Wearables und Gesundheits-Apps: Gesünder ohne Datenschutz?

Von Peter Schaar

Den folgenden Beitrag habe ich anlässlich der Veranstaltung des BMJV und des BITKOM e.V. zum Safer Internet Day am 9. Februar 2016 verfasst, die sich unter dem Titel „Am Puls der Zeit? Wearables und Gesundheits-Apps“ mit Datenschutzfragen beschäftigt, die durch digitale Fitnessmesser aufgeworfen werden.

Die digitale GSmartphoneesundheitswelle, die aus dem Silicon Valley auch nach Europa schwappt, unterspült manchen Deich, den die EU zum Schutz der Privatsphäre ihrer Bürgerinnen und Bürger um den europäischen Binnenmarkt errichtet hat. Und sie konfrontiert uns einmal mehr mit der Frage, ob derartige Schutzanlagen angesichts umfassender Digitalisierung noch zeitgemäß sind.

Besonders hip sind Fitness-Armbänder und andere Gadgets, die Schritte zählen, zurückgelegte Wege messen, Puls und Schlafgewohnheiten aufzeichnen. Die Datenauswertung übernehmen sog. Gesundheitsapps, die auf dem Smartphone oder Tablet-Computer installiert werden.

Nun kann man darüber streiten, ob diese Systeme der Gesundheit wirklich dienen und ob die individuelle digitale „Selbstoptimierung“ tatsächlich so viel bringt, wie es die Anbieter versprechen. Auch ich habe da meine Zweifel – schließlich habe ich hier einen Selbstversuch unternommen und einige Monate lang ein Fitnessarmband ausprobiert, leider ohne erkennbaren Erfolg. Aber wahrscheinlich mangelt es mir einfach an Selbstdisziplin.

Was geschieht mit den Fitness-Daten?

Unabhängig vom gesundheitlichen Aspekt stellt sich die Frage, was mit den Daten geschieht, die in immer größerer Zahl anfallen, wenn alle möglichen Vitalfunktionen digital gemessen werden. In den meisten Fällen bleiben diese Daten, die immer detaillierter Auskunft über die Gesundheit der Nutzer geben, nicht in den Fitnessarmbändern, Smartwatches, Smartphones und Tablet-Computern, sondern sie wandern in die Cloud, wo sie von den Anbietern ausgewertet werden. Daher kommen auch die Ratschläge zur Selbstoptimierung – angeblich zum einzelnen Nutzer passende Tipps für besseren Schlaf, gesündere Ernährung oder sonstiges Verhalten. Meist kommen – wie bei den Amazon-Vorschlagslisten für geeigneten Lesestoff – Big Data-Verfahren zum Einsatz, bei denen die individuellen Messergebnisse mit den riesigen Mengen insgesamt erhobener Daten aller Nutzer verknüpft werden, um so bestimmte Verhaltensmuster zu erkennen.

Diese Personalisierten Tipps bilden allerdings nur die sprichwörtliche Spitze eines Eisbergs der Informationsverarbeitung. Was mit den Daten sonst noch in der Cloud passiert, ist für die Nutzer praktisch undurchschaubar. Auch ein Blick in die Nutzungsbedingungen und „Datenschutzerklärungen“ hilft da vielfach kaum, denn häufig wird die Datenverwendung nur sehr kryptisch oder allgemein beschrieben, so dass niemand wirklich etwas damit anfangen kann. Bisweilen erfährt der verwunderte Nutzer immerhin, dass er mit dem Kauf und der Verwendung eines Fitnessarmbands alle Nutzungsrechte der Daten an den Anbieter abgetreten hat und dass er darin einwilligt, die Daten überall in der Welt – auch in Staaten ohne jeglichen Datenschutz – zu verarbeiten. Deshalb sei jedem ein Blick in diese Erklärungen empfohlen, ehe er oder sie den Anbietern die durchaus sensiblen Gesundheitsdaten anvertraut.

Schlafgewohnheiten – auch für Freunde und Chefs interessant?

Problematisch ist auch, dass vielfach eine Anmeldung bei dem jeweiligen Dienst unter dem „Realnamen“ erforderlich ist und dass nicht etwa – wie im deutschen Telemediengesetz ausdrücklich gefordert – die Verwendung eines Pseudonyms ausreicht. Automatisch werden dann bisweilen die E-Mail-Adresse und andere Identifikationsmerkmale mit Social Network-Accounts abgeglichen und die eigenen Werte automatisch mit „Freunden“ oder „Followern“ geteilt. Nicht jedem Nutzer ist bewusst, dass dieses Sharing im Hintergrund stattfindet und so auch Arbeitskollegen, Nachbarn oder andere von Aufenthaltsorten, Fitnessübungen und Schlafgewohnheiten erfahren. Und nicht jedem ist es recht, nach der Genesung vom Chef darauf angesprochen zu werden, wie denn der lange, anstrengende Spaziergang mit der (angeblichen) ernsten Krankheit zu vereinbaren war, für die man krankgeschrieben war.

Schließlich sind die so gewonnenen Daten von erheblichem wirtschaftlichen Wert: Nicht nur für Sportartikelhersteller, sondern auch für Pharmaunternehmen, Versicherungen und Auskunfteien. Welche Unternehmen die Informationen erhalte, wie sie mit den Daten umgehen und für welche Zwecke sie die Daten nutzen, bleibt dem Nutzer regelmäßig verborgen.

Gesundheit ist kein Vorwand für Persönlichkeitsprofile

Um auf den Datenschutz zurückzukommen: Natürlich ist nichts dagegen einzuwenden, wenn Menschen anstreben, sich gesünder zu ernähren oder mehr zu bewegen und dass sie sich dabei elektronischer Hilfsmittel bedienen, die ihnen vielleicht helfen, ihre Vorsätze umzusetzen. Nicht in Ordnung ist es aber, wenn Unternehmen die Hard- und Software dazu verwenden, hinter dem Rücken der Betroffenen an deren höchstpersönliche Daten zu gelangen, sie zu Profilen zusammenzuführen und ggf. zu verkaufen.

Schon heute sind für den Umgang mit persönlichen Daten gesetzliche Vorgaben zu beachten, insbesondere das Bundesdatenschutzgesetz. Manche Gesundheits-App-Anbieter meinen, nicht an diese Vorgaben gebunden zu sein, weil sie ihre Dienste aus dem Ausland oder aus Übersee anbieten. Das neue EU-weite Datenschutzrecht stellt sicher, dass zukünftig überall im Europäischen Wirtschaftsraum dieselben Datenschutzregeln gelten. Höchstpersönliche Gesundheitsdaten dürfen nur mit ausdrücklicher Einwilligung der Betroffenen erhoben und nur zu genau festgelegten Zwecken verwendet werden. Diese Regeln gelten für alle Unternehmen, die in Europa ihre Dienste anbieten, egal wo die Datenverarbeitung stattfindet. Wer sich nicht daran hält, muss empfindliche Bußgelder – bis zu 4% des Weltjahresumsatzes – fürchten.

Gerade bei Gesundheitsdaten ist Datenschutz ein Wettbewerbsvorteil

Gesundheitsdaten zählen zu den sensibelsten Informationen überhaupt. Nachhaltiger wirtschaftlicher Erfolg wird In diesem Bereich nur jenen digitalen Geschäftsmodellen beschieden sein, die dies berücksichtigen. Deutsche und europäische Anbieter von Fitness-Apps haben die Chance, durch vorbildlichen Umgang mit den ihnen anvertrauten Daten einen Vertrauensvorsprung zu gewinnen. Gerade hier besteht die Chance, dass guter Datenschutz zu einem Wettbewerbsvorteil wird.

Unabhängig davon sei aber jedem Nutzer geraten, Fitness-Apps umsichtig zu verwenden. Ansonsten läuft man Gefahr, sich später über den laxen Umgang mit sensiblen Daten krank zu ärgern.

3 comments

  • Thomas

    Die digitale GSmartphoneesundheitswelle,
    sollte das nicht heissen
    Die digitale Gesundheits-Smartphone-Welle,

  • Ausgezeichneter Artikel. In der Schweiz und zunehmend auch in Europa kämpfen wir für die dititale Selbstbestimmung der Bürger. Über den Verein Daten und Gesundheit hat die FDP im Herbst das Postulat „Recht auf Kopie“ – jeder Bürger hat das Recht eine digitale Kopie all seiner persönlichen Daten (Fitbit, Google Searches, Retail Daten etc) einzufordern – an den Bundesrat überwiesen. Im Dezember hat der Bundesrat das Posulat bereits zur Bearbeitung aufgenommen. Das Recht auf Kopie entspricht in etwa dem Artikel 18 (Datenportabilität) der neuen EU Datenschutzregulierung. Es geht jedoch unserer Ansicht nach einen entscheidenden Schritt weiter. Erstens erhalten die Bürger durch das RaK erstmals eine Übersicht, welche Daten über sie erhoben werden (Awareness) und zweitens können sie mit diesen Daten selbst etwas machen (Empowerment). Die Bürger sind die einzigen, die die Möglichkeit haben, verschiedene persönliche Daten (mHealth, Konsumentendaten, medizinische Daten, Genomdaten etc) zu verbinden und damit einen Public Health Benefit und auch einen ökonomischen Gewinn zu erzeugen. Wenn die Bürger ihre Daten in genossenschaftlich verwalteten not-for-profit Datenbanken sicher aufbewahren und selbst verwalten, kann dadurch ein neues Trust-promoting Framework geschaffen werden, welches die Grundlage für die Demokratisierung der persönlichen Datenökonomie schaffen kann. Wir sind in einem vierjährigen Projekt am Aufbau von europaweit vernetzten durch die Bürger-kontrollierte MIDATA Genossenschaften (www.midata.coop). Wir hoffen mit diesem Ansatz ein europäisches Gegengewicht gegen die amerikanische Winner-takes-it-all Strategie aufzubauen. Bitte helfen Sie uns dabei! Die Wirtschaft funktioniert in wesentlichen Teilen, weil alle Bürger ihr Bankkonten haben und ihre Geld so ausgeben oder investieren, wie sie es für richtig halten. Weshalb sollte das mit persönlichen Daten nicht auch möglich sein. MIDATA Genossenschaften stimulieren Innovation auf zwei Arten. Erstens können neue Big Data Services angeboten werden, da nun unterschiedlichste Daten nicht hinter dem Rücken der Bürger, sondern mit deren aktiven Beteiligung ausgewertet werden können. Zweitens, bietet die MIDATA Plattform Start-ups die Möglichkeit Services und Devices anzubieten, ohne das sie die Daten selbst sicher speichern müssen. Mittelfristig, werde ich über mein MIDATA Konto auch meine privacy settings gegenüber Firmen selbst und transparent setzen können. Ich erhalte dann die entsprechenden Services von Migros, Amazon oder Facebook (Doc Searls, Vendor Relation Management (VRM)).

  • Alexander Dix

    Der frühere Swisscom-CEO Carsten Schloter lag falsch mit seiner These: „Datenschutzbedenken haben nur Gesunde“. Natürlich machen sich Kranke mehr Gedanken über ihren Gesundheitszustand. Aber wenn ein Patient nicht mehr sicher sein kann, dass das, was er dem behandelnden Arzt an intimsten Informationen offenbaren muss, in einem modernen Krankenhaus nicht mehr vertraulich behandelt wird, dann ist auch sein Vertrauen in den Erfolg seiner Behandlung und damit dieser selbst gefährdet.

    Wie Recht dagegen Apple-Chef Tim Cook mit seiner schon 2015 gemachten Aussage hatte, dass Datenschutz eine Frage von Leben oder Tod ist, machen die zunehmenden Angriffe auf Krankenhäuser in Nordrhein-Westfalen mit „ransomware“ deutlich. Nach einem Bericht in der Süddeutschen Zeitung v. 18.3.2016 („Das Comeback des Klemmbretts“) hat es seit Dezember 2015 mehr als 150 Anzeigen beim LKA wegen solcher digitaler Erpressungsversuche (wohl nicht nur in Krankenhäusern) gegeben. Ein Aachener Krankenhaus musste die Versorgung von Notfallpatienten (!) für einen Tag aufgeben. Die Abhängigkeit von Krankenhäusern nicht nur in Nordrhein-Westfalen von unsicherer Hard- und Software ist erschreckend.

    Zu dem von Peter Schaar angesprochenen Thema der Wearables sei auch darauf verwiesen, dass nahezu alle diese Produkte die Nutzenden dazu zwingen, ihre Daten in eine Cloud oder auf Server von Herstellern zu schicken. Bei einem Vergleichstest der „c’t“ ließ nur ein entsprechendes Produkt (bezeichnenderweise ein deutsches) dem Nutzer die Wahl und Möglichkeit, seine Fitness-Daten lokal auf dem eigenen Endgerät zu speichern. Dass die Option zur lokalen Speicherung eine zentrale Voraussetzung für informationalle Selbstbestimmung ist, hat auch die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation („Berlin Group“)in ihrem 2015 bechlossenen Arbeitspapier zum Datenschutz bei tragbaren Endgeräten betont. (vgl. https://datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protection-in-telecommunications-iwgdpt/working-papers-and-common-positions-adopted-by-the-working-group) hervorgehoben.

    Auch das von Ernst Hafen vorgestellte Konzept MIDATA erscheint mir als sehr interessant. Derartige europäische Konzepte und Produkte haben im internationalen Wettbewerb durchaus zunehmende Chancen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *