Ein neues Jahr bedeutet oftmals auch Neujahrsvorsätze. Neben „mit dem Rauchen aufhören“ ist „mehr Sport“ ein Klassiker unter den Vorsätzen. In der modernen technisierten Welt ist für viele dabei ein Fitness-Armband unverzichtbar, gilt es doch eine Vielzahl von Parametern zu erfassen und auszuwerten. Umfragen zufolge trägt bereits etwa ein Drittel der Bevölkerung ab 14 Jahren einen Fitness-Tracker.
Der Inhalt im Überblick
Wie halten es Fitbit, Jawbone und Co. mit dem Datenschutz?
Eine Vielzahl von Fitness-Armbändern sind derzeit auf dem Markt verfügbar. Anbieter sind u.a. Fitbit (die jüngst auch Pebble übernommen haben), Jawbone, Garmin oder Polar. Neben den Leistungsmerkmalen, Preis und Design sollte der Nutzer beim Fitness-Tracker auch auf Unterschiede im Umgang mit den persönlichen Daten achten. Nicht zuletzt aufgrund der oftmals erfolgten Verknüpfung von Fitness-Armband und Smartphone entstehen umfangreich persönliche Gesundheitsdaten.
Welche Daten werden vom Fitness-Armband erfasst?
Im Zuge der Aktivierung eines Fitbit-Geräts wird der Benutzer beispielsweise zunächst aufgefordert, Angaben zu Größe, Gewicht und Geschlecht zu machen. Im Folgenden werden dann Daten erfasst wie Messung der Herzfrequenz oder zurückgelegte Schritte. Auch die Schlafqualität werde aufgezeichnet. Ähnlich verhält es sich bei Jawbone. Auch deren Fitness-Armband messe die Ruheherzfrequenz, zurückgelegte Strecken und so weiter. In deren Datenschutzerklärung (Auszug) heißt es dazu:
[…] „Wenn Sie unsere UP-App herunterladen, sich für ein Konto registrieren, Ihr Gerät mit Ihrem Konto verbinden, den UP-Service nutzen oder Anfragen an uns senden, bitten wir Sie womöglich um die Angabe von Vor- und Nachname, E-Mail-Adresse, Postanschrift, Kontoname, Kennwort, Foto, Geschlecht, Größe, Gewicht und Geburtsdatum. […]
Daten, die Sie automatisch bereitstellen: Wenn Sie Ihr Gerät nutzen oder synchronisieren, werden automatisch Aktivität und physische Informationen an uns übertragen, darunter detaillierte Informationen zu Ihrem physischen Zustand, die aus der Nachverfolgung Ihrer Mikrobewegungen erfasst werden, zum Beispiel, wann Sie schlafen, wann Sie wach sind, wann Sie nichts tun und welcher Intensität und Dauer Ihre Aktivitäten sind. Einige Geräte von Jawbone erfassen sogar die Herzfrequenz und andere biometrische Daten. Diese Daten werden in Informationen umgewandelt, die Aufschluss über Ihr Schlafmuster, die von Ihnen verbrauchten Kalorien, Ihre Aktivitäten, Trends und Fortschritte geben. Diese Daten können auch Informationen zu bestimmten Krankheiten beinhalten. Ihr Gerät kann Daten aus bis zu neun Monaten speichern. Ihr Gerät und die UP-App können auch genaue Auskunft über Ihren Standort geben.
Wenn Sie andere Jawbone-Apps nutzen, sind Sie mit unseren Servern verbunden und laden Ihr Adressbuch und Ihren Kalender auf diese hoch.“ […]
Ist deutsches Recht anwendbar?
Kann ein Nutzer identifiziert werden, ggf. auch erst unter Hinzuziehung weiterer Merkmale, spricht man von personenbezogenen Daten und das Bundesdatenschutzgesetz (BDSG) ist einschlägig. Bei Gesundheitsdaten (§ 3 Abs. 9 BDSG) handelt es sich darüber hinaus um besondere Arten personenbezogener Daten, welche einem gesteigerten Schutz unterliegen. Auch wenn die anbietenden Unternehmen ihren Sitz nicht in Deutschland oder zumindest ihren Sitz oder eine Niederlassung innerhalb der EU haben, ist von einer Anwendbarkeit des BDSG gemäß § 1 Abs. 5 S. 2 BDSG auszugehen, wonach es genügt, wenn personenbezogene Daten in Deutschland erhoben, verarbeitet oder genutzt werden.
Einen Fitness-Tracker zu erwerben und anschließend zu nutzen ist datenschutzrechtlich zunächst eher unproblematisch. Denn der Nutzer erhebt, verarbeitet und speichert die Daten selbst. Anders kann es sich hingegen verhalten, wenn eine Übermittlung der Gesundheitsdaten an Dritte erfolgt. Soweit Unternehmen, Armbandhersteller oder Dritte, auf diese Daten zugreifen wollen, ist die Einwilligung des Nutzers hierfür erforderlich (§§ 4 Abs. 1 i.V.m. 4a BDSG). Bei Gesundheitsdaten muss sich die Einwilligung zudem auch ausdrücklich auf diese beziehen (§ 4a Abs. 3 BDSG).
Wer hat auf diese Fitness-Tracker Daten Zugriff?
Die gesammelten Daten der Fitness-Tracker verbleiben in der Regel nicht auf dem Armband, sondern werden mittels Bluetooth mit dem Smartphone synchronisiert. Während manches Fitness-Armband die persönlichen Daten an ein gepaartes Smartphone mit passender App weiterreichen, akzeptierte das Fitbit Charge in einem Test Bluetooth-Anfragen eines jeden Smartphones und legte dann unverschlüsselt alle erfassten Daten offen. Eine Authentifizierung war nicht nötig.
Nach der Synchronisation gelangen die Daten in der Regel auch auf die Server der Anbieter. Oftmals landen sie auch bei Dritten, da die Anbieter nicht nur daran interessiert sind die Verträge zu erfüllen, sondern die Daten darüber hinaus weitergehend zu nutzen.
Die Verbraucherzentrale Bundesverband e.V. hat vor einigen Jahren im Zusammenhang mit Fitness-Apps für Smartphones die Datenschutzerklärungen und AGBs zahlreicher Anbieter untersucht und kam zu dem Ergebnis,
„dass sich die Anbieter in ihren Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen umfassende Rechte hinsichtlich der Nutzerdaten einräumen. Danach dürfen diese bei einzelnen Diensten unter anderem auch zu Werbezwecke verwendet und an nicht weiter definierte Dritte weiter gegeben werden. Aus körper- und gesundheitsbezogenen Daten in Kombination mit bestimmten Verhaltensmustern lassen sich sehr genaue Rückschlüsse auf die jeweilige Person ziehen. Dass der 35-jährigen Hans Müller aus Hamburg, der mit seinem Samsung-Handy mit der Gerätekennung 12341a5b6c7890 und dem Betriebssystem Android 4.2 über das Mobilfunknetz der Telekom telefoniert und im Internet surft und jeden Morgen bei einem Pulsschlag von 130 seine 10 Kilometer an der Alster entlang joggt, um weitere 5 Kilogramm an Gewicht zu verlieren und seinen Body-Mass-Index von 30 weiter zu reduzieren, ist nicht nur für den eigenen Diensteanbieter von Interesse, sondern weckt unter Umständen auch Begehrlichkeiten Dritter, wie Werbeunternehmen, Krankenkassen oder Versicherungen.“
Gut drei Jahre später haben Datenschutzbehörden von Bund und Ländern eine Prüfaktion durchgeführt und stichprobenartig eine Vielzahl Geräte und Apps von verschiedenen Anbietern überprüft. Das Ergebnis wurde jüngst vorgestellt. Eine Verbesserung im Umgang mit den Nutzerdaten scheint demnach nicht eingetreten zu sein. Die Nutzer werden danach oft nicht oder nur mangelhaft darüber informiert, welche der Gesundheitsdaten von wem und zu welchem Zweck gespeichert werden. Eine Löschung der Daten sei zudem oftmals nicht möglich. Auch erfolge häufig eine unbefugte Weitergabe der Gesundheitsdaten an Dritte. Kritisiert wird dabei zum einen, dass die Kontrolle über die Daten aufgrund der unklaren Regelungen zur Datenverarbeitung entgleite. Einzelne Informationen wie Herzfrequenz, Gewicht oder zurückgelegte Strecken seien isoliert betrachtet zwar nur wenig aussagekräftig, infolge der oftmals stattfindenden Verknüpfung mit eindeutigen Personenkennung oder Stadtortdaten ergäbe sich jedoch ein genaues Bild eines Tagesablaufs und Gesundheitszustandes.
Soweit die Anbieter von Fitnessarmbändern die gesammelten Daten der Nutzer für Forschungszwecke und Marketing verwenden und weitergeben, erfahre der Nutzer meist nicht, um wen es sich dabei handelt. Auch sei ein Widerspruch gegen die Datenweitergabe nicht möglich.
Ausblick
Gegen die Verwendung von Fitness-Trackern beim Sport und in der Freizeit ist grundsätzlich nichts zu sagen. Jeder soll Sport machen wie er oder sie es für richtig hält. Grund zur Sorge geben sollte den Nutzern hingegen der stetige Upload der personenbezogenen Daten auf die Server der Unternehmen sowie der kommerzielle Umgang mit den Daten, wobei oftmals die rechtlichen Bestimmungen nicht eingehalten werden. Die Landesdatenschutzbeauftragte Barbara Thiel äußerte sich im Zusammenhang mit der Vorstellung der Prüfergebnisse der Datenschutzaufsichtsbehörden folgendermaßen:
„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch.“
Und ein solcher Grund besteht auch. Über den Zugriff auf die gesammelten Daten durch Krankenkassen berichteten wir bereits. Zwar erfolgt noch keine Übermittlung solcher Daten an die Krankenkassen, doch etwa ein Drittel der Deutschen könnte sich laut einer Studie grundsätzlich vorstellen, gesundheits- und fitnessbezogene Daten zu messen und mit der Krankenversicherung zu teilen, um dadurch Vorteile zu erhalten.
Auch wird immer wieder der Einsatz von Fitness-Trackern am Arbeitsplatz diskutiert. Hierfür möchte ich auf den FAZ Artikel Schritte zählen für den Chef verweisen, in welchem unser Autor Herr Tim-Oliver Ritz auf rechtliche Risiken beim Einsatz im Unternehmen hinweist.
Derzeit ist die Vermessung des eigenen Körpers freiwillig und jedem selbst überlassen. Ob dies so bleibt, oder es in einigen Jahren Krankenkassentarife je nach Grad der Fitness gibt und Menschen, die einen Fitness-Tracker o.ä. nicht tragen in gewisser Weise ausgegrenzt werden wird sich zeigen. Ebenso wird es spannend zu sehen, welche Auswirkungen die ab 25.05.2018 geltende Datenschutz-Grundverordnung auf die Nutzung und den Umgang mit dem Fitness-Armband haben wird.
Hallo,
interessanter Beitrag zum Thema, zu dem ich eine Frage hätte. Ich selbst beschäftige mich schon seit einiger Zeit intensiv mit Fitness Armbändern und Sportuhren und bin mir daher der Problematik möglichen Datenweitergabe bewusst. Jedoch habe ich bisher noch keine wirklich brauchbare Möglichkeit gefunden, Wearables zu nutzen und die Sicherheit meiner Daten zu erhöhen. Das fängt ja meines Erachtens bereits beim Übertragen der Daten vom Gerät auf das Smartphone mittels Bluetooth an, wo sich andere mit entsprechender technischer Ausrüstung „reinhacken“ könnten. Haben Sie vielleicht Tipps, wie man die Sicherheit der Daten erhöhen oder gewährleisten kann?
Mit freundlichen Grüßen
Andreas
Hi,
ja, Datenschutz ist so eine Sache. Bei dem Thema denkt man vielleicht oft, was habe ich denn schon zu verbergen? Aber man begreift es oft zu spät, was man doch so alles veröffentlicht. Irgendwann kommen die Krankenkassen mit den Daten und untersagen einem dann vielleicht sogar Leistungen aufgrund dieser Daten.
Hoffentlich kommt es nicht so.
Gruß Patrick
Herzlichen Dank für diesen überaus interessanten Artikel. Meine Frage lautet gibt es einen Anbieter bei den man den Daten-Upload managen kann soll heißen einschränken kann?
Ein solcher Anbieter ist uns nicht bekannt. Je nach Betriebssystem und Anbieter-App des mit dem Tracker gekoppelten Smartphones kann mitunter der Entzug der Berechtigungen ein gangbarer Weg sein. Ob dies nutzerfreundlich ist steht auf einem anderen Blatt. Mit der Möglichkeit hat sich kürzlich auch die Verbraucherzentrale aus Nordrhein-Westfalen im Rahmen einer umfangreicheren Untersuchung beschäftigt, auf dessen Beitrag wir an dieser Stelle kurz verweisen wollen.
Hallo, da ich selber schon einen Herzinfarkt hatte, und auch schon die Auswirkungen erlebt habe, wie heute mir gegenüber gerade Versicherungen reagieren, bin ich sehr vorsichtig geworden, das die Weitergabe meiner Daten angeht. Ich hab ein Fitbit Armband geschenkt bekommen, und die Geschäftsbedingungen dieses Unternehmens sind wirklich haarsträubend. Ich werde daher das Armband wieder zurückgeben, da mir die Auswirkungen schlicht zu groß sind.
Ich habe kürzlich ein Fitbit Charge 2 Armband erworben. Richtig entsetzt war ich darüber, dass das Gerät überhaupt nicht in Betrieb zu nehmen war, ohne haarsträubenden Geschäftsbedingungen zuzustimmen. So werden alle meine Daten in die USA übertragen, wohin auch immer. Sogar solche wie z.B. welche Apps ich auf meinen Smartphone nutze, unabhängig davon, ob sie für die Funktion notwendig sind oder nicht. Oder das Ding leuchtet einfach nur vor sich hin. Das Mindeste wäre, das man auf solche Knebelverträge ausdrücklich vor dem Kauf hingewiesen wird.
Eine datenschutztechnisch einwandfreie Alternative zur FitBit und anderen Fittness-Trackern, die „nach Hause telefonieren“ ist die Apple Watch (in Kombination mit den Apple-eigenen Apps Health, Activity und Training). Die anfallenden Daten werden nur zwischen der Uhr und dem Smartphone geteilt, bzw. abhängig von den Enstellungen, auch in die Cloud hochgeladen, wo sie allerdings verschlüsselt, d.h. von Apple nicht lesbar, abgelegt werden.