Wearables und Fitness-Apps: Daten außer Kontrolle

Wearables und Fitness-Apps zeigen Mängel beim Datenschutz: Das ergibt eine Untersuchung des Marktwächter-Teams der Verbraucherzentrale NRW. Die Verbraucherschützer haben zwölf Wearables und 24 Fitness-Apps näher untersucht. Die Mehrzahl dieser Apps sendet – wenig datensparsam – zahlreiche Informationen, wie Gesundheitsdaten, an Anbieter. Nach Ansicht der Marktwächterexperten informiert kaum einer der geprüften Anbieter Verbraucher in seinen Datenschutzerklärungen ausreichend über die genaue Verwendung dieser Daten. Die Verbraucherschützer haben neun Anbieter wegen verschiedener Verstöße abgemahnt.

Fitnessarmbänder und Smartwatches sowie Fitness-Apps zählen längst nicht bloß die Schritte ihrer Nutzer: Die Alltagsbegleiter sammeln Daten wie etwa den Puls und Kalorienverbrauch ihrer Träger oder wie lange und wie gut diese schlafen. „Informationen wie diese lassen Rückschlüsse auf Fitness und Gesundheit von Verbrauchern zu“, betont Ricarda Moll, Referentin der Verbraucherzentrale NRW im Projekt Marktwächter Digitale Welt. „Auch aus diesem Grund haben wir Wearables und Fitness-Apps nun mit einer Marktwächteruntersuchung eingehend geprüft“, so Moll. Welche Daten erheben die Geräte und Apps? An welche Server werden sie gesendet und wie sicher ist die Datenübertragung vor ungewolltem Zugriff? Wie gehen Anbieter mit geltenden Datenschutzbestimmungen um? Neben einer technischen und rechtlichen Prüfung haben die Marktwächterexperten Verbraucher nach ihren Datenschutzbedenken befragen lassen.

Verbraucher sorgen sich um ihre Daten

Das Ergebnis der repräsentativen Verbraucherbefragung zeigt: Die Mehrheit der Befragten ist besorgt, was den Umgang mit ihren online gesammelten Daten angeht. Es stört sie, keine Kontrolle über die persönlichen Informationen zu haben, die sie online preisgeben (78 %). Mögliche Folgen der Wearable-Nutzung werden unterschiedlich bewertet: Vergleichsweise viele Verbraucher fänden es akzeptabel, wenn Wearable-Daten etwa zur Überprüfung von Zeugenaussagen (61 %) oder im Rahmen von Arbeitgeber-Bonusprogrammen (44 %) verwendet würden. Die Erhöhung des eigenen Krankenkassentarifs auf Basis von Fitness-Daten würde wiederum nur ein kleinerer Teil der Befragten akzeptieren (13 %).

Geprüfte Apps: Kontrolle über Daten kaum möglich

Die Ergebnisse der technischen Prüfung zeigen, eine Kontrolle über die eigenen Daten bei der Wearable- und Fitness-App-Nutzung ist für Verbraucher kaum möglich. Die Mehrzahl der untersuchten Apps sendet zahlreiche, mitunter sensible, Informationen wie Gesundheitsdaten an die Server von Anbietern und bindet darüber hinaus auch Drittanbieter wie beispielsweise Analyse- oder Werbedienste ein. Technische Daten – wie etwa das Betriebssystem des Smartphones – werden bei 16 von 19 Apps bereits an Drittanbieter gesendet, bevor Verbraucher überhaupt den Nutzungsbedingungen zustimmen und über den Umgang mit ihren Daten informiert werden konnten. Positives Ergebnis der Untersuchung: Alle von den untersuchten Fitness-Apps ausgehenden Daten werden über eine sichere Verbindung (https-transportverschlüsselt) versendet. Aber: Nur wenige der untersuchten Wearables sind vor ungewollter Standortverfolgung (Tracking) geschützt, was das Erstellen von Bewegungsprofilen möglich macht.

 Mängel bei Umgang mit Nutzerdaten

Aufgrund ihrer rechtlichen Analyse kommen die Marktwächterexperten zu dem Schluss, dass die geprüften Anbieter Nutzer häufig darüber im Unklaren lassen, was mit den gesammelten Daten passiert: Drei Anbieter stellen ihre Datenschutzhinweise nur in englischer Sprache bereit und nur zwei informieren über die besondere Sensibilität der erhobenen Gesundheitsdaten. Auch holt nur ein Anbieter eine separate Einwilligung für die Verarbeitung dieser sensiblen Gesundheitsdaten von den Nutzern ein. Ebenfalls kritisch: Sechs Anbieter räumen sich die Möglichkeit ein, Änderungen in den Datenschutzerklärungen jederzeit und ohne aktive Information des Nutzers vornehmen zu können. Fünf halten es sich sogar offen, die personenbezogenen Daten ihrer Nutzer bei Fusion oder Übernahme durch andere Unternehmen weiterzugeben.

Marktwächter mahnt Anbieter ab

Wegen dieser und anderer aus Sicht der Verbraucherschützer rechtlicher Verstöße hat das Marktwächter-Team neun Anbieter abgemahnt. „Verbraucher sorgen sich um ihre online gesammelten Daten. Wir können jetzt sagen ‚zu Recht‘: Anbieter sammeln zahlreiche – zum Teil sensible – Daten und lassen Verbraucher über deren Verwendung häufig im Unklaren. Das wollen wir nicht hinnehmen“, so Moll.

Transparenz schaffen und solidarische Krankenversicherung erhalten

„Über die kaum überschaubare Zahl von Wearables und Fitness-Apps auf dem Markt sowie weitere sich entwickelnde digitale Angebote können äußerst sensible Gesundheitsdaten vom jeweiligen Nutzer preisgegeben und vom Anbieter erhoben werden. Umso kritischer sind die Ergebnisse der Marktwächteruntersuchung zu bewerten“, sagt Kai Vogel, Leiter Team Gesundheit und Pflege beim Verbraucherzentrale Bundesverband (vzbv). Um bessere Entscheidungen bei der eigenen Nutzung von Wearables und Fitness-Apps treffen zu können, benötigen Verbraucher gesicherte Informationen über den konkret nachgewiesenen Nutzen von Apps und den Umgang mit ihren persönlichen Daten. „Abhilfe kann eine öffentliche, nationale Online-Plattform schaffen, die hochwertige Gesundheitsinformationen und unabhängige Bewertungen digitaler Produkte aufführt, um Verbraucher besser zu informieren“, fordert Vogel.

Die Sorge der Verbraucher beim Umgang mit erhobenen Fitnessdaten teilt auch der vzbv. „Krankenversicherungstarife, die finanzielle Anreize mit der fortlaufenden, dauerhaften Offenlegungsverpflichtung von Daten verknüpfen, lehnt der vzbv kategorisch ab“, sagt Vogel. Die Verbraucherschützer sehen ein hohes Risiko der Entsolidarisierung in diesem Bereich. „Nach aktuellem Prinzip finanzieren die Jungen und Gesunden die Alten und Kranken. Doch sobald eine Kasse genügend Daten besitzt, um jeweils das individuelle Risiko zu berechnen, wird dieses Grundprinzip aufgelöst. Wer krank oder schwach ist, darf dafür nicht bestraft werden“, so Vogel.

Zusätzliche Informationen

Abmahnungen:

  • Die Verbraucherzentrale NRW hat folgende neun Anbieter wegen Verstößen gegen Datenschutzbestimmungen abgemahnt: Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour (MyFitnessPal), Withings.

Untersuchungsmethode:

  • Untersucht wurden zwölf Wearables und die jeweiligen im Erhebungszeitraum (1. Juli bis 11. August 2016) verfügbaren Fitness-Apps für die Betriebssysteme iOS und Android. Getestet wurden Aspekte der Bluetooth-Verbindung der Wearables sowie das Datenspeicher- und Sendungsverhalten der Apps; durchführendes Institut: datenschutz nord GmbH.
  • Die Ergebnisse der Verbraucherbefragung basieren auf einer repräsentativen Telefonbefragung mit 1055 Personen ab 14 Jahren, die in den letzten drei Monaten das Internet genutzt haben; Erhebungszeitraum: 25. August bis 29. September 2016; durchführendes Institut: mindline media GmbH; Fehlertoleranz der Gesamtstichprobe: max. +/- 3 Prozentpunkte (bei einem Anteilswert von 50 Prozent).
  • Die Datenschutzerklärungen wurden am 5. September 2016 zuletzt abgerufen. Aktualisierungen, die gegebenenfalls nach diesem Datum durch Anbieter vorgenommen wurden, waren nicht Bestandteil der Prüfung.