Tag Archives: BMJV

Wearables und Gesundheits-Apps: Gesünder ohne Datenschutz?

Von Peter Schaar

Den folgenden Beitrag habe ich anlässlich der Veranstaltung des BMJV und des BITKOM e.V. zum Safer Internet Day am 9. Februar 2016 verfasst, die sich unter dem Titel „Am Puls der Zeit? Wearables und Gesundheits-Apps“ mit Datenschutzfragen beschäftigt, die durch digitale Fitnessmesser aufgeworfen werden.

Die digitale GSmartphoneesundheitswelle, die aus dem Silicon Valley auch nach Europa schwappt, unterspült manchen Deich, den die EU zum Schutz der Privatsphäre ihrer Bürgerinnen und Bürger um den europäischen Binnenmarkt errichtet hat. Und sie konfrontiert uns einmal mehr mit der Frage, ob derartige Schutzanlagen angesichts umfassender Digitalisierung noch zeitgemäß sind.

Besonders hip sind Fitness-Armbänder und andere Gadgets, die Schritte zählen, zurückgelegte Wege messen, Puls und Schlafgewohnheiten aufzeichnen. Die Datenauswertung übernehmen sog. Gesundheitsapps, die auf dem Smartphone oder Tablet-Computer installiert werden.

Nun kann man darüber streiten, ob diese Systeme der Gesundheit wirklich dienen und ob die individuelle digitale “Selbstoptimierung” tatsächlich so viel bringt, wie es die Anbieter versprechen. Auch ich habe da meine Zweifel – schließlich habe ich hier einen Selbstversuch unternommen und einige Monate lang ein Fitnessarmband ausprobiert, leider ohne erkennbaren Erfolg. Aber wahrscheinlich mangelt es mir einfach an Selbstdisziplin.

Was geschieht mit den Fitness-Daten?

Unabhängig vom gesundheitlichen Aspekt stellt sich die Frage, was mit den Daten geschieht, die in immer größerer Zahl anfallen, wenn alle möglichen Vitalfunktionen digital gemessen werden. In den meisten Fällen bleiben diese Daten, die immer detaillierter Auskunft über die Gesundheit der Nutzer geben, nicht in den Fitnessarmbändern, Smartwatches, Smartphones und Tablet-Computern, sondern sie wandern in die Cloud, wo sie von den Anbietern ausgewertet werden. Daher kommen auch die Ratschläge zur Selbstoptimierung – angeblich zum einzelnen Nutzer passende Tipps für besseren Schlaf, gesündere Ernährung oder sonstiges Verhalten. Meist kommen – wie bei den Amazon-Vorschlagslisten für geeigneten Lesestoff – Big Data-Verfahren zum Einsatz, bei denen die individuellen Messergebnisse mit den riesigen Mengen insgesamt erhobener Daten aller Nutzer verknüpft werden, um so bestimmte Verhaltensmuster zu erkennen.

Diese Personalisierten Tipps bilden allerdings nur die sprichwörtliche Spitze eines Eisbergs der Informationsverarbeitung. Was mit den Daten sonst noch in der Cloud passiert, ist für die Nutzer praktisch undurchschaubar. Auch ein Blick in die Nutzungsbedingungen und “Datenschutzerklärungen” hilft da vielfach kaum, denn häufig wird die Datenverwendung nur sehr kryptisch oder allgemein beschrieben, so dass niemand wirklich etwas damit anfangen kann. Bisweilen erfährt der verwunderte Nutzer immerhin, dass er mit dem Kauf und der Verwendung eines Fitnessarmbands alle Nutzungsrechte der Daten an den Anbieter abgetreten hat und dass er darin einwilligt, die Daten überall in der Welt – auch in Staaten ohne jeglichen Datenschutz – zu verarbeiten. Deshalb sei jedem ein Blick in diese Erklärungen empfohlen, ehe er oder sie den Anbietern die durchaus sensiblen Gesundheitsdaten anvertraut.

Schlafgewohnheiten – auch für Freunde und Chefs interessant?

Problematisch ist auch, dass vielfach eine Anmeldung bei dem jeweiligen Dienst unter dem “Realnamen” erforderlich ist und dass nicht etwa – wie im deutschen Telemediengesetz ausdrücklich gefordert – die Verwendung eines Pseudonyms ausreicht. Automatisch werden dann bisweilen die E-Mail-Adresse und andere Identifikationsmerkmale mit Social Network-Accounts abgeglichen und die eigenen Werte automatisch mit “Freunden” oder “Followern” geteilt. Nicht jedem Nutzer ist bewusst, dass dieses Sharing im Hintergrund stattfindet und so auch Arbeitskollegen, Nachbarn oder andere von Aufenthaltsorten, Fitnessübungen und Schlafgewohnheiten erfahren. Und nicht jedem ist es recht, nach der Genesung vom Chef darauf angesprochen zu werden, wie denn der lange, anstrengende Spaziergang mit der (angeblichen) ernsten Krankheit zu vereinbaren war, für die man krankgeschrieben war.

Schließlich sind die so gewonnenen Daten von erheblichem wirtschaftlichen Wert: Nicht nur für Sportartikelhersteller, sondern auch für Pharmaunternehmen, Versicherungen und Auskunfteien. Welche Unternehmen die Informationen erhalte, wie sie mit den Daten umgehen und für welche Zwecke sie die Daten nutzen, bleibt dem Nutzer regelmäßig verborgen.

Gesundheit ist kein Vorwand für Persönlichkeitsprofile

Um auf den Datenschutz zurückzukommen: Natürlich ist nichts dagegen einzuwenden, wenn Menschen anstreben, sich gesünder zu ernähren oder mehr zu bewegen und dass sie sich dabei elektronischer Hilfsmittel bedienen, die ihnen vielleicht helfen, ihre Vorsätze umzusetzen. Nicht in Ordnung ist es aber, wenn Unternehmen die Hard- und Software dazu verwenden, hinter dem Rücken der Betroffenen an deren höchstpersönliche Daten zu gelangen, sie zu Profilen zusammenzuführen und ggf. zu verkaufen.

Schon heute sind für den Umgang mit persönlichen Daten gesetzliche Vorgaben zu beachten, insbesondere das Bundesdatenschutzgesetz. Manche Gesundheits-App-Anbieter meinen, nicht an diese Vorgaben gebunden zu sein, weil sie ihre Dienste aus dem Ausland oder aus Übersee anbieten. Das neue EU-weite Datenschutzrecht stellt sicher, dass zukünftig überall im Europäischen Wirtschaftsraum dieselben Datenschutzregeln gelten. Höchstpersönliche Gesundheitsdaten dürfen nur mit ausdrücklicher Einwilligung der Betroffenen erhoben und nur zu genau festgelegten Zwecken verwendet werden. Diese Regeln gelten für alle Unternehmen, die in Europa ihre Dienste anbieten, egal wo die Datenverarbeitung stattfindet. Wer sich nicht daran hält, muss empfindliche Bußgelder – bis zu 4% des Weltjahresumsatzes – fürchten.

Gerade bei Gesundheitsdaten ist Datenschutz ein Wettbewerbsvorteil

Gesundheitsdaten zählen zu den sensibelsten Informationen überhaupt. Nachhaltiger wirtschaftlicher Erfolg wird In diesem Bereich nur jenen digitalen Geschäftsmodellen beschieden sein, die dies berücksichtigen. Deutsche und europäische Anbieter von Fitness-Apps haben die Chance, durch vorbildlichen Umgang mit den ihnen anvertrauten Daten einen Vertrauensvorsprung zu gewinnen. Gerade hier besteht die Chance, dass guter Datenschutz zu einem Wettbewerbsvorteil wird.

Unabhängig davon sei aber jedem Nutzer geraten, Fitness-Apps umsichtig zu verwenden. Ansonsten läuft man Gefahr, sich später über den laxen Umgang mit sensiblen Daten krank zu ärgern.

Die SCHUFA und Big Data – BMJ übernehmen Sie!

Die ablehnende Entscheidung des Bundesgerichtshofs zu einem umfassenden Auskunftsrecht gegenüber der SCHUFA hat erhebliche Konsequenzen. Letztlich geht es darum, ob der Datenschutz auch dort greift, wo auf Grund („bloß“) statistischer Zusammenhänge auf individuelles Verhalten geschlossen wird. Denn auch solche statistische Bewertungen ziehen erhebliche persönliche Konsequenzen nach sich, etwa ob ein Kredit vergeben wird. Auch auch bei der existentiellen Frage, ob ich als Mieter akzeptiert werde, kann der Scorewert eine Rolle spielen. Der SCHUFA-Score funktioniert dabei ähnlich wie Big Data-Anwendungen, die uns tagtäglich und überall in unserem Alltag beobachten und bewerten.

Die SCHUFA beschränkt sich seit langem nicht mehr darauf, Banken vor „schwarzen Schafen“ zu warnen, die ihre Kredite nicht ordnungsgemäß zurückgezahlt haben. Vielmehr werden alle möglichen Informationen ausgewertet, um die Kreditwürdigkeit eines (potentiellen) Kunden mittels eine Kopfnote (Scorewert) zu beurteilen. Der auf der Grundlage eines mathematisch-statistischen Verfahrens errechnete Scorewert soll Banken, Versandhändlern, Telekommunikationsunternehmen und Vermietern die Wahrscheinlichkeit des künftigen individuellen Zahlungsverhaltens offenbaren.

Selbst wer überhaupt niemals einen Kredit aufgenommen oder ihn pünktlich zurückgezahlt hat, kann einen schlechten Scorewert erhalten. Denn Faktoren wie Alter, Geschlecht oder Wohnort, die Dauer eines Arbeitsverhältnisses können den Scorewert negativ beeinflussen.

Dabei greift das „Scoring“ immer weiter um sich: Unser Surfverhalten im Internet wird bewertet, um uns passende Werbebotschaften zuzusenden („Behavioral Targeting“), Versicherungen werten aus, wie wir mit dem Auto unterwegs sind und berechnen auf dieser Grundlage unsere Policen („Pay as you drive“) und US-Sicherheitsbehörden bewerten Fluggastdaten, Telefon- und Internetdaten, um potentielle Terroristen ausfindig zu machen. Bei solchen „Big Data“-Verfahren können wir immer weniger selbst über die Preisgabe und Verwendung unserer Daten bestimmen.

Hier brauchen wir zumindest umfassende Transparenz. Zwar müssen uns Kreditauskunfteien seit 2010 einmal im Jahr einen kostenlosen „Kontoauszug“ über die gespeicherten Daten geben. Auch haben sie uns über wesentliche Faktoren zu informieren, die in Scorewerte eingeflossen sind. Das Urteil des Bundesgerichtshofs verdeutlicht aber, dass dies nicht ausreicht. Der BGH hat nämlich festgestellt, dass die SCHUFA über die „Scoreformel“, also die Gewichtung und Berechnung der Scorewerte, keine Auskunft erteilen muss, weil es sich dabei um ein Betriebs- und Geschäftsgeheimnis handelt. Deshalb muss jetzt der Gesetzgeber hier für die notwendige Transparenz sorgen. Nicht nur die beim Scoring verwendeten Daten müssen offengelegt werden, sondern auch, wie daraus eine Kopfnote wird.

Dies ist eine schöne und wichtige Aufgabe für den neuen Bundesjustizminister Maas und seine beiden dem Verbraucherschutz verpflichteten Staatssekretäre Billen und Kelber.

BMJ über nehmen Sie!
Ihr

Peter Schaar