Gesundheits-Wearables mit Datenschutzmängeln

Datenschutz-Aufsichtsbehörden haben sich 16 Wearables vorgeknöpft, die Körperaktivitäten wie Schrittzahl, Herzfrequenz, Schlafrhythmus oder Körpertemperatur erfassen. Weil sich immer mehr Versicherer und Unternehmen für diese Daten interessieren, haben sie die Geräte sowie die Hersteller-Apps für iOS und Android geprüft. Die getesteten Apps wurden zusammen mehr als 30 Millionen Mal heruntergeladen, also wurden demnach rund 70 Prozent des deutschen Markts erfasst. An der Aktion beteiligt waren laut Mitteilung die Aufsichtsbehörden aus Bayern, Brandenburg, Hessen, Niedersachsen und Nordrhein-Westfalen, Schleswig-Holstein sowie die Bundesdatenschutzbeauftragte.

Geprüft wurde, welche Daten die Wearables erheben und ob die Daten an Dritte weitergegeben werden. Auch müssen die Anbieter Auskunfts- und Löschungsansprüche gewährleisten. Diesen Anforderungen wurden nicht alle Wearables gerecht. Die Hersteller werden nun von den Aufsichtsbehörden aufgefordert, die Mängel abzustellen.

Seitenlange Datenschutzbestimmungen

Die meisten Anwendungen erfüllen schon nicht die einfachen Anforderungen an eine ordentliche Datenschutzbestimmung: Sie sind in der Regel viele Seiten lang, schwer verständlich und enthalten überdies nur pauschale Hinweise zu wichtigen Datenschutzfragen. "Selbst wenn man alle Beipackzettel zu den Geräten liest, kann man oft nicht verstehen, welche Daten an den Hersteller übermittelt werden und vor allem, warum dies notwendig sein soll", sagt die schleswig-holsteinische Landesdatenschützerin Marit Hansen.

"Erstaunlich" fanden es die Datenschützer, dass einige Hersteller meinten, Gesundheits- und Standortdaten seien anonym. Sie monieren, dass sich die Anbieter keine Mühe geben "Licht in das Dickicht aus Hardware-Hersteller, App-Betreiber, App-Shop-Anbieter und zahlreichen Dienstleistern zu bringen". Wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden, bleibt daher unklar.

"Beunruhigend" finden die Datenschützer auch, dass die Fitness-Daten für eigene Forschungszwecke und Marketing verwendet und an verbundene Unternehmen weitergeben werden. Um wen es sich dabei handelt, erfährt der Nutzer nicht. Auch kann er dieser Datenverwendung nicht widersprechen. Hinzu kommt, dass fast alle Geräte Tracking-Tools US-amerikanischer Unternehmen verwenden, die angeblich die Daten "anonym" verwenden. Den Nachweis dafür blieben sie aber schuldig.

Nicht-löschbare Daten

Problematisch sei überdies, dass Nutzer ihre Daten selbst nicht vollständig löschen können, weder über das Gerät noch über das Nutzerkonto. Dies berge im Falle des Verlusts oder beim Weiterverkauf "ein enormes Risiko". Auch sei unklar, wie lange die Daten gespeichert werden.

Nach Ansicht der Aufsichtsbehörden können die Hersteller einige der Probleme lösen, indem die Fitnessdaten nur lokal auf dem Smartphone verarbeitet würden. Die heutigen Smartphones sind so leistungsstark, dass sich dies ohne Funktionseinschränkung technisch ganz einfach umsetzen ließe. Es stimme misstrauisch, dass die Hersteller alle Daten von der App auf die eigenen Server weiterleiten. Die Server der Hersteller wurden bei dieser Prüfung von den Datenschutz-Aufsichtsbehörden nicht untersucht. Das könnte in einer zweiten Prüfungsrunde im nächsten Jahr geschehen. (anw)