Gesundheits-Apps und Wearables: Datenschutz ungenügend

Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf

[datensicherheit.de, 05.12.2016] Gesundheits- und Fitness-Apps und die dazugehörigen Wearables boomten, so die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), doch viele Anbieter missachteten gesetzliche Anforderungen. Dies zeigten Stichproben durch Datenschutzbehörden aus Bund und Ländern. Nutzer würden nicht oder nur mangelhaft darüber informiert, welche ihrer sensiblen Gesundheitsdaten von wem und zu welchem Zweck gespeichert werden; gesammelte Daten könnten oftmals nicht gelöscht werden.

Nutzer nicht ausreichend über Datenverwendung informiert

Der Markt für Apps im Gesundheitsbereich boome. Das Angebot umfasse weltweit rund eine Million Angebote mit Gesundheitsbezug. Egal ob Fitness-, Gesundheits-, Lifestyle-Apps, Sport- oder medizinische Apps, gemeinsam sei allen, dass sie die Körperdaten ihrer Nutzer elektronisch erfassten.
Um besser zu verstehen, was mit diesen sensiblen Daten geschieht, haben laut BfDI Datenschutzbehörden aus Bund und Ländern stichprobenartig Geräte und Apps von verschiedenen Anbietern überprüft. Dabei zeige sich, dass Hersteller, Betreiber und Verkäufer der getesteten Geräte und Apps die Nutzer nicht ausreichend darüber informierten, was mit ihren Daten geschieht.
Stichpunktartige Anfragen der Datenschützer nach Auskunft zu gespeicherten Daten würden mit pauschalen Verweisen auf Datenschutzerklärungen beantwortet oder wegen Nicht-Zuständigkeit abgewiesen.

Vor Kauf und Einsatz auf Datenschutz achten!

Viele Hersteller seien in Deutschland nur mit Serviceniederlassungen präsent, während ihr Hauptsitz in anderen EU- oder Dritt-Staaten liege. Erst unter der ab Mai 2018 EU-weit gültigen Datenschutzgrundverordnung könnten deutsche Aufsichtsbehörden Beschwerden deutscher Verbraucher wirksamer bearbeiten. Aus diesem Grunde hätten die Datenschutzbehörden von der Veröffentlichung der Testergebnisse und der Nennung einzelner Hersteller abgesehen. Sie appellierten aber an die Bürger, vor dem Kauf und dem Einsatz von Wearables und Gesundheitsapps genau auf den Schutz ihrer Daten zu achten.
So erfüllten die meisten der untersuchten Datenschutzerklärungen nicht die gesetzlichen Anforderungen. Sie seien in der Regel zu lang, schwer verständlich und enthielten zu essentiellen Datenschutzfragen nur pauschale Hinweise. Viele Erklärungen lägen nicht einmal in deutscher Sprache vor. Oftmals sei auch nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen worden, die kaum konkreten Bezug zu dem Wearable und den besonders schützenswerten Gesundheitsdaten habe.

Unbefugte Datenweitergabe

Oft würden die durch die Geräte erhobenen Gesundheitsdaten durch externe Dritte verarbeitet. Aufgrund der unklaren Regelungen zur Datenverarbeitung entglitten diese Daten dabei der Kontrolle durch die Nutzer. Zwar schienen Einzelinformationen wie Körpergewicht, zurückgelegte Schritte, Dauer des Schlafes oder Herzfrequenz für sich betrachtet oftmals wenig aussagekräftig, doch in der Regel würden diese Daten mit eindeutigen Personenkennungen oder auch Standortdaten verknüpft.
Bei einer dauerhaften Nutzung von Wearables fielen damit so viele Informationen an, dass sich ein präzises Bild des Tagesablaufs und Gesundheitszustands der jeweiligen Nutzer ergebe. Viele der Geräte und Apps böten die Möglichkeit, aufgezeichnete Fitness-Daten mit Freunden zu teilen. Häufig fehle dabei ein Warnhinweis, dass die Weitergabe der sensiblen Nutzerdaten nur dann geschehen dürfe, wenn der Nutzer dieses ausdrücklich wünscht und bewusst hierin einwilligt.
Einige Hersteller gäben an, dass sie die Fitness-Daten der Nutzer für Forschungszwecke und Marketing verwendeten und an verbundene Unternehmen weitergäben. Die Nutzer erfahre jedoch auch hierbei häufig nicht, um wen es sich dabei handelt, noch können sie der Weitergabe ihrer Daten widersprechen.

Fitnessdaten möglichst nur lokal speichern und verarbeiten!

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff warnt daher: „Fitness- und Bewegungsdaten, wie sie von vielen Wearables erhoben werden, verraten sehr viel über das Leben und die Gesundheit ihrer Nutzer. Vor dem Kauf von Wearables und der Installation der dazugehörigen Apps auf dem Smartphone sollten sich die Nutzer fragen, ob sie wissen, was mit ihren Gesundheitsdaten geschieht und an wen sie weitergegeben werden.“
Auch die Hersteller und Betreiber der Geräte und Apps seien in der Pflicht. Viele Probleme ließen sich vermeiden, wenn Fitnessdaten lediglich lokal auf einem Smartphone gespeichert und verarbeitet würden.

Untersuchungsergebnisse unterstreichen Dringlichkeit der Datenschutzforderungen

Viele Geräte, und die damit verbundenen Nutzerkonten, böten keine Möglichkeit, Daten selbst vollständig zu löschen. Wolle man etwa ein gebrauchtes Gerät weiterverkaufen, so genüge es nicht, die App zu löschen, um bereits gesammelte Daten zu vernichten.
Bedenken bereiten den Datenschützern laut BfDI auch die technischen Analysetools mit denen die Hersteller nachverfolgen, wie die Geräte oder Apps genutzt werden. Hierbei fehle der Nachweis, dass gesammelte Daten tatsächlich anonym sind. Daher bestehe die Gefahr, dass diese Daten für Werbezwecke und zur Profilbildung verwendet würden.
Bereits im April 2016 habe die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder von den Herstellern von Gesundheits-Apps und Wearables mehr Transparenz gefordert sowie korrekte Einwilligungserklärungen und ein Bekenntnis zur Datensparsamkeit. Die jetzt vorliegenden Untersuchungsergebnisse unterstrichen die Dringlichkeit der Forderungen der Datenschutzkonferenz.

Weitere Informationen zum Thema:

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Entschließung der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder / Wearables und Gesundheits-Apps – Sensible Gesundheitsdaten effektiv schützen!

datensicherheit.de, 25.04.2016
Gesundheits-Apps: Verbraucherzentrale fordert Qualitätsstandards und Online-Plattform