Verbraucherzentrale: Sicherheitsmängel bei Wearables und Fitness-Apps

Fitness-Apps sind beliebt, doch die Verbraucherzentrale NRW warnt jetzt vor Mängeln im Datenschutz. (Foto: Lars Zahner - Fotolia.com)

Zum Teil eklatante Datenschutzmängel hat die Verbraucherzentrale NRW bei einer Untersuchung von zwölf Wearables und 24 Fitness-Apps entdeckt. Die Mehrzahl der Apps sendet zahlreiche Informationen wie beispielsweise Gesundheitsdaten an Anbieter. Kaum einer der geprüften Anbieter informiere Verbraucher in seinen Datenschutzerklärungen ausreichend über die genaue Verwendung dieser Daten, heißt es. Neun Unternehmen haben die Verbraucherschützer nun wegen verschiedener Verstöße abgemahnt.

Fitnessarmbänder und Smartwatches sowie Fitness-Apps sammeln Daten wie etwa den Puls und Kalorienverbrauch ihrer Träger oder wie lange und wie gut diese schlafen. „Informationen wie diese lassen Rückschlüsse auf Fitness und Gesundheit von Verbrauchern zu“, sagt Ricarda Moll, Referentin der Verbraucherzentrale NRW im Projekt Marktwächter Digitale Welt. „Auch aus diesem Grund haben wir Wearables und Fitness-Apps nun mit einer Marktwächteruntersuchung eingehend geprüft“, so Moll. Dabei wurde unter anderem geklärt, welche Daten die Geräte und Apps erheben, an welche Server die Infos gesendet werden und wie sicher die Übertragung vor ungewolltem Zugriff ist. Außerdem wollen die Verbraucherschützer wissen, wie Anbieter mit geltenden Datenschutzbestimmungen umgehen. Neben einer technischen und rechtlichen Prüfung wurden auch Verbraucher nach ihren Datenschutzbedenken befragt.

Das Ergebnis repräsentativen Verbraucherbefragung zeigt, dass die Mehrheit der Befragten ist besorgt, was den Umgang mit ihren online gesammelten Daten angeht. Es stört sie, keine Kontrolle über die persönlichen Informationen zu haben, die sie online preisgeben (78 Prozent). Mögliche Folgen der Wearable-Nutzung werden unterschiedlich bewertet: Vergleichsweise viele Verbraucher fänden es akzeptabel, wenn Wearable-Daten etwa zur Überprüfung von Zeugenaussagen (61 Prozent) oder im Rahmen von Arbeitgeber-Bonusprogrammen (44 Prozent) verwendet würden. Die Erhöhung des eigenen Krankenkassentarifs auf Basis von Fitness-Daten würden hingegen nur 13 Prozent der Befragten akzeptieren

Keine Kontrolle über Daten

Die Ergebnisse der technischen Prüfung zeigen, dass eine Kontrolle über die eigenen Daten bei der Wearable- und Fitness-App-Nutzung für die Anwender kaum möglich ist. Die Mehrzahl der untersuchten Apps sendet zahlreiche Informationen wie Gesundheitsdaten an die Server von Anbietern. Zudem werden auch auch Drittanbieter wie beispielsweise Analyse- oder Werbedienste eingebunden. Technische Daten – wie etwa das Betriebssystem des Smartphones – werden bei 16 von 19 Apps bereits an Drittanbieter gesendet, bevor Verbraucher überhaupt den Nutzungsbedingungen zustimmen und über den Umgang mit ihren Daten informiert werden konnten. Positives Ergebnis der Untersuchung: Alle von den untersuchten Fitness-Apps ausgehenden Daten werden über eine sichere Verbindung (https-transportverschlüsselt) versendet. Allerdings sind nur wenige der untersuchten Wearables vor ungewollter Standortverfolgung (Tracking) geschützt. Dadurch wird das Erstellen von Bewegungsprofilen ermöglicht.

Mängel bei Umgang mit Nutzerdaten

Aufgrund ihrer rechtlichen Analyse kommen die Marktwächterexperten zu dem Schluss, dass die geprüften Anbieter Nutzer häufig darüber im Unklaren lassen, was mit den gesammelten Daten passiert: Drei Anbieter stellen ihre Datenschutz-hinweise nur in englischer Sprache bereit und nur zwei informieren über die besondere Sensibilität der erhobenen Gesundheitsdaten. Auch holt nur ein Anbieter eine separate Einwilligung für die Verarbeitung dieser sensiblen Gesundheitsdaten von den Nutzern ein. Sechs Anbieter räumen sich sogar selbst die Möglichkeit ein, Änderungen in den Datenschutzerklärungen jederzeit und ohne aktive Information des Nutzers vornehmen zu können. Fünf halten es sich sogar offen, die personenbezogenen Daten ihrer Nutzer bei Fusion oder Übernahme durch andere Unternehmen weiterzugeben. Die Verbraucherzentrale NRW hat nun neun Anbieter wegen Verstößen gegen Datenschutzbestimmungen abgemahnt. Neben Apple zählen dazu Garmin, Fitbit, Jawbone, Polar, Runtastic sowie Striiv, UnderArmour (MyFitnessPal) und Withings.

„Über die kaum überschaubare Zahl von Wearables und Fitness-Apps auf dem Markt sowie weitere sich entwickelnde digitale Angebote können äußerst sensible Gesundheitsdaten vom jeweiligen Nutzer preisgegeben und vom Anbieter erhoben werden. Umso kritischer sind die Ergebnisse der Marktwächteruntersuchung zu bewerten”, sagt Kai Vogel, Leiter Team Gesundheit und Pflege beim Verbraucherzentrale Bundesverband (vzbv). Damit Verbraucher Um bessere Entscheidungen bei der eigenen Nutzung von Wearables und Fitness-Apps treffen können, sind Informationen über den konkret nachgewiesenen Nutzen von Apps und den Umgang persönlichen Daten erforderlich. Vogel fordert die Einrichtung einer öffentlichen, nationalen Online-Plattform. Sie sollte hochwertige Gesundheitsinformationen und unabhängige Bewertungen digitaler Produkte aufführen, um Verbraucher besser zu informieren. „Krankenversicherungstarife, die finanzielle Anreize mit der fortlaufenden, dauerhaften Offenlegungsverpflichtung von Daten verknüpfen, lehnt der vzbv kategorisch ab”, sagt Vogel. Die Verbraucherschützer sehen ein hohes Risiko der Entsolidarisierung in diesem Bereich. „Nach aktuellem Prinzip finanzieren die Jungen und Gesunden die Alten und Kranken. Doch sobald eine Kasse genügend Daten besitzt, um jeweils das individuelle Risiko zu berechnen, wird dieses Grundprinzip aufgelöst“, so Vogel. Wer krank oder schwach sei, dürfe dafür nicht bestraft werden.