- Anzeigen -

Sie sind hier: Home » Recht » Datenschutz und Compliance

Löschen der Daten kaum möglich


Datenschutz bei Gesundheits-Apps und Wearables mangelhaft
Es zeigt sich, dass Hersteller, Betreiber und Verkäufer der getesteten Geräte und Apps die Nutzer oft nicht ausreichend darüber informieren, was mit ihren Daten geschieht

- Anzeigen -





Gesundheits- und Fitness-Apps und die dazugehörigen Wearables boomen. Doch viele Anbieter missachten oft gesetzliche Anforderungen. Nutzerinnen und Nutzer werden nicht oder nur mangelhaft darüber informiert, welche ihrer sensiblen Gesundheitsdaten von wem und zu welchem Zweck gespeichert werden. Gesammelte Daten können oftmals nicht gelöscht werden.

Der Markt für Apps im Gesundheitsbereich boomt. Das Angebot umfasst weltweit geschätzt rund eine Million Angebote mit Gesundheitsbezug. Egal ob Fitness-, Gesundheits-, Lifestyle-Apps, Sport- oder medizinische Apps gemeinsam ist allen, dass sie die Körperdaten ihrer Nutzer elektronisch erfassen. Um besser zu verstehen, was mit diesen sensiblen Daten geschieht, haben Datenschutzbehörden aus Bund und Ländern stichprobenartig Geräte und Apps von verschiedenen Anbietern überprüft.

Dabei zeigt sich, dass Hersteller, Betreiber und Verkäufer der getesteten Geräte und Apps die Nutzer oft nicht ausreichend darüber informieren, was mit ihren Daten geschieht. Stichpunktartige Anfragen der Datenschützer nach Auskunft zu gespeicherten Daten wurden mit pauschalen Verweisen auf Datenschutzerklärungen beantwortet oder wegen Nicht-Zuständigkeit abgewiesen. Viele Hersteller sind in Deutschland nur mit Serviceniederlassungen präsent, während ihr Hauptsitz in anderen EU- oder Dritt-Staaten liegt. Erst unter der ab Mai 2018 EU-weit gültigen Datenschutzgrundverordnung können deutsche Aufsichtsbehörden Beschwerden deutscher Verbraucher wirksamer bearbeiten. Sie appellieren daher an Bürgerinnen und Bürger vor dem Kauf und dem Einsatz von Wearables und Gesundheits-Apps genau auf den Schutz ihrer Daten zu achten.

So erfüllen die meisten der untersuchten Datenschutzerklärungen nicht die gesetzlichen Anforderungen. Sie sind in der Regel zu lang, schwer verständlich und enthalten zu essentiellen Datenschutzfragen nur pauschale Hinweise. Viele Erklärungen liegen nicht einmal in deutscher Sprache vor. Oftmals wurde auch nur auf die generelle Datenschutzerklärung des Unternehmens verwiesen, die kaum konkreten Bezug zu dem Wearable und den besonders schützenswerten Gesundheitsdaten hat.

Unbefugte Weitergabe der Gesundheitsdaten an Dritte
Oft werden die durch die Geräte erhobenen Gesundheitsdaten durch externe Dritte verarbeitet. Durch die unklaren Regelungen zur Datenverarbeitung entgleiten diese Daten dabei der Kontrolle durch die Nutzer. Zwar scheinen Einzelinformationen wie Körpergewicht, zurückgelegte Schritte, Dauer des Schlafes oder Herzfrequenz für sich betrachtet oftmals wenig aussagekräftig. In der Regel werden diese Daten jedoch mit eindeutigen Personenkennungen oder auch Standortdaten verknüpft. Bei einer dauerhaften Nutzung von Wearables fallen damit so viele Informationen an, dass sich ein präzises Bild des Tagesablaufs und Gesundheitszustands der jeweiligen Nutzer ergibt.

Viele der Geräte und Apps bieten die Möglichkeit, aufgezeichnete Fitness-Daten mit Freunden zu teilen. Häufig fehlt dabei ein Warnhinweis, dass die Weitergabe der sensiblen Nutzerdaten nur dann geschehen darf, wenn der Nutzer dieses ausdrücklich wünscht und bewusst hierin einwilligt. Einige Hersteller geben an, dass sie die Fitness-Daten der Nutzer für Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Die Nutzer erfahren jedoch auch hier häufig nicht, um wen es sich dabei handelt, noch können sie der Weitergabe ihrer Daten widersprechen.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff warnt daher:
"Fitness- und Bewegungsdaten, wie sie von vielen Wearables erhoben werden, verraten sehr viel über das Leben und die Gesundheit ihrer Nutzer. Vor dem Kauf von Wearables und der Installation der dazugehörigen Apps auf dem Smartphone sollten sich die Nutzer fragen, ob sie wissen, was mit ihren Gesundheitsdaten geschieht und an wen sie weitergegeben werden. Auch die Hersteller und Betreiber der Geräte und Apps sind in der Pflicht. Viele Probleme ließen sich vermeiden, wenn Fitnessdaten lediglich lokal auf einem Smartphone gespeichert und verarbeitet würden."

Löschen der Daten kaum möglich
Oft bieten Geräte und die damit verbundenen Nutzerkonten keine Möglichkeit, Daten selbst vollständig zu löschen. Will man etwa ein gebrauchtes Gerät weiterverkaufen, so genügt es nicht, die App zu löschen, um bereits gesammelte Daten zu vernichten. Bedenken bereiten den Datenschützern auch die technischen Analysetools mit denen Hersteller nachverfolgen, wie die Geräte oder Apps genutzt werden. Hier fehlt der Nachweis, dass gesammelte Daten tatsächlich anonym sind. Daher besteht die Gefahr, dass diese Daten für Werbezwecke und zur Profilbildung verwendet werden.

Bereits im April 2016 hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder von den Herstellern von Gesundheits-Apps und Wearables mehr Transparenz gefordert sowie korrekte Einwilligungserklärungen und ein Bekenntnis zur Datensparsamkeit. Die jetzt vorliegenden Untersuchungsergebnisse unterstreichen die Dringlichkeit der Forderungen der Datenschutzkonferenz.

Entschließung der Datenschutzbehörden von Bund und Ländern vom 6./7. April 2016:
Wearables und Gesundheits-Apps - Sensible Gesundheitsdaten effektiv schützen!
(Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; BfDI: ra)

eingetragen: 02.11.17
Home & Newsletterlauf: 23.01.17

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Datenschutz und Compliance

  • Grundrecht auf Datenschutz obsolet?

    Die Deutsche Vereinigung für Datenschutz e. V. (DVD) bedauert, dass der Bundestag den Kabinettsentwurf eines Umsetzungsgesetzes zur Europäischen Datenschutz-Grundverordnung als "Bundesdatenschutzgesetz" ohne wesentliche Änderungen verabschieden möchte. Der nun dem Bundestag vorliegende Gesetzesvorschlag verkehrt europäische Regelungen in ihr Gegenteil und hätte einen massiven Rückfall Deutschlands im Bereich des Datenschutzes zur Folge. Er verstößt in einigen wesentlichen Punkten, etwa bei den Auskunfts- und Transparenzrechten der Betroffenen oder im Hinblick auf eine unabhängige Datenschutzkontrolle gegen das in Artikel 8 der Europäischen Grundrechte-Charta garantierte Grundrecht auf Datenschutz sowie gegen die europäischen Vorgaben der Datenschutzgrundverordnung. Hierauf hat die DVD schon in ihrer Stellungnahme vom 01.02.2017 hingewiesen, ohne dass die kritischen Aspekte aufgegriffen wurden.

  • Verfassungs- und europarechtswidrig?

    Die Datenschutzbeauftragte begrüßt die zügige Anpassung des deutschen Datenschutzrechts an die ab 2018 geltenden EU-Vorgaben. So hat der Bundestag die Rechte der Betroffenen auf Information, Auskunft und Löschung im Vergleich zum Entwurf der Bundesregierung spürbar gestärkt. Die eingeschränkten Kontrollrechte der Datenschutzbehörden sind jedoch kritisch zu sehen. Ab Mai 2018 gelten europaweit die EU-Datenschutz-Grundverordnung und die EU-Richtlinie für den Datenschutz bei Polizei und Justiz. Das am Donnerstag verabschiedete Datenschutzanpassungs- und Umsetzungsgesetz greift dies auf und wird das bisherige Bundesdatenschutzgesetz ablösen. Das Gesetz bedarf noch der Zustimmung des Bundesrates.

  • Vorschriften für die Fluggastdatenspeicherung

    Aus Anlass der Anhörung des Innenausschusses des Deutschen Bundestags zum Fluggastdatengesetz empfiehlt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, vor Abschluss des Gesetzgebungsverfahrens das Gutachten des EuGH abzuwarten. Andrea Voßhoff sagte: "Der Europäische Gerichtshof (EuGH) wird in Kürze sein Gutachten zum Fluggastdatenabkommen mit Kanada veröffentlichen. Ich gehe davon aus, dass der EuGH darin die Grenzen der Verhältnismäßigkeit für eine verdachtslose Speicherung aller Flugpassagierdaten grundsätzlich konkretisieren wird. Der Deutsche Bundestag sollte sich vor Abschluss des Gesetzgebungsvorhabens mit dem Gutachten auseinandersetzen und gegebenenfalls erforderliche Anpassungen des aktuellen Entwurfs berücksichtigen. Wird das Gesetz verabschiedet, würden jährlich Fluggastdaten zu etwa 170 Millionen Passagieren in Deutschland unterschiedslos erfasst und über fünf Jahre gespeichert. Bei einem derartig weitreichenden Eingriff ist es essenziell, sicherzustellen, dass die Vorschriften für die Fluggastdatenspeicherung im Einklang mit den europäischen Grundrechten stehen."

  • Änderung des Straßenverkehrsgesetzes

    Die Bundesdatenschutzbeauftragte Andrea Voßhoff begrüßt Nachbesserungen am Entwurf zur Änderung des Straßenverkehrsgesetzes, der vom Bundestag verabschiedet wurde. Vorschläge der BfDI wurden dabei teilweise übernommen. Der Gesetzesentwurf zur Änderung des Straßenverkehrsgesetzes soll die rechtlichen Grundlagen für das automatisierte Fahren auf Deutschlands Straßen schaffen und Haftungsfragen nach Unfällen klären. Hierzu sollen Daten aufgezeichnet werden, aus denen hervorgeht, ob ein Auto durch eine sogenannte automatisierte Fahrfunktion oder durch eine Fahrerin oder einen Fahrer gesteuert wurde.

  • BDSG-Entwurf und Datenschutz-Kontrolle

    Mit dem Datenschutzanpassungs- und Umsetzungsgesetz soll das Bundesdatenschutzgesetz an die europäische Datenschutz-Grundverordnung angepasst werden. Nachbesserungen sind dringend nötig. Marit Hansen, Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), kommentiert dies: "Nach den Errungenschaften, die - auch dank des Einsatzes der Bundesrepublik in den Verhandlungen - in der Datenschutz-Grundverordnung für den Datenschutz erzielt werden konnten, sollte man nun eigentlich Verbesserungen auch im deutschen Datenschutzrecht erwarten. Das Gegenteil ist der Fall: Wird der Gesetzentwurf in der von der Bundesregierung vorgelegten Form beschlossen, drohen empfindliche Einbußen für die Datenschutzrechte der Bürgerinnen und Bürger."