WEARABLES, FITNESS-APPS UND DER DATENSCHUTZ: Alles unter Kontrolle? Eine Untersuchung der Verbraucherzentralen - April 2017 - Die Marktwächter
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WEARABLES, FITNESS-APPS UND DER DATENSCHUTZ: Alles unter Kontrolle? Eine Untersuchung der Verbraucherzentralen – April 2017
Inhalt | 3 WEARABLES, FITNESS-APPS UND DER DATENSCHUTZ 1. PROBLEMSTELLUNG 5 1.1 Wearables im Überblick 5 1.2 Selbstvermessung: Verbraucher zwischen Eigen- und Fremdmotivation 6 1.3 Recht auf informationelle Selbstbestimmung 8 1.4 Methodischer Gesamtüberblick 11 2. TECHNISCHE PRÜFUNG 13 2.1 Anbieter- und Geräteauswahl 13 2.2 Bluetooth-Verbindung des Wearables 15 2.3 Datensendungsverhalten der App 16 2.4 Datenspeicherverhalten der App 21 2.5 Zwischenfazit: Technische Prüfung 23 3. INFORMATION UND EINWILLIGUNG 24 3.1 Rechtliche Aspekte 24 3.2 Textschwierigkeit 31 3.3 Zwischenfazit: Information und Einwilligung 32 4. VERBRAUCHERBEFRAGUNG 35 4.1 Methode 35 4.2 Nutzung von Wearables 35 4.3 Datenschutzbedenken von Wearable-Nutzern und Nicht-Nutzern 37 4.4 Folgenbewertung 37 4.5 Zwischenfazit: Verbraucherbefragung 37 5. ZUSAMMENFASSUNG 41 QUELLENVERZEICHNIS 43
4 | Abbildungen und Tabellen ABBILDUNGEN UND TABELLEN 1 Forschungsfragen und Methoden 10 2 Übersicht der ausgewählten Wearables und Fitness-Apps 14 3 Datenflüsse 15 4 Aussenden von Geräteinformationen via Bluetooth 17 5 Angeforderte Zugriffsberechtigungen (Grundeinstellungen) 18 6 Datenkategorien und Beschreibungen 19 7 Datensendungsverhalten: Erhebung von Daten durch den Anbieter 20 8 Anzahl und Art eingebundener Drittanbieter 21 9 Daten, die an mindestens einen Drittanbieter gesendet werden 22 10 Abgerufene Datenschutzerklärungen 25 11 Information und Einwilligung 29 12 Interpretation von Flesch-Indices 32 13 Übersicht ausgewählter Eigenschaften der analysierten Texte 33 14 Nutzungshäufigkeit 36 15 Nutzungshäufigkeit nach Altersgruppen 36 16 Gründe gegen die Nutzung von Wearables 36 17 Allgemeine Datenschutzbedenken der Befragten 38 18 Bewertung möglicher Folgen der Wearable-Nutzung 39
Problemstellung | 5 1. PROBLEMSTELLUNG Die Digitalisierung des Alltags, innerhalb dessen Men- der von den Sensoren gemessenen Daten an ein Smart- schen „Knotenpunkte im Internet der Dinge werden“1, phone oder Tablet. Auf diesem ist in der Regel eine ent- schreitet stetig voran. Selbstvermessungstechnologi- sprechende Anwendung (Applikation, App) installiert, en wie Wearables und Fitness-Apps können hilfreiche die die vom Wearable erhobenen Rohdaten aggregiert Alltagsbegleiter sein, die ein Mehr an Autonomie und und aufbereitet. Verbraucher werden somit in die Lage Kontrolle über Körper und Gesundheit bedeuten kön- versetzt, die eigenen Körperaktivitäten überwachen zu nen. Damit Verbraucher 2 langfristig von dieser Entwick- können (sog. Self-Tracking). Hierbei werden nicht nur lung profitieren und nicht zu Verlierern innerhalb einer dem Verbraucher diese Daten angezeigt – auch die je- mittels Algorithmen gesteuerten Welt werden, müssen weiligen Wearable-Anbieter können die generierten In- Nutzungsrisiken aufgedeckt und begrenzt werden. halte erheben, speichern und nutzen. 4 Denn: Die im Zuge der Wearable-Nutzung entstehenden Daten wecken Begehrlichkeiten externer Akteure – wie Der Begriff Wearables ist als Sammelkategorie für eine Werbeindustrie oder auch Krankenkassen. Reihe verschiedener Ausführungsformen zu verstehen, die sich beispielsweise darin unterscheiden, wo genau Im Folgenden werden zentrale datenschutzrelevante das jeweilige Gerät am Körper getragen wird. Kommer- Aspekte bei der Nutzung von Wearables und Fitness- ziell am weitesten verbreitet sind Wearables, die am Apps beleuchtet. Neben einem kurzen Marktüberblick Handgelenk getragen werden (sog. Wristwear, in der (Abschnitt 1.1) wird insbesondere die potenzielle ge- Regel als Smartwatches oder Fitness-Armbänder).5 Da- sellschaftliche Bedeutung von derlei Technologien rüber hinaus werden derzeit Datenbrillen und „smarte“ diskutiert (Abschnitt 1.2). Basierend auf Überlegungen Kontaktlinsen entwickelt oder bereits angeboten (sog. zum Recht auf informationelle Selbstbestimmung wer- Eyewear), ebenso wie Kopfhörer mit digitaler Schnitt- den die Forschungsfragen der Untersuchung abgeleitet stelle (sog. Earwear) oder „smarte“ Alltagskleidung in (Abschnitt 1.3) und die Methoden erläutert, die zu ih- Form von T-Shirts, Schuhen oder auch Babykleidung, rer Beantwortung ausgewählt wurden (Abschnitt 1.4). die es Eltern ermöglicht, Atmung und Schlaf ihres Säug- Hierbei handelt es sich um eine technische Prüfung von lings via Smartphone ständig zu überwachen.6 Insofern zwölf Wearables (Kapitel 2), eine rechtliche Einordnung sind Wearables ein Beispiel für die fortschreitende dazu, wie Anbieter mit geltenden Datenschutzbestim- Vernetzung von Alltagsgegenständen – ein generelles mungen umgehen (Kapitel 3) sowie eine Verbraucher- Phänomen, das oft als „Internet der Dinge“ bezeichnet befragung (Kapitel 4). wird.7 1.1 WEARABLES IM ÜBERBLICK Weiterhin unterscheiden sich Wearables in ihrer kon- kreten Ausstattung, das heißt, welche Sensoren ver- Wearable Computing Devices (Wearables) sind am baut sind und entsprechend welche Daten erzeugt Körper tragbare, elektronische Kleingeräte, die einer- werden. In der Mindestausstattung verfügen die meis- seits über einen oder mehrere Sensoren zur Messung ten Wearables über einen Beschleunigungssensor, der körperlicher Aktivitäten und Vorgänge verfügen und auch minimale Bewegungen registriert. Auf Basis der andererseits über eine digitale Schnittstelle (zumeist vom Sensor gemessenen Rohdaten wird beispielswei- Bluetooth, teilweise auch Near Field Communication se die Anzahl der gegangenen Schritte ermittelt und (NFC) oder WLAN).3 Diese ermöglicht eine Übertragung 4 Unter „Wearable-Anbietern“ wird im Rahmen der vorliegenden Untersu- chung das Unternehmen verstanden, dass das Wearable unter seiner 1 Lupton, 2014, S. 15 (eigene Übersetzung). Marke vertreibt. Dieses kann sowohl die Produktion der Hardware als 2 Aus Gründen der besseren Lesbarkeit wird in der vorliegenden Arbeit auch die Programmierung einer kompatiblen Fitness-App an externe mit „Verbraucher“ eine verkürzte geschlechtsneutrale Formulierung Dienstleister ausgelagert haben. verwendet. Der Text richtet sich daher sowohl an Verbraucherinnen als 5 Ballhaus, Song, Meyer, Ohrtmann, & Dressel, 2015, S. 9; Steinbrunn & auch an Verbraucher. Diese Formulierungsregel gilt für die gesamte Dominsky, 2016, S. 23. vorliegende Arbeit (z. B. auch in Bezug auf die Verwendung des Begriffs 6 Selke, 2015, S. 46; s. auch http://www.baby-wearables.de/baby-wear- „Internet-Nutzer“). able-als-strampler-mimo-ueberwacht-schlaf-und-atmung/. 3 Delisle, 2016, S. 1; Goldhammer, 2016, S. 4. 7 Delisle, 2016, S. 2.
6 | Problemstellung Kalorienverbrauch oder Schlafdauer und -qualität algo- Während 14 Prozent der deutschen Internetnutzer an- rithmenbasiert berechnet.8 Höherklassige und neuere geben, derzeit ein Wearable zu nutzen,16 scheint das Wearables verfügen meistens über zusätzliche Senso- Marktpotenzial für derlei Technologien weitaus größer ren, zum Beispiel zur Messung von Puls, Herzfrequenz, zu sein. So gaben in einer bevölkerungsrepräsentativen Körpertemperatur, Hautleitfähigkeit sowie zur Bestim- Telefonumfrage des Digitalverbandes Bitkom (2015) mung des Aufenthaltsorts (meist via GPS).9 vierzig Prozent der Befragten an, sich zumindest für die Nutzung einer Smartwatch zu interessieren, auch wenn Sowohl die in Wearables verbauten Sensoren als auch sie zum Zeitpunkt der Befragung noch keine aktiven ihre digitalen Schnittstellen werden vermutlich immer Nutzer waren.17 Die wachsende Beliebtheit von Weara- energie-und platzeffizienter werden, sodass sich die bles spiegelt sich außerdem in weltweit steigenden Ab- Technologie zukünftig noch unauffälliger in den Alltag sätzen wider: Bis zum Jahr 2018 wird ein Marktwachs- integrieren lassen wird.10 So werden derzeit Bio-Tattoos tum von jährlich 21 Prozent prognostiziert.18 (sog. Tech Tats) entwickelt: Diese haben ähnliche Funk- tionen wie Wearables am Handgelenk, die Sensoren Darüber hinaus gibt es eine unüberschaubare Menge werden jedoch mittels Tinte in die Haut implantiert.11 an Fitness-Apps, die – wenn auch eingeschränkt – Zusätzlich scheinen Wearables über die bloße Messung ohne die zusätzliche Wearable-Hardware Körperdaten von Körperdaten hinaus zukünftig mit ihren Nutzern über die Sensoren des Smartphones messen und be- außerhalb der Bedienungsoberfläche interagieren zu rechnen. Wearables und Fitness-Apps sind insbesonde- können. Beispielsweise können Sensoren, die über ein re bei jüngeren Verbrauchern verbreitet, die diese zur elektronisches Pflaster auf dem Rücken befestigt wer- Überwachung körperlicher Aktivitäten und zur Optimie- den, die Nutzer über ein Vibrieren daran erinnern, ihre rung von Fitness und Gesundheit nutzen.19 Sitzhaltung zu korrigieren.12 1.2 SELBSTVERMESSUNG: Die stetig präziser und invasiver werdende Sensortech- VERBRAUCHER ZWISCHEN EIGEN- nik ermöglicht immer weitreichendere Rückschlüsse UND FREMDMOTIVATION auf traditionell intime Lebensbereiche. Mittelbar kön- nen die gesammelten Daten, zum Beispiel Daten über Wearables und Fitness-Apps werden in der Regel zu das Schlafverhalten einer Person, nicht nur Rückschlüs- Zwecken der Selbstvermessung, Selbstüberwachung se auf die körperliche Gesundheit zulassen, sondern – und Selbstoptimierung genutzt.20 Der Begriff „Selbst- beispielsweise über die Messung von Hauttemperatur vermessung“ umschreibt Praktiken, die der Quan- und Schweißdrüsenaktivität – auch auf psychische Zu- tifizierung der eigenen körperlichen und geistigen stände (z. B. Stress).13 Dies ist vor allem der Fall, wenn Zustände dienen. Meist beinhaltet dies das Messen eine Kombination verschiedener solcher Daten über ei- und Aufzeichnen verschiedener Aktivitäten sowie den nen längeren Zeitraum getrackt und von einer App aus- Wunsch, sich selbst in bestimmter Hinsicht verbessern gewertet wird. Da dies in der Regel Sinn und Zweck des zu wollen.21 Selbstvermessung betrifft also zunächst Self-Trackings ist, sind die von Wearables gemessenen die selbstgesteuerte (intrinsische) Motivation, ein Daten als Gesundheitsdaten zu werten,14 die im Sinne auf die ein oder andere Art und Weise „besseres“ und des Bundesdatenschutzgesetzes (BDSG) besondere gesünderes Leben zu führen.22 personenbezogene Daten sind (s. Abschnitt 3.1).15 16 YouGov, 2016. 17 Lutter, Pentsi, Poguntke, Böhm, & Esser, 2015, S. 32. 18 Ballhaus et al., 2016, S. 5. 8 Schumacher, 2016, S.42. 19 Z. B. YouGov, 2016, S. 5. 9 Global Positioning System. 20 Abril, 2016. 10 Z. B. Wiggers, 2016. 21 Ehlert et al., 2015, S. 30-31; ausgeschlossen hiervon sind Selbstver- 11 Goldhammer, 2016, S. 4. messungspraktiken, die eine lebenswichtige Notwendigkeit darstellen; 12 Z. B. www.uprightpose.com. eine Diskussion soziologischer Aspekte von Selbstvermessung und 13 Umann, Tuscher, Buchmann, & Bosch, 2016, S. 132-133. -optimierung kann z. B. nachgelesen werden bei En & Pöll, 2016; 14 Artikel 29 Datenschutzgruppe, 2015. Selke, 2016. 15 § 3 Abs. 9 und §§ 4, 4a Abs. 3 BDSG; s. Kapitel 3. 22 Lupton, 2014, S. 6; Meißner, 2016, S. 219.
Problemstellung | 7 Während die Praktik des Selbstvermessens an sich bote.28 Die App Soma Analytics übermittelt sogar den unabhängig von der dafür angewandten Methode Gemütszustand von Mitarbeitern an deren Arbeitgeber, ist, erleichtert die Digitalisierung die Integration der beispielsweise über die Auswertung ihrer Stimme und Selbstvermessung in den Alltag – denn Wearables und Smartphone-Nutzungsmuster.29 Fitness-Apps können die relevanten Daten automati- siert und weitestgehend unbemerkt in Echtzeit auf- Obwohl die breite Masse der Wearables und Fitness- zeichnen.23 Insofern werden derlei Technologien auch Apps im Bereich dieses zweiten Gesundheitsmarktes als eine Erweiterung der Autonomie und Kontrolle über anzusiedeln ist, werden sie in Dienstleistungen des den eigenen Körper und die eigene Gesundheit verstan- ersten Gesundheitsmarktes – der die klassische me- den. dizinische Versorgung durch private und gesetzliche Krankenversicherungen umfasst – mittlerweile mit ein- Die Grundidee, dass Menschen sich selbstverantwort- gebunden.30 So sehen Versicherungsdienstleister in der lich um ihre Gesundheit kümmern sollen, ist außer- Selbstvermessungstechnologie eine Möglichkeit, nicht dem in einem volkswirtschaftlichen Kontext zu sehen nur Krankheitsintervention zu verbessern, sondern – denn gesunde Menschen verursachen dem Gesund- Wearables zur Gesundheitsvorsorge im Rahmen von heitssystem weniger Kosten als Kranke. Der Slogan Bonusprogrammen einzusetzen, wodurch eine langfris- „Sitzen ist das neue Rauchen“24 fasst die in diesem tige Kosteneinsparung angestrebt wird.31 Vorreiter hier- Zusammenhang zentrale Annahme zusammen, die die bei ist der private Versicherungsdienstleister Generali, Nutzung von Wearables außerhalb eines individuellen der mit Vitality seit Juli 2016 eine eigene Fitness-App Wunsches nach Fitness interessant macht: Ein aktiver anbietet.32 Die Nutzung der App stellt den Versicherten Mensch, der sich ausreichend viel bewegt, soll eine ge- je nach Bewegungsleistung Rabatte auf Versicherungs- ringere Wahrscheinlichkeit haben, zukünftig krank zu produkte oder Sachprämien in Aussicht. werden.25 Auch gesetzliche Krankenkassen, die sich von privaten Obwohl nicht abschließend geklärt ist, inwieweit Wea- Dienstleistern durch ihre Organisation nach dem Soli- rables und Fitness-Apps Menschen tatsächlich zu ei- darprinzip33 unterscheiden, zeigen Interesse an dem nem gesünderen Lebensstil motivieren,26 werden sie beschriebenen Geschäftsmodell. Allerdings verbieten als Instrumente vermarktet, die Menschen zu mehr Be- ihnen gesetzliche Regelungen grundsätzlich, perso- wegung und einem insgesamt gesünderen Lebensstil nenbezogene Daten ihrer Mitglieder zu erheben, die über äußere Anreize (extrinsisch) motivieren sollen. über das für die Vertragserfüllung erforderliche Maß Daran haben beispielsweise Arbeitgeber Interesse, die hinausgehen. Eine Anpassung des Versicherungstarifs über eine geringere Anzahl von Krankheitsfällen in ih- auf Basis der von Wearables und Fitness-Apps erhobe- rem Unternehmen Kosten einsparen und ihre Produk- nen Daten ist ihnen somit untersagt.34 Dennoch können tivität erhöhen wollen. So setzen bereits verschiede- Bestrebungen seitens gesetzlicher Versicherungen ne Unternehmen in den USA (u. a. BP) Wearables und Fitness-Apps ein, um die Aktivität ihrer Mitarbeiter zu 28 https://www.fitbit.com/de/group-health# [Stand: 31.01.2017]. überwachen und sie bei ausreichender Bewegung zu 29 http://soma-analytics.de/; Klofta & Rest, 2015. 30 Der erste Gesundheitsmarkt umfasst in erster Linie Leistungen von belohnen, beispielsweise mit „Wellness-Punkten“.27 staatlichen und öffentlichen Einrichtungen, wie beispielsweise die Innerhalb des Versicherungssystems der USA können Leistungen und Angebote gesetzlicher Krankenversicherungen. Die Angebote des zweiten Gesundheitsmarktes beziehen sich derlei Punkte einen Einfluss auf die Höhe des Versi- hingegen auf individuelle Gesundheitsleistungen, wie beispielsweise cherungsbeitrags haben. Führende Wearable-Anbieter Wellness-Reisen oder Fitness-Kurse. Die Definition des zweiten wie Fitbit oder Jawbone bewerben auf ihrer Webseite Gesundheitsmarktes ist schwierig, weil dieser sehr heterogen ist und teilweise Verbindungen zum ersten Gesundheitsmarkt bestehen (z. B. entsprechende auf Arbeitgeber zugeschnittene Ange- Fitness-Kurse, die von gesetzlichen Krankenversicherungen finanziell bezuschusst werden). Damm, Kuhlmann, & von der Schulenburg, 2010, S. 2. 23 Selke, 2016, S. 3. 31 Gigerenzer, Schlegel-Matthies, & Wagner, 2016, S. 1; Lupton, 2015, S. 24 z. B. Raether, 2013. 3; zur Bewertung von Bonusprogrammen, s. auch Verbraucherzentrale 25 Sjögren et al., 2014. NRW, 2015. 26 Dies betrifft mHealth-Anwendung übergreifend; Tomlinson, Rotheram- 32 https://www.generali-vitalityerleben.de/ [Stand: 30.01.2017]. Borus, Swartz, & Tsai, 2013. 33 Burkhardt, 2013. 27 Christl, 2014, S. 40. 34 Z. B. BMJV, 2016.
8 | Problemstellung in diesem Kontext beobachtet werden. So bietet die auch im Kontext der Wearable- und Fitness-App- AOK Nordost seit Januar 2016 die kostenlose Fitness- Nutzung für sich beanspruchen kann. Dieses wird vom App FitMit AOK an, die laut Versicherung als „digitales Bundesverfassungsgericht aus Art. 2 Abs. 1 GG in Bonusheft“ zu verstehen ist: Gegen Vorlage guter Ak- Verbindung mit Art. 1 Abs. 1 GG hergeleitet.39 Es sieht tivitätsdaten können die Versicherungskunden auf un- vor, dass jeder selbst darüber bestimmen soll, welche terschiedliche Bargeld- oder Sachprämien zurückgrei- Daten er von sich preisgibt, wie diese weiterverarbeitet fen.35 Auch der Chef der Techniker Krankenkasse (TK), werden und wer Zugriff darauf hat – ein Wunsch, den Jens Baas, hat angekündigt, dass Fitness-Armbänder Verbraucher auch in Bezug auf ihre Gesundheits- und und andere Wearables zukünftig eine Rolle in dem Bo- Fitnessdaten äußern. 40 nusprogramm der TK spielen könnten.36 Die Realisierung dieser Selbstbestimmung ist in der Aus Sicht des Verbraucherschutzes werfen derlei Anrei- Praxis jedoch von verschiedenen Voraussetzungen ab- ze die Frage auf, inwieweit die Entscheidung, ein Wea- hängig, die in der vorliegenden Studie mit dem Fokus rable zu nutzen, langfristig freiwillig bleibt, denn Ra- auf Wearables und Fitness-Apps untersucht werden. batte und Prämien könnten wirtschaftlichen Druck auf Hierbei steht zunächst die Pflicht des Wearable-Anbie- Verbraucher ausüben. Handlungsfreiheit wäre dann nur ters im Vordergrund, verantwortungsvoll mit den Nut- noch für solche Verbraucher eine realistische Option, zerdaten umzugehen und die datenschutzrechtlichen die es sich finanziell leisten könnten auf die in Aussicht Vorgaben einzuhalten (Abschnitt 1.3.1). Gleichermaßen gestellten Vergünstigungen zu verzichten, wohingegen spielt gerade im Kontext von Wearables und Fitness- zum Beispiel gesundheitlich beeinträchtigte Menschen Apps auch eine Rolle, wie Verbraucher zu datenschutz- nicht von Bonusprogrammen profitieren könnten – eine relevanten Aspekten stehen (Abschnitt 1.3.2). indirekte Form gruppenspezifischer Diskriminierung.37 In Bezug auf Tarife gesetzlicher Krankenkassen wurde 1.3.1 Anbieterpflichten daher bereits verschiedentlich vor einer Aufweichung des Solidarprinzips gewarnt, da Menschen mit gesund- Ein Großteil der über Wearables und Fitness-Apps ge- heitlichen Problemen innerhalb eines ausgeweiteten nerierten Daten ist personenbezogen. Laut § 3 Abs. 1 Bonus-Systems benachteiligt werden könnten.38 Dies BDSG handelt es sich bei personenbezogenen Daten gilt in ähnlicher Weise auch für den systematischen um Einzelangaben über persönliche oder sachliche Einsatz von Wearables in Betrieben. Das Arbeitgeber- Verhältnisse einer bestimmten oder bestimmbaren na- Arbeitnehmer-Verhältnis ist darüber hinaus durch ein türlichen Person. Weiter führt die Europäische Daten- Machtgefälle gekennzeichnet, das Arbeitnehmern eine schutzrichtlinie in Art. 2 Buchst. a Richtlinie 95/46/EG tatsächlich freie Entscheidung für oder gegen die Nut- aus, dass eine Person als bestimmbar angesehen wird, zung eines Wearables am Arbeitsplatz langfristig er- die direkt oder indirekt identifiziert werden kann. Dies schweren könnte. kann insbesondere durch Zuordnung zu einer Kenn- nummer oder zu einem oder mehreren spezifischen 1.3 RECHT AUF INFORMATIONELLE Elementen geschehen, die Ausdruck ihrer physischen, SELBSTBESTIMMUNG physiologischen, psychischen, wirtschaftlichen, kultu- rellen oder sozialen Identität sind. Derlei Daten dürfen Das Interesse externer Akteure an den von Wearab- vom Anbieter41 nur erhoben, gespeichert und genutzt les und Fitness-Apps generierten Daten ist groß (s. werden, wenn eine gesetzliche Gestattung hierzu oder Abschnitt 1.2). Entsprechend ist aus Sicht des Verbrau- eine Einwilligung des Betroffenen vorliegt. 42 cherschutzes entscheidend, dass der einzelne Nutzer 39 sog. Volkszählungsurteil, BVerfG, Urteil vom 15. September 1983, 1 BvR das Grundrecht auf informationelle Selbstbestimmung 209/83. 40 YouGov, 2016, S. 10. 41 Auch in Fällen, in denen der Anbieter (s. auch Fußnote 2) nicht die 35 https://www.fitmit-aok.de/ [Stand: 30.01.2017]. datenverarbeitende Stelle ist, sondern hierfür einen Dienstleister 36 https://www.tk.de/tk/020-positionen/aktuelles/dpa-interview-fitness- beauftragt hat, ist er für den Umgang mit den personenbezogenen tracker/889466 [Stand: 30.01.2017]. Daten verantwortlich, die in Zusammenhang mit der Nutzung seines 37 Z. B. Verbraucherzentrale NRW, 2015; Bundestags-Drucksache 18/ Dienstes über seine Kunden erhoben, gespeichert und genutzt werden; 9058, 2016, S. 1; Bundestags-Drucksache 18/9243, S. 1-4. § 11 Abs. 1 BDSG. 38 Jahberg et al., 2015; Verbraucherzentrale NRW, 2015. 42 § 4 Abs. 1 BDSG, §12 Abs.1 TMG
Problemstellung | 9 Unabhängig von der gesetzlichen Gestattung gilt der chend zunächst, welche Daten vom jeweiligen Anbieter Grundsatz der Datenvermeidung und Datensparsamkeit überhaupt erhoben, gespeichert und genutzt werden nach § 3a BDSG, der für den gesamten Erhebungs- und (Forschungsfrage 1 zu Nutzerdaten, Tabelle 1) und in- Verarbeitungsprozess zu beachten ist: Das BDSG sieht wieweit die erhobenen Daten vor dem Zugriff durch vor, dass für die Vertragserfüllung durch technische unbefugte Dritte geschützt sind (Forschungsfrage 2 zu Ausgestaltung von vornherein so wenige personen- Datensicherheit). bezogene Daten wie möglich erfasst werden. Anbieter müssen mit anderen Worten eine sparsame Lösung zur Werden über die für die Dienstleistung erforderlichen Realisierung ihrer angebotenen Dienstleistungen im- Daten hinaus personenbezogene Daten erhoben, plementieren und dürfen nicht mehr Daten erheben, als müssen diese nicht nur hinreichend gesichert sein. Es für die Erbringung ihrer Dienstleistung erforderlich ist. muss vor allem eine informierte Einwilligung des Nut- zers eingeholt werden. 46 Für die Verwendung von Ge- Ein weiterer zu beachtender Grundsatz ist die Da- sundheitsdaten, die von Wearables und Fitness-Apps tensicherheit, die sich gemäß § 9 BDSG in Form von gemessen werden können, ebenso wie für die Über- technischen und organisatorischen Maßnahmen nie- tragung von Daten ins Nicht-EU-Ausland muss oftmals derschlägt. Ziel ist die Wahrung der Verfügbarkeit, Un- eine Einwilligung eingeholt werden (s. Abschnitt 3.1.1). versehrtheit und Vertraulichkeit von Informationen mit- Entsprechend stellt sich die Frage, inwieweit Wearable- tels Sicherheitsvorkehrungen oder bei der Anwendung Anbieter eine rechtskonforme Einwilligung einholen, von informationstechnischen Systemen, Komponenten insbesondere für die Verarbeitung von Gesundheitsda- oder Prozessen. Die für die Datenverarbeitung Verant- ten und die Übertragung von Daten ins Nicht-EU-Aus- wortlichen sind daher dazu verpflichtet, diese Daten land (Forschungsfrage 4 zu Einwilligung). vor dem Zugriff durch unbefugte Dritte zu schützen – eine Verpflichtung, der in der Vergangenheit nicht im- Durch die informierte Einwilligung sollen Nutzer eine mer hinreichend nachgekommen wurde. 43 So können freie Entscheidung für oder gegen die Preis- und Wei- Unbefugte beispielsweise relativ mühelos Zugriff auf tergabe ihrer Daten an Dritte treffen können. Ist die sensible Nutzerdaten erhalten, wenn die Datenübertra- Entscheidung des Nutzers zur Einwilligung nicht frei, gung zwischen Fitness-App und Anbieterserver nicht ist auch die erteilte Einwilligung unwirksam. Die Einwil- nach dem Stand der Technik gesichert ist. Bei unzurei- ligung ist in der Regel jedoch eine notwendige Bedin- chender Sicherung der Geräteverbindung kann das Tra- gung dafür, dass ein Dienst überhaupt genutzt werden gen eines Wearables außerdem dazu führen, dass Nut- kann. Insofern ist die Entscheidung des Nutzers nur frei zer eindeutig über das Gerät identifizierbar sind. Dies bezüglich der Frage, ob er den Dienst eines Wearables wird beispielsweise in Szenarien relevant, in denen und der dazugehörigen App nutzen will. Ob er hinge- Einkaufszentren die Laufwege und das Kaufverhalten gen im Zuge der Nutzung bestimmte Daten preisgeben von Verbrauchern nachvollziehen wollen und sich da- möchte oder nicht – insbesondere zu Zwecken, die sein für einer Bluetooth-Verbindung mit den Wearables ihrer eigentliches Ziel der Selbstquantifizierung übersteigen Kunden bedienen – ohne deren Einverständnis. 44 – kann er oft nicht entscheiden. Solange Nutzer also innerhalb der Dienstleistung keinen Einfluss darauf Insofern stellt sich die Frage, ob Wearables und Fitness- nehmen können, welche Daten erhoben, gespeichert Apps auf technischer Ebene gängigen Datenschutz- und genutzt werden, steht die Freiwilligkeit der Einwilli- standards genügen. 45 Zu untersuchen ist entspre- gung in Frage. Dies gilt insbesondere für solche perso- nenbezogene Daten, die für die Inanspruchnahme der 43 Z. B. Ackerman, 2013; Clausing, Schiefer, Lösche, & Morgenstern, 2015; Dienstleistung nicht zwingend erforderlich sind. Aus Hilts, Parsons, & Knockel, 2016; Stiftung Warentest, 2016a. 44 Hilts, Parsons, & Knockel, 2016, S. 26. Perspektive des Verbraucherschutzes ist daher zu klä- 45 Im Rahmen dieser Untersuchung wird sich auf das geltende Recht zum ren, inwieweit Wearable-Anbieter ihren Nutzern Mög- Veröffentlichungszeitpunkt bezogen. Die benannten datenschutz- lichkeiten zur Einflussnahme und Kontrolle ihrer Daten rechtlichen Standards werden jedoch auch in der neuen europäischen Datenschutzgrundverordnung implementiert sein, die im Mai 2018 einräumen (Forschungsfrage 3 zu Einflussnahme und in Kraft tritt. Hierzu zählen beispielsweise Rechtmäßigkeit, Treu und Kontrolle). Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftsp- flicht, vgl. auch Art. 5 DS-GVO. 46 § 4a BDSG; s. auch Hartge, 2012, S. 281.
10 | Problemstellung 1 FORSCHUNGSFRAGEN UND METHODEN Forschungsfragen Methode Kapitel 2 1 Nutzerdaten Welche Daten werden im Zuge der Wearable-Nutzung erhoben, gespeichert und genutzt? 2 Datensicherheit Inwieweit sind die im Rahmen der Wearable-Nutzung generierten Daten vor dem Zugriff durch Unbefugte geschützt? Technische Analyse 3 Einflussnahme und Kontrolle Inwieweit räumen Wearable-Anbieter ihren Nutzern Möglichkeiten zur Einflussnahme und Kontrolle ihrer Daten ein? Kapitel 3 4 Einwilligung Wird eine wirksame Einwilligung für die Erhebung, Speicherung und Übertragung personenbezogener Daten eingeholt? § Rechtliche 5 Information Analyse Wird der Nutzer hinreichend über den Umgang mit seinen personen- bezogenen Daten unterrichtet? 6 Textschwierigkeit Ist die Datenschutzerklärung für Laien verständlich? Lexikalische Analyse Kapitel 4 7 Folgenbewertung Wie bewerten Verbraucher mögliche Konsequenzen der Nutzung von Wearables und Fitness-Apps? 8 Datenschutzbedenken von Nutzern und Nicht-Nutzern Unterscheiden sich Nutzer von Wearables und Fitness-Apps von Verbraucherbefragung Nicht-Nutzern in ihren generellen Datenschutzbedenken? Damit der Nutzer über den Umgang mit seinen Daten dieser Daten im Nicht-EU-Ausland. Entsprechend stellt informiert ist, muss er darüber hinreichend unterrich- sich die Frage, inwieweit Anbieter ihre Nutzer hinrei- tet werden. Da Informationen hierzu zunächst nur dem chend über den Umgang mit ihren Daten unterrichten Anbieter vorliegen, ist dieser dazu verpflichtet, trans- (Forschungsfrage 5 zu Information). parent darzustellen, welche Daten erhoben und in wel- cher Form sie weiterverarbeitet werden. Dies betrifft Um über den Umgang mit ihren Daten tatsächlich unter- im Kontext von Wearables und Fitness-Apps – ähnlich richtet sein zu können, müssen Nutzer die vom Anbieter wie bei der einzuholenden Einwilligung – insbesondere zur Verfügung gestellten Informationen lesen und auf die Unterrichtung über die Erhebung, Speicherung und Basis dessen verstehen können. Dementgegen stellen Nutzung von Gesundheitsdaten und die Verarbeitung Angaben zum Datenschutz oft große Herausforderun-
Problemstellung | 11 gen an den Leser, da sie aufgrund der Vielschichtigkeit ren Schaden davon trägt oder sogar vom eintretenden des zu beschreibenden Sachverhalts sehr umfangreich Ereignis profitieren kann. Zu klären ist entsprechend, sein können und häufig komplexe Formulierungen ver- wie Verbraucher mögliche (potenziell negative) Konse- wenden. 47 Dies wirft die Problematik auf, dass – selbst quenzen der Nutzung von Wearables und Fitness-Apps wenn Anbieter rechtskonform und vollständig über den bewerten (Forschungsfrage 7 zu Folgenbewertung). Umgang mit Nutzerdaten unterrichten – nicht sicherge- stellt ist, dass Nutzer über den Umgang mit ihren Daten Während systematische Erkenntnisse zur Risikobewer- tatsächlich informiert sind. Datenschutzerklärungen tung bei der Nutzung von Wearables und Fitness-Apps sollten daher trotz – beziehungsweise gerade wegen noch rar sind, zeigen verschiedene Untersuchungen, – der Komplexität des zu erklärenden Sachverhalts so dass Verbraucher den Umgang mit ihren Daten in die- einfach wie möglich geschrieben sein. 48 Insofern stellt sem Zusammenhang durchaus als Problem betrach- sich die Frage, inwieweit die Datenschutzerklärungen ten. So erklärten in einer bevölkerungsrepräsentati- der Anbieter für Laien einfach geschrieben sind und es ven YouGov-Umfrage (2016) zum Thema Wearables somit Nutzern ermöglichen, sich anhand der zur Ver- und Gesundheits-Apps 41 Prozent der Befragten, dass fügung gestellten Angaben tatsächlich zu informieren die Nutzung der eigenen Daten durch Dritte für sie ein (Forschungsfrage 6 zu Textschwierigkeit). Problem darstelle. Neunundvierzig Prozent geben an, selbst bestimmen zu wollen, was mit ihren Gesund- 1.3.2 Verbraucherperspektive heitsdaten geschieht.52 Unklar ist jedoch bislang, in- wieweit Datenschutzbedenken einen Einfluss darauf Entgegen dem weit verbreiteten Anspruch, dass Nutzer haben, ob Verbraucher derlei Selbstvermessungs- eigenverantwortlich mit ihren Daten umgehen und ihre technologien nutzen oder nicht. Übergreifend wird in Privatsphäre auch im Online-Bereich selbst regulieren diesem Zusammenhang das als paradox bezeichnete können, ist diese Form des Selbstdatenschutzes sehr Verhaltensmuster beschrieben, dass Nutzer digitaler voraussetzungsreich. Technologien sich zwar um den Schutz ihrer Daten und ihre Privatheit sorgen, diese Sorgen sich jedoch nicht Verbraucher scheinen Nachteile und potenzielle Risiken in ihrem tatsächlichen selbstoffenbarenden Verhalten der Datenpreisgabe gegen die erhofften Vorteile zumin- widerspiegeln (sog. Privacy Paradox).53 In Bezug auf dest implizit abzuwägen und auf Basis dessen eine Fitness- und Gesundheitsdaten konnten Dockweiler, Nutzungsentscheidung zu treffen. 49 Auch im Kontext Bocketta, Schnecke und Hornberg in einer Befragung von Wearables und Fitness-Apps müssen Verbraucher deutschsprachiger Studenten zeigen, dass die Befrag- die kurz- oder langfristigen Folgen ihrer Entscheidung, ten zwar sensibilisiert für Datenschutzthemen waren, derlei Technologie zu nutzen, subjektiv einschätzen, dies jedoch nicht deren Entscheidung zu beeinflussen da ihnen eine objektive Informationsbasis naturgemäß schien, eine Fitness- oder Gesundheitsapp zu nutzen.54 fehlt.50 Für die Einschätzung ist zum einen relevant, Insofern stellt sich die Frage, ob Wearable-Nutzer und für wie wahrscheinlich das Eintreten einer (negativen) Nicht-Nutzer sich in ihren generellen Datenschutzbe- Konsequenz gehalten wird. Zum anderen spielt eine denken unterscheiden (Forschungsfrage 8 zu Daten- Rolle, inwieweit eine mögliche Folge inhaltlich akzep- schutzbedenken von Nutzern und Nicht-Nutzern). tiert wird.51 So ist es beispielsweise denkbar, dass ein Wearable-Nutzer es für wahrscheinlich hält, dass sein Forschungsfragen und Methoden, Tabelle 1. Arbeitgeber künftig Prämien für besonders gesund- heitsbewusste Mitarbeiter auszahlt. Er muss dies aber 1.4 METHODISCHER GESAMTÜBERBLICK nicht notwendigerweise problematisch finden, zumal er selbst möglicherweise gar keinen direkt erfahrba- Die in Abschnitt 1.3 formulierten Forschungsfragen wur- den mit Hilfe unterschiedlicher methodischer Herange- hensweisen untersucht (Tabelle 1). Zunächst wurden 47 Z. B. McDonald & Cranor, 2009. 48 Sachverständigenrat für Verbraucherfragen, 2016; BMJV, 2008, Teil B; zwölf Wearables mit den dazugehörigen Fitness-Apps s. auch Plattform Verbraucherschutz in einer digitalisierten Welt, 2015. 49 Z. B. Dinev & Hart, 2006. 52 YouGov, 2016, S. 9-10, Online-Interviews mit Personen ab 18 Jahren. 50 Acquisti, 2004; Tversky & Kahneman, 1974. 53 Z. B. Barnes, 2006; Norberg, Horne, & Horne, 2007. 51 Für einen Überblick: Renn, 2008; Slovic, 2000. 54 Dockweiler, Boketta, Schnecke, & Hornberg, 2016.
12 | Problemstellung ausgewählt und einer technischen Prüfung unterzo- gen. Hierdurch konnten Erkenntnisse zur Erhebung, Speicherung und zum Sendeverhalten der nutzergene- rierten Daten sowie zu Einfluss- und Kontrollmöglich- keiten durch den Nutzer gewonnen werden. Andere für Verbraucher relevante funktionale Eigenschaften wie die Messgenauigkeit oder Handhabung der Geräte und Apps sind regelmäßig Gegenstand der Produkttests der Stiftung Warentest und nicht Bestandteil der vorliegen- den Untersuchung.55 Weiterhin wurde geprüft, inwieweit Wearable-Anbieter ihre Nutzer hinreichend über den Umgang mit deren personenbezogenen Daten aufklären und – falls erfor- derlich – eine Einwilligung für die Nutzung und Weiter- verarbeitung dieser Daten einholen. Die zur Verfügung gestellten Informationen wurden darüber hinaus hin- sichtlich ihrer Schwierigkeit auf Textebene untersucht. Im letzten Untersuchungsschritt wurde im Rahmen ei- ner standardisierten, repräsentativen Befragung deut- scher Internetnutzer erfasst, wie Verbraucher mögliche Folgen bei der Wearable-Nutzung bewerten und inwie- weit sich Nutzer in ihren generellen Datenschutzbeden- ken von Nicht-Nutzern unterscheiden. 55 Stiftung Warentest, 2013, 2015, 2016a, 2016b.
Technische Prüfung | 13 2. TECHNISCHE PRÜFUNG Aufgrund ihrer großen Beliebtheit wurde ausschließ- 2.1 ANBIETER- UND GERÄTEAUSWAHL lich Wristwear in die vorliegende Untersuchung mit einbezogen, das heißt Fitness-Armbänder und Smart- Für die Untersuchung wurden Wearables von zwölf An- watches.61 Wann immer möglich wurden hierbei Smart- bietern ausgewählt (Tabelle 2). Die Auswahl umfasst watches getestet, die in der Regel mehr Funktionen als zum einen diejenigen Anbieter, die von der Internatio- Fitness-Armbänder haben und dabei über die Möglich- nal Data Corporation (IDC)56 im Jahr 2015 in mindestens keit verfügen, eine größere Fülle an schützenswerten einem Quartal unter den Top fünf der globalen Weara- Daten zu sammeln. Ausgewählt wurde dann jeweils ble-Marktführer geführt wurden und eine an deutsche dasjenige Modell, das, soweit über den Online-Auftritt Verbraucher adressierte Internetseite haben. Dazu des Anbieters ermittelbar, sich zum Zeitpunkt der Aus- zählen: Fitbit, Jawbone, Garmin, Apple und Samsung.57 wahl am kürzesten auf dem Markt befand. Hierdurch Unter den Top fünf befindet sich außerdem der Anbie- wurde sichergestellt, dass veraltete Modelle mit mög- ter Xiaomi, der keine Internetseite in deutscher Spra- licherweise geringeren Datenschutzstandards nicht zu che anbietet, dessen Produkte jedoch mühelos von einer inaktuellen Bewertung der Anbieter führen konn- deutschen Verbrauchern über Online-Versandhändler ten. Aufgrund begrenzter Ressourcen wurden keine bestellt werden können und ebenso mit in die Unter- Geräte untersucht, die über einem Preis von 500 Euro suchung aufgenommen wurde. Ausgewählt wurden lagen, dies schränkte beispielsweise die Auswahl von außerdem Anbieter, deren Geräte in nationalen Online- Modellen des Anbieters Apple ein. Pro Anbieter wurde Shops (Otto-Versand; betrifft die Anbieter Polar, Striiv ein Gerät getestet: Verschiedene Modelle eines Anbie- und Withings) und Lebensmittel-Discountern (Aldi, Lidl; ters können sich zwar hinsichtlich ihrer technischen betrifft die Anbieter A-Rival und Technaxx) 58 vertrieben Eigenschaften unterscheiden, es ist jedoch nicht anzu- werden und somit eine große Zahl von Verbrauchern nehmen, dass ein und derselbe Anbieter je nach Mo- adressieren. Erfasst wurde außerdem der Anbieter dell unterschiedlich mit den nutzergenerierten Inhalten Runtastic, der neben seiner vertriebenen Wearable- umgeht. Hardware verschiedene Fitness-Apps anbietet. Diese belegen sowohl im Google Play Store als auch im Apple In Kombination mit den Wearables waren auch die Store (iTunes) regelmäßig Platz eins der am häufigsten vom Anbieter empfohlenen Fitness-Apps Bestandteil heruntergeladenen Fitness- und Gesundheits-Apps.59 der vorliegenden Untersuchung, jeweils für die Smart- phone-Betriebssysteme iOS und Android. Ausnahmen Als einzige Fitness-App ohne eigene Anbieter-Hardware hiervon waren die Apps von Apple und Samsung, die wurde MyFitnessPal mit in die Untersuchung aufgenom- im ersteren Fall nur für iOS und im letzteren Fall zum men. Diese ist nicht nur mit zahlreichen der getesteten Zeitpunkt der Prüfung nur für Android verfügbar wa- Wearables kompatibel (u. a. Withings, Garmin, Fitbit) ren.62 Insgesamt wurden somit zwölf Wearables und 24 und wird teilweise auch entsprechend beworben, son- Fitness-Apps in die vorliegende Untersuchung mit ein- dern wird ähnlich wie die Runtastic-App von Verbrau- bezogen (Tabelle 2). chern häufig heruntergeladen.60 Übersicht der ausgewählten Wearables und Fitness-Apps, Tabelle 2. 56 IDC, 2016. 57 Nicht mit einbezogen wurde der Hersteller BBT (XTC), da dieser eine ausschließlich auf dem asiatischen Markt zur Verfügung stehende und auf Kinder ausgerichtete Smartwatch anbietet. 58 Die Modelle dieser Anbieter waren zum Zeitpunkt der Auswahl im Lidl- Online-Shop sogar vergriffen (Stand: 12.05.2016). 59 Z. B. www.appannie.com; die kriteriengeleitete Auswahl nach App-Rankings wurde analog zu verschiedenen wissenschaftlichen Un- tersuchungen getroffen; z. B. Ackerman, 2013; Herrmann & Lindemann, 61 Ballhaus et al., 2015, S. 9. 2016. 62 Seit Anfang Januar 2017 ist die Samsung Gear S2 auch mit iOS-Geräten 60 Z. B. www.appannie.com. kompatibel; Schwan, 2017.
14 | Technische Prüfung 2 ÜBERSICHT DER AUSGEWÄHLTEN WEARABLES UND FITNESS-APPS Wearable Art Betriebssystem App-Name Versionb Apple Health/ Apple Watch Sport Smartwatch iOS 9.3.2 Activitiesa iOS A-Rival 2.2 Fitness- A-Rival Qairós Armband Android A-Rival Qairós 1.51 iOS Fitbit 2.24 (531) Fitbit Blaze Smartwatch Android Fitbit 2.28 Garmin Connect iOS 3.7 Mobile Garmin Connect Garmin Forerunner Android 3.7.0.3 Smartwatch Mobile 735XT iOS MyFitnessPal 6.19.2 Android MyFitnessPal 5.12.2 iOS UP 4.20 Jawbone UP 3 Fitness-Armband Android UP 4.20 iOS Polar Flow 3.2.1 Polar V800 Smartwatch Android Polar Flow 3.2.1 iOS Runtastic Me 1.7.1 Runtastic Moment Smartwatch Classic Android Runtastic Me 1.8 Samsung Gear S2 Smartwatch Android S Health 4.8.1.0025 iOS Striiv 2.2.302 Striiv Fusion Bio Fitness-Armband Andr Striiv 1.0.1865p iOS Technaxx My Fitness 1.4.7 Technaxx Classic Fitness-Armband TX-37 Android Technaxx My Fitness 1.2.1 iOS Health Mate 2.14.0 Withings Uhr Smartwatch Activité Android Health Mate 2.16 iOS Mi Fit 2.1.4 Xiaomi Mi Band Fitness-Armband Pulse Android Mi Fit 2.1.4 a Apple Health erlaubt das Erfassen und Auswerten von einer Vielzahl von Gesundheitsdaten, sowie das Verknüpfen von Daten aus Drittanbieter- Apps auf dem iPhone. Apple Activities erlaubt die Erfassung von Trainingseinheiten und -zielen. b Die geprüften Apps wurden in der zu Beginn der Erhebungsphase aktuell verfügbaren Version getestet (Erhebungsphase: 01.Juli – 11. August 2016). Die Ergebnisse der technischen Prüfung beziehen sich nicht auf seitdem ggf. aktualisierte Versionen.
Technische Prüfung | 15 Die ausgewählten Wearables wurden mit den dazuge- hörigen Apps für iOS und Android einer technischen 3 DATENFLÜSSE Prüfung unterzogen. Innerhalb dieser wurde die Blue- tooth-Schnittstelle des Wearables, das Datenspeicher- verhalten der App sowie insbesondere ihr Datensen- dungsverhalten untersucht.63 Geprüft wurde, welche Nutzerdaten erhoben, gespei- chert und genutzt werden – das heißt, welche Daten wohin übertragen werden (Forschungsfrage 1) und inwieweit die Nutzerdaten sicher vor unberechtigtem Zugriff sind (Forschungsfrage 2). Hierbei wurde der Fo- kus auf den Schutz vor ungewollter Standortverfolgung 2.2 BLUETOOTH-VERBINDUNG DES (Tracking) und den sicheren Transport der Daten von WEARABLES der App zum Anbieter-Server gelegt.64 Ebenso wurde geprüft, inwieweit Nutzer die Speicherung und Über- Damit ein Wearable die gemessenen Daten an das End- mittlung der Daten durch die App beeinflussen können gerät des Nutzers übertragen kann, müssen Wearable (Forschungsfrage 3). und Endgerät aktiv miteinander gekoppelt sein. Hierzu muss das Endgerät das Wearable innerhalb eines Netz- Android-Apps wurden auf einem LG Nexus 5 (Andro- werks zunächst eindeutig erkennen können. Um dies zu id 6.0.1) geprüft; für iOS Apps wurde ein iPhone 6 (16 ermöglichen, senden Wearables Datenpakete aus (sog. GB; iOS 9.3.2) eingesetzt. Die Prüfung wurde von der Advertising Packets). Diese Datenpakete enthalten ver- datenschutz nord GmbH65 im Auftrag des Projekts schiedene auslesbare Informationen, wie beispielswei- Marktwächter Digitale Welt66 zwischen dem 01. Juli und se die einzigartige Hardware-Adresse des Wearables 11. August 2016 durchgeführt.67 (sog. Media Access Control Adresse; MAC-Adresse). Im Folgenden werden die Untersuchungsmethode und Das Aussenden der Advertising Packets bietet glei- Ergebnisse jeweils gemeinsam für die Ebene der Blue- chermaßen jedoch eine Angriffsfläche, denn die MAC- tooth-Verbindung zwischen Wearable und Smartphone Adresse kann potenziell auch von fremden Geräten (Abschnitt 2.1), die Übermittlung (Abschnitt 2.2) und ausgelesen werden. Statische – das heißt sich nicht Speicherung (Abschnitt 2.3) personenbezogener Daten ändernde – MAC-Adressen lassen dann eine eindeuti- durch die App berichtet. ge Identifizierung des Geräts durch fremde Geräte zu, wodurch es über örtlich verteilte Messpunkte möglich wäre, Bewegungsprofile eines Nutzers zu erstellen und ihn somit anhand seines Wearables zu tracken.68 Das 63 Die App MyFitnessPal wurde im Rahmen der Prüfung mit dem Garmin Wearable sollte daher, wenn der Nutzer das Gerät ein- Connect Konto verbunden, da hierfür auf der Webseite von MyFit- mal in Gebrauch hat, keine Daten über Advertising Pa- nessPal ausdrücklich geworben wird (Stand: 26.10.2016). Da die Ergebnisse für die Bluetooth-Verbindung jedoch Hardware-spezifisch ckets mehr senden, anhand derer das Gerät für Fremde sind und sich daher mit den Ergebnissen für die Garmin-Smartwatch eindeutig identifizierbar ist. decken, werden Ergebnisse der technischen Prüfung für MyFitnessPal nur für das Datensendungs- und -speicherverhalten der App berichtet. 64 S. auch Hilts, Parson, & Knockel, 2016. Ist das Wearable aktiv an das Smartphone des Nut- 65 www.datenschutz-nord-gruppe.de. zers gekoppelt, muss es keine Advertising Packets 66 Im Projekt Marktwächter Digitale Welt beobachten und analysieren der Verbraucherzentrale Bundesverband (vzbv) unter Beteiligung der 16 mehr senden, da das ursprüngliche Ziel des Verbin- Verbraucherzentralen den Markt in Deutschland, um Missstände früh dungsaufbaus bereits erreicht wurde. Wird die Kopp- zu erkennen und auf Fehlentwicklungen aufmerksam zu machen. Die lung unterbrochen (inaktive Kopplung),69 werden zwar Verbraucherzentrale NRW ist eine von fünf Schwerpunkt-Verbraucherz- entralen im Projekt und beschäftigt sich mit Entwicklungen rund um das Thema Nutzergenerierte Inhalte. 68 Z. B. Hilts et al., 2016; Di Luzio, Mei, & Stefa, 2016. 67 Ein Überblick über die technischen Prüfpunkte ist abrufbar unter 69 Dies ist beispielsweise der Fall, wenn das gekoppelte Smartphone http://www.marktwaechter.de/digitale-welt/marktbeobachtung/wear- ausgeschaltet ist, sich in zu großer Distanz zum Wearable befindet, ables-und-fitness-apps. oder seine Bluetooth-Funktion deaktiviert ist.
16 | Technische Prüfung vermutlich wieder Advertising Packets gesendet, dort Ergebnisse. In aktiv gekoppeltem Zustand werden mit enthaltene Informationen wie die MAC-Adresse soll- nur einer Ausnahme (Technaxx) keine Advertising Pa- ten dann jedoch anderweitig vor ungewolltem Tracking ckets gesendet: Die Geräte sind dann weder über eine geschützt werden. Beispielsweise sind die getesteten MAC-Adresse identifizierbar, noch können anderweiti- Wearables Bluetooth Low Energy-Geräte, die technisch ge Informationen über das GATT-Profil ausgelesen wer- dazu in der Lage sind, ihre MAC-Adresse mit Hilfe eines den. privaten Schlüssels in regelmäßigen Abständen zu än- dern (sog. MAC-Randomisierung). Der Schlüssel wird Bei inaktiver Kopplung sendet die Mehrzahl der Wea- zwischen dem Wearable und dem gekoppelten Gerät rables Advertising Packets (Tabelle 4; Ausnahme: ausgetauscht, sodass nur das gekoppelte Endgerät die Samsung Gear S2). Insgesamt sind im Zuge dessen MAC-Adresse des Wearables kennt. Das Wearable ist zehn von zwölf Geräten eindeutig über ihre MAC-Ad- für fremde Geräte dann nicht mehr eindeutig identifi- resse identifizierbar (Tabelle 4; Ausnahmen: Withings, zierbar.70 Samsung). Nur die Withings Activité randomisiert hier- bei ihre MAC-Adresse. Die Adresse der Apple Watch Wearables können jedoch nicht nur über ihre MAC-Ad- ändert sich während des Installationsprozesses, bleibt resse identifiziert werden: Im Zuge des ersten Verbin- jedoch zu weiteren Messzeitpunkten konstant.74 Über dungsaufbaus sendet das Wearable innerhalb eines das GATT-Profil sind bei inaktivem Kopplungszustand sogenannten GATT-Profils71 weitere Informationen an bei neun von zwölf Geräten weitere Daten auslesbar das Endgerät, das beispielsweise Informationen wie (Ausnahmen: Polar, Samsung, Withings). die Seriennummer oder andere identifizierende Merk- male enthalten kann. Lässt das Wearable bei inaktiver Aussenden von Geräteinformationen via Blue- Kopplung eine Verbindung mit fremden Geräten zu, tooth. Tabelle 4 können diese Informationen auch durch unbefugte Dritte ausgelesen werden. So wäre es möglich, dass ein 2.3 DATENSENDUNGSVERHALTEN Wearable zwar seine MAC-Adresse regelmäßig ändert, DER APP ein ungewolltes Tracking durch Dritte jedoch über die im GATT-Profil gespeicherten und auslesbaren Daten In Bezug auf das Datensendungsverhalten der App wur- möglich bleibt. de untersucht, welche Daten wohin im Zuge der Weara- ble-Nutzung von der App übertragen werden, und wie Methode. Um zu überprüfen, inwieweit die getesteten sicher die Datenverbindung zwischen der App und mög- Wearables sicher vor ungewolltem Tracking sind, wur- lichen Empfänger-Servern ist. den die Geräteinformationen der Wearables zu ver- schiedenen Testzeitpunkten abgefragt,72 nämlich vor Methode. Um das Datensendungsverhalten der Apps der Kopplung mit dem Smartphone, nach der Kopplung in möglichst alltagstypischen Situationen zu ermitteln, (aktive Kopplung) und bei deaktivierter Bluetooth-Ver- wurde der Datenverkehr während verschiedener Nut- bindung des gekoppelten Smartphones (inaktive Kopp- zungsphasen erfasst, wie beispielsweise dem Durch- lung). Überprüft wurde, zu welchen Messzeitpunkten führen eines Trainings, dem manuellen Hinzufügen von Datenpakete gesendet wurden73 und ob über den Zu- Informationen (Wunschgewicht, Profilbild o. ä.) oder griff auf das GATT-Profil weitere Daten auslesbar waren. der Einladung eines Kontakts im Adressbuch. 70 Lester & Stone, 2016; s. auch Wang, 2014. Die Randomisierung der Der Datenverkehr wurde jeweils vor und nach Regist- MAC-Adresse kann die Bedienbarkeit des Wearables unter Umständen rierung eines neuen Benutzerkontos und der damit ver- herabsetzen, wenn das Smartphone und das Wearable sich nach Änderung der MAC-Adresse jedes Mal neu koppeln müssen. bundenen Zustimmung zu Nutzungsbedingungen und 71 Generic Attributes Profile, https://www.bluetooth.com/specifications/ gegebenenfalls den Datenschutzbestimmungen er- generic-attributes-overview [Stand: 27.01.2017]. fasst. Darüber hinaus wurde der Datenverkehr unter per 72 Hierzu wurde die Android-App nRF Connect Version 4.3.0 von Nordic Semiconductor eingesetzt. Grundeinstellung vorgegebenen App-Berechtigungen 73 Zur Verifizierung der Ergebnisse wurden die MAC-Adressen der Wearab- les einige Tage später erneut ausgelesen. Es ist möglich, dass sich die Rohdaten konnte mit dieser Methodik nicht ermittelt werden. MAC-Adresse nach diesem Zeitpunkt noch geändert hat, dies wurde 74 Für gegenteilige Ergebnisse für iOS-Geräte s. Hilts et al., 2016; Lester & nicht überprüft. Der Inhalt der über ID-Variablen hinaus auslesbaren Stone, 2016.
Technische Prüfung | 17 4 AUSSENDEN VON GERÄTEINFORMATIONEN VIA BLUETOOTH MAC-Adresse vor MAC-Adresse weitere Daten auslesbar Kopplung in Kopplungszustand in Kopplungszustand b Wearable aktiv inaktiv aktiv inaktiv Apple Watch 5F:7D:01:02:B9:50 unbekannt 5F:7D:01:02:B9:50 nein ja A-Rival Qairós F8:6B:33:C9:70:7B unbekannt F8:6B:33:C9:70:7B nein ja Fitbit Blaze F3:CF:9D:5B:3B:E7 unbekannt F3:CF:9D:5B:3B:E7 nein ja Garmin Forerunner F1:E5:74:51:7B:51 unbekannt F1:E5:74:51:7B:51 nein ja 735XT Jawbone UP 3 F0:3A:E3:5D:F3:29 unbekannt F0:3A:E3:5D:F3:29 nein ja Polar V800 00:22:D0:86:20:4E unbekannt 00:22:D0:86:20:4E nein nein Runtastic Moment C2:9E:FF:69:D0:5D unbekannt C2:9E:FF:69:D0:5D nein ja Samsung Gear S2 7C:91:22:AD:E1:C5 unbekannt unbekannt nein nein Striiv Fusion D7:54:FA:AC:2A:CA unbekannt D7:54:FA:AC:2A:CA nein ja Technaxx Classic E0:E5:CF:8F:4D:E7 E0:E5:CF:8F:4D:E7 E0:E5:CF:8F:4D:E7 ja ja TX-37 Withings Activitéa 14:32:38:53:31:FA unbekannt 33:AD:87:AE:07:56 nein nein Xiaomi Mi Band C8:0F:10:7C:B7:B3 unbekannt C8:0F:10:7C:B7:B3 nein ja Pulse a Zu beachten ist die veränderte MAC-Adresse vor Kopplung und bei inaktiver Kopplung. b Im Rahmen des Projektes war es nicht möglich, für jedes Wearable den konkreten Inhalt der auslesbaren Rohdaten zu ermitteln. einerseits und unter Entzug von App-Berechtigungen75 Um festzustellen, ob die Apps unaufgefordert Kontakt- andererseits ermittelt. Hierdurch konnte überprüft wer- daten übermitteln, wurden vor Durchführung des Tests den, welchen Einfluss dies auf das Datensendungsver- in den Adressbüchern der Smartphones drei Kontakte halten der App, im Vergleich zu den ursprünglich vorge- abgespeichert. Von diesen Kontakten wurden innerhalb gebenen Grundeinstellungen, hat. Über letztere fordern der Einladungsfunktion der App jeweils zwei Kontakte die getesteten Apps eine Vielzahl von Zugriffsberech- eingeladen und einer explizit nicht eingeladen, sodass tigungen – wie beispielsweise Zugriff auf die Kontakte die Übermittlung dieses Kontaktes an den Anbieter ei- des Nutzers oder den Speicher des Smartphones (Ta- nen unaufgeforderten Zugriff darstellen würde. belle 5). Um den Internetverkehr der Fitness-App aufzuzeichnen, Auswahl angeforderter Zugriffsberechtigungen wurde ein Man-in-the-middle-Angriff durchgeführt: (Grundeinstellungen). Tabelle 5. Hierbei wurde der Datenverkehr zunächst über das Mo- bilfunknetz deaktiviert und der gesamte WLAN-Verkehr der Smartphones über einen eigenen Server geleitet (http-Proxy).76 Um transportverschlüsselte Verbindun- 75 Bei iOS und unter Android ab Version 6 können App-Berechtigungen wie der Zugriff auf den internen Speicher, Kalender, Kontakte, Kamera oder Mikrophon entzogen werden, z. B. Barczok & Porteck, 2015. 76 Der eingesetzte Proxy-Server war Burp Suite (Version 1.7.03) der Firma
18 | Technische Prüfung 5 AUSWAHL ANGEFORDERTER ZUGRIFFSBERECHTIGUNGEN (GRUNDEINSTELLUNGEN) App-Anbieter a Standort Kontakte Kamera Kalender Fotos Telefon SMS Speicher Apple (iOS) A-Rival Fitbit Garmin Jawbone MyFitn.Pal Polar Runtastic Samsung Striiv Technaxx Withings Xiaomi a Am Beispiel von Android (Ausnahme: Apple, hier werden die Ergebnisse für iOS berichtet). gen einsehen zu können, wurde der Smartphone-App ausgehender Datenverkehr beobachtet wurde, zeich- ein anderes, nicht vom Server stammendes Zertifikat nen sich alle Apps durch ein ausgeprägtes Datensen- präsentiert, das zuvor von der Proxysoftware erstellt dungsverhalten aus (zwanzig von 24 getesteten Apps). wurde. Der so aufgezeichnete Datenverkehr wurde an- Die Übertragung personenbezogener Daten in den ver- schließend analysiert, um die Übertragung von Daten bleibenden zwanzig Apps erfolgte ausnahmslos unter innerhalb verschiedener Datenkategorien zu prüfen Einsatz von Transportverschlüsselung (https). Zusätz- (Tabelle 6). Geprüft wurde auch, ob zusätzliche Maß- liche Sicherungsmechanismen konnten nur bei der Da- nahmen zur Absicherung des Datenverkehrs der App tenübertragung der Fitness-App Apple Health/Activities getroffen wurden.77 an den Anbieter-Server in Form von Certificate Pinning festgestellt werden. Hierbei wird die Datenübertragung Ergebnisse Übertragungssicherheit. Mit Ausnahme der vor ungewolltem Zugriff durch Dritte – zum Beispiel bei Fitness-Apps von A-Rival und Technaxx, für deren jeweils Man-in-the-middle-Angriffen – geschützt, indem die App zwei getesteten Apps zum Zeitpunkt der Prüfung kein Anfragen von potentiellen Empfänger-Servern nur unter sehr strengen Bedingungen als vertrauenswürdig ein- PortSwigger; zur genaueren Beschreibung der Methodik z. B. Eiken- stuft und auch nur dann Daten dorthin sendet.78 Daher berg, 2012. konnte für diese App auch nicht analysiert werden, wel- 77 Auf unbekannte Weise komprimierte, kodierte oder verschlüsselte Daten konnten im Rahmen der technischen Prüfung nicht eingesehen che Daten an den Anbieterserver kommuniziert werden. werden. Zum Beispiel übermittelten einige Apps den kompletten binären Inhalt des Wearable-Speichers zur Auswertung an den Server, anstatt die Auswertung in der App auf dem Smartphone vorzunehmen. Ergebnisse Datenübermittlung an Anbieter. Zwanzig Ohne eine im Rahmen dieses Projekts nicht mögliche, aufwändige der 24 getesteten Apps übertragen Daten an die Ser- Nachkonstruktions-Untersuchung (sog. reverse engineering) der einge- ver des Anbieters (Tabelle 7). Dies kann beispielsweise setzten Hardware und Speicherformate ließen sich diese Daten nicht analysieren. Dies, sowie die Tatsache, dass die Wearables und Apps notwendig sein, um Funktionen der App zu gewährleis- nur über einen begrenzten Zeitraum getestet wurden, schließt nicht ten oder einen eingebundenen Online-Dienst wie bei- aus, dass bei regelmäßiger Nutzung auch Daten von der App übermit- telt werden, die innerhalb der vorliegenden Testung nicht abgefangen werden konnten. 78 Hilts et al., 2016, S. 35.
Sie können auch lesen