05.12.2016 - Mängel bei Wearables

 

Deutsche Datenschutzaufsichtsbehörden haben 16 Wearables geprüft. Mit der Aktion sind etwa 70 Prozent des Marktanteils in Deutschland abgedeckt. Die Ergebnisse der Prüfung zeigen zahlreiche Mängel auf.

 

Wearable Computer wie Smart Watches, Fitness-Armbänder oder Activity-Tracker, sind heute nicht mehr nur noch einfache Schrittzähler. Inzwischen messen sie auch die Herzfrequenz, bestimmen die Körpertemperatur, geben Rückmeldung über den Schlafrhythmus und speichern Bewegungsprofile. Die so gesammelten Daten sind nicht nur für Versicherer und die Gesundheitsbranche interessant. Die Datenschutzaufsichtsbehörden haben die Geräte deshalb genauer unter die Lupe zu nehmen.

Dazu wurden in drei Prüfzentren der Datenschutzaufsichtsbehörden die Geräte sowie deren Hersteller-Apps für die Betriebssysteme iOS und Android im Labor einer technischen Analyse unterzogen. Ohne die dazugehörigen Apps sind die meisten Wearables in ihrer Funktion nämlich erheblich eingeschränkt oder sogar unbrauchbar.

 

Von besonderem Interesse war dabei die Feststellung, wer auf die gesammelten Daten zugreifen kann. Zudem wurden rechtliche Fragestellungen geprüft, wie zum Beispiel die ausreichende Aufklärung über den Datenumgang.

 

Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen: „Aus den Aufzeichnungen können umfangreiche Schlüsse gezogen werden. Deshalb ist Transparenz von besonderer Bedeutung. Nutzerinnen und Nutzer müssen auf einen Blick erkennen können, ob sie Herr ihrer Daten bleiben. Insbesondere muss klar sein, welche Daten Wearables erheben und ob die Daten an Dritte weitergegeben werden. Auch grundlegende Datenschutzrechte, wie z.B. Auskunfts- und Löschungsansprüche, müssen gewährleistet sein. Diesen Anforderungen werden nicht alle Wearables gerecht.“

 

Mangelhafte Datenschutzbestimmungen
Bereits die Datenschutzbestimmung erfüllen meistens nicht die gesetzlichen Anforderungen. Sie sind in der Regel viele Seiten lang, schwer verständlich und enthalten nur pauschale Hinweise zu essentiellen Datenschutzfragen. Teilweise sind sie nicht einmal in deutscher Sprache erhältlich. Die Hersteller und Betreiber geben sich keine Mühe, Licht in das Dickicht aus Hardware-Hersteller, App-Betreiber, App-Shop-Anbieter und zahlreichen Dienstleistern zu bringen. So erfährt der Nutzer oftmals nicht im ausreichenden Maße, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden.

 

Beunruhigend sind auch die Aussagen zur Datenweitergabe. Einige Hersteller stellen ausdrücklich klar, dass sie die Fitness-Daten der Nutzerinnen und Nutzer für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Der Nutzer erfährt weder, um wen es sich dabei handelt, noch kann er widersprechen.

 

Datenübermittlung in die ganze Welt
Fast alle Hersteller setzen Tracking-Tools US-amerikanischer Unternehmen ein. Mithilfe dieser Tools können Hersteller erfassen, wie die Geräte oder Apps genutzt werden, um die Benutzerfreundlichkeit zu verbessern. Die Daten sind aber auch für Werbezwecke und zur Profilbildung interessant. Zwar wird oft angegeben, dass hierzu nur anonyme Daten verwendet werden würden. Den Nachweis bleiben die Hersteller jedoch schuldig. Die Erfahrung zeigt, dass in der Regel in solchen Fällen weiterhin bei vielen Daten ein Personenbezug hergestellt werden kann.

 

Gefahr bei Verlust oder Weiterverkauf
Viele Geräte bieten keine Möglichkeit, Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gibt es eine Löschfunktion. Einige Hersteller weisen sogar darauf hin, dass eine Löschung nicht möglich ist. Wie lange die Hersteller die Daten speichern, bleibt verborgen. Der Verlust oder Weiterverkauf von Wearables birgt daher ein enormes Risiko.

 

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen überprüfte zusammen mit den Datenschutzaufsichtsbehörden aus Bayern (Bayerisches Landesamt für Datenschutzaufsicht), Schleswig-Holstein, Brandenburg, Niedersachsen und Hessen sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit insgesamt 16 Wearables von Herstellern, die ca. 70% des Marktanteils in Deutschland abdecken.

 

Auf der Grundlage der gewonnen Erkenntnisse wird die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen nun weitere Schritte einleiten. Einige Mängel ließen sich problemlos dadurch beheben, dass die Fitnessdaten der Wearables lediglich auf das Smartphone weitergeleitet und lokal verarbeitet werden. Eine permanente Übermittlung aller Daten vom Smartphone an Server der Hersteller ist aus Sicht der Datenschützer in der Regel mit Risiken verbunden. Indem die Hersteller jedoch alle Daten von der App weiterleiten, signalisieren sie ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch.

 

Helga Block: „Von Anbietern, die beim Datenschutz ein Versteckspiel treiben, ist abzuraten.“

 

zurück zur Übersicht