Kann die Krankenkasse sehen, dass ich zu viel Zucker esse und mich zu wenig bewege? Daten, die von Fitnesstrackern erfasst werden, sind sensibel. So können Nutzer ihre Datensicherheit verbessern.
Sie stecken in Uhren, Armbändern, Ringen oder Brustgurten: Kleine, vernetzte Computer, die Puls, Bewegung und Co. messen. Aus den Bereichen Gesundheit, Fitness und Lifestyle sind die Tracker nicht mehr wegzudenken. Doch was passiert mit den erfassten Daten? Wohin werden sie übertragen? Wer kann sie einsehen?
Die Daten werden von Sensoren am Körper erfasst und zunächst im Tracker gespeichert. Startet der Träger eine App, übertragen sich die Daten und werden auf dem Smartphone bewertet. Daraus kann der Nutzer dann Verhaltenstipps zur Verbesserung der persönlichen Fitness ablesen. Laut einer Studie, die die GfK und der Onlinehändler Galaxus im vergangenen Jahr durchführten, tracken sich rund 40,8 Prozent der Deutschen. In Österreich sind es demnach sogar über die Hälfte: 52,7 Prozent, in der Schweiz 52,2 Prozent.
Weit verbreitet sind Fitnesstracker als einfache Armbänder oder Smartwatches, die Biodaten des Trägers messen. Mit manchen ist es möglich zu telefonieren und Nachrichten abzurufen. Armbänder lassen sich häufig zerlegen; so kann der Datenträger mit Sensoren beispielsweise als Clip am Körper getragen werden. Einfache No-Name-Schrittzähler in dieser Form gibt es bereits für wenige Euro. Etwas umfassender sind Tracker mit Mini-Display, die über begrenzte Smartwatch-Funktionen verfügen: Sie zeigen Nachrichten an und ermöglichen das Steuern des Audioplayers auf dem Smartphone.
Sogenannte Hybrid-Uhren sehen auf den ersten Blick wie analoge Armbanduhren aus, funktionieren aber gleichartig. Relativ neu sind Fitnesstracker, die als Ring am Finger getragen werden. Optisch sind sie kaum von Schmuck zu unterscheiden und somit ebenfalls unauffällig.
Eine weniger verbreitete Option sind Brustgurte, die eher von Sportlern genutzt werden und direkt am Brustkorb den Herzschlag messen. Je nachdem, wie ein Tracker genutzt werden soll, gibt es also ganz unterschiedliche Möglichkeiten. Im besten Fall findet sich ein Gerät, dass exakt die Funktionen hat, die gewünscht sind. So werden keine unnötigen Daten produziert, die abgefangen werden könnten.
Die gesammelten Daten werden in sogenannten Clouds im Internet oder auf Geräten wie Smartphones, PCs und Tablets gespeichert. Der Tracker überträgt die Daten per Bluetooth oder NFC-Schnittstelle (Nahfeldkommunikation) an das Smartphone; dort bereitet eine App sie grafisch auf. Dabei handelt es sich um Informationen zur Person, zur Gesundheit, zum Standort oder Schlafverhalten. Mit diesen Informationen sei es für Dritte möglich, Personenprofile zu erstellen, welche für kriminelle Zwecke missbraucht werden könnten, warnt das Bundesamt für Sicherheit und Informationstechnik (BSI).
Die Experten empfehlen, vor dem Kauf die Datensicherheit eines Gerätes zu prüfen. Auch die App und die Schnittstelle zum Smartphone können Sicherheitslücken aufweisen, durch die Informationen ausgespäht werden könnten. Kriminelle könnten sogar die Kontrolle über Fitnesstracker und das verbundene Smartphone an sich reißen, sind die entsprechenden Rechte dafür freigegeben.
Und was gilt beispielsweise für Krankenkassen, die Fitnesstracker anbieten – können sie auf die Daten zugreifen? Dies sei in der Regel nicht ohne Weiteres der Fall, erklärt die Juristin der Verbraucherzentrale NRW, Christine Steffen. Hierzu bedürfe es einer besonderen Vereinbarung zwischen Nutzer und Krankenkasse. “Die bei der Nutzung generierten Daten sind in der Regel besonders geschützt, da sie einen Rückschluss auf den Gesundheitszustand zulassen”, erklärt Steffen. Deshalb sei die Weitergabe der Daten grundsätzlich nur mit einer entsprechenden Einwilligung zulässig.
Sowohl das Tragen des Trackers als auch eine Einwilligung zur Weitergabe der Daten müssen stets freiwillig sein. Gesetzlich ist die Regelung streng; die gespeicherten Informationen unterliegen dem Schutz der Datenschutz-Grundverordnung (DSGVO).
Interessenten sollten sich schon vor dem Kauf darüber im Klaren sein, für welchen Zweck sie einen Fitnesstracker anschaffen wollen. Auf der Basis der dafür benötigten Funktionen und Sensoren sollte ein Gerät ausgewählt werden, rät Steffen.
Über die Datenschutzhinweise lässt sich herausfinden, wer für die Anwendung verantwortlich ist. “Sind die Datenschutzhinweise zum Beispiel nicht auf deutsch verfügbar oder sind die Datenschutzhinweise unverständlich und lückenhaft, sollte dies bereits stutzig machen”, warnt Steffen. Dort muss erklärt werden, welche Daten gesammelt werden – und zu welchem Zweck. Sollen die Daten an Dritte weitergegeben oder mit anderen Anwendungen geteilt werden ist dies am Wort “Werbezwecke” in den Hinweisen erkennbar. Außerdem sollte das Unternehmen dort Angaben dazu machen, wie die Daten geschützt werden – beispielsweise über einen Transport – und Speicherschlüssel.
Die Erstkopplung mit einem anderen Gerät findet am besten zu Hause statt: In einer sicheren Umgebung lässt sich vermeiden, dass sensible Informationen mitgeschnitten werden. Um Ausspähen und Eingriffe beim Übertragen der Daten auch später zu verhindern, sollten soweit vorhanden und möglich umgehend Passwörter für Tracker, Nutzeraccount und App eingerichtet werden. Das kann ein sicheres Passwort aus Buchstaben und Zeichen ein, ein Zahlencode oder auch die Abnahme des Fingerabdrucks über einen Sensor.
Dieser Schlüssel sollte vor jeder Datenübertragung eingegeben werden. Sogenannte “Single-Sign-On”-Verfahren, bei denen Passwörter zentral gespeichert sind, sollten hingegen vermieden werden. Dies könnte nämlich mit einem weiteren Datenaustausch einhergehen und weitere Sicherheitsrisiken bedeuten.
Um persönliche Informationen zu schützen, sollte man nur die unbedingt notwendigen Angaben machen. Dazu zählen Daten wie der Wohnort oder auch Kontrollberechtigungen durch Apps auf dem Smartphone auf Kontakte oder die Fotogalerie. Kopplungen mit mehreren Geräten sind nicht zu empfehlen, da mehr Schnittstellen entstehen, die unsicher sein könnten.