Datenschutzbehörden: Anbieter von Gesundheits-Apps und Wearables missachten gesetzliche Anforderungen

Ein Prüfung durch Aufsichtsbehörden zeigt: Apps und Wearables im Gesundheits- und Fitnessbereich haben erhebliche Mängel beim Datenschutz. Bis 2018 die Datenschutzgrundverordnung in Kraft tritt, können die Behörden aber kaum gegen die verantwortlichen Hersteller und Betreiber vorgehen.

Aus datenschutzrechtlicher Perspektive bedenklich: Smart Watches und Wearables.

Aus datenschutzrechtlicher Perspektive derzeit leider hoch bedenklich: Smart Watches und Wearables.
Foto: CC0 via pixabay/fancycrave1

Viele Anbieter von Gesundheits-Apps und Wearables missachten gesetzliche Anforderungen und vernachlässigen den Datenschutz. Zu diesem Urteil kamen die Bundesdatenschutzbeauftragte (BfDI), Andrea Voßhoff, und die Datenschutzbehörden einiger Bundesländer bei einer stichprobenartigen Prüfung von 16 Apps und zugehörigen Wearables [Fragebogen, PDF].

Neben der BfDI haben an dem vom Bayerischen Landesamt für Datenschutzaufsicht initiierten Check die Aufsichtsbehörden Bayerns, Schleswig-Holsteins, Brandenburgs, Niedersachsens, Nordrhein-Westfalens und Hessens mitgewirkt. Nach Auskunft der Datenschützer sind die geprüften Apps mehr als 30 Millionen mal heruntergeladen worden und machen damit etwa 70 % des Marktes aus.

Intransparent, entmündigend, rechtswidrig

Konkret bemängeln die Datenschützer unter anderem unzureichende Nutzerinformationen, gesetzeswidrige Datenweitergabe an Dritte und mangelhafte Lösch- und Widerspruchsmöglichkeiten. Erst im November hatte die Bundesregierung auf Anfrage der grünen Bundestagsfraktion wissen lassen, dass sie sich in Sachen Daten- und Verbraucherschutz bei Gesundheits-Apps grundsätzlich in Prüfprozessen befinde, aber keinen akuten Handlungsbedarf sieht.

Angesichts des Bildes von der aktuellen Lage, das die Datenschutzbehörden anhand ihrer Stichprobenüberprüfungen zeichnen, ist der Handlungsbedarf jedoch riesig und akut. So erfüllen die meisten Datenschutzerklärungen laut Pressemitteilung der BfDI nicht die gesetzlichen Anforderungen, weil sie zu lang, zu pauschal und zu schwer verständlich seien. Viele Erklärungen lägen nicht einmal in deutscher Sprache vor. Zudem sei oftmals nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen worden, die kaum konkreten Bezug zu dem Wearable und den besonders schützenswerten Gesundheitsdaten hat. Auch auf konkrete Informationsanfragen hätten viele Unternehmen sehr allgemein geantwortet. Einige hätten sich zudem für nicht zuständig erklärt und die Fragen abgewiesen.

Unerlaubte Weitergabe sensibler Informationen an Dritte

Besonders brisant ist die Intransparenz der stattfindenden Weitergabe von Daten an Dritte. In einer Pressemitteilung des Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holsteins heißt es dazu:

Beunruhigend sind auch die Aussagen vieler Hersteller zur Datenweitergabe. Einige Hersteller stellen klar, dass sie die Fitness-Daten der Nutzer für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Der Nutzer erfährt weder, um wen es sich dabei handelt, noch kann er widersprechen. Ein klarer Verstoß gegen deutsches Datenschutzrecht.

 Foto: Peter Parkes CC BY 2.0

Fitness-Apps und Wearables können praktisch sein. Leider scheren sich viele Anbieter nicht um Datenschutz. Foto: Peter Parkes CC BY 2.0

Die technische Analyse habe ergeben, dass fast alle Hersteller Tracking-Tools US-amerikanischer Unternehmen einbinden. Sie könnten dafür eingesetzt werden, die Benutzungsfreundlichkeit der Anwendungen zu erhöhen. Die Daten können laut ULD aber auch für Werbezwecke und zur Profilbildung genutzt werden. Zwar werde oft angegeben, dass hierzu nur anonyme Daten verwendet werden würden – den Nachweis blieben die Hersteller jedoch schuldig. Den schleswig-holsteinischen Datenschützern zufolge zeigt die Erfahrung, dass in der Regel in solchen Fällen weiterhin bei vielen Daten ein Personenbezug hergestellt werden kann.

Marit Hansen, die Leiterin des ULD Schleswig-Holstein, kommentiert deshalb:

Wer denkt, bei Fitness-Trackern und Smart Watches seine eigenen Daten stets unter Kontrolle zu haben, liegt leider meistens falsch. Selbst wenn man alle Beipackzettel zu den Geräten liest, kann man oft nicht verstehen, welche Daten an den Hersteller übermittelt werden und vor allem, warum dies notwendig sein soll. Solche Datenweiterleitungen sind besonders kritisch, wenn es sich um Gesundheitsdaten handelt oder wenn sich aus Ortsinformationen Bewegungsprofile erstellen lassen.

Oft kann man die gesammelten Daten nicht mal löschen

Die Datenschutzbehörden bemängeln darüber hinaus, dass in vielen Fällen nicht Mal die Löschung der entstandenen Informationsberge möglich sei. Viele Geräte böten dem Nutzer keine Möglichkeit, die eigenen Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gäbe es Löschfunktionen. Einige Hersteller würden immerhin darauf hinweisen, dass dies nicht möglich sei – wie lange die Daten bei ihnen gespeichert werden, verraten sie aber nicht.

Auch die Bundesdatenschutzbeauftragte Voßhoff betont die Sensibilität der durch Fitness-Apps und Wearables gesammelten Informationen:

Zwar scheinen Einzelinformationen wie Körpergewicht, zurückgelegte Schritte, Dauer des Schlafes oder Herzfrequenz für sich betrachtet oftmals wenig aussagekräftig. In der Regel werden diese Daten jedoch mit eindeutigen Personenkennungen oder auch Standortdaten verknüpft. Bei einer dauerhaften Nutzung von Wearables fallen damit so viele Informationen an, dass sich ein präzises Bild des Tagesablaufs und Gesundheitszustands der jeweiligen Nutzer ergibt.

Wirksames Vorgehen gegen Verstöße erst ab 2018 möglich

Foto: David Schap unter CC0-Lizenz

„Wer denkt, bei Fitness-Trackern und Smart Watches seine eigenen Daten unter Kontrolle zu haben, liegt oft falsch.“ Foto: David Schap unter CC0-Lizenz

Bereits im April hatten Datenschutzbehörden von Bund und Ländern von Herstellern und Betreibern gefordert [PDF], Prinzipien wie Datensparsamkeit, Privacy by Design, Privacy by Default und die informierte Einwilligung umzusetzen.

In Anbetracht der jetzt festgestellten eklatanten Menge gravierender Verstöße gegen deutsches Datenschutzrecht bleibt den Datenschützern vorerst nichts weiteres, als an die Hersteller heranzutreten und sie zur Beseitigung der Mängel aufzufordern. Viele der Firmen haben ihren Firmensitz im Ausland und sind in Deutschland nur mit Service-Niederlassungen präsent. Bis ab Mai 2018 die EU-Datenschutzgrundverordnung (DSGVO) gilt, können die deutschen Behörden kaum wirksam gegen die Unternehmen vorgehen.

Die Datenschützern setzen jetzt deshalb primär auf den Appell an Verbraucher, Werables und Apps genau zu prüfen, und auf den Aufruf an die Firmen, sich gesetzeskonform zu verhalten. Voßhoff:

Vor dem Kauf von Wearables und der Installation der dazugehörigen Apps auf dem Smartphone sollten sich die Nutzer fragen, ob sie wissen, was mit ihren Gesundheitsdaten geschieht und an wen sie weitergegeben werden. Auch die Hersteller und Betreiber der Geräte und Apps sind in der Pflicht. Viele Probleme ließen sich vermeiden, wenn Fitnessdaten lediglich lokal auf einem Smartphone gespeichert und verarbeitet würden.

Auch Hansen betont, wie wichtig es wäre, die Daten nach dem Prinzip der Datensparsamkeit ausschließlich lokal zu speichern und zu verarbeiten:

In unserer vernetzten Welt verarbeiten immer mehr Geräte personenbezogene Daten nicht mehr lokal, sondern leiten sie zu Servern weiter, wo sie zu allen möglichen Zwecken ausgewertet werden können. Häufig ist es aber gar nicht nötig, dass die persönlichen Daten den eigenen Bereich verlassen. Am besten wäre es, wenn Datenschutz von Anfang an eingebaut wäre, damit kein Nutzer Angst vor einem Missbrauch seiner persönlichen Daten zu haben braucht.

Kurzfristig keine konkreten Schritte geplant

Die Bundesregierung hatte in ihrer Antwort auf die Kleine Anfrage der Grünen im November deutlich gemacht, dass sie zunächst auf eine Selbstverpflichtung der Hersteller und Betreiber setzt, die die EU-Kommission mit diesem im kommenden Jahr abschließen will. Ab 2018 gelte dann zudem die DSGVO (an deren Schwächung das Bundesinnenministerium gerade arbeitet). Außerdem befinde man sich in einem breiten Prüfprozess weiterer notwendiger Regeln.

Auf Nachfrage im Bundesgesundheitsministerium hieß es heute, dass diese Aussagen nach wie vor gelten – akute Maßnahmen seien nicht geplant. Menschen, die Fitness-Apps und Wearables nutzen wollen, bleiben vorerst also weiter ohne wirksamen staatlichen Schutz vor der kommerziellen Protokollierung und Analyse ihres Lebens.

4 Kommentare
  1. tornode8510258 8. Dez 2016 @ 10:31

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Die Kommentar-Regeln findest Du hier.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden