Fitnesstracker – Datenskandal oder Schritt in die Zukunft?
Kendra Karp, Universität Hamburg
Es gibt immer mehr von ihnen: Kleine Geräte, mit denen wir Schlaf, Ernährung und Aktivität beobachten können. Quantified Self und Selbstoptimierung heißen die Devisen unserer Zeit. Überwacht fühlen sich die einen. Ob ich gut geschlafen habe, weiß ich auch selbst, mag man sagen. Als Anreiz zu einem gesünderen Lebensstil verstehen sie andere. Fest steht: Die Geister scheiden sich an ihnen. Die Rede ist von sogenannten Fitnesstrackern.
Kleine Armbänder, Clips oder diverse Apps sollen uns zu einem gesünderen Lebensstil verhelfen. Wer grafisch aufbereitet auf seinem mobilen Endgerät sieht, wie wenig er sich vergangene Woche bewegt hat, fühlt sich schlecht und motiviert sich zum Laufen oder zum Gang ins Fitnessstudio und nimmt statt des Aufzugs lieber die Treppe. Oder fühlt man sich vielleicht einfach nur schlecht? Geräte dieser Art sind jedenfalls längst kein Nischenprodukt mehr: 31 % der Bundesbürger ab 14 Jahren nutzen Fitnesstracker, Smartwatches oder Gesundheits-Apps, um ihren Körper zu beobachten. Neben den kleinen Helfern, die unsere Schritte zählen, beim Joggen die Herzfrequenz aufzeichnen oder den täglichen Kalorienverbrauch kalkulieren, zeigen sich zunehmend auch Möglichkeiten für den medizinischen Anwendungsbereich. Diabetiker, Herzpatienten und chronisch Kranke können ihren Blutzucker, den Herzrhythmus oder ihren Krankheitsverlauf bereits eigenständig überwachen.
Fitnesstracker sind Datensammler!
Doch ob Hobbysportler oder Patient – bevor man sich in die wachsende Reihe der Nutzer in Deutschland eingliedert, sollte man sich eines bewusst machen: All diese kleinen Geräte sammeln laufend Unmengen von Daten. Je mehr Funktionen man nutzen möchte, je umfangreicher man seinen Lebensstil überwachen möchte, desto mehr Angaben muss man eingeben. Diese reichen vom Standort, mit dem die Tracker die Laufstrecke überwachen können, bis hin zu Daten zum Ernährungs- und Schlafverhalten. In der EU gelten diese durch Fitnesstracker erhobene Daten als besonders schützenswerte persönliche Daten, sobald sie Rückschlüsse über den Gesundheitszustand zulassen. Das ist regelmäßig der Fall, weil es Sinn und Zweck der Geräte ist, die Gesundheit des Nutzers zu überwachen. Doch nicht alle der kleinen selbsternannten Lebenshelfer gehen sorgfältig mit diesen sensiblen Daten um.
Den Fitnesstracker des Nachbarn auslesen
Die erste mögliche Schwachstelle ergibt sich schon bei der Übertragung vom Clip, der Uhr oder dem Armband auf das mobile Endgerät, welches mit der passenden App die gesammelten Daten auswertet, optisch aufbereitet und verarbeitet. Die Zeiten, in denen Daten nur per Kabel übertragen werden konnten, sind längst vorbei. So nutzen auch die Fitnesstracker die Möglichkeiten der drahtlosen Kommunikation. Das eigene Smartphone muss nur in Reichweite sein, und schon werden die Daten übertragen, meist per Bluetooth.
Was für den Nutzer zunächst praktisch klingt, kann sich schnell als große Sicherheitslücke offenbaren. Denn dass das eigene Endgerät sich mit dem Tracker verbindet, mag noch gewollt sein. Doch was ist mit den anderen Smartphones, Tablets und ähnlichen Geräten, die sich ständig in unserer Nähe befinden? Ein Test hat offenbart, dass einige populäre Fitnesstracker unzureichende oder keine Maßnahmen treffen, um ein unautorisiertes Abrufen der gesammelten Daten durch Dritte zu verhindern. Ein Tracker im Test verbindet sich sogar unbemerkt mit jedem Gerät in Reichweite, welches mit der entsprechenden App eine Anfrage via Bluetooth an den Tracker sendet. Das betroffene Gerät übertrug die gesammelten Daten ohne jegliche Authentifizierung unverschlüsselt an das fremde Smartphone. So könnte der Nachbar, der Kollege im Büro oder jeder Fremde im Bus oder in der Bahn sich mit ein paar Klicks ansehen, wie aktiv der Nutzer heute war, wie lange er geschlafen, wo er sich aufgehalten und was er gegessen hat. Dafür braucht es keine besonderen Kenntnisse oder gar einen Hacker, sondern nur ein Smartphone mit der zum Tracker gehörigen App.
Wenn ein Fremder uns auf der Straße nach diesen Dingen fragen würde, würden die meisten wohl nur den Kopf schütteln und meinen, dass ihn dies überhaupt nichts angeht – zu Recht. Dennoch vertrauen viele diese sensiblen Daten ohne weiteres ihren technischen Gefährten an, die nicht unbedingt gegen den Zugriff durch Dritte abgesichert sind.
Die gute Nachricht ist: Längst nicht alle Tracker geben die Daten ihres Nutzers so leicht heraus. Vielfach fordern die Geräte vor der Verbindung ein Passwort oder eine PIN, übertragen die Daten nur verschlüsselt und sind nach dem Verbindungsaufbau nicht mehr für andere Smartphones sichtbar.
Die Cloud
Doch selbst wenn die Daten relativ sicher zum eigenen mobilen Endgerät gelangt sind, heißt das noch lange nicht, dass sie auch dort bleiben. Damit die entsprechende App die Daten auswerten kann, werden sie erneut übertragen. Über das Internet geht es in die berüchtigte Cloud, die einen logischen Speicherort zur Verfügung stellt, deren physischer Speicher sich aber über mehrere Server an verschiedenen Orten erstrecken kann. Und weil Daten das wertvollste Gut des 21. Jahrhunderts sind, werden die gesammelten Informationen dort natürlich gespeichert und weiterverarbeitet. Erfreulicherweise nutzen die meisten Apps zur Datenübertragung in die Cloud aktuelle Sicherheitsstandards, die allerdings auch nicht unfehlbar sind. Auch die Cloud selbst ist unter Umständen angreifbar.
Auch wenn zum Betrieb des Fitnesstrackers meist nur grundlegende Informationen wie das Geschlecht und die Körpergröße eingepflegt werden müssen, so wird zur Registrierung vielfach vor allem eine E-Mail-Adresse benötigt. Und da die wenigsten Nutzer sich eigens eine weitere Adresse nur für den Tracker zulegen wollen, ist es für die datenverarbeitenden Unternehmen ein Leichtes, die wenigen eingegebenen Daten mit all den anderen Informationen zu verknüpfen, die sich über unsere E-Mail-Adresse finden lassen. So kristallisiert sich schnell ein Persönlichkeitsprofil heraus, mit dessen Ausmaßen bei der Einrichtung des Trackers niemand rechnet.
Ein weiteres Problem ergibt sich aus der Tatsache, dass die Hersteller der Geräte ihren Sitz und die Server, auf denen die Daten verarbeitet werden, nicht unbedingt innerhalb der EU haben. Die Daten von deutschen Nutzern unterliegen damit gegebenenfalls weitaus lockereren Datenschutzgesetzen. Etwas ändern soll daran die ab Mai 2018 unmittelbar geltende EU- Datenschutzgrundverordnung. Sie soll nach dem sogenannten Marktortprinzip in Art. 3 EU-DSGVO nicht nur für Firmen mit Sitz innerhalb der EU gelten, sondern für alle Unternehmen, die sich mit ihrem Angebot an EU-Bürger wenden. Auch diese Anbieter müssten dann sicherstellen, dass möglichst wenige Daten der Kunden ausschließlich zweckgebunden erhoben und verarbeitet werden. Außerdem muss der Betroffene über die Erhebung und Verarbeitung seiner Daten informiert werden und dieser zustimmen, und hat ein Recht darauf, dass seine Daten wieder gelöscht werden. Abzuwarten bleibt, wie konsequent die Verordnung durchgesetzt werden kann. Zumindest werden auch Firmen außerhalb der EU unter ihren Anwendungsbereich fallen.
Wer will schon Datensicherheit?
Wie so oft liegt auch für die Fitnesstracker das Problem nicht bei den technischen Möglichkeiten. Es ist bereits mit geringem Aufwand möglich, die Verbindung vom Tracker zum Endgerät beispielsweise durch die Abfrage eines Passworts zu sichern. So könnten die Daten nur nach Authentifizierung des Nutzers ausgelesen werden. Auch existieren bewährte Methoden zur Verschlüsselung der Datenübertragung, die sowohl die Verbindung zum Endgerät wie auch die Übertragung in die Cloud absichern können. Besonders bedenklich wird es, wenn die App die Daten nicht einmal anonymisiert, bevor sie weitergegeben werden. In dem Fall kann auch auf den Servern des Herstellers noch nachvollzogen werden, welcher Datensatz zu welchem Tracker gehört. Allerdings scheinen die Hersteller die Möglichkeiten zum Schutz der Daten ihrer Nutzer bisher nicht in vollem Umfang zu nutzen. Offenbar wird diese Art der Sicherheit von den Verbrauchern zu wenig gefordert.
Einer der Gründe dafür könnte das mangelnde Bewusstsein für diese Problematik bei den Nutzern sein. Schließlich glänzen die Hersteller der Fitnesstracker nicht gerade mit Transparenz, was die Datenverarbeitung angeht. Datenschützer mahnen hier vor allem die Gefahr an, dass mit den gewonnenen Informationen Rückschlüsse auf die Persönlichkeit des Nutzers gezogen werden könnten. Mit Hilfe der eingegebenen Daten zur täglichen Ernährung können bestimmte Vorlieben herauskristallisiert werden, die gelaufenen Schritte geben Hinweise auf Bewegungsmuster, und über die sportliche Aktivität können Informationen zu Hobbys und weiteren Lebensgewohnheiten gewonnen werden. Für sich genommen mögen die Daten eine begrenzte Aussagekraft haben, doch zusammen ergeben sie bereits ein erschreckend deutliches Bild, das mit Hilfe von Techniken der Datenverarbeitung zu einem umfassenden Persönlichkeitsprofil verfeinert werden kann. Und obwohl die Sensibilität für den Datenschutz in Deutschland bereits vergleichsweise hoch ist, spielen diese Überlegungen bei der Kaufentscheidung wohl eher eine untergeordnete Rolle, falls überhaupt welche angestellt werden. Diverse Studien, die sich mit der Datensicherheit von Fitnesstrackern beschäftigt haben, haben bereits ein Auge auf das Problem geworfen, doch einen Handlungszwang scheinen die Hersteller von Seiten der Verbraucher bisher nicht zu spüren. Möglicherweise ist es daher am Gesetzgeber, entsprechende Regelungen zu treffen. Heiko Maas, Bundesminister für Justiz und Verbraucherschutz dazu: „Sensible Gesundheitsdaten bedürfen eines besonderen Schutzes. Es darf nicht sein, dass Informationen über individuelle körperliche oder seelische Schwächen auf dem Datenmarkt die Runde machen. Wir werden deshalb prüfen, die Verwendung bestimmter Gesundheitsdaten auf Grundlage der neuen EU-Datenschutzgrundverordnung einzuschränken.“
Zurück in die Zukunft
Bei aller Datenschutzproblematik steht jedoch fest, dass Fitnesstracker auch enormes Potenzial haben. Schon jetzt zeigt sich beispielsweise in ländlicheren Regionen, dass wegen der stellenweise schlechten Versorgung mit Ärzten viele ältere oder chronisch kranke Menschen elektronische Helfer als Unterstützung nutzen. Zukünftig wäre es denkbar, dass die Geräte den Notarzt rufen, falls der Patient einen Herzstillstand erleidet. Auch Arbeitgeber, Krankenkassen und sogar Gerichte haben bereits begonnen die Möglichkeiten auszuloten, die tragbare Geräte (Wearbales) eröffnen.
Mitglieder oder Mitarbeiter, die bereit sind, ihre Gesundheitsdaten mit der Krankenkasse oder dem Arbeitgeber zu teilen, werden mit Sondertarifen oder Boni belohnt. Unter Nutzung des aktuellen Trends zur Selbstoptimierung kann so eine aktivere und gesündere Gesellschaft gefördert werden, was nicht zuletzt dem Gesundheitssystem erhebliche Ausgaben ersparen würde.
Auch der Arbeitgeber ist natürlich an der Gesundheit seiner Mitarbeiter interessiert, da er unter anderem möglichst wenige krankheitsbedingte Fehltage möchte. Denkbar sind also auch hier Boni für einen gesunden Lebensstil wie zum Beispiel Zuschüsse für eine Mitgliedschaft im Sportstudio.
In den USA und Kanada werden die gesammelten Daten stellenweise bereits als Beweismittel vor Gericht zugelassen. In einem Fall konnte nachgewiesen werden, dass die Klägerin entgegen ihrer Angaben nicht geschlafen hatte, sondern die ganze Nacht wach gewesen war. Eine andere Nutzerin untermauerte ihren Anspruch auf Schadensersatz nach einem Autounfall mit den Daten aus ihrem Fitnesstracker, mit denen sie zeigte, dass ihre körperliche Aktivität seit dem Unfall eingeschränkt war. Hieran zeigt sich das Potenzial der Fitnesstracker als Beweismittel. Im Interesse der Wahrheitsfindung und der Gerechtigkeit sind neue, elektronisch aufgezeichnete Beweise sicherlich begrüßenswert.
Doch all diese Möglichkeiten eröffnen auch völlig neue Gefahrenbereiche.
Wozu Krankenkassen?
Es entsteht nicht nur ein großes Potenzial für findige Nutzer, ihre Gesundheitsdaten zu manipulieren, um sich so Vorteile zu erschleichen. Auch könnten die Krankenkassen mit ihren Bonusprogrammen einen faktischen Zwang erzeugen. Zwar ist nicht zu erwarten, dass die Tarife für diejenigen Mitglieder erhöht werden, die sich weigern, ihre Gesundheitsdaten mit der Krankenkasse zu teilen. Wenn jedoch alle anderen Mitglieder einen niedrigeren Tarif nutzen, steigen der Druck und das Gefühl, schlechter behandelt zu werden. Auch ist der Weg der Krankenkassen, einen gesunden Lebensstil zu belohnen, sicherlich lobenswert. Der nächste Schritt nach Bonusprogrammen für vorbildlich aktive und gesunde Mitglieder wäre jedoch eine pauschale Anpassung der Beiträge an den jeweiligen Lebensstil: Boni für Besuche im Fitnessstudio und Biomarkt, höhere Beiträge für Fahrstuhlfahrer und Fast Food Fans. Diese Entwicklungen liefen aber dem Solidaritätsprinzip der gesetzlichen Krankenkassen völlig zuwider. Da könnte genauso gut jeder seine Arztrechnungen selbst bezahlen.
Anwesenheitsbonus
Auch am Arbeitsplatz ergeben sich möglicherweise faktische Nachteile für Mitarbeiter, die ihre Gesundheitsdaten nicht mit dem Unternehmen teilen oder gar nicht erst aufzeichnen möchten. Der Arbeitgeber in seiner überlegenen Stellung kann Druck auf die Mitarbeiter ausüben, indem er ihnen weniger oder unbeliebte Aufgaben zuweist, und auch die Kollegen könnten mit Ausgrenzung reagieren. Im Extremfall könnte diese Einstellung in der Arbeitswelt dazu führen, dass bereits Bewerber mit schlechteren Gesundheitswerten auch schlechtere Chancen auf eine Arbeitsstelle haben. Neues Personal wird unter Umständen nur unter der Bedingung eingestellt, dass ein Fitnesstracker getragen wird, und die Daten mit dem Unternehmen oder zumindest der Krankenkasse geteilt werden.
Menschliche Black Box
Fitnesstracker mögen als Beweismittel vor Gericht zwar helfen, zu einem gerechten Urteil zu kommen. Sie sind jedoch auch in besonderem Maße der Gefahr der Manipulation ausgesetzt: Dass der Tracker Daten aufgezeichnet hat, heißt noch nicht, dass sie auch von der Person stammen, die dies behauptet. Zudem besteht wie bei der Nutzung der Daten durch die Krankenkasse eine erhebliche Gefahr dafür, dass der Tracker bewusst durch die Eingabe falscher Informationen oder durch unsachgemäße Nutzung als manipuliertes Beweismittel eingesetzt wird. Sollte es wirklich dazu kommen, dass Fitnesstracker als Black Box des menschlichen Körpers auch zum Beispiel im Strafverfahren als Beweismittel eingesetzt werden, könnte dies im schlimmsten Fall zur Verurteilung eines Unschuldigen oder zum Freispruch eines Schuldigen führen.
Des Weiteren würden Beschuldigte und Verletzte möglicherweise gezwungen, die Daten aus ihren Trackern preiszugeben, oder zumindest Nachteile im Verfahren zu befürchten haben, wenn sie dies nicht tun.
Und was ist mit dem Grundgesetz?
Diskriminierungen wegen der Gesundheit sind bedauerlicherweise bereits Realität. Angriffsfläche bieten bisher hauptsächlich die Statur und das sichtbare Ess- oder Sportverhalten. In unserer stark vernetzten Gegenwart werden jedoch immer mehr Informationen über unseren Lebensstil geteilt. Das Fitnessarmband postet automatisch unsere Laufstrecke und die smarte Waage informiert die Welt über unseren Körperfettgehalt. Besonders bei den Krankenkassen und am Arbeitsplatz dürfen dabei aber auf keinen Fall das im Grundgesetz verankerte Sozialstaatsprinzip aus Art. 20 GG und Art. 28 GG sowie das Diskriminierungsverbot aus Art. 3 GG außer Acht gelassen werden. Um dies zu gewährleisten, müssen der nationale und der europäische Gesetzgeber zeitnah auf die realen Entwicklungen reagieren.
Dies gilt nicht nur für zukünftige Gefahren, sondern vor allem für die genannten Probleme des Datenschutzes, die durch Fitnesstracker entstehen können. Es geht um sensible Daten, und deren Verarbeitung berührt die Grundrechte der Nutzer. In der deutschen Verfassung wird das Grundrecht auf Datenschutz aus dem allgemeinen Persönlichkeitsrecht abgeleitet. Das Bundesverfassungsgericht spricht insoweit vom „Grundrecht auf informationelle Selbstbestimmung“, das in Art. 2 Abs. 1, Art. 1 Abs. 1 GG verankert ist (BVerfGE 65, 1 (41 f.)). Dieses Grundrecht auf Datenschutz gewährleistet das Recht des einzelnen, grundsätzlich über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts bedürfen eines Gesetzes, welches konkret und bestimmt die Voraussetzungen für Eingriffe in den Datenschutz festlegt. Solche Eingriffe sind nur im überwiegenden Allgemeininteresse zulässig und müssen insbesondere den Grundsatz der Verhältnismäßigkeit einhalten.
Zu beachten ist jedoch, dass die Grundrechte in erster Linie Abwehrrechte des Bürgers gegen den Staat sind. Im Verhältnis unter Privaten, wie beispielweise zwischen dem Nutzer und dem datenverarbeitenden Hersteller, üben beide Seiten ihre Grundrechte aus. Das Recht auf informationelle Selbstbestimmung entfaltet als Norm des objektiven Rechts aber auch Wirkung im Privatrecht. Daher müssen die gegenüberstehenden Interessen der privaten Parteien in einen angemessenen Ausgleich gebracht werden. Hieraus kann sich ein Schutzanspruch des Einzelnen gegen den Staat ergeben, Regelungen zu treffen, die ihn vor Beeinträchtigungen seines Rechts auf informationelle Selbstbestimmung durch andere Private schützen.
Aus dem Recht auf informationelle Selbstbestimmung ergeben sich einige Prinzipien, die das Datenschutzrecht prägen. So ist die Erhebung von personenbezogenen Daten grundsätzlich nicht gestattet, sofern nicht oder der Betroffene eingewilligt hat. In diesem Zusammenhang gilt auch das Transparenzgebot: Jeder Betroffene soll wissen, welche Daten warum wo wie lange gespeichert werden. Nach dem Zweckbindungsgebot muss eine Datenverarbeitung außerdem zu einem bestimmten Zweck erfolgen, der bereits vor der Verarbeitung feststehen muss. Auch sollen so wenige personenbezogene Daten wie möglich erhoben und verarbeitet werden, und dies muss so wenig wie möglich in die Rechte des Betroffenen eingreifen.
In der Realität erteilt der Nutzer dem Hersteller mit der Inbetriebnahme seines Fitnesstrackers regelmäßig umfassende Berechtigungen zur Datenerhebung und -verarbeitung. Ehrlicherweise wird der Durchschnittsverbraucher wohl auch zugeben müssen, dass er die dem Tracker beiliegende Datenschutzerklärung und die AGB höchstens überflogen hat. Während es also durchaus verfassungsrechtlichen Schutz für den Nutzer und seine Daten gibt, gibt er diesen häufig unbesehen zum Teil auf.
Weniger Schritte = mehr Krankheit
Bei aller Liebe, die unsere Zeit für das Erfassen von Daten bereitzuhalten scheint, muss eines festgehalten werden: Die Aussagekraft der von Fitnesstrackern gesammelten Informationen kann nur begrenzt sein. Die Gesundheit des menschlichen Körpers ist von so viel mehr abhängig als den täglichen Schritten, der Herzfrequenz oder dem Kalorienverbrauch. Fitnesstracker können als Motivationshilfe dienen, dem Nutzer einen Überblick über seine Aktivitätsmuster verschaffen, die Ernährung beobachten, persönliche Bestleistungen beim Sport dokumentieren und im Einzelfall auch einen Krankheitsverlauf überwachen. Sie können jedoch weder Prognosen über zukünftige Krankheiten treffen, noch mit Sicherheit die Gesundheit attestieren. Nicht nur die Nutzer, sondern auch Krankenkassen, Arbeitgeber und sonstige an den Daten interessierte Dritte täten gut daran, diese Tatsache im Hinterkopf zu behalten.
Fazit
Abschließend kann man wohl nur sagen, dass Fitnesstracker viele Möglichkeiten eröffnen, mit denen sich die Gesellschaft und das Recht beschäftigen müssen. Letztlich bleibt die Entscheidung für oder gegen ein solches Gerät eine ganz persönliche. Jedoch sollte sich jeder potenzielle Nutzer bewusst machen, dass es sich bei Gesundheitsdaten um sehr sensible Daten handelt. Wer mit dem Kauf eines der kleinen Geräte liebäugelt, sollte bei der Auswahl also nicht nur auf die Funktionen und die Optik achten, sondern auch einen Blick auf die technischen Sicherheitsmerkmale werfen und die Datenschutzerklärung tatsächlich durchlesen. Hier ergeben sich zum Teil erhebliche Unterschiede zwischen den verschiedenen Anbietern. Wer also bei der Kaufentscheidung die angesprochenen Aspekte berücksichtigt, kann guten Gewissens die Vorteile der Selbstüberwachung nutzen, ohne dabei die Herrschaft über seine Gesundheitsdaten unkontrolliert aus der Hand zu geben. Nur eine gut informierte Entscheidung ist eine freie Entscheidung.
Weiterführende Links:
https://openeffect.ca/reports/Every_Step_You_Fake.pdf
https://www.av-test.org/fileadmin/pdf/avtest_2015-06_fitness_tracker_english.pdf
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2016/19_Gesundheitsapps.html?nn=5217040
