Skip to content Skip to navigation

Das Projekt Verbraucherrechte in der digitalen Welt endet am 31.12.2015, so dass diese projektbezogene Internetseite www.surfer-haben-rechte.de nicht mehr weiter aktualisiert werden kann.

Datenschutz und Datensicherheit bei Quantified-Self-Diensten

Datenschutz und Datensicherheit bei Quantified-Self-Diensten

Viele Quantified-Self-Dienste räumen sich in ihren Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen umfassende Rechte unter anderem auch hinsichtlich der Nutzerdaten ein. Danach dürfen diese bei einzelnen Diensten unter anderem auch zu Werbezwecke verwendet und an Dritte weiter gegeben werden. Ein kritischer Blick lohnt sich also!

Allgemeine Geschäftsbedingungen (AGB)

Hinsichtlich der vom Nutzer kreierten Inhalte räumen sich einzelne Anbieter ein umfassendes Nutzungs- und Verwertungsrecht ein. Das kann zur Folge haben, dass die eingestellten Daten an anderer Stelle und/ oder in einem anderen Kontext durch den Anbieter wieder verwendet werden – nicht immer zum Vorteil für den Nutzer.

Daher sollten Verbraucher – auch wenn es umständlich und lästig ist - immer in die AGB und Datenschutzbestimmungen vor Nutzung der jeweiligen App schauen und prüfen, welche Rechte der Anbieter sich einräumen lassen will. Die Vor- und Nachteile im Falle der umfassenden Nutzung der persönlichen Gesundheitsdaten sollten daher sorgfältig abgewogen werden. Anderenfalls sollte nach einem anderen Dienst mit einer  datenschutzfreundlichen Alternative gesucht werden.

Begehrlichkeiten Dritter an den Daten?

Je mehr Daten über einzelne Personen gespeichert werden, beziehungsweise diese die Datenspeicherung selbst veranlassen, umso interessanter sind solche Datenschätze. Sie bergen ein gewisses Missbrauchspotential zum Beispiel durch die Wirtschaft, den Staat oder die Forschung. Aber auch für die Pharmaindustrie oder die Krankenkassen dürften Quantified-Self-Daten theoretisch von besonderem Interesse sein. Es bleibt abzuwarten, wie lange etwaige Gebührenzuschläge der Krankenkassen bei Fettleibigkeit, Rauchern oder Sportmuffeln noch Zukunftsvision bleiben.

Vor allem Gesundheitsdaten wecken bereits schon jetzt große Begehrlichkeiten. Wie einem Beitrag des Blogs netzpolitik.org im vergangenen Jahr zu entnehmen war, sollen in Großbritannien die Krankenakten aller Einwohner zentral gesammelt und mit anderen Datenbanken, wie Register über Krankheiten und Gen-Datenbanken verknüpft werden. Wissenschaftler sollen damit neue Erkenntnisse finden. „Big Brother“ lässt grüßen.

Unabhängig davon sollten Nutzer immer hellhörig werden und sich besser nach einer Alternative umsehen, wenn insbesondere in den Datenschutzbestimmungen eines Dienstes die Rede davon ist, dass die Daten an Dritte weiter gegeben werden können.

Datenpreisgabe und standardmäßige öffentliche Voreinstellungen

Bei der Anmeldung für Quantified-Self-Dienste werden Daten des Nutzers abgefragt, wie zum Beispiel der Name einschließlich des Spitznamens, Größe und Gewicht. Ebenso werden Daten erfasst, die durch die Nutzung des Dienstes generiert werden, wie die gelaufene Strecke oder die tägliche Schrittzahl. Generell sollten sich Verbraucher bei der Preisgabe Ihrer Daten auf ein Minimum beschränken, beziehungsweise nur solche Daten angeben, die für die sinnvolle Nutzung des Dienstes zwingend erforderlich sind.

Nicht immer sind die Privatsphäre-Einstellungen standardmäßig vom Diensteanbieter restriktiv voreingestellt. Nutzer sind sich vielleicht nicht immer bewusst, dass ihre Daten nicht nur von Freunden, sondern unter Umständen auch von jedermann in der Community eingesehen werden können oder gar über Suchmaschinen auffindbar sind. Bei Neuanmeldungen für einen Dienst sollte daher die Privatsphäre-Einstellung sorgfältig überprüft und gegebenenfalls korrigiert werden. Dasselbe gilt auch für die fortlaufende Zeit der Nutzung eines Dienstes, um sicher zu stellen, dass sich die Einstellungen nicht durch Systemänderungen oder ähnlichem seitens des Anbieters verändert haben.

Datenverarbeitung im Ausland

Problematisch wird es dann, wenn die erhobenen und auch vom Nutzer selbst generierten Daten nicht auf Servern in Deutschland, sondern im europäischen oder gar außereuropäischen Ausland verarbeitet und gespeichert werden.

Während auf europäischer Ebene zumindest durch spezielle Richtlinien ein Rechtsrahmen für den Datenschutz gesetzt ist, sind außereuropäische Unternehmen an die Vorgaben des EU-Rechts meist nicht gebunden. Mit Unternehmen außerhalb der EU gibt es zwar Datenschutzabkommen, die haben sich aber in der Praxis bisher als nicht sehr effektiv erwiesen.

Nutzer haben insoweit Schwierigkeiten, zum Beispiel ihre Rechte auf Auskunft oder Löschung ihrer Daten gegenüber international agierenden Unternehmen gegebenenfalls auch gerichtlich geltend zu machen und diese durchzusetzen. Sie sollten sich vor diesem Hintergrund nicht nur erkundigen, wer wo welche Daten von ihnen speichert. Vielmehr sollten Nutzer sich die Konsequenzen vor Augen führen, wenn ein über Monate oder Jahre entstandenes Nutzerprofil mit teilweise höchst sensiblen Daten sich möglicherweise nicht löschen lässt, weil ein Anspruch nicht durchgesetzt werden kann.

Noch problematischer wird es, wenn die Daten mittlerweile in alle Welt zerstreut vom ursprünglichen Diensteanbieter an Dritte weiter gegeben wurden. Selbst auf nationaler Ebene wird der Nutzer bei der Geltendmachung und Durchsetzung eines datenschutzrechtlichen Anspruchs vor eine große Herausforderung gestellt. Bei der – unter Umständen auch unrechtmäßigen - Datenweitergabe an Dritte kann die Durchsetzung etwaiger Ansprüche aussichtslos sein.

Daten auf den Servern und in der Cloud

Quantified-Self-Dienste funktionieren nur durch die Eingabe und Erhebung persönlicher, teilweise höchst sensibler Daten der Nutzer. Der errechnete Energieumsatz unter Berücksichtigung des Alters, der Körpergröße und der Anzahl der zurückgelegten Schritte an einem Tag, das sind zum Beispiel Daten, die zusammengeführt , ausgewertet und dem Nutzer zur Verfügung gestellt werden.

Da dieses Datensammelgut eines jeden einzelnen Nutzers in der Regel nicht auf dem heimischen PC verbleibt, sondern auf den Servern der Anbieter oder gar in einer Cloud  gespeichert wird, besteht hierbei immer ein gewisses Sicherheitsrisiko. Durch Angriffe auf die technische Infrastruktur des Anbieters, durch unbefugte Dritte oder durch die unverschlüsselte Übermittlung der Daten können höchstsensible persönliche Daten schnell in die falschen Hände geraten. Zu beachten ist auch, dass Nutzer derartiger Dienste in der Regel alle Daten verlieren können, wenn der Dienst beispielsweise nicht mehr rentabel ist und geschlossen wird.

Datenübertragung durch Social Plugins - „Gefällt-mir“-nicht

Besondere Vorsicht ist anzuraten, bei Quantified-Self-Diensten im Zusammenhang mit Social Plugins, wie den „Gefällt-mir-Button“ von Facebook . Allein durch das Aufrufen einer Webseite, auf der der „Gefällt-mir“-Button eingebunden ist, erhält Facebook Angaben zu Datum, Uhrzeit, Webseite, Browser, Betriebssystem und IP-Adresse. Anhand dieser Daten besteht die Möglichkeit, dass Facebook diese Daten mit denen, die bereits in dem Facebook-Profil eingebunden sind, zusammenführt, um Nutzerprofile zu erstellen.

Die Situation verschärft sich, wenn der Nutzer bei einem Webseitenbesuch eines Quantified-Self-Dienstes zeitgleich bei Facebook eingeloggt ist und den „Gefällt-mir“-Button betätigt, denn dann kann Facebook die vorgenannten Daten mit dem Facebookprofil des Nutzers verknüpfen. Zusammen ergibt das ein sehr umfassendes Profil eines Nutzers. So lässt sich zum Beispiel das Facebookprofil der 25-jährigen in Berlin lebenden Susi Schaf dahingehend vervollständigen, dass diese an einem Fitnessprogramm per App teilnimmt, täglich 10 Kilometer mit den Inline-Skatern zurück legt und dabei eine Geschwindigkeit bis zu 30 Stundenkilometer erreicht. Das sind hilfreiche Informationen für Werbeunternehmen, Krankenkassen etc. und möglicherweise lassen sich daraus sogar Rückschlüsse auf die Bonität von Susi Schaf ziehen.

Um dieser Datensammelei vorzubeugen, sollten sich Nutzer immer bei Facebook ausloggen und einen eigenen Browser nutzen, der für andere Surf-Touren nicht verwendet wird.

  • Stand: 
    Montag, Oktober 27, 2014