Gratis
6. Dezember 2016 - Wearables & Aufsichtsbehörden

Datenschutzmängel bei Fitness-Armbändern und Smart Watches

Sieben Datenschutzaufsichtsbehörden haben sowohl Fitness-Armbänder als auch Smart Watches einschließlich der dazugehörigen Apps einer technischen Analyse unterzogen. Das Ergebnis: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Fitness-Armbänder und Smart Watches: Datenschutz oft Fehlanzeige Die Wege sensibler personenbezogener Daten wie Gesundheitsdaten, die Wearables ermitteln, sind für die Nutzer kaum nachvollziehbar (Bild: koo_mikko / iStock / Thinkstock)

Die Datenschutzaufsichtsbehörden aus Bayern, Schleswig-Holstein, Brandenburg, Niedersachsen, Nordrhein-Westfalen und Hessen sowie die Dienststelle der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben insgesamt 16 Wearables von Herstellern, die rund 70 Prozent Marktanteil in Deutschland aufweisen, hinsichtlich des Datenschutzes überprüft.

Fitness-Armbänder und Smart Watches mit Gesundheitsfunktionen

Auf dem Prüfstand befanden sowohl Fitness-Armbänder als auch Smart Watches mit Gesundheitsfunktionen. Außerdem wurden die Apps der Hersteller einer technischen Analyse unterzogen. Das Ergebnis war eindeutig: Alle Geräte weisen Mängel bei der Erfüllung der datenschutzrechtlichen Anforderungen auf.

Lesen Sie dazu für Ihre Datenschutzschulung auch Fitness-Tracker: Auch fit für mehr Datenschutz?

Und damit Sie selbst „Fit für die Datenschutz-Grundverordnung“ werden: 1. Trainingseinheit – Aufwärmen

In drei Prüfzentren in Deutschland wurden die Geräte sowie deren Hersteller-Apps für die Betriebssysteme iOS und Android im Labor getestet. Die Experten haben die Datenflüsse analysiert, um festzustellen, wer auf welche Daten Zugriff bekommen kann.

Ergebnisse der Datenschutz-Prüfung

Die Ergebnisse der Prüfung zeigen zahlreiche Mängel auf, unter anderem:

  • Fehlende Transparenz. Wer Wearables nutzt, sieht sich oftmals zahlreichen Firmen gegenüber, die die eigenen Daten erhalten können. Die Versuche, bei den Anbietern Auskunft über die gespeicherten Daten zu erhalten, wurden entweder mit pauschalen Verweisen auf Datenschutzerklärungen beantwortet oder wegen vermeintlicher Nicht-Zuständigkeit abgewiesen. Hinzu kommt, dass die Anbieter teilweise im Ausland sitzen und nur eine internationale E-Mail-Adresse als Kontaktmöglichkeit bereitstellen.
  • Mangelhafte Datenschutzerklärungen. Die untersuchten Datenschutzerklärungen erfüllten häufig nicht die gesetzlichen Anforderungen. Sie sind in der Regel zu lang, schwer verständlich und enthalten zu wichtigen Datenschutzfragen nur pauschale Hinweise. Viele Erklärungen liegen nicht in deutscher Sprache vor. Oftmals verweisen die Anbieter auch nur auf die generelle Datenschutzerklärung des Unternehmens, die kaum konkreten Bezug zum Wearable und den besonders schützenswerten Gesundheitsdaten hat.
  • Unklare Datenweitergabe. Oft verarbeiten externe Dritte die Gesundheitsdaten, die die Geräte erheben. Einige Hersteller geben auch an, dass sie die Fitness-Daten der Nutzer für Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Die Nutzer erfahren jedoch häufig nicht, um wen es sich dabei handelt. Auch gibt es oftmals keine Option, der Weitergabe der Daten zu widersprechen.
  • Unzureichende Löschfunktionen. Viele Geräte bieten dem Nutzer keine Möglichkeit, persönliche Daten selbstständig vollständig zu löschen. Weder im Gerät selbst noch im Nutzerkonto gibt es eine Löschfunktion. Einige Hersteller weisen ausdrücklich darauf hin, dass eine Löschung nicht möglich ist. Wie lange die Hersteller die Daten speichern, bleibt ebenfalls oft unklar.

Die datenschutzrechtliche Bewertung sowie der Fragenkatalog, anhand dessen die Prüfergebnisse ermittelt wurden, steht online zur Verfügung.

Hersteller sollen Datenschutz-Mängel beseitigen

Im Rahmen der Zuständigkeit werden die Datenschutzaufsichtsbehörden nun an die Hersteller herantreten und sie dazu auffordern, die Mängel zu beseitigen.

Viele Hersteller sind in Deutschland nur mit Service-Niederlassungen präsent, während ihr Hauptsitz in anderen EU- oder Dritt-Staaten liegt. Erst unter der ab Mai 2018 EU-weit gültigen Datenschutz-Grundverordnung können deutsche Aufsichtsbehörden Beschwerden deutscher Verbraucher wirksamer bearbeiten.

Aus diesem Grunde sehen die Datenschutzbehörden von der Veröffentlichung der Testergebnisse und der Nennung einzelner Hersteller ab.

Ein neuer Ansatz, Apps auf ihre Datenschutz-Konformität zu präfen, sind Datenschutz-Scanner.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln