Vom Self-Tracking zur Fremdüberwachung

Bewegung tut immer gut, das lernen wir schon seit der frühesten Kindheit. Doch seit Jahren weisen Expert:innen auf Gesundheitsrisiken durch zunehmende Bewegungsarmut bei Kindern und Jugendlichen hin.^[1] Durch die Coronakrise und die damit verbundenen Maßnahmen wurde der Bewegungsdrang sogar noch weiter eingeschränkt, da sowohl der Schulsport anders, wenn nicht sogar ganz ausfiel und auch der Vereinssport größtenteils ausgesetzt wurde.^[2] Wenn sich nun die Heranwachsenden, die während des Lernens viele Stunden körperlich inaktiv sind, im Alltag oder beim Sport Ziele setzen, um so der Bewegungsarmut entgegenzuwirken, ist nichts schlecht daran. Um die Verbesserung der Aktivitäten zu beobachten, gibt es mittlerweile viele Fitnesstracker, z. B. Armbänder und Uhren, aber auch Apps auf dem Smartphone. Smartwatches und Armbänder bekannter großer Marken kosten natürlich einiges, das kann sich nicht jede:r Jugendliche leisten. Inzwischen gibt es jedoch schon viele erschwingliche und stylische Angebote – und auch Apps sind im App Store bzw. Google Play Store vielfach kostenlos zu haben. Das heißt allerdings nicht, dass es sie zum Nulltarif gibt, denn die Konsument:innen bezahlen dann in anderer Form – nämlich mit ihren Daten.

Wearables sind kleine, direkt am Körper getragene Computer, die mit verschiedenen Sensoren beispielsweise die Herzfrequenz, den Blutdruck und die Schlafqualität messen, aber auch die Schritte zählen oder den Kalorienbedarf ermitteln können u. v. m. Die Computer können vielfältig in alltägliche Dinge integriert werden, so z. B. in eine Uhr, ein Armband, eine Datenbrille und auch in intelligente Kleidung. Fitbits sind nichts anderes, der Name basiert auf einem US-amerikanischen Hersteller, der solche Fitnesstracker produziert.^[3]

Die Art dieses Aufzeichnens der eigenen Körper- und Gesundheitsfunktionen und der Kontrolle von persönlichen Trainingszielen wird als Self-Tracking, die sogenannte Selbstüberwachung, bezeichnet. Der Begriff Lifelogging bezieht noch die Erfassung der Geo-Daten und u. a. die Darstellung der Fitness-Historie mit ein.^[4] Möchte man die Entwicklung seiner sportlichen Leistungsfähigkeit analysieren, benötigt man zur Auswertung eine App auf dem Smartphone oder eine Anwendung auf dem PC. In regelmäßigen Abständen werden die Daten mit der App digital oder per Bluetooth synchronisiert.

In den letzten Jahren sind die frei verkäuflichen Fitnesstracker-Produkte unter Heranwachsenden immer beliebter geworden. In 2019 nutzten bereits 29 % der über 16-Jährigen Fitnesstracker und mehr als jede:r Dritte (36 %) Smartwatches.^[5] Letztere können wie auch Google Glass^[6] von Hause aus mehr als Fitnessgadgets – mit ihrem integrierten Internetzugang ist fast alles möglich, was auch mit einem Smartphone funktioniert, also Anrufe tätigen, SMS abrufen, Apps herunterladen etc.

Jugendliche sind neugierig auf technische Innovationen und Gimmicks. Zum einen probieren sie generell gern etwas Neues aus, zum anderen steigern sie damit ihre technische Kompetenz. Und in sind sie damit sowieso. Aber ob ihnen bei all den oft kostenlosen App-Angeboten bewusst ist, was mit ihren aufgezeichneten Daten passiert, die sie vom Gerät an die App-Betreiber übertragen? Welche Dritte die Gesundheitsinformationen mitlesen? Welche Schlüsse die Unternehmen aus den freiwillig übermittelten Daten der Nutzenden ziehen? Dass durch Datenpannen und Sicherheitslücken die Informationen an Unbefugte gelangen können? Ob Heranwachsende all dies im Eifer der Euphorie beim Einwilligen in die unübersichtlichen AGBs bzw. Datenschutzvereinbarungen mitbedenken, darf bezweifelt werden. Laut einer Befragung schätzen Jugendliche die Verarbeitung und Weitergabe von Daten durchaus als Risiko bei der Nutzung von Self-Tracking-Technologien ein, allerdings fehlen ihnen diesbezüglich auch weitergehende Erkenntnisse und das Wissen um die besondere Sensibilität der freigegebenen Daten.^[7]

Der pure Kauf eines nicht internetfähigen Fitnessgadgets allein stellt noch kein Datenschutzrisiko dar. Die Risiken beginnen beim Herunterladen der zur Datenauswertung notwendigen Applikation. Geachtet werden sollte darauf, dass eine Tracking-App keinen Zugriff auf alle Kontakte benötigt, auch nicht auf sämtliche auf dem Smartphone befindlichen Medieninhalte oder das Mikrofon. Wenn sich die App-Berechtigungen nicht an individuelle Bedürfnisse anpassen lassen, also z. B. der Zugriff sich nur auf die Internetverbindung beschränkt, sollte man von dieser App die Finger lassen. In den AGBs, die zum besseren Verständnis auf Deutsch verfasst sein sollten, muss eindeutig festgehalten werden, was der App-Betreiber mit den Daten macht, wo sie liegen, ob man sie einsehen oder löschen lassen kann und ob es die Möglichkeit gibt, die Daten verschlüsselt zu übertragen. Dritten darf nicht erlaubt sein, mit den Daten zu arbeiten; auch eine Freigabe für sonstige Werbezwecke sollte in den AGBs nicht zur Voraussetzung für die Nutzung der Anwendung gemacht werden.

Es ist wichtig zu wissen, wem Einblick in die gemessenen Werte gewährt wird, denn letztlich kann darüber ein komplettes Persönlichkeitsprofil mit allen Konsumvorlieben erstellt werden. Wenn Dritte wie bspw. Amazon, Google, Apple oder Facebook Zugriff auf die gesammelten Informationen erhalten, sollte man sich nicht wundern, plötzlich auf den verschiedensten angesurften Webseiten vermehrt Werbung für Sportschuhe und -accessoires zu sehen oder Hinweise zu vermeintlich gesünderer und teurer Ernährung eingeblendet zu bekommen. Werden dazu noch die Standortdaten des Trainings aktiviert, kann ein Bewegungsprofil erstellt und für lokale Werbeangebote genutzt werden. Schon mit der Angabe der Adresse gerät man in eine Zuordnung nach besserer oder schlechterer Wohngegend. Das könnte beeinflussen, welche Artikel aus welcher Preisklasse die Liste der Suchergebnisse des Browsers anführen.^[8] Daher sollte die Weitergabe der erfassten Daten an Dritte oder auch Social-Media-Dienstleister ausgeschlossen werden. 

Mit einer kostenlosen App ist dies nicht wirklich möglich, wie ein Selbstversuch zeigt: Beim Herunterladen der Fitness-App eines bekannten österreichischen Sportartikelherstellers erfolgt keine Verifikation der persönlichen Daten. Zwar ist eine Registrierung notwendig, die auch über das Googlekonto oder den Facebook-Account erfolgen kann, allerdings aus Gründen der Datenzusammenführung der verschiedenen Dienste nicht erwägt werden sollte. Eine Registrierung über eine E-Mail-Adresse tut es auch. 

Beim Zustimmen der Allgemeinen Geschäftsbedingungen erfolgt ein grober Hinweis, welche Daten der Kund:innen erhoben werden: Kontaktdaten, Identitätsinformationen^[9], Standortdaten, Geräte-, Profil- und Verhaltensinformationen sowie Daten zu Präferenzen. Detaillierte Informationen sollen in den Datenschutzbestimmungen ausgeführt werden. In dem ca. 22 Seiten langen Dokument sind eindeutige Firmennamen, mit denen der App-Betreiber neben den großen Plattformen Google und Facebook zusammenarbeitet, nicht identifizierbar. Zwei weitere Links führen angeblich zu mehr Informationen zu den Bestimmungen bzw. zur Cookie-Richtlinie. Zudem erfolgt der Hinweis, dass Do-not-Track-Signale des Browsers umgangen werden.^[10] Spätestens hier resigniert wahrscheinlich selbst jede:r noch so ambitionierte junge Kunde:Kundin und klickt genervt auf Zustimmen, da die App bei Verweigerung nicht nutzbar ist. Eine bessere Alternative böte die Suche nach einer datenschutzfreundlicheren Anwendung, die mitunter vielleicht ein paar Euros kostet.

Neben der Aufzeichnung und Weitergabe der Identitäts- und Standortdaten sollte Heranwachsenden bewusst sein, dass die Übermittlung der auf dem Wearable aufgezeichneten Gesundheitsinformationen in unverschlüsselter Form in eine Cloud immer ein Sicherheitsrisiko birgt. Bei der Übertragung mit Bluetooth können die Daten abgeschöpft werden, die digitale Übertragung ins Internet bietet Angreifer:innen ebenfalls Tür und Tor – zum Beispiel zum Identitätsdiebstahl, zur Ausspähung oder Manipulation. Auch kann es zu Datenpannen bei den App-Betreibern kommen und die sensiblen Daten werden kurzzeitig für jedermann einsehbar. Daher ist von einem Zuviel an Datensammeln über die eigenen Vital- oder auch Stimmungsfunktionen in digitaler (und unverschlüsselter) Form abzuraten. Welche Organisationen sich vielleicht auch erst in einigen Jahren für diese Daten interessieren, ist heute nicht absehbar – Stichwort: Das Netz vergisst nie –, auch das sollte im Hinterkopf bleiben.

Zu empfehlen ist immer die regelmäßige Aktualisierung der Software und Hardwareschnittstellen auf dem Wearable. Denn bei Sicherheitslücken, die nicht mit einem Update geschlossen werden, kann die Fitness-App sonst von Fremden übernommen werden. Damit nicht genug kann dies je nach Berechtigungsfreigaben auch gefährlich werden, weil durch eine solche Schwachstelle auch die Daten auf dem Smartphone angegriffen werden können. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, bei Wearables mit integriertem Mobilfunkmodul zu hinterfragen, ob eine Aktualisierung der IT-Sicherheit möglich ist, um somit die Daten auf dem Gerät und während der Übertragung sicher zu machen.^[11]

Zu guter Letzt sollte bei der Anwendung einer solchen Applikation darauf geachtet werden, ob die einmalig beim Herunterladen zugestimmten App-Berechtigungen sich mit einem Update nicht ändern. Am besten nach jedem installierten Update einen kurzen Blick in die Berechtigungsstruktur werfen und notfalls ändern. Und im Zuge des digitalen Aufräumens auch immer mal wieder prüfen, ob man bestimmte Apps noch braucht – wenn nicht, selten genutzte Apps löschen (vgl. auch Playlist Meine Daten gehören mir! 15 Tipps für mehr Selbstbestimmung).

Auch wenn ursprünglich nichts einzuwenden ist, das eigene Verhalten ein bisschen zu beobachten, Auskunft über schlechte Angewohnheiten, ungesunde Ernährungsweisen oder auch Trainingserfolge schwarz auf weiß zu erhalten, so sollte doch abgewogen werden, ob die schützenswerten sensiblen Informationen immer digital weiterverarbeitet werden müssen oder nicht auch analog in einem Fitness-Tagebuch festgehalten werden können. Denn die Nützlichkeit der digitalen Gadgets hat letztlich immer einen Preis.