Mehr Kontrolle über den eigenen Körper - das verheißt der Trend rund um Wearables und Fitness-Apps. Doch viele Produkte bieten wenig Kontrolle und versenden sensible Daten an die Anbieter, das hat eine Untersuchung ergeben.
Die Alltagsbegleiter sammeln Daten wie etwa den Puls und Kalorienverbrauch ihrer Träger oder wie lange und wie gut diese schlafen. "Informationen wie diese lassen Rückschlüsse auf Fitness und Gesundheit von Verbrauchern zu", betont Ricarda Moll, Referentin der Verbraucherzentrale NRW im Projekt Marktwächter Digitale Welt.
Sind solche Daten zu Ihrer Gesundheit und Ihrem Verhalten erst einmal in der Welt, werden Sie sie kaum zurückrufen können. Liegen die Server der Anbieter im Ausland, können sie einem geringeren Datenschutzstandard unterliegen als in Deutschland. Die meisten der untersuchten Anbieter räumen sich auch das Recht ein, die Daten an Drittanbieter weiter zu reichen, oft auch für Werbezwecke.
Technische Prüfung: Kontrolle über Daten kaum möglich
Die Ergebnisse der technischen Prüfung zeigen, dass eine Kontrolle über die eigenen Daten bei der Wearable- und Fitness-App-Nutzung für Nutzer kaum möglich ist.
- Keine der Apps, die zum Betrieb eine Verbindung zum Internet aufbauen, (20 von 24) ermöglicht eine Verarbeitung der Daten alleine im eigenen Gerät (Offline-Verwendung): Die gesammelten Daten werden also vom Smartphone an Server des Anbieters versendet.
- Dabei sendet die Mehrzahl der untersuchten Apps (20 von 24) zahlreiche Daten, darunter auch Gesundheitsdaten.
- Dies kann zwar notwendig sein, um etwa Funktionen der App zu gewährleisten. Doch übermitteln 15 dieser 20 Apps auch Daten zum Nutzungsverhalten an Anbieter: Daten, die für die reine Funktionalität der App vermutlich nicht nötig sind.
- Welche Daten genau an den Anbieter gesendet werden, können Sie zumindest teilweise über die Deaktivierung von App-Berechtigungen kontrollieren. Wer sich um die Verwendung seiner Daten sorgt, sollte den Apps Berechtigungen entziehen. Das beherrschen aber nicht alle Smartphone-Betriebssysteme - und ohne bestimmte Berechtigungen werden die Apps Funktionen verlieren.
- Bei 19 von 24 Apps werden nicht nur Anbieter, sondern auch Drittanbieter eingebunden (z.B. Analyse- und Werbedienste). Ihre Daten können in solchen Fällen also weitergereicht werden. Technische Daten - wie etwa das Betriebssystem des Smartphones - werden bei 16 von 19 Apps bereits an Drittanbieter gesendet, bevor Nutzer überhaupt den Nutzungsbedingungen zustimmen und über den Umgang mit ihren Daten informiert werden konnten. Ob Werbe- und Analyse-Drittanbieter für die Funktionalität einer App nötig sind, ist zum einen fraglich und zum anderen für den Nutzer kaum zu erkennen.
- Zwar werden alle von den untersuchten Fitness-Apps ausgehenden Daten über eine relativ sichere Verbindung (https-transportverschlüsselt) versendet. Aber: Nur wenige der untersuchten Wearables (2 von 12) sind vor ungewollter Standortverfolgung (Tracking) geschützt, was das Erstellen von Bewegungsprofilen möglich macht. Schuld daran ist eine Sicherheitslücke bei der Bluetooth-Verbindung. Betreiber von Einkaufszentren könnten dadurch beispielsweise die Laufwege ihrer Kunden verfolgen. Möglich ist das in der Regel allerdings nur, wenn Smartphone und Wearable nicht aktiv miteinander verbunden sind.
Wir raten: Beschränken Sie in den Einstellungen die Berechtigungen zum Zugriff der Apps auf die Daten, sofern möglich! Erlauben Sie nur den Zugriff auf Informationen, die für die Nutzung eines Dienstes erforderlich sind bzw. deren Nutzen Sie nachvollziehen können. Tragen Sie Wearables nicht ständig, sondern beispielsweise nur bei sportlichen Aktivitäten - so fallen weniger Daten an.
Neun Anbieter wegen des Datenschutzes abgemahnt
Die rechtliche Analyse der Marktwächterexperten zeigt, dass die geprüften Anbieter Nutzer häufig darüber im Unklaren lassen, was mit den gesammelten Daten passiert: Drei Anbieter stellen ihre Datenschutzhinweise nur in englischer Sprache bereit und nur zwei informieren über die besondere Sensibilität der erhobenen Gesundheitsdaten. Auch holt nur ein Anbieter eine separate Einwilligung für die Verarbeitung dieser sensiblen Gesundheitsdaten von den Nutzern ein.
Ebenfalls kritisch: Sechs Anbieter räumen sich die Möglichkeit ein, Änderungen in den Datenschutzerklärungen jederzeit und sogar ohne aktive Information des Nutzers vornehmen zu können. Fünf halten es sich sogar offen, die personenbezogen Daten ihrer Nutzer bei Fusion oder Übernahme durch andere Unternehmen weiterzugeben.
Wegen dieser und anderer Punkte hat das Marktwächter-Team neun Anbieter (Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour (MyFitnessPal), Withings) abgemahnt.
Seien Sie sich bewusst, dass bei der Nutzung von Wearables und Fitness-Apps zahlreiche sensible Daten gesammelt und verarbeitet werden: Sie sollten sich bewusst machen, was mit Ihren Gesundheitsdaten geschieht und an wen sie weitergegeben werden. Dies sollte aus den Datenschutzhinweisen hervorgehen, die verständlich und in deutscher Sprache verfügbar sein sollten. Falls nein, könnte dies ein Ausschlusskriterium sein.
Verbraucher befürchten Kontrollverlust
Das Ergebnis einer repräsentativen Verbraucherbefragung (Telefonbefragung mit 1055 Personen ab 14 Jahren) zeigt: Die Mehrheit der Befragten ist besorgt, was den Umgang mit ihren online gesammelten Daten angeht. Es stört sie, keine Kontrolle über die persönlichen Informationen zu haben, die sie online preisgeben (78 Prozent).
Mögliche Folgen der Wearable-Nutzung werden unterschiedlich bewertet: Vergleichsweise viele Verbraucher fänden es akzeptabel, wenn Wearable-Daten etwa zur Überprüfung von Zeugenaussagen (61 Prozent) oder im Rahmen von Arbeitgeber-Bonusprogrammen (44 Prozent) verwendet würden. Die Erhöhung des eigenen Krankenkassentarifs auf Basis von Fitness-Daten würde wiederum nur ein kleinerer Teil der Befragten akzeptieren (13 Prozent).