Smart Watches, Fitnesstracker und Co.

Wearables und Datenschutz

Wearables wie Smart Watches, Fitnesstracker oder Datenbrillen verbreiten sich aktuell ebenso schnell wie die damit verbundenen Mobile-Health-Applikationen (M-Health). Da dabei stets sensible personenbezogene sowie Gesundheitsdaten erhoben werden, gilt es, ein besonderes Augenmerk auf den Datenschutz zu werfen.

Fitnesstracker

Mit Wearables wie Smart Watches, Fitnesstracker oder Datenbrillen werden stets sensible personenbezogene sowie Gesundheitsdaten gesammelt.

Was vor ein paar Jahren mit elektronischen Schrittzählern begonnen hat, ist mittlerweile zu einer Bewegung geworden, die unter dem Label „Quantified Self“ immer mehr Daten von Nutzern sammelt und auswertet. Die technologische Triebfeder hinter dieser Entwicklung sind das Internet der Dinge und die allgegenwärtige Cloud. Als „Wearables“ werden die Geräte bezeichnet, die körpernah getragen werden und quasi die Schnittstelle zwischen Mensch und Internet darstellen. Zu diesen Geräten zählen etwa Smart Watches wie die jüngst auf großer Bühne vorgestellte Apple Watch, Fitnesstracker oder auch Brillen wie Google Glass. Nach Schätzungen der Analysten von Gartner sollen bis 2020 rund 500 Millionen dieser Geräte über den Verkaufstresen gehen.

Die Träger dieser Geräte tracken damit ihre Positionsdaten, Schlafzyklen, Trainingsergebnisse wie etwa die Herzfrequenz oder die Qualität ihres Nachtschlafes. Üblicherweise funken beispielsweise Fitnessarmbänder die kontinuierlich erhobenen Daten via Bluetooth an ein Smartphone, das die Daten wiederum an eine Datenbank des Anbieters weiterleitet, von wo dann über ein Webportal detaillierte Auswertungen möglich werden. Die populäre App von Runtastic postet Trainingsergebnisse auch in den sozialen Netzwerken, so dass schnell ein Wettbewerb entsteht, der auch motivationsfördernd sein kann – wenn beispielsweise ein Laufkollege eine neue Bestzeit veröffentlicht. Da nimmt das Leben schon beinahe den Charakter eines Videospiels an, das Stichwort lautet „Gamification.“ Im besten Fall hat der Anbieter selbst kein vitales Interesse an den Daten, aber das muss nicht der Fall sein. So hat zuletzt die italienische Versicherungsgruppe Generali ein Konzept namens „Vitality“ vorgestellt, welches Fitnessdaten und Tarife in einen Zusammenhang stellt. Der Kunde stellt seine Vitaldaten zur Verfügung, das Unternehmen gewährt bei positivem Verhalten günstigere Konditionen.

Personenbezogene Daten schützen

Bei den meisten der durch Wearables erhobenen Daten handelt es sich um sogenannte personenbezogene Daten, die sich einem Account und damit einem Individuum zuordnen lassen. Nicht ganz klar ist nach aktueller Rechtsprechung, ob nicht sogar allein die technische Zuordnung einer IP-Adresse, die bei der Übermittlung genutzt wird, eine Zuordnung zu einer Person ermöglicht. Wie auch immer – personenbezogene oder auf Personen beziehbare Daten dürfen grundsätzlich nicht entgegengenommen oder verwendet werden. Dieser Grundsatz basiert auf dem sogenannten Volkszählungsurteil des Bundesverfassungsgerichtes aus den 80er-Jahren. Allerdings gibt es eine wichtige Ausnahme von dieser Regel, ohne die auch unsere Wirtschaft in weiten Teilen nicht handlungsfähig wäre: Dazu muss der Nutzer in Form einer Einwilligungserklärung die Nutzung seiner Daten ausdrücklich erlauben. Hierzu reicht das Anklicken einer Checkbox nach aktueller Rechtsauffassung durchaus aus. In den Bedingungen muss aber die Verwendung und Speicherdauer der Daten genau definiert werden und – hier wird die Sache für die Anbieter schwierig –, es muss möglich sein, diese Einwilligung jederzeit zu widerrufen. Und will der Anbieter zu einem späteren Zeitpunkt mehr Daten sammeln, muss diese Einwilligung erneuert werden. Natürlich gilt das für alle Unternehmen, die auf dem deutschen Markt aktiv sind. Doch wie will man diese hohen Ansprüche an den Datenschutz in der Praxis durchsetzen, wenn der Anbieter und Datenverwerter etwa in den USA sitzt?

Hinzu kommt, dass die Realität offenbar bereits heute ganz anders aussieht. So hat der amerikanische Anbieter von Sicherheitssoftware Symantec im letzten Jahr Geräte und Apps untersucht und die Ergebnisse in einem Whitepaper („How safe is your quantified self?“) veröffentlicht. Mit erschreckenden Ergebnissen: 20 Prozent der Apps haben Daten unverschlüsselt übertragen. 52 Prozent hatten keine Datenschutzbestimmungen für die Nutzung und im Durchschnitt hat jede App fünf unterschiedliche Domains angefunkt, der Spitzenreiter sogar 14! Hier liegt der Verdacht eines regen Handels mit den Daten nahe.

Sensibler Umgang mit Gesundheitsdaten

Bis hierhin ging es lediglich um „Lifestyle Apps“. Einen noch sensibleren Umgang fordert der Gesetzgeber im Umgang mit Gesundheitsdaten, dazu zählen auch Blutdruck oder Herzfrequenz. Wenn diese Informationen über einen gewissen Zeitraum aggregiert werden, lassen sich daraus Rückschlüsse auf den Gesundheitszustand des Nutzers ziehen. Neben den genannten Beispielen, die eher dem „Lifestyle“-Sektor zuzuordnen sind, betrifft das auch den boomenden Markt der Mobile-Health-Anwendungen (M-Health).

Price Waterhouse Coopers hat dazu bereits 2012 eine Studie vorgelegt („Emerging mHealth: Paths for Growth“), in denen die Analysten den mobilen Gesundheitsservices angesichts einer immer älteren Bevölkerung mit immer mehr chronischen Erkrankungen einen Boom vorhersagen. Die Bandbreite reicht bei M-Health von der Bereitstellung von medizinischen Informationen über Feldstudien bis hin zur ärztlichen Konsultation, etwa über Video. Und die Entwicklung geht weiter: Koreanische Forscher haben bereits einen Prototypen für ein Pflaster entwickelt, das selbständig Informationen sammelt und bei Bedarf Medikamente freisetzt.

Prof. Dr. Thomas Jäschke befasst sich als Gründer und Leiter des Instituts für Sicherheit und Datenschutz im Gesundheitswesen (ISDSG) bereits seit längerem mit M-Health und ist vom Potential überzeugt: „Die Möglichkeiten sind riesig: Angefangen von dem reinen Identifizieren von Prozessen und Diensten, welche für den mobilen Einsatz umgerüstet werden, bis hin zum innovativen Einsatz für neue diagnostische Möglichkeiten, die Erhöhung der Gesundheits-Awareness und die Unterstützung im Alltag. Den Gang zum Arzt werden und sollen sie nicht ersetzen, aber sie können den Behandlungsprozess optimieren.“

Datenschutz als Kaufargument

Wearables und M-Health bieten den Anwendern einen hohen Nutzwert und machen oft auch großen Spaß. Bei der Entscheidung für ein Device sollte aber heute neben Faktoren wie dem Design und der Funktionalität unbedingt auch der Umgang mit den erfassten Daten berücksichtigt werden. Verbraucher sollten sich im Zeitalter von Big Data die Mühe machen, die Nutzungsbedingungen von Fitness- und Gesundheits-Apps zu lesen, und für sich bewerten, ob mit ihren Daten datenschutzkonform umgegangen wird. Im Zweifelsfall sind Anbieter nach Bundesdatenschutzgesetz (BDSG) zur Auskunft verpflichtet.

Anbieter sollten sich darüber im Klaren sein, dass der Umgang mit personenbezogenen Daten vermintes Gelände ist. Transparente Datenschutzbestimmungen und eine jederzeit widerrufbare Einwilligung müssen sein, ansonsten steht das Geschäftsmodell juristisch auf tönernen Füßen. In Bezug auf Datenschutz haben wir in Deutschland mit die besten Gesetze in der EU, wenn nicht weltweit. Wenn ein App-Anbieter den Schutz von personenbezogenen Daten auf die leichte Schulter nimmt, kann nach deutschem Recht die Geschäftsführung in Deutschland persönlich in die Haftung genommen werden. Allein deshalb sollte bei cloud-basierten Services ein Anbieter mit ins Boot geholt werden, der wie Adacor Hosting nach deutschem Recht liefert.

* Der Autor, Ulrich Radespiel, verantwortet das Online-Marketing bei der Adacor Hosting GmbH

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok