Bei 20 von 24 untersuchten Fitness-Apps werden zahlreiche Nutzerdaten – darunter auch Gesundheitsdaten - an die Anbieter verschickt. Doch nach Ansicht der Marktwächterexperten informiert kaum einer der geprüften Anbieter Verbraucher in seinen Datenschutzerklärungen ausreichend über die genaue Verwendung dieser Daten.
Insgesamt wurden zwölf Wearables und 24 Fitness-Apps technisch und rechtlich geprüft. Darüber hinaus wurden Verbraucher nach ihren Datenschutzbedenken befragt. Die Ergebnisse der technischen Prüfung zeigen: Keine der Apps mit Online-Verbindung (20 von 24) ermöglicht eine rein lokale Verarbeitung der Daten (Offline-Verwendung). Dabei sendet die Mehrzahl der untersuchten Apps (20 von 24) zahlreiche Daten, darunter auch Gesundheitsdaten, an die Server der jeweiligen Anbieter. Dies kann zwar notwendig sein, um etwa Funktionen der App zu gewährleisten. Doch übermitteln 15 dieser 20 Apps auch Daten zum Nutzungsverhalten an Anbieter: Daten, die für die reine Funktionalität der App vermutlich nicht nötig sind. Welche Daten genau an den Anbieter gesendet werden, kann zumindest teilweise über die Deaktivierung von App-Berechtigungen kontrolliert werden.
Bei 19 von 24 Apps werden nicht nur Anbieter, sondern auch Drittanbieter eingebunden (z.B. Analyse- und Werbedienste). Technische Daten – wie etwa das Betriebssystem des Smartphones – werden bei 16 von 19 Apps bereits an Drittanbieter gesendet, bevor Verbraucher überhaupt den Nutzungsbedingungen zustimmen und über den Umgang mit ihren Daten informiert werden konnten. Ob Werbe- und Analyse-Drittanbieter für die Funktionalität einer App nötig sind, ist für den Verbraucher kaum zu erkennen.
Positives Ergebnis der Untersuchung: Alle von den untersuchten Fitness-Apps ausgehenden Daten werden über eine relativ sichere Verbindung (https-transportverschlüsselt) versendet. Aber: Nur wenige der untersuchten Wearables (2 von 12) sind vor ungewollter Standortverfolgung (Tracking) geschützt, was das Erstellen von Bewegungsprofilen möglich macht. In der Regel ist das allerdings nur möglich, wenn Smartphone und Wearable nicht aktiv miteinander verbunden sind.
Anbieter lassen Nutzer häufig im Unklaren
Die rechtliche Analyse der Marktwächterexperten zeigt, dass die geprüften Anbieter Nutzer häufig darüber im Unklaren lassen, was mit den gesammelten Daten passiert: Drei Anbieter stellen ihre Datenschutzhinweise nur in englischer Sprache bereit und nur zwei informieren über die besondere Sensibilität der erhobenen Gesundheitsdaten. Auch holt nur ein Anbieter eine separate Einwilligung für die Verarbeitung dieser sensiblen Gesundheitsdaten von den Nutzern ein. Ebenfalls kritisch: Sechs Anbieter räumen sich die Möglichkeit ein, Änderungen in den Datenschutzerklärungen jederzeit und ohne aktive Information des Nutzers vornehmen zu können. Fünf halten es sich sogar offen, die personenbezogen Daten ihrer Nutzer bei Fusion oder Übernahme durch andere Unternehmen weiterzugeben. Wegen dieser und anderer aus Sicht der Verbraucherschützer Verstöße gegen Datenschutzbestimmungen hat das Marktwächter-Team neun Anbieter (Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour - MyFitnessPal, Withings) abgemahnt.
Verbraucher sorgen sich um ihre Daten
Das Ergebnis der repräsentativen Verbraucherbefragung zeigt: Die Mehrheit der Befragten ist besorgt, was den Umgang mit ihren online gesammelten Daten angeht. Es stört sie, keine Kontrolle über die persönlichen Informationen zu haben, die sie online preisgeben (78 Prozent). Mögliche Folgen der Wearable-Nutzung werden unterschiedlich bewertet: Vergleichsweise viele Verbraucher fänden es akzeptabel, wenn Wearable-Daten etwa zur Überprüfung von Zeugenaussagen (61 Prozent) oder im Rahmen von Arbeitgeber-Bonusprogrammen (44 Prozent) verwendet würden. Die Erhöhung des eigenen Krankenkassentarifs auf Basis von Fitness-Daten würde wiederum nur ein kleinerer Teil der Befragten akzeptieren (13 Prozent).
