearables missachten gesetzliche Anforderungen und vernachlässigen den Datenschutz. Zu diesem Urteil kamen die Bundesdatenschutzbeauftragte (BfDI), Andrea Voßhoff, und die Datenschutzbehörden einiger Bundesländer bei einer stichprobenartigen Prüfung von 16 Apps und zugehörigen Wearables [Fragebogen, PDF].
Neben der BfDI haben an dem vom Bayerischen Landesamt für Datenschutzaufsicht initiierten Check die Aufsichtsbehörden Bayerns, Schleswig-Holsteins, Brandenburgs, Niedersachsens, Nordrhein-Westfalens und Hessens mitgewirkt. Nach Auskunft der Datenschützer sind die geprüften Apps mehr als 30 Millionen mal heruntergeladen worden und machen damit etwa 70 % des Marktes aus.
Intransparent, entmündigend, rechtswidrig
Konkret bemängeln die Datenschützer unter anderem unzureichende Nutzerinformationen, gesetzeswidrige Datenweitergabe an Dritte und mangelhafte Lösch- und Widerspruchsmöglichkeiten. Erst im November hatte die Bundesregierung auf Anfrage der grünen Bundestagsfraktion wissen lassen, dass sie sich in Sachen Daten- und Verbraucherschutz bei Gesundheits-Apps grundsätzlich in Prüfprozessen befinde, aber keinen akuten Handlungsbedarf sieht.
Angesichts des Bildes von der aktuellen Lage, das die Datenschutzbehörden anhand ihrer Stichprobenüberprüfungen zeichnen, ist der Handlungsbedarf jedoch riesig und akut. So erfüllen die meisten Datenschutzerklärungen laut Pressemitteilung der BfDI nicht die gesetzlichen Anforderungen, weil sie zu lang, zu pauschal und zu schwer verständlich seien. Viele Erklärungen lägen nicht einmal in deutscher Sprache vor. Zudem sei oftmals nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen worden, die kaum konkreten Bezug zu dem Wearable und den besonders schützenswerten Gesundheitsdaten hat. Auch auf konkrete Informationsanfragen hätten viele Unternehmen sehr allgemein geantwortet. Einige hätten sich zudem für nicht zuständig erklärt und die Fragen abgewiesen.
Unerlaubte Weitergabe sensibler Informationen an Dritte
Besonders brisant ist die Intransparenz der stattfindenden Weitergabe von Daten an Dritte. In einer Pressemitteilung des Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holsteins heißt es dazu:
Beunruhigend sind auch die Aussagen vieler Hersteller zur Datenweitergabe. Einige Hersteller stellen klar, dass sie die Fitness-Daten der Nutzer für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Der Nutzer erfährt weder, um wen es sich dabei handelt, noch kann er widersprechen. Ein klarer Verstoß gegen deutsches Datenschutzrecht.
Die technische Analyse habe ergeben, dass fast alle Hersteller Tracking-Tools US-amerikanischer Unternehmen einbinden. Sie könnten dafür eingesetzt werden, die Benutzungsfreundlichkeit der Anwendungen zu erhöhen. Die Daten können laut ULD aber auch für Werbezwecke und zur Profilbildung genutzt werden. Zwar werde oft angegeben, dass hierzu nur anonyme Daten verwendet werden würden – den Nachweis blieben die Hersteller jedoch schuldig. Den schleswig-holsteinischen Datenschützern zufolge zeigt die Erfahrung, dass in der Regel in solchen Fällen weiterhin bei vielen Daten ein Personenbezug hergestellt werden kann.
Marit Hansen, die Leiterin des ULD Schleswig-Holstein, kommentiert deshalb:
Wer denkt, bei Fitness-Trackern und Smart Watches seine eigenen Daten stets unter Kontrolle zu haben, liegt leider meistens falsch. Selbst wenn man alle Beipackzettel zu den Geräten liest, kann man oft nicht verstehen, welche Daten an den Hersteller übermittelt werden und vor allem, warum dies notwendig sein soll. Solche Datenweiterleitungen sind besonders kritisch, wenn es sich um Gesundheitsdaten handelt oder wenn sich aus Ortsinformationen Bewegungsprofile erstellen lassen.
Oft kann man die gesammelten Daten nicht mal löschen
Die Datenschutzbehörden bemängeln darüber hinaus, dass in vielen Fällen nicht Mal die Löschung der entstandenen Informationsberge möglich sei. Viele Geräte böten dem Nutzer keine Möglichkeit, die eigenen Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gäbe es Löschfunktionen. Einige Hersteller würden immerhin darauf hinweisen, dass dies nicht möglich sei – wie lange die Daten bei ihnen gespeichert werden, verraten sie aber nicht.
Auch die Bundesdatenschutzbeauftragte Voßhoff betont die Sensibilität der durch Fitness-Apps und Wearables gesammelten Informationen:
Zwar scheinen Einzelinformationen wie Körpergewicht, zurückgelegte Schritte, Dauer des Schlafes oder Herzfrequenz für sich betrachtet oftmals wenig aussagekräftig. In der Regel werden diese Daten jedoch mit eindeutigen Personenkennungen oder auch Standortdaten verknüpft. Bei einer dauerhaften Nutzung von Wearables fallen damit so viele Informationen an, dass sich ein präzises Bild des Tagesablaufs und Gesundheitszustands der jeweiligen Nutzer ergibt.
Wirksames Vorgehen gegen Verstöße erst ab 2018 möglich
Bereits im April hatten Datenschutzbehörden von Bund und Ländern von Herstellern und Betreibern gefordert [PDF], Prinzipien wie Datensparsamkeit, Privacy by Design, Privacy by Default und die informierte Einwilligung umzusetzen.
In Anbetracht der jetzt festgestellten eklatanten Menge gravierender Verstöße gegen deutsches Datenschutzrecht bleibt den Datenschützern vorerst nichts weiteres, als an die Hersteller heranzutreten und sie zur Beseitigung der Mängel aufzufordern. Viele der Firmen haben ihren Firmensitz im Ausland und sind in Deutschland nur mit Service-Niederlassungen präsent. Bis ab Mai 2018 die EU-Datenschutzgrundverordnung (DSGVO) gilt, können die deutschen Behörden kaum wirksam gegen die Unternehmen vorgehen.
Die Datenschützern setzen jetzt deshalb primär auf den Appell an Verbraucher, Werables und Apps genau zu prüfen, und auf den Aufruf an die Firmen, sich gesetzeskonform zu verhalten. Voßhoff:
Vor dem Kauf von Wearables und der Installation der dazugehörigen Apps auf dem Smartphone sollten sich die Nutzer fragen, ob sie wissen, was mit ihren Gesundheitsdaten geschieht und an wen sie weitergegeben werden. Auch die Hersteller und Betreiber der Geräte und Apps sind in der Pflicht. Viele Probleme ließen sich vermeiden, wenn Fitnessdaten lediglich lokal auf einem Smartphone gespeichert und verarbeitet würden.
Auch Hansen betont, wie wichtig es wäre, die Daten nach dem Prinzip der Datensparsamkeit ausschließlich lokal zu speichern und zu verarbeiten:
In unserer vernetzten Welt verarbeiten immer mehr Geräte personenbezogene Daten nicht mehr lokal, sondern leiten sie zu Servern weiter, wo sie zu allen möglichen Zwecken ausgewertet werden können. Häufig ist es aber gar nicht nötig, dass die persönlichen Daten den eigenen Bereich verlassen. Am besten wäre es, wenn Datenschutz von Anfang an eingebaut wäre, damit kein Nutzer Angst vor einem Missbrauch seiner persönlichen Daten zu haben braucht.
Kurzfristig keine konkreten Schritte geplant
Die Bundesregierung hatte in ihrer Antwort auf die Kleine Anfrage der Grünen im November deutlich gemacht, dass sie zunächst auf eine Selbstverpflichtung der Hersteller und Betreiber setzt, die die EU-Kommission mit diesem im kommenden Jahr abschließen will. Ab 2018 gelte dann zudem die DSGVO (an deren Schwächung das Bundesinnenministerium gerade arbeitet). Außerdem befinde man sich in einem breiten Prüfprozess weiterer notwendiger Regeln.
Auf Nachfrage im Bundesgesundheitsministerium hieß es heute, dass diese Aussagen nach wie vor gelten – akute Maßnahmen seien nicht geplant. Menschen, die Fitness-Apps und Wearables nutzen wollen, bleiben vorerst also weiter ohne wirksamen staatlichen Schutz vor der kommerziellen Protokollierung und Analyse ihres Lebens.
Vorgestern ein 30€ China Fitnesstracker gekauft (Bluetooth Low Energy).
Pairing: geht einfach.. (ohne PIN, drücken einer Taste o.Ä.)..
Ok mal schnell die App dekompiliert und ne kleine Lib geschrieben die den GATT Service (der nicht den Standards entspricht) einfach direkt anspricht.
Effekt: Ich kann jetzt Leute ärgern in dem ich deren Fitnesstracker dauerhaft vibrieren lasse :) Alternativ pushe ich einfach Nullbytes als Firmware update.. Aber dann ist das Ding leider hin danach…
Ich weiß ja nicht, ob das hackerethisch so tragbar ist. *hust*
Ich sag mal so, wer diese Trends mitmacht und sich das Teil ums Handgelenk bindet muss einfach davon ausgehen, dass die Daten zum Zwecke des Datenreichtums weg sind. Im Grunde hat sich Frau Merkel mit der Aussage direkt verraten.
Datenschutz stört, oder sind es doch eher die Bürgerrechte? Die Welt des IoT ist voll von Dingen, die direkt Daten ins Ausland transferieren. Was damit gemacht wird ist danach zunächst nicht nachvollziehbar. Und das ist ein zweiter Aspekt neben der allgemeinen Unsicherheit dieser Produkte gegen Hacking. Im Grunde sind all diese Produkte gar nicht nutzbar, außer es gibt einfach keine störenden Gesetze, dann kann jeder damit alles machen wonach ihm ist. Mir tun die Datenschützer extrem leid, haben sie doch einen Auftrag die Verbraucher und Unternehmen zu schützen gegen Betrug, Hacking, Datenspionage. Und nun kommen von ganz oben Töne, die unerträglich sind für einen echten technologischen Fortschritt.
Denn wenn man sich wirklich schützen möchte, darf man solche Produkte aktuell gar nicht kaufen und sollte generell keinerlei Daten in Cloudservices etc. auslagern. Selbst stark verschlüsselte Dateien sind wahrscheinlich nicht sicher. Deutschland an sich bietet kaum eigene, geprüfte Produkte an. Sie haben schlicht nichts und nun passen sie sich dem Elektronikschrott aus China und den USA an, der eben alles andere als sicher ist und diverse Sachen erlaubt sind.
Das ist definitiv gewollt.
Sensible Gesundheitsdaten bedürfen eines besonderen Schutzes. Viele Anbieter haben ihren Sitz jedoch in den USA, wo Datenschutz bekanntermaßen weniger streng ist. Man kann davon ausgehen, dass diese Unternehmen die Daten weiterverkaufen. Dürfen sie ja auch, wir haben den Allgemeinen Geschäftsbedingungen in der Regel zugestimmt. Man darf nicht vergessen, hinter jedem dieser Geräte oder Apps steht ein Geschäftsmodell, kein altruistischer „Wir wollen, dass die Menschen gesünder leben“-Gedanke.
https://klartext.unverschluesselt.net/wearables/