Menü

Beratung. Information. Interessenvertretung. Wir sind unabhängig und immer auf Ihrer Seite.

Unsportlich: Datenschutz-Mängel bei Wearables und Fitness-Apps

Stand:

Das Wichtigste in Kürze:

  • Bei den meisten untersuchten Apps werden zahlreiche Nutzerdaten, darunter auch Gesundheitsdaten, an Anbieter gesendet. Keine der Apps, die zum Betrieb eine Verbindung zum Internet aufbauen, lässt sich auch ohne Netzanbindung nutzen.
  • Kaum einer der vom Marktwächter-Team der Verbraucherzentrale NRW geprüften Anbieter informiert in seinen Datenschutzerklärungen ausreichend über die genaue Verwendung der zum Teil sensiblen Daten.
  • Die Marktwächterexperten haben neun Anbieter wegen verschiedener Verstöße gegen Datenschutzbestimmungen abgemahnt.
Mann beim joggen mit Smartphone
Fitness-Armbänder, Smartwatches und Fitness-Apps zählen längst nicht bloß die Schritte ihrer Nutzer
On

Die Alltagsbegleiter sammeln Daten wie etwa den Puls und Kalorienverbrauch ihrer Träger oder wie lange und wie gut diese schlafen. "Informationen wie diese lassen Rückschlüsse auf Fitness und Gesundheit von Verbrauchern zu", betont Ricarda Moll, Referentin der Verbraucherzentrale NRW im Projekt Marktwächter Digitale Welt.

Sind solche Daten zu Ihrer Gesundheit und Ihrem Verhalten erst einmal in der Welt, werden Sie sie kaum zurückrufen können. Liegen die Server der Anbieter im Ausland, können sie einem geringeren Datenschutzstandard unterliegen als in Deutschland. Die meisten der untersuchten Anbieter räumen sich auch das Recht ein, die Daten an Drittanbieter weiter zu reichen, oft auch für Werbezwecke.

Quiz zum Thema Wearables

Mehr Kontrolle über den eigenen Körper - das verheißt der Trend rund um Wearables und Fitness-Apps. Testen Sie Ihr Wissen rund um die "smarten" Alltagsbegleiter.

Technische Prüfung: Kontrolle über Daten kaum möglich

Die Ergebnisse der technischen Prüfung zeigen, dass eine Kontrolle über die eigenen Daten bei der Wearable- und Fitness-App-Nutzung für Nutzer kaum möglich ist.

  • Keine der Apps, die zum Betrieb eine Verbindung zum Internet aufbauen, (20 von 24) ermöglicht eine Verarbeitung der Daten alleine im eigenen Gerät (Offline-Verwendung): Die gesammelten Daten werden also vom Smartphone an Server des Anbieters versendet.
  • Dabei sendet die Mehrzahl der untersuchten Apps (20 von 24) zahlreiche Daten, darunter auch Gesundheitsdaten.
  • Dies kann zwar notwendig sein, um etwa Funktionen der App zu gewährleisten. Doch übermitteln 15 dieser 20 Apps auch Daten zum Nutzungsverhalten an Anbieter: Daten, die für die reine Funktionalität der App vermutlich nicht nötig sind.
  • Welche Daten genau an den Anbieter gesendet werden, können Sie zumindest teilweise über die Deaktivierung von App-Berechtigungen kontrollieren. Wer sich um die Verwendung seiner Daten sorgt, sollte den Apps Berechtigungen entziehen. Das beherrschen aber nicht alle Smartphone-Betriebssysteme – und ohne bestimmte Berechtigungen werden die Apps Funktionen verlieren.
  • Bei 19 von 24 Apps werden nicht nur Anbieter, sondern auch Drittanbieter eingebunden (z.B. Analyse- und Werbedienste). Ihre Daten können in solchen Fällen also weitergereicht werden. Technische Daten – wie etwa das Betriebssystem des Smartphones – werden bei 16 von 19 Apps bereits an Drittanbieter gesendet, bevor Nutzer überhaupt den Nutzungsbedingungen zustimmen und über den Umgang mit ihren Daten informiert werden konnten. Ob Werbe- und Analyse-Drittanbieter für die Funktionalität einer App nötig sind, ist zum einen fraglich und zum anderen für den Nutzer kaum zu erkennen.
  • Zwar werden alle von den untersuchten Fitness-Apps ausgehenden Daten über eine relativ sichere Verbindung (https-transportverschlüsselt) versendet. Aber: Nur wenige der untersuchten Wearables (2 von 12) sind vor ungewollter Standortverfolgung (Tracking) geschützt, was das Erstellen von Bewegungsprofilen möglich macht. Schuld daran ist eine Sicherheitslücke bei der Bluetooth-Verbindung. Betreiber von Einkaufszentren könnten dadurch beispielsweise die Laufwege ihrer Kunden verfolgen. Möglich ist das in der Regel allerdings nur, wenn Smartphone und Wearable nicht aktiv miteinander verbunden sind.

Wir raten: Beschränken Sie in den Einstellungen die Berechtigungen zum Zugriff der Apps auf die Daten, sofern möglich! Erlauben Sie nur den Zugriff auf Informationen, die für die Nutzung eines Dienstes erforderlich sind bzw. deren Nutzen Sie nachvollziehen können. Tragen Sie Wearables nicht ständig, sondern beispielsweise nur bei sportlichen Aktivitäten - so fallen weniger Daten an.


Neun Anbieter wegen des Datenschutzes abgemahnt

Die rechtliche Analyse der Marktwächterexperten zeigt, dass die geprüften Anbieter Nutzer häufig darüber im Unklaren lassen, was mit den gesammelten Daten passiert: Drei Anbieter stellen ihre Datenschutzhinweise nur in englischer Sprache bereit und nur zwei informieren über die besondere Sensibilität der erhobenen Gesundheitsdaten. Auch holt nur ein Anbieter eine separate Einwilligung für die Verarbeitung dieser sensiblen Gesundheitsdaten von den Nutzern ein.

Ebenfalls kritisch: Sechs Anbieter räumen sich die Möglichkeit ein, Änderungen in den Datenschutzerklärungen jederzeit und sogar ohne aktive Information des Nutzers vornehmen zu können. Fünf halten es sich sogar offen, die personenbezogen Daten ihrer Nutzer bei Fusion oder Übernahme durch andere Unternehmen weiterzugeben.

Wegen dieser und anderer Punkte hat das Marktwächter-Team neun Anbieter (Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour (MyFitnessPal), Withings) abgemahnt.


Seien Sie sich bewusst, dass bei der Nutzung von Wearables und Fitness-Apps zahlreiche sensible Daten gesammelt und verarbeitet werden: Sie sollten sich bewusst machen, was mit Ihren Gesundheitsdaten geschieht und an wen sie weitergegeben werden. Dies sollte aus den Datenschutzhinweisen hervorgehen, die verständlich und in deutscher Sprache verfügbar sein sollten. Falls nein, könnte dies ein Ausschlusskriterium sein.


Verbraucher befürchten Kontrollverlust

Das Ergebnis einer repräsentativen Verbraucherbefragung (Telefonbefragung mit 1055 Personen ab 14 Jahren) zeigt: Die Mehrheit der Befragten ist besorgt, was den Umgang mit ihren online gesammelten Daten angeht. Es stört sie, keine Kontrolle über die persönlichen Informationen zu haben, die sie online preisgeben (78 Prozent).

Mögliche Folgen der Wearable-Nutzung werden unterschiedlich bewertet: Vergleichsweise viele Verbraucher fänden es akzeptabel, wenn Wearable-Daten etwa zur Überprüfung von Zeugenaussagen (61 Prozent) oder im Rahmen von Arbeitgeber-Bonusprogrammen (44 Prozent) verwendet würden. Die Erhöhung des eigenen Krankenkassentarifs auf Basis von Fitness-Daten würde wiederum nur ein kleinerer Teil der Befragten akzeptieren (13 Prozent).

Einen genauen Überblick über die Anbieter und Ergebnisse bekommen Sie im vollständigen Untersuchungsbericht.

Verbraucherzentrale Bundesverband fordert mehr Informationen über die Datennutzung

Um bessere Entscheidungen bei der eigenen Nutzung von Wearables und Fitness-Apps treffen zu können, benötigen Verbraucher gesicherte Informationen über den konkret nachgewiesenen Nutzen von Apps und den Umgang mit ihren persönlichen Daten. Krankenversicherungstarife, die finanzielle Anreize mit der fortlaufenden, dauerhaften Offenlegungsverpflichtung von Daten verknüpfen, lehnt der Verbraucherzentrale Bundesverband kategorisch ab. "Nach aktuellem Prinzip finanzieren die Jungen und Gesunden die Alten und Kranken. Doch sobald eine Kasse genügend Daten besitzt, um jeweils das individuelle Risiko zu berechnen, wird dieses Grundprinzip aufgelöst. Wer krank oder schwach ist, darf dafür nicht bestraft werden", sagt Kai Vogel, Leiter Team Gesundheit und Pflege beim Verbraucherzentrale Bundesverband.