WEARABLES, FITNESS-APPS UND DER DATENSCHUTZ: Alles unter Kontrolle? Eine Untersuchung der Verbraucherzentralen - April 2017 - Die Marktwächter

Die Seite wird erstellt Alicia Meier

Kunst und Unterhaltung

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

WEARABLES, FITNESS-APPS
UND DER DATENSCHUTZ:
Alles unter Kontrolle?
Eine Untersuchung der Verbraucherzentralen – April 2017

Inhalt |   3

WEARABLES, FITNESS-APPS UND
DER DATENSCHUTZ
1. PROBLEMSTELLUNG                                                                5
   1.1 Wearables im Überblick                                                     5
   1.2 Selbstvermessung: Verbraucher zwischen Eigen- und Fremdmotivation          6
   1.3 Recht auf informationelle Selbstbestimmung                                 8
   1.4 Methodischer Gesamtüberblick                                              11

2. TECHNISCHE PRÜFUNG                                                           13
   2.1 Anbieter- und Geräteauswahl                                              13
   2.2 Bluetooth-Verbindung des Wearables                                       15
   2.3 Datensendungsverhalten der App                                           16
   2.4 Datenspeicherverhalten der App                                           21
   2.5 Zwischenfazit: Technische Prüfung                                        23

3. INFORMATION UND EINWILLIGUNG                                                 24
   3.1 Rechtliche Aspekte                                                       24
   3.2 Textschwierigkeit                                                        31
   3.3 Zwischenfazit: Information und Einwilligung                              32

4. VERBRAUCHERBEFRAGUNG                                                         35
   4.1 Methode                                                                  35
   4.2 Nutzung von Wearables                                                    35
   4.3 Datenschutzbedenken von Wearable-Nutzern und Nicht-Nutzern               37
   4.4 Folgenbewertung                                                          37
   4.5 Zwischenfazit: Verbraucherbefragung                                      37

5. ZUSAMMENFASSUNG                                                              41

QUELLENVERZEICHNIS                                                              43

4 | Abbildungen und Tabellen

  ABBILDUNGEN UND TABELLEN
  1   Forschungsfragen und Methoden                                   10

  2   Übersicht der ausgewählten Wearables und Fitness-Apps           14

  3   Datenflüsse                                                     15

  4   Aussenden von Geräteinformationen via Bluetooth                 17

  5   Angeforderte Zugriffsberechtigungen (Grundeinstellungen)        18

  6   Datenkategorien und Beschreibungen                              19

  7   Datensendungsverhalten: Erhebung von Daten durch den Anbieter   20

  8   Anzahl und Art eingebundener Drittanbieter                      21

  9   Daten, die an mindestens einen Drittanbieter gesendet werden    22

  10 Abgerufene Datenschutzerklärungen                                25

  11 Information und Einwilligung                                     29

  12 Interpretation von Flesch-Indices                                32

  13 Übersicht ausgewählter Eigenschaften der analysierten Texte      33

  14 Nutzungshäufigkeit                                               36

  15 Nutzungshäufigkeit nach Altersgruppen                            36

  16 Gründe gegen die Nutzung von Wearables                           36

  17 Allgemeine Datenschutzbedenken der Befragten                     38

  18 Bewertung möglicher Folgen der Wearable-Nutzung                  39

Problemstellung | 5

1. PROBLEMSTELLUNG
Die Digitalisierung des Alltags, innerhalb dessen Men- der von den Sensoren gemessenen Daten an ein Smart-
schen „Knotenpunkte im Internet der Dinge werden“1, phone oder Tablet. Auf diesem ist in der Regel eine ent-
schreitet stetig voran. Selbstvermessungstechnologi- sprechende Anwendung (Applikation, App) installiert,
en wie Wearables und Fitness-Apps können hilfreiche die die vom Wearable erhobenen Rohdaten aggregiert
Alltagsbegleiter sein, die ein Mehr an Autonomie und und aufbereitet. Verbraucher werden somit in die Lage
Kontrolle über Körper und Gesundheit bedeuten kön- versetzt, die eigenen Körperaktivitäten überwachen zu
nen. Damit Verbraucher 2 langfristig von dieser Entwick- können (sog. Self-Tracking). Hierbei werden nicht nur
lung profitieren und nicht zu Verlierern innerhalb einer dem Verbraucher diese Daten angezeigt – auch die je-
mittels Algorithmen gesteuerten Welt werden, müssen weiligen Wearable-Anbieter können die generierten In-
Nutzungsrisiken aufgedeckt und begrenzt werden. halte erheben, speichern und nutzen. 4
Denn: Die im Zuge der Wearable-Nutzung entstehenden
Daten wecken Begehrlichkeiten externer Akteure – wie Der Begriff Wearables ist als Sammelkategorie für eine
Werbeindustrie oder auch Krankenkassen. Reihe verschiedener Ausführungsformen zu verstehen,
die sich beispielsweise darin unterscheiden, wo genau
Im Folgenden werden zentrale datenschutzrelevante das jeweilige Gerät am Körper getragen wird. Kommer-
Aspekte bei der Nutzung von Wearables und Fitness- ziell am weitesten verbreitet sind Wearables, die am
Apps beleuchtet. Neben einem kurzen Marktüberblick Handgelenk getragen werden (sog. Wristwear, in der
(Abschnitt 1.1) wird insbesondere die potenzielle ge- Regel als Smartwatches oder Fitness-Armbänder).5 Da-
sellschaftliche Bedeutung von derlei Technologien rüber hinaus werden derzeit Datenbrillen und „smarte“
diskutiert (Abschnitt 1.2). Basierend auf Überlegungen Kontaktlinsen entwickelt oder bereits angeboten (sog.
zum Recht auf informationelle Selbstbestimmung wer- Eyewear), ebenso wie Kopfhörer mit digitaler Schnitt-
den die Forschungsfragen der Untersuchung abgeleitet stelle (sog. Earwear) oder „smarte“ Alltagskleidung in
(Abschnitt 1.3) und die Methoden erläutert, die zu ih- Form von T-Shirts, Schuhen oder auch Babykleidung,
rer Beantwortung ausgewählt wurden (Abschnitt 1.4). die es Eltern ermöglicht, Atmung und Schlaf ihres Säug-
Hierbei handelt es sich um eine technische Prüfung von lings via Smartphone ständig zu überwachen.6 Insofern
zwölf Wearables (Kapitel 2), eine rechtliche Einordnung sind Wearables ein Beispiel für die fortschreitende
dazu, wie Anbieter mit geltenden Datenschutzbestim- Vernetzung von Alltagsgegenständen – ein generelles
mungen umgehen (Kapitel 3) sowie eine Verbraucher- Phänomen, das oft als „Internet der Dinge“ bezeichnet
befragung (Kapitel 4). wird.7

1.1 WEARABLES IM ÜBERBLICK Weiterhin unterscheiden sich Wearables in ihrer kon-
kreten Ausstattung, das heißt, welche Sensoren ver-
Wearable Computing Devices (Wearables) sind am baut sind und entsprechend welche Daten erzeugt
Körper tragbare, elektronische Kleingeräte, die einer- werden. In der Mindestausstattung verfügen die meis-
seits über einen oder mehrere Sensoren zur Messung ten Wearables über einen Beschleunigungssensor, der
körperlicher Aktivitäten und Vorgänge verfügen und auch minimale Bewegungen registriert. Auf Basis der
andererseits über eine digitale Schnittstelle (zumeist vom Sensor gemessenen Rohdaten wird beispielswei-
Bluetooth, teilweise auch Near Field Communication se die Anzahl der gegangenen Schritte ermittelt und
(NFC) oder WLAN).3 Diese ermöglicht eine Übertragung
4 Unter „Wearable-Anbietern“ wird im Rahmen der vorliegenden Untersu-
chung das Unternehmen verstanden, dass das Wearable unter seiner
1 Lupton, 2014, S. 15 (eigene Übersetzung). Marke vertreibt. Dieses kann sowohl die Produktion der Hardware als
2 Aus Gründen der besseren Lesbarkeit wird in der vorliegenden Arbeit auch die Programmierung einer kompatiblen Fitness-App an externe
mit „Verbraucher“ eine verkürzte geschlechtsneutrale Formulierung Dienstleister ausgelagert haben.
verwendet. Der Text richtet sich daher sowohl an Verbraucherinnen als 5 Ballhaus, Song, Meyer, Ohrtmann, & Dressel, 2015, S. 9; Steinbrunn &
auch an Verbraucher. Diese Formulierungsregel gilt für die gesamte Dominsky, 2016, S. 23.
vorliegende Arbeit (z. B. auch in Bezug auf die Verwendung des Begriffs 6 Selke, 2015, S. 46; s. auch http://www.baby-wearables.de/baby-wear-
„Internet-Nutzer“). able-als-strampler-mimo-ueberwacht-schlaf-und-atmung/.
3 Delisle, 2016, S. 1; Goldhammer, 2016, S. 4. 7 Delisle, 2016, S. 2.

6 | Problemstellung

Kalorienverbrauch oder Schlafdauer und -qualität algo- Während 14 Prozent der deutschen Internetnutzer an-
rithmenbasiert berechnet.8 Höherklassige und neuere geben, derzeit ein Wearable zu nutzen,16 scheint das
Wearables verfügen meistens über zusätzliche Senso- Marktpotenzial für derlei Technologien weitaus größer
ren, zum Beispiel zur Messung von Puls, Herzfrequenz, zu sein. So gaben in einer bevölkerungsrepräsentativen
Körpertemperatur, Hautleitfähigkeit sowie zur Bestim- Telefonumfrage des Digitalverbandes Bitkom (2015)
mung des Aufenthaltsorts (meist via GPS).9 vierzig Prozent der Befragten an, sich zumindest für die
Nutzung einer Smartwatch zu interessieren, auch wenn
Sowohl die in Wearables verbauten Sensoren als auch sie zum Zeitpunkt der Befragung noch keine aktiven
ihre digitalen Schnittstellen werden vermutlich immer Nutzer waren.17 Die wachsende Beliebtheit von Weara-
energie-und platzeffizienter werden, sodass sich die bles spiegelt sich außerdem in weltweit steigenden Ab-
Technologie zukünftig noch unauffälliger in den Alltag sätzen wider: Bis zum Jahr 2018 wird ein Marktwachs-
integrieren lassen wird.10 So werden derzeit Bio-Tattoos tum von jährlich 21 Prozent prognostiziert.18
(sog. Tech Tats) entwickelt: Diese haben ähnliche Funk-
tionen wie Wearables am Handgelenk, die Sensoren Darüber hinaus gibt es eine unüberschaubare Menge
werden jedoch mittels Tinte in die Haut implantiert.11 an Fitness-Apps, die – wenn auch eingeschränkt –
Zusätzlich scheinen Wearables über die bloße Messung ohne die zusätzliche Wearable-Hardware Körperdaten
von Körperdaten hinaus zukünftig mit ihren Nutzern über die Sensoren des Smartphones messen und be-
außerhalb der Bedienungsoberfläche interagieren zu rechnen. Wearables und Fitness-Apps sind insbesonde-
können. Beispielsweise können Sensoren, die über ein re bei jüngeren Verbrauchern verbreitet, die diese zur
elektronisches Pflaster auf dem Rücken befestigt wer- Überwachung körperlicher Aktivitäten und zur Optimie-
den, die Nutzer über ein Vibrieren daran erinnern, ihre rung von Fitness und Gesundheit nutzen.19
Sitzhaltung zu korrigieren.12
1.2 SELBSTVERMESSUNG:
Die stetig präziser und invasiver werdende Sensortech- VERBRAUCHER ZWISCHEN EIGEN-
nik ermöglicht immer weitreichendere Rückschlüsse UND FREMDMOTIVATION
auf traditionell intime Lebensbereiche. Mittelbar kön-
nen die gesammelten Daten, zum Beispiel Daten über Wearables und Fitness-Apps werden in der Regel zu
das Schlafverhalten einer Person, nicht nur Rückschlüs- Zwecken der Selbstvermessung, Selbstüberwachung
se auf die körperliche Gesundheit zulassen, sondern – und Selbstoptimierung genutzt.20 Der Begriff „Selbst-
beispielsweise über die Messung von Hauttemperatur vermessung“ umschreibt Praktiken, die der Quan-
und Schweißdrüsenaktivität – auch auf psychische Zu- tifizierung der eigenen körperlichen und geistigen
stände (z. B. Stress).13 Dies ist vor allem der Fall, wenn Zustände dienen. Meist beinhaltet dies das Messen
eine Kombination verschiedener solcher Daten über ei- und Aufzeichnen verschiedener Aktivitäten sowie den
nen längeren Zeitraum getrackt und von einer App aus- Wunsch, sich selbst in bestimmter Hinsicht verbessern
gewertet wird. Da dies in der Regel Sinn und Zweck des zu wollen.21 Selbstvermessung betrifft also zunächst
Self-Trackings ist, sind die von Wearables gemessenen die selbstgesteuerte (intrinsische) Motivation, ein
Daten als Gesundheitsdaten zu werten,14 die im Sinne auf die ein oder andere Art und Weise „besseres“ und
des Bundesdatenschutzgesetzes (BDSG) besondere gesünderes Leben zu führen.22
personenbezogene Daten sind (s. Abschnitt 3.1).15

16 YouGov, 2016.
17 Lutter, Pentsi, Poguntke, Böhm, & Esser, 2015, S. 32.
18 Ballhaus et al., 2016, S. 5.
8 Schumacher, 2016, S.42. 19 Z. B. YouGov, 2016, S. 5.
9 Global Positioning System. 20 Abril, 2016.
10 Z. B. Wiggers, 2016. 21 Ehlert et al., 2015, S. 30-31; ausgeschlossen hiervon sind Selbstver-
11 Goldhammer, 2016, S. 4. messungspraktiken, die eine lebenswichtige Notwendigkeit darstellen;
12 Z. B. www.uprightpose.com. eine Diskussion soziologischer Aspekte von Selbstvermessung und
13 Umann, Tuscher, Buchmann, & Bosch, 2016, S. 132-133. -optimierung kann z. B. nachgelesen werden bei En & Pöll, 2016;
14 Artikel 29 Datenschutzgruppe, 2015. Selke, 2016.
15 § 3 Abs. 9 und §§ 4, 4a Abs. 3 BDSG; s. Kapitel 3. 22 Lupton, 2014, S. 6; Meißner, 2016, S. 219.

Problemstellung | 7

Während die Praktik des Selbstvermessens an sich bote.28 Die App Soma Analytics übermittelt sogar den
unabhängig von der dafür angewandten Methode Gemütszustand von Mitarbeitern an deren Arbeitgeber,
ist, erleichtert die Digitalisierung die Integration der beispielsweise über die Auswertung ihrer Stimme und
Selbstvermessung in den Alltag – denn Wearables und Smartphone-Nutzungsmuster.29
Fitness-Apps können die relevanten Daten automati-
siert und weitestgehend unbemerkt in Echtzeit auf- Obwohl die breite Masse der Wearables und Fitness-
zeichnen.23 Insofern werden derlei Technologien auch Apps im Bereich dieses zweiten Gesundheitsmarktes
als eine Erweiterung der Autonomie und Kontrolle über anzusiedeln ist, werden sie in Dienstleistungen des
den eigenen Körper und die eigene Gesundheit verstan- ersten Gesundheitsmarktes – der die klassische me-
den. dizinische Versorgung durch private und gesetzliche
Krankenversicherungen umfasst – mittlerweile mit ein-
Die Grundidee, dass Menschen sich selbstverantwort- gebunden.30 So sehen Versicherungsdienstleister in der
lich um ihre Gesundheit kümmern sollen, ist außer- Selbstvermessungstechnologie eine Möglichkeit, nicht
dem in einem volkswirtschaftlichen Kontext zu sehen nur Krankheitsintervention zu verbessern, sondern
– denn gesunde Menschen verursachen dem Gesund- Wearables zur Gesundheitsvorsorge im Rahmen von
heitssystem weniger Kosten als Kranke. Der Slogan Bonusprogrammen einzusetzen, wodurch eine langfris-
„Sitzen ist das neue Rauchen“24 fasst die in diesem tige Kosteneinsparung angestrebt wird.31 Vorreiter hier-
Zusammenhang zentrale Annahme zusammen, die die bei ist der private Versicherungsdienstleister Generali,
Nutzung von Wearables außerhalb eines individuellen der mit Vitality seit Juli 2016 eine eigene Fitness-App
Wunsches nach Fitness interessant macht: Ein aktiver anbietet.32 Die Nutzung der App stellt den Versicherten
Mensch, der sich ausreichend viel bewegt, soll eine ge- je nach Bewegungsleistung Rabatte auf Versicherungs-
ringere Wahrscheinlichkeit haben, zukünftig krank zu produkte oder Sachprämien in Aussicht.
werden.25
Auch gesetzliche Krankenkassen, die sich von privaten
Obwohl nicht abschließend geklärt ist, inwieweit Wea- Dienstleistern durch ihre Organisation nach dem Soli-
rables und Fitness-Apps Menschen tatsächlich zu ei- darprinzip33 unterscheiden, zeigen Interesse an dem
nem gesünderen Lebensstil motivieren,26 werden sie beschriebenen Geschäftsmodell. Allerdings verbieten
als Instrumente vermarktet, die Menschen zu mehr Be- ihnen gesetzliche Regelungen grundsätzlich, perso-
wegung und einem insgesamt gesünderen Lebensstil nenbezogene Daten ihrer Mitglieder zu erheben, die
über äußere Anreize (extrinsisch) motivieren sollen. über das für die Vertragserfüllung erforderliche Maß
Daran haben beispielsweise Arbeitgeber Interesse, die hinausgehen. Eine Anpassung des Versicherungstarifs
über eine geringere Anzahl von Krankheitsfällen in ih- auf Basis der von Wearables und Fitness-Apps erhobe-
rem Unternehmen Kosten einsparen und ihre Produk- nen Daten ist ihnen somit untersagt.34 Dennoch können
tivität erhöhen wollen. So setzen bereits verschiede- Bestrebungen seitens gesetzlicher Versicherungen
ne Unternehmen in den USA (u. a. BP) Wearables und
Fitness-Apps ein, um die Aktivität ihrer Mitarbeiter zu 28 https://www.fitbit.com/de/group-health# [Stand: 31.01.2017].
überwachen und sie bei ausreichender Bewegung zu 29 http://soma-analytics.de/; Klofta & Rest, 2015.
30 Der erste Gesundheitsmarkt umfasst in erster Linie Leistungen von
belohnen, beispielsweise mit „Wellness-Punkten“.27 staatlichen und öffentlichen Einrichtungen, wie beispielsweise die
Innerhalb des Versicherungssystems der USA können Leistungen und Angebote gesetzlicher Krankenversicherungen.
Die Angebote des zweiten Gesundheitsmarktes beziehen sich
derlei Punkte einen Einfluss auf die Höhe des Versi-
hingegen auf individuelle Gesundheitsleistungen, wie beispielsweise
cherungsbeitrags haben. Führende Wearable-Anbieter Wellness-Reisen oder Fitness-Kurse. Die Definition des zweiten
wie Fitbit oder Jawbone bewerben auf ihrer Webseite Gesundheitsmarktes ist schwierig, weil dieser sehr heterogen ist und
teilweise Verbindungen zum ersten Gesundheitsmarkt bestehen (z. B.
entsprechende auf Arbeitgeber zugeschnittene Ange- Fitness-Kurse, die von gesetzlichen Krankenversicherungen finanziell
bezuschusst werden). Damm, Kuhlmann, & von der Schulenburg,
2010, S. 2.
23 Selke, 2016, S. 3. 31 Gigerenzer, Schlegel-Matthies, & Wagner, 2016, S. 1; Lupton, 2015, S.
24 z. B. Raether, 2013. 3; zur Bewertung von Bonusprogrammen, s. auch Verbraucherzentrale
25 Sjögren et al., 2014. NRW, 2015.
26 Dies betrifft mHealth-Anwendung übergreifend; Tomlinson, Rotheram- 32 https://www.generali-vitalityerleben.de/ [Stand: 30.01.2017].
Borus, Swartz, & Tsai, 2013. 33 Burkhardt, 2013.
27 Christl, 2014, S. 40. 34 Z. B. BMJV, 2016.

8 | Problemstellung

in diesem Kontext beobachtet werden. So bietet die auch im Kontext der Wearable- und Fitness-App-
AOK Nordost seit Januar 2016 die kostenlose Fitness- Nutzung für sich beanspruchen kann. Dieses wird vom
App FitMit AOK an, die laut Versicherung als „digitales Bundesverfassungsgericht aus Art. 2 Abs. 1 GG in
Bonusheft“ zu verstehen ist: Gegen Vorlage guter Ak- Verbindung mit Art. 1 Abs. 1 GG hergeleitet.39 Es sieht
tivitätsdaten können die Versicherungskunden auf un- vor, dass jeder selbst darüber bestimmen soll, welche
terschiedliche Bargeld- oder Sachprämien zurückgrei- Daten er von sich preisgibt, wie diese weiterverarbeitet
fen.35 Auch der Chef der Techniker Krankenkasse (TK), werden und wer Zugriff darauf hat – ein Wunsch, den
Jens Baas, hat angekündigt, dass Fitness-Armbänder Verbraucher auch in Bezug auf ihre Gesundheits- und
und andere Wearables zukünftig eine Rolle in dem Bo- Fitnessdaten äußern. 40
nusprogramm der TK spielen könnten.36
Die Realisierung dieser Selbstbestimmung ist in der
Aus Sicht des Verbraucherschutzes werfen derlei Anrei- Praxis jedoch von verschiedenen Voraussetzungen ab-
ze die Frage auf, inwieweit die Entscheidung, ein Wea- hängig, die in der vorliegenden Studie mit dem Fokus
rable zu nutzen, langfristig freiwillig bleibt, denn Ra- auf Wearables und Fitness-Apps untersucht werden.
batte und Prämien könnten wirtschaftlichen Druck auf Hierbei steht zunächst die Pflicht des Wearable-Anbie-
Verbraucher ausüben. Handlungsfreiheit wäre dann nur ters im Vordergrund, verantwortungsvoll mit den Nut-
noch für solche Verbraucher eine realistische Option, zerdaten umzugehen und die datenschutzrechtlichen
die es sich finanziell leisten könnten auf die in Aussicht Vorgaben einzuhalten (Abschnitt 1.3.1). Gleichermaßen
gestellten Vergünstigungen zu verzichten, wohingegen spielt gerade im Kontext von Wearables und Fitness-
zum Beispiel gesundheitlich beeinträchtigte Menschen Apps auch eine Rolle, wie Verbraucher zu datenschutz-
nicht von Bonusprogrammen profitieren könnten – eine relevanten Aspekten stehen (Abschnitt 1.3.2).
indirekte Form gruppenspezifischer Diskriminierung.37
In Bezug auf Tarife gesetzlicher Krankenkassen wurde 1.3.1 Anbieterpflichten
daher bereits verschiedentlich vor einer Aufweichung
des Solidarprinzips gewarnt, da Menschen mit gesund- Ein Großteil der über Wearables und Fitness-Apps ge-
heitlichen Problemen innerhalb eines ausgeweiteten nerierten Daten ist personenbezogen. Laut § 3 Abs. 1
Bonus-Systems benachteiligt werden könnten.38 Dies BDSG handelt es sich bei personenbezogenen Daten
gilt in ähnlicher Weise auch für den systematischen um Einzelangaben über persönliche oder sachliche
Einsatz von Wearables in Betrieben. Das Arbeitgeber- Verhältnisse einer bestimmten oder bestimmbaren na-
Arbeitnehmer-Verhältnis ist darüber hinaus durch ein türlichen Person. Weiter führt die Europäische Daten-
Machtgefälle gekennzeichnet, das Arbeitnehmern eine schutzrichtlinie in Art. 2 Buchst. a Richtlinie 95/46/EG
tatsächlich freie Entscheidung für oder gegen die Nut- aus, dass eine Person als bestimmbar angesehen wird,
zung eines Wearables am Arbeitsplatz langfristig er- die direkt oder indirekt identifiziert werden kann. Dies
schweren könnte. kann insbesondere durch Zuordnung zu einer Kenn-
nummer oder zu einem oder mehreren spezifischen
1.3 RECHT AUF INFORMATIONELLE Elementen geschehen, die Ausdruck ihrer physischen,
SELBSTBESTIMMUNG physiologischen, psychischen, wirtschaftlichen, kultu-
rellen oder sozialen Identität sind. Derlei Daten dürfen
Das Interesse externer Akteure an den von Wearab- vom Anbieter41 nur erhoben, gespeichert und genutzt
les und Fitness-Apps generierten Daten ist groß (s. werden, wenn eine gesetzliche Gestattung hierzu oder
Abschnitt 1.2). Entsprechend ist aus Sicht des Verbrau- eine Einwilligung des Betroffenen vorliegt. 42
cherschutzes entscheidend, dass der einzelne Nutzer
39 sog. Volkszählungsurteil, BVerfG, Urteil vom 15. September 1983, 1 BvR
das Grundrecht auf informationelle Selbstbestimmung 209/83.
40 YouGov, 2016, S. 10.
41 Auch in Fällen, in denen der Anbieter (s. auch Fußnote 2) nicht die
35 https://www.fitmit-aok.de/ [Stand: 30.01.2017]. datenverarbeitende Stelle ist, sondern hierfür einen Dienstleister
36 https://www.tk.de/tk/020-positionen/aktuelles/dpa-interview-fitness- beauftragt hat, ist er für den Umgang mit den personenbezogenen
tracker/889466 [Stand: 30.01.2017]. Daten verantwortlich, die in Zusammenhang mit der Nutzung seines
37 Z. B. Verbraucherzentrale NRW, 2015; Bundestags-Drucksache 18/ Dienstes über seine Kunden erhoben, gespeichert und genutzt werden;
9058, 2016, S. 1; Bundestags-Drucksache 18/9243, S. 1-4. § 11 Abs. 1 BDSG.
38 Jahberg et al., 2015; Verbraucherzentrale NRW, 2015. 42 § 4 Abs. 1 BDSG, §12 Abs.1 TMG

Problemstellung | 9

Unabhängig von der gesetzlichen Gestattung gilt der chend zunächst, welche Daten vom jeweiligen Anbieter
Grundsatz der Datenvermeidung und Datensparsamkeit überhaupt erhoben, gespeichert und genutzt werden
nach § 3a BDSG, der für den gesamten Erhebungs- und (Forschungsfrage 1 zu Nutzerdaten, Tabelle 1) und in-
Verarbeitungsprozess zu beachten ist: Das BDSG sieht wieweit die erhobenen Daten vor dem Zugriff durch
vor, dass für die Vertragserfüllung durch technische unbefugte Dritte geschützt sind (Forschungsfrage 2 zu
Ausgestaltung von vornherein so wenige personen- Datensicherheit).
bezogene Daten wie möglich erfasst werden. Anbieter
müssen mit anderen Worten eine sparsame Lösung zur Werden über die für die Dienstleistung erforderlichen
Realisierung ihrer angebotenen Dienstleistungen im- Daten hinaus personenbezogene Daten erhoben,
plementieren und dürfen nicht mehr Daten erheben, als müssen diese nicht nur hinreichend gesichert sein. Es
für die Erbringung ihrer Dienstleistung erforderlich ist. muss vor allem eine informierte Einwilligung des Nut-
zers eingeholt werden. 46 Für die Verwendung von Ge-
Ein weiterer zu beachtender Grundsatz ist die Da- sundheitsdaten, die von Wearables und Fitness-Apps
tensicherheit, die sich gemäß § 9 BDSG in Form von gemessen werden können, ebenso wie für die Über-
technischen und organisatorischen Maßnahmen nie- tragung von Daten ins Nicht-EU-Ausland muss oftmals
derschlägt. Ziel ist die Wahrung der Verfügbarkeit, Un- eine Einwilligung eingeholt werden (s. Abschnitt 3.1.1).
versehrtheit und Vertraulichkeit von Informationen mit- Entsprechend stellt sich die Frage, inwieweit Wearable-
tels Sicherheitsvorkehrungen oder bei der Anwendung Anbieter eine rechtskonforme Einwilligung einholen,
von informationstechnischen Systemen, Komponenten insbesondere für die Verarbeitung von Gesundheitsda-
oder Prozessen. Die für die Datenverarbeitung Verant- ten und die Übertragung von Daten ins Nicht-EU-Aus-
wortlichen sind daher dazu verpflichtet, diese Daten land (Forschungsfrage 4 zu Einwilligung).
vor dem Zugriff durch unbefugte Dritte zu schützen –
eine Verpflichtung, der in der Vergangenheit nicht im- Durch die informierte Einwilligung sollen Nutzer eine
mer hinreichend nachgekommen wurde. 43 So können freie Entscheidung für oder gegen die Preis- und Wei-
Unbefugte beispielsweise relativ mühelos Zugriff auf tergabe ihrer Daten an Dritte treffen können. Ist die
sensible Nutzerdaten erhalten, wenn die Datenübertra- Entscheidung des Nutzers zur Einwilligung nicht frei,
gung zwischen Fitness-App und Anbieterserver nicht ist auch die erteilte Einwilligung unwirksam. Die Einwil-
nach dem Stand der Technik gesichert ist. Bei unzurei- ligung ist in der Regel jedoch eine notwendige Bedin-
chender Sicherung der Geräteverbindung kann das Tra- gung dafür, dass ein Dienst überhaupt genutzt werden
gen eines Wearables außerdem dazu führen, dass Nut- kann. Insofern ist die Entscheidung des Nutzers nur frei
zer eindeutig über das Gerät identifizierbar sind. Dies bezüglich der Frage, ob er den Dienst eines Wearables
wird beispielsweise in Szenarien relevant, in denen und der dazugehörigen App nutzen will. Ob er hinge-
Einkaufszentren die Laufwege und das Kaufverhalten gen im Zuge der Nutzung bestimmte Daten preisgeben
von Verbrauchern nachvollziehen wollen und sich da- möchte oder nicht – insbesondere zu Zwecken, die sein
für einer Bluetooth-Verbindung mit den Wearables ihrer eigentliches Ziel der Selbstquantifizierung übersteigen
Kunden bedienen – ohne deren Einverständnis. 44 – kann er oft nicht entscheiden. Solange Nutzer also
innerhalb der Dienstleistung keinen Einfluss darauf
Insofern stellt sich die Frage, ob Wearables und Fitness- nehmen können, welche Daten erhoben, gespeichert
Apps auf technischer Ebene gängigen Datenschutz- und genutzt werden, steht die Freiwilligkeit der Einwilli-
standards genügen. 45 Zu untersuchen ist entspre- gung in Frage. Dies gilt insbesondere für solche perso-
nenbezogene Daten, die für die Inanspruchnahme der
43 Z. B. Ackerman, 2013; Clausing, Schiefer, Lösche, & Morgenstern, 2015; Dienstleistung nicht zwingend erforderlich sind. Aus
Hilts, Parsons, & Knockel, 2016; Stiftung Warentest, 2016a.
44 Hilts, Parsons, & Knockel, 2016, S. 26.
Perspektive des Verbraucherschutzes ist daher zu klä-
45 Im Rahmen dieser Untersuchung wird sich auf das geltende Recht zum ren, inwieweit Wearable-Anbieter ihren Nutzern Mög-
Veröffentlichungszeitpunkt bezogen. Die benannten datenschutz- lichkeiten zur Einflussnahme und Kontrolle ihrer Daten
rechtlichen Standards werden jedoch auch in der neuen europäischen
Datenschutzgrundverordnung implementiert sein, die im Mai 2018
einräumen (Forschungsfrage 3 zu Einflussnahme und
in Kraft tritt. Hierzu zählen beispielsweise Rechtmäßigkeit, Treu und Kontrolle).
Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit,
Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsp-
flicht, vgl. auch Art. 5 DS-GVO. 46 § 4a BDSG; s. auch Hartge, 2012, S. 281.

10 | Problemstellung

         1     FORSCHUNGSFRAGEN UND METHODEN

                         Forschungsfragen                                                              Methode

             Kapitel 2   1   Nutzerdaten
                             Welche Daten werden im Zuge der Wearable-Nutzung erhoben,
                             gespeichert und genutzt?

                         2   Datensicherheit
                             Inwieweit sind die im Rahmen der Wearable-Nutzung generierten
                             Daten vor dem Zugriff durch Unbefugte geschützt?                         Technische
                                                                                                       Analyse
                         3   Einflussnahme und Kontrolle
                             Inwieweit räumen Wearable-Anbieter ihren Nutzern Möglichkeiten
                             zur Einflussnahme und Kontrolle ihrer Daten ein?

             Kapitel 3   4   Einwilligung
                             Wird eine wirksame Einwilligung für die Erhebung, Speicherung und
                             Übertragung personenbezogener Daten eingeholt?
                                                                                                         §
                                                                                                      Rechtliche
                         5   Information                                                               Analyse
                             Wird der Nutzer hinreichend über den Umgang mit seinen personen-
                             bezogenen Daten unterrichtet?

                         6   Textschwierigkeit
                             Ist die Datenschutzerklärung für Laien verständlich?
                                                                                                 Lexikalische Analyse

             Kapitel 4   7   Folgenbewertung
                             Wie bewerten Verbraucher mögliche Konsequenzen der
                             Nutzung von Wearables und Fitness-Apps?

                         8   Datenschutzbedenken von Nutzern und Nicht-Nutzern
                             Unterscheiden sich Nutzer von Wearables und Fitness-Apps von        Verbraucherbefragung
                             Nicht-Nutzern in ihren generellen Datenschutzbedenken?

    Damit der Nutzer über den Umgang mit seinen Daten               dieser Daten im Nicht-EU-Ausland. Entsprechend stellt
    informiert ist, muss er darüber hinreichend unterrich-          sich die Frage, inwieweit Anbieter ihre Nutzer hinrei-
    tet werden. Da Informationen hierzu zunächst nur dem            chend über den Umgang mit ihren Daten unterrichten
    Anbieter vorliegen, ist dieser dazu verpflichtet, trans-        (Forschungsfrage 5 zu Information).
    parent darzustellen, welche Daten erhoben und in wel-
    cher Form sie weiterverarbeitet werden. Dies betrifft           Um über den Umgang mit ihren Daten tatsächlich unter-
    im Kontext von Wearables und Fitness-Apps – ähnlich             richtet sein zu können, müssen Nutzer die vom Anbieter
    wie bei der einzuholenden Einwilligung – insbesondere           zur Verfügung gestellten Informationen lesen und auf
    die Unterrichtung über die Erhebung, Speicherung und            Basis dessen verstehen können. Dementgegen stellen
    Nutzung von Gesundheitsdaten und die Verarbeitung               Angaben zum Datenschutz oft große Herausforderun-

Problemstellung | 11

gen an den Leser, da sie aufgrund der Vielschichtigkeit ren Schaden davon trägt oder sogar vom eintretenden
des zu beschreibenden Sachverhalts sehr umfangreich Ereignis profitieren kann. Zu klären ist entsprechend,
sein können und häufig komplexe Formulierungen ver- wie Verbraucher mögliche (potenziell negative) Konse-
wenden. 47 Dies wirft die Problematik auf, dass – selbst quenzen der Nutzung von Wearables und Fitness-Apps
wenn Anbieter rechtskonform und vollständig über den bewerten (Forschungsfrage 7 zu Folgenbewertung).
Umgang mit Nutzerdaten unterrichten – nicht sicherge-
stellt ist, dass Nutzer über den Umgang mit ihren Daten Während systematische Erkenntnisse zur Risikobewer-
tatsächlich informiert sind. Datenschutzerklärungen tung bei der Nutzung von Wearables und Fitness-Apps
sollten daher trotz – beziehungsweise gerade wegen noch rar sind, zeigen verschiedene Untersuchungen,
– der Komplexität des zu erklärenden Sachverhalts so dass Verbraucher den Umgang mit ihren Daten in die-
einfach wie möglich geschrieben sein. 48 Insofern stellt sem Zusammenhang durchaus als Problem betrach-
sich die Frage, inwieweit die Datenschutzerklärungen ten. So erklärten in einer bevölkerungsrepräsentati-
der Anbieter für Laien einfach geschrieben sind und es ven YouGov-Umfrage (2016) zum Thema Wearables
somit Nutzern ermöglichen, sich anhand der zur Ver- und Gesundheits-Apps 41 Prozent der Befragten, dass
fügung gestellten Angaben tatsächlich zu informieren die Nutzung der eigenen Daten durch Dritte für sie ein
(Forschungsfrage 6 zu Textschwierigkeit). Problem darstelle. Neunundvierzig Prozent geben an,
selbst bestimmen zu wollen, was mit ihren Gesund-
1.3.2 Verbraucherperspektive heitsdaten geschieht.52 Unklar ist jedoch bislang, in-
wieweit Datenschutzbedenken einen Einfluss darauf
Entgegen dem weit verbreiteten Anspruch, dass Nutzer haben, ob Verbraucher derlei Selbstvermessungs-
eigenverantwortlich mit ihren Daten umgehen und ihre technologien nutzen oder nicht. Übergreifend wird in
Privatsphäre auch im Online-Bereich selbst regulieren diesem Zusammenhang das als paradox bezeichnete
können, ist diese Form des Selbstdatenschutzes sehr Verhaltensmuster beschrieben, dass Nutzer digitaler
voraussetzungsreich. Technologien sich zwar um den Schutz ihrer Daten und
ihre Privatheit sorgen, diese Sorgen sich jedoch nicht
Verbraucher scheinen Nachteile und potenzielle Risiken in ihrem tatsächlichen selbstoffenbarenden Verhalten
der Datenpreisgabe gegen die erhofften Vorteile zumin- widerspiegeln (sog. Privacy Paradox).53 In Bezug auf
dest implizit abzuwägen und auf Basis dessen eine Fitness- und Gesundheitsdaten konnten Dockweiler,
Nutzungsentscheidung zu treffen. 49 Auch im Kontext Bocketta, Schnecke und Hornberg in einer Befragung
von Wearables und Fitness-Apps müssen Verbraucher deutschsprachiger Studenten zeigen, dass die Befrag-
die kurz- oder langfristigen Folgen ihrer Entscheidung, ten zwar sensibilisiert für Datenschutzthemen waren,
derlei Technologie zu nutzen, subjektiv einschätzen, dies jedoch nicht deren Entscheidung zu beeinflussen
da ihnen eine objektive Informationsbasis naturgemäß schien, eine Fitness- oder Gesundheitsapp zu nutzen.54
fehlt.50 Für die Einschätzung ist zum einen relevant, Insofern stellt sich die Frage, ob Wearable-Nutzer und
für wie wahrscheinlich das Eintreten einer (negativen) Nicht-Nutzer sich in ihren generellen Datenschutzbe-
Konsequenz gehalten wird. Zum anderen spielt eine denken unterscheiden (Forschungsfrage 8 zu Daten-
Rolle, inwieweit eine mögliche Folge inhaltlich akzep- schutzbedenken von Nutzern und Nicht-Nutzern).
tiert wird.51 So ist es beispielsweise denkbar, dass ein
Wearable-Nutzer es für wahrscheinlich hält, dass sein Forschungsfragen und Methoden, Tabelle 1.
Arbeitgeber künftig Prämien für besonders gesund-
heitsbewusste Mitarbeiter auszahlt. Er muss dies aber 1.4 METHODISCHER GESAMTÜBERBLICK
nicht notwendigerweise problematisch finden, zumal
er selbst möglicherweise gar keinen direkt erfahrba- Die in Abschnitt 1.3 formulierten Forschungsfragen wur-
den mit Hilfe unterschiedlicher methodischer Herange-
hensweisen untersucht (Tabelle 1). Zunächst wurden
47 Z. B. McDonald & Cranor, 2009.
48 Sachverständigenrat für Verbraucherfragen, 2016; BMJV, 2008, Teil B;
zwölf Wearables mit den dazugehörigen Fitness-Apps
s. auch Plattform Verbraucherschutz in einer digitalisierten Welt, 2015.
49 Z. B. Dinev & Hart, 2006. 52 YouGov, 2016, S. 9-10, Online-Interviews mit Personen ab 18 Jahren.
50 Acquisti, 2004; Tversky & Kahneman, 1974. 53 Z. B. Barnes, 2006; Norberg, Horne, & Horne, 2007.
51 Für einen Überblick: Renn, 2008; Slovic, 2000. 54 Dockweiler, Boketta, Schnecke, & Hornberg, 2016.

12 | Problemstellung

    ausgewählt und einer technischen Prüfung unterzo-
    gen. Hierdurch konnten Erkenntnisse zur Erhebung,
    Speicherung und zum Sendeverhalten der nutzergene-
    rierten Daten sowie zu Einfluss- und Kontrollmöglich-
    keiten durch den Nutzer gewonnen werden. Andere für
    Verbraucher relevante funktionale Eigenschaften wie
    die Messgenauigkeit oder Handhabung der Geräte und
    Apps sind regelmäßig Gegenstand der Produkttests der
    Stiftung Warentest und nicht Bestandteil der vorliegen-
    den Untersuchung.55

    Weiterhin wurde geprüft, inwieweit Wearable-Anbieter
    ihre Nutzer hinreichend über den Umgang mit deren
    personenbezogenen Daten aufklären und – falls erfor-
    derlich – eine Einwilligung für die Nutzung und Weiter-
    verarbeitung dieser Daten einholen. Die zur Verfügung
    gestellten Informationen wurden darüber hinaus hin-
    sichtlich ihrer Schwierigkeit auf Textebene untersucht.

    Im letzten Untersuchungsschritt wurde im Rahmen ei-
    ner standardisierten, repräsentativen Befragung deut-
    scher Internetnutzer erfasst, wie Verbraucher mögliche
    Folgen bei der Wearable-Nutzung bewerten und inwie-
    weit sich Nutzer in ihren generellen Datenschutzbeden-
    ken von Nicht-Nutzern unterscheiden.

    55   Stiftung Warentest, 2013, 2015, 2016a, 2016b.

Technische Prüfung | 13

2. TECHNISCHE PRÜFUNG
Aufgrund ihrer großen Beliebtheit wurde ausschließ-
2.1 ANBIETER- UND GERÄTEAUSWAHL lich Wristwear in die vorliegende Untersuchung mit
einbezogen, das heißt Fitness-Armbänder und Smart-
Für die Untersuchung wurden Wearables von zwölf An- watches.61 Wann immer möglich wurden hierbei Smart-
bietern ausgewählt (Tabelle 2). Die Auswahl umfasst watches getestet, die in der Regel mehr Funktionen als
zum einen diejenigen Anbieter, die von der Internatio- Fitness-Armbänder haben und dabei über die Möglich-
nal Data Corporation (IDC)56 im Jahr 2015 in mindestens keit verfügen, eine größere Fülle an schützenswerten
einem Quartal unter den Top fünf der globalen Weara- Daten zu sammeln. Ausgewählt wurde dann jeweils
ble-Marktführer geführt wurden und eine an deutsche dasjenige Modell, das, soweit über den Online-Auftritt
Verbraucher adressierte Internetseite haben. Dazu des Anbieters ermittelbar, sich zum Zeitpunkt der Aus-
zählen: Fitbit, Jawbone, Garmin, Apple und Samsung.57 wahl am kürzesten auf dem Markt befand. Hierdurch
Unter den Top fünf befindet sich außerdem der Anbie- wurde sichergestellt, dass veraltete Modelle mit mög-
ter Xiaomi, der keine Internetseite in deutscher Spra- licherweise geringeren Datenschutzstandards nicht zu
che anbietet, dessen Produkte jedoch mühelos von einer inaktuellen Bewertung der Anbieter führen konn-
deutschen Verbrauchern über Online-Versandhändler ten. Aufgrund begrenzter Ressourcen wurden keine
bestellt werden können und ebenso mit in die Unter- Geräte untersucht, die über einem Preis von 500 Euro
suchung aufgenommen wurde. Ausgewählt wurden lagen, dies schränkte beispielsweise die Auswahl von
außerdem Anbieter, deren Geräte in nationalen Online- Modellen des Anbieters Apple ein. Pro Anbieter wurde
Shops (Otto-Versand; betrifft die Anbieter Polar, Striiv ein Gerät getestet: Verschiedene Modelle eines Anbie-
und Withings) und Lebensmittel-Discountern (Aldi, Lidl; ters können sich zwar hinsichtlich ihrer technischen
betrifft die Anbieter A-Rival und Technaxx) 58 vertrieben Eigenschaften unterscheiden, es ist jedoch nicht anzu-
werden und somit eine große Zahl von Verbrauchern nehmen, dass ein und derselbe Anbieter je nach Mo-
adressieren. Erfasst wurde außerdem der Anbieter dell unterschiedlich mit den nutzergenerierten Inhalten
Runtastic, der neben seiner vertriebenen Wearable- umgeht.
Hardware verschiedene Fitness-Apps anbietet. Diese
belegen sowohl im Google Play Store als auch im Apple In Kombination mit den Wearables waren auch die
Store (iTunes) regelmäßig Platz eins der am häufigsten vom Anbieter empfohlenen Fitness-Apps Bestandteil
heruntergeladenen Fitness- und Gesundheits-Apps.59 der vorliegenden Untersuchung, jeweils für die Smart-
phone-Betriebssysteme iOS und Android. Ausnahmen
Als einzige Fitness-App ohne eigene Anbieter-Hardware hiervon waren die Apps von Apple und Samsung, die
wurde MyFitnessPal mit in die Untersuchung aufgenom- im ersteren Fall nur für iOS und im letzteren Fall zum
men. Diese ist nicht nur mit zahlreichen der getesteten Zeitpunkt der Prüfung nur für Android verfügbar wa-
Wearables kompatibel (u. a. Withings, Garmin, Fitbit) ren.62 Insgesamt wurden somit zwölf Wearables und 24
und wird teilweise auch entsprechend beworben, son- Fitness-Apps in die vorliegende Untersuchung mit ein-
dern wird ähnlich wie die Runtastic-App von Verbrau- bezogen (Tabelle 2).
chern häufig heruntergeladen.60
Übersicht der ausgewählten Wearables und
Fitness-Apps, Tabelle 2.
56 IDC, 2016.
57 Nicht mit einbezogen wurde der Hersteller BBT (XTC), da dieser eine
ausschließlich auf dem asiatischen Markt zur Verfügung stehende und
auf Kinder ausgerichtete Smartwatch anbietet.
58 Die Modelle dieser Anbieter waren zum Zeitpunkt der Auswahl im Lidl-
Online-Shop sogar vergriffen (Stand: 12.05.2016).
59 Z. B. www.appannie.com; die kriteriengeleitete Auswahl nach
App-Rankings wurde analog zu verschiedenen wissenschaftlichen Un-
tersuchungen getroffen; z. B. Ackerman, 2013; Herrmann & Lindemann, 61 Ballhaus et al., 2015, S. 9.
2016. 62 Seit Anfang Januar 2017 ist die Samsung Gear S2 auch mit iOS-Geräten
60 Z. B. www.appannie.com. kompatibel; Schwan, 2017.

14 | Technische Prüfung

        2     ÜBERSICHT DER AUSGEWÄHLTEN WEARABLES UND FITNESS-APPS

                Wearable                       Art                   Betriebssystem                  App-Name                      Versionb

                                                                                                  Apple Health/
         Apple Watch Sport                Smartwatch                       iOS                                                      9.3.2
                                                                                                   Activitiesa

                                                                           iOS                         A-Rival                       2.2
                                           Fitness-
             A-Rival Qairós
                                           Armband
                                                                         Android                  A-Rival Qairós                     1.51

                                                                           iOS                          Fitbit                   2.24 (531)
              Fitbit Blaze                Smartwatch
                                                                         Android                        Fitbit                       2.28

                                                                                                 Garmin Connect
                                                                           iOS                                                        3.7
                                                                                                     Mobile

                                                                                                 Garmin Connect
         Garmin Forerunner                                               Android                                                   3.7.0.3
                                          Smartwatch                                                 Mobile
              735XT
                                                                           iOS                     MyFitnessPal                     6.19.2

                                                                         Android                   MyFitnessPal                     5.12.2

                                                                           iOS                           UP                          4.20
             Jawbone UP 3             Fitness-Armband
                                                                         Android                         UP                          4.20

                                                                           iOS                       Polar Flow                     3.2.1
              Polar V800                  Smartwatch
                                                                         Android                     Polar Flow                     3.2.1

                                                                           iOS                     Runtastic Me                      1.7.1
         Runtastic Moment
                                          Smartwatch
              Classic
                                                                         Android                   Runtastic Me                       1.8

         Samsung Gear S2                  Smartwatch                     Android                      S Health                   4.8.1.0025

                                                                           iOS                          Striiv                     2.2.302
            Striiv Fusion Bio         Fitness-Armband
                                                                           Andr                         Striiv                    1.0.1865p

                                                                           iOS                Technaxx My Fitness                   1.4.7
            Technaxx Classic
                                      Fitness-Armband
                 TX-37
                                                                         Android              Technaxx My Fitness                    1.2.1

                                                                           iOS                      Health Mate                     2.14.0
             Withings Uhr
                                          Smartwatch
               Activité
                                                                         Android                    Health Mate                      2.16

                                                                           iOS                          Mi Fit                      2.1.4
            Xiaomi Mi Band
                                      Fitness-Armband
                Pulse
                                                                         Android                        Mi Fit                      2.1.4

      a Apple Health erlaubt das Erfassen und Auswerten von einer Vielzahl von Gesundheitsdaten, sowie das Verknüpfen von Daten aus Drittanbieter-
        Apps auf dem iPhone. Apple Activities erlaubt die Erfassung von Trainingseinheiten und -zielen.
      b Die geprüften Apps wurden in der zu Beginn der Erhebungsphase aktuell verfügbaren Version getestet (Erhebungsphase: 01.Juli – 11. August
        2016). Die Ergebnisse der technischen Prüfung beziehen sich nicht auf seitdem ggf. aktualisierte Versionen.

Technische Prüfung |               15

Die ausgewählten Wearables wurden mit den dazuge-
hörigen Apps für iOS und Android einer technischen                              3     DATENFLÜSSE
Prüfung unterzogen. Innerhalb dieser wurde die Blue-
tooth-Schnittstelle des Wearables, das Datenspeicher-
verhalten der App sowie insbesondere ihr Datensen-
dungsverhalten untersucht.63

Geprüft wurde, welche Nutzerdaten erhoben, gespei-
chert und genutzt werden – das heißt, welche Daten
wohin übertragen werden (Forschungsfrage 1) und
inwieweit die Nutzerdaten sicher vor unberechtigtem
Zugriff sind (Forschungsfrage 2). Hierbei wurde der Fo-
kus auf den Schutz vor ungewollter Standortverfolgung                                2.2 BLUETOOTH-VERBINDUNG DES
(Tracking) und den sicheren Transport der Daten von                                  WEARABLES
der App zum Anbieter-Server gelegt.64 Ebenso wurde
geprüft, inwieweit Nutzer die Speicherung und Über-                       Damit ein Wearable die gemessenen Daten an das End-
mittlung der Daten durch die App beeinflussen können                      gerät des Nutzers übertragen kann, müssen Wearable
(Forschungsfrage 3).                                                      und Endgerät aktiv miteinander gekoppelt sein. Hierzu
                                                                          muss das Endgerät das Wearable innerhalb eines Netz-
Android-Apps wurden auf einem LG Nexus 5 (Andro-                          werks zunächst eindeutig erkennen können. Um dies zu
id 6.0.1) geprüft; für iOS Apps wurde ein iPhone 6 (16                    ermöglichen, senden Wearables Datenpakete aus (sog.
GB; iOS 9.3.2) eingesetzt. Die Prüfung wurde von der                      Advertising Packets). Diese Datenpakete enthalten ver-
datenschutz nord GmbH65 im Auftrag des Projekts                           schiedene auslesbare Informationen, wie beispielswei-
Marktwächter Digitale Welt66 zwischen dem 01. Juli und                    se die einzigartige Hardware-Adresse des Wearables
11. August 2016 durchgeführt.67                                           (sog. Media Access Control Adresse; MAC-Adresse).

Im Folgenden werden die Untersuchungsmethode und                          Das Aussenden der Advertising Packets bietet glei-
Ergebnisse jeweils gemeinsam für die Ebene der Blue-                      chermaßen jedoch eine Angriffsfläche, denn die MAC-
tooth-Verbindung zwischen Wearable und Smartphone                         Adresse kann potenziell auch von fremden Geräten
(Abschnitt 2.1), die Übermittlung (Abschnitt 2.2) und                     ausgelesen werden. Statische – das heißt sich nicht
Speicherung (Abschnitt 2.3) personenbezogener Daten                       ändernde – MAC-Adressen lassen dann eine eindeuti-
durch die App berichtet.                                                  ge Identifizierung des Geräts durch fremde Geräte zu,
                                                                          wodurch es über örtlich verteilte Messpunkte möglich
                                                                          wäre, Bewegungsprofile eines Nutzers zu erstellen und
                                                                          ihn somit anhand seines Wearables zu tracken.68 Das
63 Die App MyFitnessPal wurde im Rahmen der Prüfung mit dem Garmin        Wearable sollte daher, wenn der Nutzer das Gerät ein-
   Connect Konto verbunden, da hierfür auf der Webseite von MyFit-        mal in Gebrauch hat, keine Daten über Advertising Pa-
   nessPal ausdrücklich geworben wird (Stand: 26.10.2016). Da die
   Ergebnisse für die Bluetooth-Verbindung jedoch Hardware-spezifisch     ckets mehr senden, anhand derer das Gerät für Fremde
   sind und sich daher mit den Ergebnissen für die Garmin-Smartwatch      eindeutig identifizierbar ist.
   decken, werden Ergebnisse der technischen Prüfung für MyFitnessPal
   nur für das Datensendungs- und -speicherverhalten der App berichtet.
64 S. auch Hilts, Parson, & Knockel, 2016.                                Ist das Wearable aktiv an das Smartphone des Nut-
65 www.datenschutz-nord-gruppe.de.                                        zers gekoppelt, muss es keine Advertising Packets
66 Im Projekt Marktwächter Digitale Welt beobachten und analysieren der
   Verbraucherzentrale Bundesverband (vzbv) unter Beteiligung der 16
                                                                          mehr senden, da das ursprüngliche Ziel des Verbin-
   Verbraucherzentralen den Markt in Deutschland, um Missstände früh      dungsaufbaus bereits erreicht wurde. Wird die Kopp-
   zu erkennen und auf Fehlentwicklungen aufmerksam zu machen. Die        lung unterbrochen (inaktive Kopplung),69 werden zwar
   Verbraucherzentrale NRW ist eine von fünf Schwerpunkt-Verbraucherz-
   entralen im Projekt und beschäftigt sich mit Entwicklungen rund um
   das Thema Nutzergenerierte Inhalte.                                    68 Z. B. Hilts et al., 2016; Di Luzio, Mei, & Stefa, 2016.
67 Ein Überblick über die technischen Prüfpunkte ist abrufbar unter       69 Dies ist beispielsweise der Fall, wenn das gekoppelte Smartphone
   http://www.marktwaechter.de/digitale-welt/marktbeobachtung/wear-          ausgeschaltet ist, sich in zu großer Distanz zum Wearable befindet,
   ables-und-fitness-apps.                                                   oder seine Bluetooth-Funktion deaktiviert ist.

16 | Technische Prüfung

    vermutlich wieder Advertising Packets gesendet, dort                         Ergebnisse. In aktiv gekoppeltem Zustand werden mit
    enthaltene Informationen wie die MAC-Adresse soll-                           nur einer Ausnahme (Technaxx) keine Advertising Pa-
    ten dann jedoch anderweitig vor ungewolltem Tracking                         ckets gesendet: Die Geräte sind dann weder über eine
    geschützt werden. Beispielsweise sind die getesteten                         MAC-Adresse identifizierbar, noch können anderweiti-
    Wearables Bluetooth Low Energy-Geräte, die technisch                         ge Informationen über das GATT-Profil ausgelesen wer-
    dazu in der Lage sind, ihre MAC-Adresse mit Hilfe eines                      den.
    privaten Schlüssels in regelmäßigen Abständen zu än-
    dern (sog. MAC-Randomisierung). Der Schlüssel wird                           Bei inaktiver Kopplung sendet die Mehrzahl der Wea-
    zwischen dem Wearable und dem gekoppelten Gerät                              rables Advertising Packets (Tabelle 4; Ausnahme:
    ausgetauscht, sodass nur das gekoppelte Endgerät die                         Samsung Gear S2). Insgesamt sind im Zuge dessen
    MAC-Adresse des Wearables kennt. Das Wearable ist                            zehn von zwölf Geräten eindeutig über ihre MAC-Ad-
    für fremde Geräte dann nicht mehr eindeutig identifi-                        resse identifizierbar (Tabelle 4; Ausnahmen: Withings,
    zierbar.70                                                                   Samsung). Nur die Withings Activité randomisiert hier-
                                                                                 bei ihre MAC-Adresse. Die Adresse der Apple Watch
    Wearables können jedoch nicht nur über ihre MAC-Ad-                          ändert sich während des Installationsprozesses, bleibt
    resse identifiziert werden: Im Zuge des ersten Verbin-                       jedoch zu weiteren Messzeitpunkten konstant.74 Über
    dungsaufbaus sendet das Wearable innerhalb eines                             das GATT-Profil sind bei inaktivem Kopplungszustand
    sogenannten GATT-Profils71 weitere Informationen an                          bei neun von zwölf Geräten weitere Daten auslesbar
    das Endgerät, das beispielsweise Informationen wie                           (Ausnahmen: Polar, Samsung, Withings).
    die Seriennummer oder andere identifizierende Merk-
    male enthalten kann. Lässt das Wearable bei inaktiver                             Aussenden von Geräteinformationen via Blue-
    Kopplung eine Verbindung mit fremden Geräten zu,                             tooth. Tabelle 4
    können diese Informationen auch durch unbefugte
    Dritte ausgelesen werden. So wäre es möglich, dass ein                                   2.3 DATENSENDUNGSVERHALTEN
    Wearable zwar seine MAC-Adresse regelmäßig ändert,                                       DER APP
    ein ungewolltes Tracking durch Dritte jedoch über die
    im GATT-Profil gespeicherten und auslesbaren Daten                           In Bezug auf das Datensendungsverhalten der App wur-
    möglich bleibt.                                                              de untersucht, welche Daten wohin im Zuge der Weara-
                                                                                 ble-Nutzung von der App übertragen werden, und wie
    Methode. Um zu überprüfen, inwieweit die getesteten                          sicher die Datenverbindung zwischen der App und mög-
    Wearables sicher vor ungewolltem Tracking sind, wur-                         lichen Empfänger-Servern ist.
    den die Geräteinformationen der Wearables zu ver-
    schiedenen Testzeitpunkten abgefragt,72 nämlich vor                          Methode. Um das Datensendungsverhalten der Apps
    der Kopplung mit dem Smartphone, nach der Kopplung                           in möglichst alltagstypischen Situationen zu ermitteln,
    (aktive Kopplung) und bei deaktivierter Bluetooth-Ver-                       wurde der Datenverkehr während verschiedener Nut-
    bindung des gekoppelten Smartphones (inaktive Kopp-                          zungsphasen erfasst, wie beispielsweise dem Durch-
    lung). Überprüft wurde, zu welchen Messzeitpunkten                           führen eines Trainings, dem manuellen Hinzufügen von
    Datenpakete gesendet wurden73 und ob über den Zu-                            Informationen (Wunschgewicht, Profilbild o. ä.) oder
    griff auf das GATT-Profil weitere Daten auslesbar waren.                     der Einladung eines Kontakts im Adressbuch.

    70 Lester & Stone, 2016; s. auch Wang, 2014. Die Randomisierung der          Der Datenverkehr wurde jeweils vor und nach Regist-
       MAC-Adresse kann die Bedienbarkeit des Wearables unter Umständen          rierung eines neuen Benutzerkontos und der damit ver-
       herabsetzen, wenn das Smartphone und das Wearable sich nach
       Änderung der MAC-Adresse jedes Mal neu koppeln müssen.
                                                                                 bundenen Zustimmung zu Nutzungsbedingungen und
    71 Generic Attributes Profile, https://www.bluetooth.com/specifications/     gegebenenfalls den Datenschutzbestimmungen er-
       generic-attributes-overview [Stand: 27.01.2017].                          fasst. Darüber hinaus wurde der Datenverkehr unter per
    72 Hierzu wurde die Android-App nRF Connect Version 4.3.0 von Nordic
       Semiconductor eingesetzt.
                                                                                 Grundeinstellung vorgegebenen App-Berechtigungen
    73 Zur Verifizierung der Ergebnisse wurden die MAC-Adressen der Wearab-
       les einige Tage später erneut ausgelesen. Es ist möglich, dass sich die        Rohdaten konnte mit dieser Methodik nicht ermittelt werden.
       MAC-Adresse nach diesem Zeitpunkt noch geändert hat, dies wurde           74   Für gegenteilige Ergebnisse für iOS-Geräte s. Hilts et al., 2016; Lester &
       nicht überprüft. Der Inhalt der über ID-Variablen hinaus auslesbaren           Stone, 2016.

Technische Prüfung |                 17

       4     AUSSENDEN VON GERÄTEINFORMATIONEN VIA BLUETOOTH

                                     MAC-Adresse vor                             MAC-Adresse                            weitere Daten auslesbar
                                       Kopplung                              in Kopplungszustand                         in Kopplungszustand b

             Wearable                                                    aktiv                      inaktiv                 aktiv          inaktiv

            Apple Watch             5F:7D:01:02:B9:50                unbekannt              5F:7D:01:02:B9:50               nein              ja

           A-Rival Qairós           F8:6B:33:C9:70:7B                unbekannt              F8:6B:33:C9:70:7B               nein              ja

            Fitbit Blaze            F3:CF:9D:5B:3B:E7                unbekannt              F3:CF:9D:5B:3B:E7               nein              ja

       Garmin Forerunner
                                     F1:E5:74:51:7B:51               unbekannt               F1:E5:74:51:7B:51              nein              ja
            735XT

           Jawbone UP 3             F0:3A:E3:5D:F3:29                unbekannt               F0:3A:E3:5D:F3:29              nein              ja

             Polar V800            00:22:D0:86:20:4E                 unbekannt              00:22:D0:86:20:4E               nein             nein

       Runtastic Moment             C2:9E:FF:69:D0:5D                unbekannt              C2:9E:FF:69:D0:5D               nein              ja

        Samsung Gear S2             7C:91:22:AD:E1:C5                unbekannt                   unbekannt                  nein             nein

            Striiv Fusion          D7:54:FA:AC:2A:CA                 unbekannt              D7:54:FA:AC:2A:CA               nein              ja

        Technaxx Classic
                                    E0:E5:CF:8F:4D:E7            E0:E5:CF:8F:4D:E7           E0:E5:CF:8F:4D:E7                ja              ja
             TX-37

        Withings Activitéa          14:32:38:53:31:FA                unbekannt              33:AD:87:AE:07:56               nein             nein

           Xiaomi Mi Band
                                    C8:0F:10:7C:B7:B3                unbekannt              C8:0F:10:7C:B7:B3               nein              ja
               Pulse

     a Zu beachten ist die veränderte MAC-Adresse vor Kopplung und bei inaktiver Kopplung.
     b Im Rahmen des Projektes war es nicht möglich, für jedes Wearable den konkreten Inhalt der auslesbaren Rohdaten zu ermitteln.

einerseits und unter Entzug von App-Berechtigungen75                             Um festzustellen, ob die Apps unaufgefordert Kontakt-
andererseits ermittelt. Hierdurch konnte überprüft wer-                          daten übermitteln, wurden vor Durchführung des Tests
den, welchen Einfluss dies auf das Datensendungsver-                             in den Adressbüchern der Smartphones drei Kontakte
halten der App, im Vergleich zu den ursprünglich vorge-                          abgespeichert. Von diesen Kontakten wurden innerhalb
gebenen Grundeinstellungen, hat. Über letztere fordern                           der Einladungsfunktion der App jeweils zwei Kontakte
die getesteten Apps eine Vielzahl von Zugriffsberech-                            eingeladen und einer explizit nicht eingeladen, sodass
tigungen – wie beispielsweise Zugriff auf die Kontakte                           die Übermittlung dieses Kontaktes an den Anbieter ei-
des Nutzers oder den Speicher des Smartphones (Ta-                               nen unaufgeforderten Zugriff darstellen würde.
belle 5).
                                                                                 Um den Internetverkehr der Fitness-App aufzuzeichnen,
    Auswahl angeforderter Zugriffsberechtigungen                                 wurde ein Man-in-the-middle-Angriff durchgeführt:
(Grundeinstellungen). Tabelle 5.                                                 Hierbei wurde der Datenverkehr zunächst über das Mo-
                                                                                 bilfunknetz deaktiviert und der gesamte WLAN-Verkehr
                                                                                 der Smartphones über einen eigenen Server geleitet
                                                                                 (http-Proxy).76 Um transportverschlüsselte Verbindun-
75   Bei iOS und unter Android ab Version 6 können App-Berechtigungen
     wie der Zugriff auf den internen Speicher, Kalender, Kontakte, Kamera
     oder Mikrophon entzogen werden, z. B. Barczok & Porteck, 2015.              76 Der eingesetzte Proxy-Server war Burp Suite (Version 1.7.03) der Firma

18 | Technische Prüfung

           5    AUSWAHL ANGEFORDERTER ZUGRIFFSBERECHTIGUNGEN (GRUNDEINSTELLUNGEN)

            App-Anbieter a          Standort      Kontakte        Kamera        Kalender         Fotos             Telefon   SMS   Speicher

               Apple (iOS)

                 A-Rival

                  Fitbit

                 Garmin

                Jawbone

               MyFitn.Pal

                  Polar

               Runtastic

                Samsung

                  Striiv

               Technaxx

                Withings

                 Xiaomi

         a Am Beispiel von Android (Ausnahme: Apple, hier werden die Ergebnisse für iOS berichtet).

    gen einsehen zu können, wurde der Smartphone-App                               ausgehender Datenverkehr beobachtet wurde, zeich-
    ein anderes, nicht vom Server stammendes Zertifikat                            nen sich alle Apps durch ein ausgeprägtes Datensen-
    präsentiert, das zuvor von der Proxysoftware erstellt                          dungsverhalten aus (zwanzig von 24 getesteten Apps).
    wurde. Der so aufgezeichnete Datenverkehr wurde an-                            Die Übertragung personenbezogener Daten in den ver-
    schließend analysiert, um die Übertragung von Daten                            bleibenden zwanzig Apps erfolgte ausnahmslos unter
    innerhalb verschiedener Datenkategorien zu prüfen                              Einsatz von Transportverschlüsselung (https). Zusätz-
    (Tabelle 6). Geprüft wurde auch, ob zusätzliche Maß-                           liche Sicherungsmechanismen konnten nur bei der Da-
    nahmen zur Absicherung des Datenverkehrs der App                               tenübertragung der Fitness-App Apple Health/Activities
    getroffen wurden.77                                                            an den Anbieter-Server in Form von Certificate Pinning
                                                                                   festgestellt werden. Hierbei wird die Datenübertragung
    Ergebnisse Übertragungssicherheit. Mit Ausnahme der                            vor ungewolltem Zugriff durch Dritte – zum Beispiel bei
    Fitness-Apps von A-Rival und Technaxx, für deren jeweils                       Man-in-the-middle-Angriffen – geschützt, indem die App
    zwei getesteten Apps zum Zeitpunkt der Prüfung kein                            Anfragen von potentiellen Empfänger-Servern nur unter
                                                                                   sehr strengen Bedingungen als vertrauenswürdig ein-
         PortSwigger; zur genaueren Beschreibung der Methodik z. B. Eiken-         stuft und auch nur dann Daten dorthin sendet.78 Daher
         berg, 2012.
                                                                                   konnte für diese App auch nicht analysiert werden, wel-
    77   Auf unbekannte Weise komprimierte, kodierte oder verschlüsselte
         Daten konnten im Rahmen der technischen Prüfung nicht eingesehen          che Daten an den Anbieterserver kommuniziert werden.
         werden. Zum Beispiel übermittelten einige Apps den kompletten
         binären Inhalt des Wearable-Speichers zur Auswertung an den Server,
         anstatt die Auswertung in der App auf dem Smartphone vorzunehmen.
                                                                                   Ergebnisse Datenübermittlung an Anbieter. Zwanzig
         Ohne eine im Rahmen dieses Projekts nicht mögliche, aufwändige            der 24 getesteten Apps übertragen Daten an die Ser-
         Nachkonstruktions-Untersuchung (sog. reverse engineering) der einge-      ver des Anbieters (Tabelle 7). Dies kann beispielsweise
         setzten Hardware und Speicherformate ließen sich diese Daten nicht
         analysieren. Dies, sowie die Tatsache, dass die Wearables und Apps
                                                                                   notwendig sein, um Funktionen der App zu gewährleis-
         nur über einen begrenzten Zeitraum getestet wurden, schließt nicht        ten oder einen eingebundenen Online-Dienst wie bei-
         aus, dass bei regelmäßiger Nutzung auch Daten von der App übermit-
         telt werden, die innerhalb der vorliegenden Testung nicht abgefangen
         werden konnten.                                                           78 Hilts et al., 2016, S. 35.

Sie können auch lesen