Gefährdung des Datenschutzes durch Fitness-Tracker

Was versteht man unter tragbarer Technologie?

Tragbare Technologieprodukte sind kleine elektronische Geräte wie Fitness-Tracker oder Smartwatches, die den Tag über am Körper getragen werden können. Ihre Nutzer tragen sie als Accessoires, in der Kleidung oder sogar in Form eines Implantats. Mit ihren Sensoren sammeln sie Daten über den Nutzer und helfen ihm dabei, bestimmte Ziele zu erreichen, wie sportlich aktiv zu bleiben, abzunehmen, physisch und mental gesund zu bleiben oder einfach nur besser organisiert zu sein. Sie werden meist kurz als „Wearables“ bezeichnet (vom englischen Begriff für „tragbar“).

In den letzten Jahren sind Wearables, die zum Internet der Dinge gehören, immer beliebter geworden. Stand heute hat der weltweite Markt für Wearables einen Wert von über 20 Milliarden US-Dollar pro Jahr. Zusätzlich befeuert wurde dieser Trend noch durch die zunehmende Verfügbarkeit von Mobilfunknetzen, schneller Datenübertragung und immer kleiner werdenden Mikroprozessoren. Allerdings sind im Zuge dieser wachsender Popularität auch Fragen bezüglich der Sicherheit von Wearables aufgekommen, insbesondere der von Fitness-Trackern.

Zwar kann es einem Hacker egal sein, ob Sie Ihren 5-km-Lauf heute in persönlicher Bestzeit absolviert haben, es gibt aber noch jede Menge andere Informationen, die in Fitness-Trackern gespeichert sein können, wie Ihr Standort bzw. Gesundheits- oder Kontodaten, die zum Problem werden könnten, wenn sie in die falschen Hände geraten.

Sind Fitness-Tracker sicher?

Potentiell stellen Fitness-Tracker eine Gefahr für Ihre Privatsphäre dar. Denn die meisten Tracker sind so konzipiert, dass sie von Zeit zu Zeit mit anderen Geräten wie Laptops oder Smartphones synchronisiert werden. Wo immer Sie joggen oder mit dem Fahrrad fahren, werden Ihre Standortdaten mitgeschrieben. Und bei der Übertragung über die Cloud könnten diese Daten gehackt werden. In Bezug auf den Datenschutz von Fitness-Trackern bestehen daher folgende Bedenken:

Die Daten auf Fitness-Trackern sind sehr persönlich

Daten, die von Fitness-Trackern erfasst werden, sind sehr persönlich. Schließlich geht es um Dinge wie Gewicht, Blutdruck, Lauf- oder Walking-Strecken, Herz- und Lungenfunktion, Menstruationszyklus, Schlafrhythmus. All das sind Informationen, die Sie normalerweise Ihrem Arzt anvertrauen, damit er eine Diagnose stellen kann. Vielen Nutzern bereitet der Gedanke, dass diese Informationen ohne ihre Einwilligung an Dritte weitergegeben werden könnten, Unbehagen. Die Datenspeicherung auf Wearables kann aber auch Postanschriften, Echtzeit-Standorte und detaillierte Karten von Laufstrecken umfassen, auf die andere Nutzer leicht zugreifen können.

Daten könnten an Dritte weitergegeben oder weiterverkauft werden

Die Datenschutzrichtlinien einiger beliebter Fitness-Tracker sind nicht immer eindeutig und können sich ändern. Damit stellt sich durchaus die Frage, wie die Daten gespeichert und ob sie verschlüsselt werden, wer darauf zugreifen kann und wie dieser Zugriff überwacht oder überprüft wird. So gibt Fitbit zum Beispiel an, dass Ihre Daten erfasst und an Dritte verkauft werden, allerdings anonymisiert. Ihre Gesundheitsdaten sind für Werbetreibende und Versicherungen interessant, die auch gerne dafür bezahlen. Die Anbieter von Fitness-Trackern sind unter Umständen aus rechtlichen Gründen verpflichtet, Ihre Gesundheitsdaten offenzulegen, z. B. im Rahmen strafrechtlicher Ermittlungen. Darüber hinaus gilt das US-amerikanische Datenschutzgesetz für das Gesundheitswesen HIPAA (the Health Insurance Portability and Accountability Act) nicht für Informationen, die Kunden zum Eigengebrauch erfassen, d. h. Fitness-Tracker sind davon ausgenommen.

Wie sicher sind die Daten?

Ein Unternehmen, das tragbare Technologie anbietet, könnte gehackt werden. Ein bekanntes Beispiel ist die Datenschutzverletzung gegen den Fitnessdienst MyFitnessPal von Under Armour im Jahr 2018, von der die Benutzernamen, Passwörter und E-Mail-Adressen von über 150 Millionen Nutzern betroffen waren. In einem weiteren Fall aus dem Jahr 2018 deckte ein australischer College-Student in den Sommerferien eine Sicherheitslücke in der Fitness-App Strava auf, über die umfangreiche Nutzerdaten offengelegt wurden, darunter auch zahlreiche US-Militärstandorte in Kriegsgebieten auf der ganzen Welt.

Die meisten Fitness-Tracker werden per Bluetooth mit dem Handy verbunden. Bei einer Sicherheitslücke bedeutet das, dass eventuell Hacker auf Ihre Daten zugreifen könnten. Aber auch ohne sich in Ihr Gerät zu hacken, könnte jemand das Bluetooth-Signal abfangen, das an Ihr Smartphone zurückgesendet wird, und so an Ihre PIN kommen. Und mit der PIN hätte ein Hacker Zugang zu Ihren Gesundheitsdaten.

Wenn sich Schadakteure erfolgreich in die Server des Fitness-Tracking-Anbieters hacken, könnten sie die dort gestohlenen Daten weiterverkaufen oder versuchen, für die Rückgabe Lösegeld vom Anbieter zu erpressen. Wenn Ihre persönlichen Gesundheitsdaten öffentlich verfügbar sind, könnte Ihre Krankenversicherung diese Informationen ganz legal nutzen, um Ihren Krankenkassenbeitrag neu zu berechnen. Wenn der Blick auf den Fitness-Tracker beispielsweise ergibt, dass Sie sich wesentlich weniger bewegen, als Sie beim Arzt angegeben haben, könnte die Krankenversicherung Ihren Beitrag entsprechend erhöhen.

Tracking-Daten können auch standardmäßig veröffentlicht werden

Häufig geht es bei Fitness-Trackern auch um die Darstellung in sozialen Netzwerken und die Nutzer können sich entscheiden, ihre Daten öffentlich mit anderen zu teilen. Allerdings ist es durchaus nicht ungewöhnlich, dass die Einstellungen für die Privatsphäre standardmäßig auf „öffentlich“ eingestellt sind, sodass Profile in Suchergebnissen angezeigt werden. Wenn Sie nicht möchten, dass andere Ihre persönlichen Daten im Internet finden können, sollten Sie überprüfen, ob Sie mit den aktuellen Datenschutzeinstellungen einverstanden sind.

Wem gehören die von Ihnen generierten Daten?

Es ist wichtig, dass die Eigentumsrechte an den persönlichen Daten, die Sie mit Ihrem Wearable generieren, geklärt sind: Gehören die Daten Ihnen oder dem Fitness-Tracking-Anbieter? Die Antwort variiert je nach Marke. Häufig ist jedoch der Nutzer eben nicht der Eigentümer der Wearable-Daten. Informieren Sie sich in den entsprechenden Datenschutzrichtlinien und Nutzungsvereinbarungen.

Der Fitness-Tracking-Anbieter könnte verkauft werden

Selbst wenn Sie mit den Datenschutzbestimmungen und der Nutzungsvereinbarung Ihres Fitness-Trackers zufrieden sind, könnte das Unternehmen an Dritte verkauft werden. So wurde beispielsweise Fitbit 2019 von Google übernommen, was in den Medien eine heftige Debatte darüber auslöste, wie es um den Datenschutz bestellt sei, wenn Google Zugriff auf Millionen von Nutzerdaten bekommt. Bei einer Übernahme sind die Kundendaten in der Regel das wertvollste, das verkauft wird. Ein neuer Besitzer könnte eine ganz andere Datenpolitik verfolgen und die Gesundheitsdaten der Nutzer an Werbetreibende, Versicherungen und andere verkaufen wollen.

Eine Frau bedient auf ihrem Handy eine Fitness-App, die mit einem Tracking-Gerät an ihrem Handgelenk synchronisiert wird.

Tipps zum Schutz der Privatsphäre auf Fitness-Trackern

Die europäische Datenschutzgrundverordnung (GDPR) und der kalifornische Consumer Privacy Act (CCPA) bieten Nutzern von Wearables einen gewissen Schutz. Nichtsdestotrotz gibt es keinen einheitlichen Rechtsrahmen für die Sicherheit von Wearables und den Datenschutz auf Fitness-Trackern. Das verdeutlicht, wie wichtig es ist, dass Sie selbst für ein Maximum an Privatsphäre sorgen. Folgendes könnten Sie tun:

Lesen Sie die Datenschutzrichtlinie für Ihren Fitness-Tracker durch

Die Datenschutzrichtlinie vermittelt Ihnen einen ersten Eindruck, wie ernst das Unternehmen Ihre Privatsphäre nimmt und welche Maßnahmen es zu ihrem Schutz ergriffen hat. In der Datenschutzrichtlinie erfahren Sie, wie Ihre Daten verwendet, gespeichert und abgerufen werden. Wenn die Richtlinie vage erscheint, könnte das ein Hinweis darauf sein, dass Ihre Daten wahllos an Dritte weitergegeben werden. Wenn Sie mit der Datenschutzrichtlinie nicht einverstanden sind, sollten Sie erwägen, den Anbieter zu wechseln.

Informieren Sie sich, was erfasst wird, und widersprechen Sie der Nutzung im Zweifelsfall

Manche Wearables zählen einfach nur Ihre Schritte und wie lange Sie sich bewegen, andere wiederum erfassen komplexere Daten wie die Sauerstoffaufnahme und wie lange bestimmte Herzfrequenzbereiche eingehalten werden. Je mehr Sensoren ein Wearable hat, desto mehr sensible Daten werden generiert und müssen demzufolge auch geschützt werden. Ein Wearable, das beispielsweise Ihre Laufstrecken oder Fahrradrouten aufzeichnet, könnte einem potentiellen Stalker wichtige Hinweise liefern. Wenn Daten wie Ihr Menstruationszyklus gehackt werden, würde das einen erheblichen Eingriff in Ihre Privatsphäre bedeuten.

Nicht selten erfassen Apps und Geräte mehr Daten als unbedingt nötig. Apps sollten grundsätzlich nur solche Tracking-Daten erfassen und speichern, die erforderlich sind, um Ihren persönlichen Informationsbedarf in Gesundheitsfragen zu decken. Wenn Sie zum Beispiel einen Schrittzähler nutzen möchten, muss Ihr Tracker nicht auch noch Daten über Ihre Pulsfrequenz sammeln. Gehen Sie die verschiedenen Datenkategorien durch und passen Sie die Einstellungen Ihres Geräts an Ihre Bedürfnisse an.

Bringen Sie in Erfahrung, wo Ihre Daten gespeichert werden

Bei älteren, einfachen Geräten wie Schrittzählern oder Pulsmessern bleiben die Daten auf dem Wearable selbst. Man muss einfach nur wissen, wo die Geräte sind, und darf sie nicht verlieren, um ihre Sicherheit zu gewährleisten. Modernere Fitness-Tracker und Smartwatches dagegen sind in der Regel mit externen Apps vernetzt, damit die Aktivitäten aufgezeichnet, geteilt und analysiert werden können. Und sobald man seine Daten aus der Hand gibt, wird Vertrauen zum zentralen Thema.

Richten Sie die Zwei-Faktor-Authentifizierung ein

Die Zwei-Faktor-Authentifizierung (2FA) ist eine gute Möglichkeit, alle Ihre Konten zu schützen, so auch ihre Fitness-Tracker. Bei der Zwei-Faktor-Authentifizierung wird ein Code generiert und an ein vertrauenswürdiges Gerät, z. B. Ihr Telefon, gesendet. Diesen Code müssen Sie dann eingeben, um auf Ihren Fitness-Tracker zuzugreifen.

Deaktivieren Sie die Standortverfolgung

Standortdaten sagen viel über Sie aus, z. B. wo Sie wohnen, arbeiten, einkaufen usw. Um Ihre Privatsphäre zu schützen, können Sie die Standortverfolgung in den Geräte- und App-Einstellungen deaktivieren. Abgesehen davon, sollten Sie sich gut überlegen, wo und wann Sie Ihren Fitness-Tracker tragen. Große Menschenansammlungen bieten Hackern immer eine gute Gelegenheit, um Daten abzugreifen.

Führen Sie Updates durch, wann immer Sie dazu aufgefordert werden

Wie bei jedem anderen Gerät auch werden mit Software-Updates häufig kritische Sicherheitslücken geschlossen. Wenn Sie Ihren Fitness-Tracker auf dem neuesten Stand halten, können Sie sicher sein, dass stets die neuesten Sicherheitsfunktionen und Fehlerbehebungen installiert sind.

Vorsicht bei der Nutzung ungesicherter Netze

In Anbetracht des sehr persönlichen Charakters der Daten, die auf einem Fitness-Tracker gespeichert sind, sollten Sie öffentliche WLANs meiden, in denen diese Daten einem größeren Risiko ausgesetzt sind.

Bleiben Sie anonym mit einem VPN

Eine Möglichkeit, auf verschiedenen Geräten Ihre Anonymität zu wahren, besteht in der Verwendung eines VPN. Ein VPN schützt Ihre Privatsphäre, indem es Ihre Daten verschlüsselt und über eigene Server umleitet. So richtet Kaspersky Secure Connection zum Beispiel zwischen Ihren Geräten und den Internet-Servern von Kaspersky einen verschlüsselten Tunnel ein, damit niemand Ihre Online-Daten lesen kann.

Wearable-Technologie wie z. B. Fitness-Tracker bringen viele Vorteile mit sich. In der Zukunft könnten sie sogar helfen, Menschenleben zu retten, indem sie die Ausbreitung schwerer Infektionen wie Corona erfassen und eindämmen. Doch neben der Freude über den technologischen Fortschritt müssen sich Nutzer auch über die Datenschutzrisiken von Fitness-Trackern im Klaren sein und wissen, welche Maßnahmen sie ergreifen können, um diese Risiken zu minimieren.

Verwandte Artikel:

Schaden Fitness-Tracker Ihrer Privatsphäre?

Kaspersky

Was versteht man unter tragbarer Technologie und sind Fitness-Tracker sicher? Risiken für den Datenschutz durch Daten auf Fitness-Trackern und tragbaren Minicomputern und Sicherheit von Wearables.