Um die persönliche Fitness zu verfolgen, nutzen gesundheitsbewusste Personen häufig Fitnessarmbänder oder Smartwatches, die mit ihren umfangreichen Sensoren (Beschleunigungssensor, Lagesensor, GPS-Empfänger etc.) eine Vielzahl an Daten kontinuierlich erfassen können. Diese Daten werden benutzt, um Gesundheitsparameter der Person (Herzaktivität, Schritte, Bewegung, …) zu erfassen und an das Smartphone per Bluetooth zu übertragen.
Jedoch sind diese Daten besonders sensibel, weil man über sie Rückschlüsse auf den Aufenthaltsort (GPS-Daten) oder die Gesundheit ziehen kann. Um diese Daten zu schützen, belegt der Gesetzgeber die Verarbeitung besonders sensibler Daten (§3 Abs. 9 BDSG) – z.B. Daten über die Gesundheit einer Person – mit speziellen Regularien und erschwert so ihre Verarbeitung. Ob sich Drittanbieter von Fitnessapps an diese Vorgaben halten, ist fraglich.
In einer Untersuchung baute die Sicherheitsfirma Symantec einen Bluetooth-Scanner und ließ diesen passiv die Signale von Wearables „belauschen“. Das Ergebnis: Alle Geräte konnten anhand ihrer Hardware-Adresse (ähnlich dem Kennzeichen beim Auto) eindeutig identifiziert und ihr Standort somit überwacht werden. Außerdem übertrugen 20% der Apps unverschlüsselt die Anmeldedaten der Nutzer – und ermöglichen so den Missbrauch von Gesundheitsdaten sowie persönlichen Informationen aus der Cloud, wie z.B. Geburtsdatum, Adresse, Fotos, u.v.m.
Wer sich fragt, wer von diesen Daten profitieren könne, denke an die Mitarbeiterüberwachungen bei Lidl, der Telekom und der Deutschen Bahn, in denen die Privatsphäre der Mitarbeiter massiv verletzt wurde, indem Detektive und versteckte Kameras gezielt zur Überwachung der Mitarbeiter eingesetzt wurden ohne konkreten Tatverdacht. In den Vereinigten Staaten wurden mittlerweile die ersten Fälle bekannt, bei denen Einbrecher GPS-Tracking nutzten, um bei Abwesenheit der Hausbesitzer unbemerkt einzubrechen. Bei der momentan so geringen Sicherheit von Wearables könnte diese Praktik noch einfacher werden.
Im 1. Teil des Datenschutz-Blogbeitrags ging es darum, welche Daten Wearables erfassen und wie unsicher die Geräte beim Speichern und Übermitteln sind. Lesen Sie im 2. Teil, wie sich der Umgang mit Daten in der Gesellschaft verändert hat und welche Lösungsansätze es für mehr Datenschutz gibt.
1 Wearables (von eng. Wearable Computing) bezeichnen tragbare Computersysteme (z.B. Smartwatches, Google Glass, Nike+); hauptsächliche Tätigkeit ist dabei eine vom Computer unterstützte Tätigkeit in der realen Welt.
Links aus diesem Beitrag:
- Over 720,000 Android Wear devices shipped in 2014
- GfK Forecasts 51 Million Wearables Bought Globally in 2015
- How safe is your quantified self? Tracking, monitoring, and wearable tech
Bildquelle: unsplash.com