Eine technische Prüfung habe gezeigt, dass eine Kontrolle über die eigenen Daten bei der Nutzung von internetfähigen Fitnessgeräten (Wearables) und -Apps für Anwender kaum möglich ist. Keine der Apps, die zum Betrieb eine Verbindung zum Internet aufbauen, ermögliche eine Verarbeitung der Daten alleine im eigenen Gerät (Offline-Verwendung). Die Mehrzahl der untersuchten Apps sendeten zahlreiche Daten, darunter auch Gesundheitsdaten. Dreiviertel der Apps übermittelten an Anbieter auch Daten zum Nutzungsverhalten, die für die reine Funktionalität der App vermutlich nicht nötig sind.

Die meisten der untersuchten Anbieter räumten sich demnach auch das Recht ein, die Daten an Drittanbieter weiterzureichen, oft auch für Werbezwecke. Bei 19 von 24 Apps würden Drittanbieter eingebunden, etwa Analyse- und Werbedienste. Nutzerdaten können in solchen Fällen weitergereicht werden. Technische Daten - wie etwa das Betriebssystem des Smartphones - würden bei 16 von 19 Apps bereits an Drittanbieter gesendet, bevor Nutzer überhaupt den Nutzungsbedingungen zustimmen und über den Umgang mit ihren Daten informiert werden konnten. Ob Werbe- und Analyse-Drittanbieter für die Funktionalität einer App nötig sind, sei fraglich und für den Nutzer kaum zu erkennen, so die Verbraucherzentrale.

Zwar würden alle von den untersuchten Fitness-Apps ausgehenden Daten über eine relativ sichere Verbindung (https-transportverschlüsselt) versendet. Aber nur wenige der untersuchten Wearables (2 von 12) seien vor ungewollter Standortverfolgung (Tracking) geschützt, was das Erstellen von Bewegungsprofilen möglich macht. Schuld daran sei eine Sicherheitslücke bei der Bluetooth-Verbindung. Betreiber von Einkaufszentren könnten dadurch beispielsweise die Laufwege ihrer Kunden verfolgen. Möglich sei das in der Regel allerdings nur, wenn Smartphone und Wearable nicht aktiv miteinander verbunden sind.

Die geprüften Anbieter ließen Nutzer zudem häufig darüber im Unklaren, was mit den gesammelten Daten passiert. Drei Anbieter stellten ihre Datenschutzhinweise nur in englischer Sprache bereit und nur zwei informierten über die besondere Sensibilität der erhobenen Gesundheitsdaten. Auch hole nur ein Anbieter eine separate Einwilligung für die Verarbeitung dieser sensiblen Gesundheitsdaten von den Nutzern ein.

Das Marktwächter-Team der Verbraucherzentrale hat deshalb neun Anbieter abgemahnt: Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour (MyFitnessPal) und Withings.

Nutzern empfehlen die Verbraucherschützer, in den Einstellungen ihrer Geräte die Berechtigungen zum Zugriff der Apps auf die Daten so weit wie möglich zu beschränken und Wearables nicht ständig zu tragen.

Zum Thema:

Mit dem Projekt Marktwächter Digitale Welt beobachten und analysieren die Verbraucherzentralen den digitalen Markt. Über ein Beschwerdeformular können Nutzer den Mitarbeitern Probleme mit digitalen Produkten oder Beobachtungen zu aktuellen Entwicklungen melden. www.marktwaechter.de/ digitalewelt