Fitness-Apps sind ein Risiko für Ihre Privatsphäre

Dieser Beitrag wurde am 31. Oktober 2019 aktualisiert.


Fitness- und Gesundheits-Apps helfen Ihnen dabei, aufzuzeichnen und zu quantifizieren, wie viel Sie trainieren, welche verschreibungspflichtigen Medikamente Sie einnehmen und welche Verhütungsmethoden Sie anwenden. Diese Apps können zwar zur Verbesserung Ihrer Gesundheit beitragen, sie können jedoch auch Ihre Privatsphäre gefährden. Im schlimmsten Fall setzen sie Menschen physischen Gefahren aus, z. B. indem sie die Privatadressen und den Standort der Jogger in Echtzeit preisgeben.

Viele dieser Apps legen vertrauliche Informationen offen oder geben sie an Dutzende von Dritten weiter, einschließlich Facebook, ohne den Benutzern die vollständigen Details in ihren Datenschutzrichtlinien mitzuteilen. Diese Informationen können sensible Standortdaten, vertrauliche medizinische Daten oder sogar sehr persönliche Informationen enthalten, z. B. ob Sie ungeschützten Sex haben oder nicht.

Diese Arten von Apps sind in den letzten fünf Jahren immer beliebter geworden. Allein im Jahr 2018 hatte Fitbit über 27 Millionen Nutzer. Anfang dieses Jahres gab Strava an, 42 Millionen Benutzer zu haben – und jeden Monat eine Million Benutzer hinzuzufügen. Angesichts der sensiblen Daten, die diese Apps sammeln, und ihrer schlechten Aufzeichnungen zum Schutz dieser Daten stellen diese Apps eine erhebliche Bedrohung für die Privatsphäre ihrer Benutzer dar.

Was Fitness-Apps über Sie wissen

Die meisten Fitness-Apps wie Fitbit, Strava, MapMyRun, Nike + Run und Asics Runkeeper, um nur einige zu nennen, verfügen über ein tragbares Gerät, das mit Ihrem Smartphone synchronisiert wird. Dieses tragbare Gerät kann eine Fülle von Informationen sammeln, darunter die Anzahl der Schritte, die Sie ausführen, Ihre Herzfrequenz, wohin Sie reisen und wann, Ihr Gewicht und wann Sie wach sind oder schlafen.

Health Tracker sind im Allgemeinen Anwendungen, die Sie auf Ihrem Telefon installieren. Sie verlassen sich darauf, dass Sie Formulare über Ihre Gesundheit für die Datenerfassung ausfüllen. Je nachdem, auf was die App abzielt, kann sie von Standardfragen zu Ihrer Gesundheit (Sind Sie verletzt?) Bis zu Fragen zu ziemlich sensiblen Themen (Verwenden Sie Schutz, wenn Sie Sex haben?) Reichen..

Diese Daten können verletzt werden

Fitness-App-Hersteller haben wie jede andere Branche Datenverletzungen erlitten. Der Verstoß gegen MyFitnessPal von UnderArmour im Jahr 2018 ist der bislang größte. Es enthüllte die Benutzernamen, Passwörter und E-Mail-Adressen von mehr als 150 Millionen Benutzern. Während Hacker normalerweise nach Daten suchen, die sie leicht monetarisieren können (wie Ihre Kreditkartennummer), ist der Gedanke, dass Standortdaten offengelegt wurden, besonders problematisch. Angesichts der Tatsache, dass Jogger und Biker im Allgemeinen dort laufen und fahren, wo sie leben, können Angreifer auch feststellen, wo der Benutzer lebt, indem sie sich ansehen, wo der Großteil ihrer Routen begann und endete.

Keine der anderen wichtigen Fitness- und Gesundheits-Apps hat einen schwerwiegenden Datenverstoß erlitten. Leider können Sie nur wenig tun, um sicherzustellen, dass eine App Ihre Daten verantwortungsbewusst speichert, und nur Daten an Unternehmen und Organisationen weitergeben, denen Sie vertrauen.

Erfahren Sie mehr darüber, was zu tun ist, wenn Sie Opfer einer Datenverletzung sind.

Die ultimative Datenmine

Der Datenaustausch ist der Kern des Problems. Fitness-App-Unternehmen erhalten häufig Anreize, Ihre wertvollen Gesundheitsdaten in Echtzeit an Dritte weiterzugeben, unabhängig davon, ob es sich um Werbetreibende, Anwaltskanzleien oder soziale Netzwerke wie Facebook handelt, die von Ihren sensiblen Informationen profitieren. Wenn sie vollständig transparent darüber sind, wie Ihre Daten geteilt wurden oder wie Sie Ihre Datenschutzeinstellungen anpassen, ist es möglicherweise weniger wahrscheinlich, dass Benutzer den Apps vertrauen. Aus diesem Grund wurde die Fitness- und Gesundheits-App-Branche bisher von Skandalen heimgesucht.

Es gibt viele triftige Gründe für eine App, Daten auszutauschen. Dies kann zu einem besseren Service führen, den der Benutzer wünscht. Es kann auch gesetzlich für polizeiliche Ermittlungen vorgeschrieben sein. App-Hersteller betrachten den Schutz Ihrer vertraulichen Informationen jedoch nicht immer als oberste Priorität.

Es gibt drei Möglichkeiten, wie Fitness- und Gesundheits-Apps Ihre Daten missbrauchen:

  1. Sie machen Daten sofort verfügbar. Wenn Benutzer diese Apps verwenden und ihre Privatsphäre schützen möchten, müssen sie die Datenschutzeinstellungen in der App oder auf ihrem Smartphone aktualisieren, was nur wenige Benutzer tun.
  2. Ihre Datenschutzrichtlinien sind vage. Eine Datenschutzrichtlinie mit der Aufschrift „Wir können Ihre Informationen an unsere Sponsoren und / oder Geschäftspartner weitergeben“ gibt dem Benutzer nicht genügend Informationen, um eine fundierte Entscheidung zu treffen.
  3. Ihre Datenschutzrichtlinien sind irreführend. In einigen Fällen geben Apps nicht bekannt, wie die Daten in ihren Datenschutzrichtlinien verwendet werden. Sie verstecken es in einem separaten Dokument oder verschleiern es in verwirrendem Recht. Andere, kleinere Gesundheits-Apps haben möglicherweise überhaupt keine Datenschutzrichtlinie.

Schwache Standardeinstellungen für den Datenschutz

Ein Paradebeispiel für das erste Problem ist die Fitness-App Strava und ihre Beacon-Funktion, die den Standort von Bikern und Läufern in Echtzeit verrät. Dies hat die App zu einer Goldmine für Diebe gemacht.

So funktioniert das. Strava kombiniert Fitness-Tracking mit einer Social-Media-Plattform, die es seinen Benutzern ermöglicht, miteinander zu konkurrieren und zu interagieren. Damit Strava funktioniert, ist Zugriff und Erlaubnis erforderlich, um Ihre Standortdaten freizugeben. Es hat auch eine “FlyBy” -Funktion, mit der Sie andere Strava-Benutzer nachschlagen können, die Sie während Ihres Laufs gesehen oder bestanden haben.

Sie müssen jedoch kein Strava-Benutzer sein, um auf die Plattform zuzugreifen oder Routen nachzuschlagen. Sobald eine Route ausgewählt wurde, können Sie herausfinden, wem sie gehört, das Profil dieser Person anzeigen und sehen, wo sie sonst wahrscheinlich noch laufen wird. Diese Daten können häufig verwendet werden, um die Häuser von Personen zu lokalisieren. Dieses Problem tritt in geringerem Umfang auch bei MapMyRun, Nike + Run und allen Apps auf, mit denen Sie Ihre Läufe verfolgen und diese Daten freigeben können.

Während die Medien darauf fixiert waren, dass Militärstützpunkte durch Joggingrouten von Soldaten mit Stravas „HeatMap“ -Funktion freigelegt wurden, konnten diese Daten verwendet werden, um jeden Strava-Benutzer zu finden und ihm zu folgen.

Das Datenleck in der Strava-Heatmap ist noch viel schlimmer geworden:

– Die Daten können de-anonymisiert werden
– Beinhaltet Namen und Laufstrecken von Personen in hochsicheren militärischen Einrichtungen
– Eine Schnellsuche zeigt die Namen von 50 US-Mitarbeitern an einem Stützpunkt in Afghanistan
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK), 29. Januar 2018

Im Jahr 2014 führten die Strafverfolgungsbehörden Diebe, die Strava-Daten verwendeten, auf einen starken Anstieg der Fahrraddiebstähle in Großbritannien zurück. Das gleiche passierte 2018 erneut.

“Ich glaube nicht, dass vielen Menschen bewusst war, dass diese Mapping-Apps einem potenziellen Dieb im Grunde genommen eine große Menge an Informationen liefern können. Wir brauchen also Leute, die ihre Privatsphäre überprüfen “, sagte Adam Lang, ein Polizist, der sich 2018 mit den Fahrraddiebstählen befasste.

Strava wird mit Datenschutzbestimmungen geliefert. Leider aktivieren sie nur wenige Benutzer, und es sind nur wenige Läufe erforderlich, um den Standort Ihres Hauses freizulegen. Darüber hinaus beeinträchtigt das Aktivieren einiger Datenschutzfunktionen, z. B. das Deaktivieren der Funktion „FlyBy“, die Benutzerfreundlichkeit der App.

Vage Datenschutzrichtlinien

Das obige Beispiel – „Wir können Ihre Informationen an unsere Sponsoren und / oder Geschäftspartner weitergeben“ – ist keine Hypothese. Es stammt aus der Datenschutzrichtlinie des Eisprung-Trackers Maya, der behauptet, weltweit mehr als acht Millionen Benutzer zu haben. Dies sind keine ausreichenden Informationen, damit ein Benutzer seine Einverständniserklärung abgeben kann. Nirgendwo in Mayas Richtlinien listen sie die Art der Daten auf, die sie teilen, oder mit welchen Organisationen sie sie teilen.

Dies betrifft insbesondere die Art der Daten, die Maya sammelt, einschließlich Informationen über Ihre Stimmung, welche Art von Empfängnisverhütung Sie anwenden, ob Sie Sex haben und ob Sie Schutz verwenden. Ein Bericht von Privacy International enthüllte die vage Richtlinie und die Tatsache, dass Maya Daten mit mehreren Dritten, einschließlich Facebook, teilt. In dem Bericht wurde auch der Ovulations-Tracker MIA Fem hervorgehoben. MIA Fem hatte eine ebenso vage Datenschutzrichtlinie, hat diese jedoch inzwischen aktualisiert, um zu berücksichtigen, welche Daten an welche Partner gesendet werden. Es ist nur die neueste Gesundheits-App, die ihre Datenschutzrichtlinie anpasst, nachdem sie beim Teilen von Daten ertappt wurde, ohne ihre Benutzer zu informieren.

Die Flo-Ovulations-Tracker-App hat den Datenaustausch mit Facebook eingestellt, nachdem eine Geschichte im Wall Street Journal einen ähnlichen Datenaustausch ohne Zustimmung enthüllt hatte. (Eine Sache, die Flo, Maya und MIA Fem gemeinsam haben, ist, dass sie mit dem Software Development Kit (SDK) von Facebook erstellt wurden, mit dem Entwickler Funktionen integrieren und Facebook Benutzerdaten sammeln kann, um zielgerichtete Anzeigen zu schalten. Das SDK von Facebook wurde im Herzen vieler anderer Datenschutzverletzungen.)

Irreführende Datenschutzrichtlinien

HealthEngine ist eine beliebte App in Australien, mit der über 1,5 Millionen Menschen Arzttermine vereinbaren. Eine kürzlich durchgeführte Untersuchung ergab, dass die App die privaten medizinischen Informationen ihrer Benutzer ohne deren Zustimmung an Anwälte für lokale Verletzungen weitergab.

Die Benutzer wurden gefragt, ob sie in einen Autounfall verwickelt waren oder eine arbeitsbedingte Verletzung erlitten hatten. Wenn sie mit Ja geantwortet haben, hat die App die Anwälte für Verletzungen über die Details ihrer Gesundheitsprobleme informiert. Zu keinem Zeitpunkt wurden Benutzer gefragt, ob sie der Weitergabe ihrer Daten an Anwälte zustimmen, und es wurde auch nicht erwähnt, dass ihre Daten in der Datenschutzrichtlinie von HealthEngine an Anwälte weitergegeben werden. Die Tatsache, dass ihre privaten medizinischen Daten an eine Anwaltskanzlei gesendet würden, wurde nur in einer separaten „Inkassoerklärung“ offengelegt. Die einzige Möglichkeit für Benutzer, diese Datenfreigabe zu deaktivieren, bestand darin, die App nicht zu verwenden.

In den USA müssen die Gesundheits-Apps Cardiio und My Baby’s Beat sowie die Fitness-App Runtastic ihre Datenschutzrichtlinien überarbeiten, nachdem der Generalstaatsanwalt von New York erklärt hat, dass sie Daten ohne eindeutige Zustimmung an Dritte weitergeben.

Was Sie tun sollten, um Ihre Privatsphäre zu schützen

Es kann überraschend sein, dass es für Apps sogar legal ist, medizinische Informationen von Menschen so weit zu verbreiten. Das US-amerikanische Gesundheitsschutzgesetz HIPAA gilt jedoch nicht für Informationen, die Kunden für ihren eigenen Gebrauch sammeln. Dies bedeutet, dass Fitness-Apps in den meisten Fällen nicht unter die Verordnung fallen.

Neue Vorschriften in den USA, die speziell auf Fitness- und Gesundheits-Apps abzielen, könnten Entwickler dazu ermutigen, verantwortungsbewusster mit sensiblen Daten umzugehen. Bisher wurden jedoch keine Fortschritte erzielt. Die Bemühungen der US-Senatoren, den Verkauf privater Gesundheitsdaten an Versicherer, Hypothekengeber und Arbeitgeber zu verhindern, haben zu nichts geführt.

Die DSGVO der EU bietet einen gewissen Schutz, da sie eine informierte und eindeutige Zustimmung erfordert, bevor Daten weitergegeben werden können. Dies ist ein Schwellenwert, gegen den Maya wahrscheinlich verstößt, da nicht alle von ihm freigegebenen Daten aufgeführt sind oder wer die Daten in seiner Datenschutzrichtlinie erhält. Dies gilt jedoch nur für Personen, die in der Europäischen Union leben.

Der beste Weg, um privat zu bleiben, während Sie Fitness-Tracking- oder Gesundheitsüberwachungs-Apps verwenden, besteht darin, die Dinge selbst in die Hand zu nehmen.

Dies sind die wichtigsten Schritte, die Sie unternehmen können, um sicher zu gehen:

  1. Lesen Sie die Datenschutzbestimmungen: Wenn nicht explizit angegeben ist, welche Daten geteilt werden und mit welchen Organisationen Daten geteilt werden, wird davon ausgegangen, dass alle Daten, die Sie in diese App eingeben, für eine beliebige Anzahl unbekannter Dritter freigegeben werden können. Wenn Sie damit nicht vertraut sind, suchen Sie eine andere App.
  2. Überprüfen Sie, ob Datenschutzeinstellungen vorhanden sind: Nehmen Sie sich Zeit, um die Datenschutzeinstellungen zu überprüfen. Es ist gut zu verhindern, dass die App Ihre Daten teilt, aber die privateste Lösung besteht darin, zu verhindern, dass sie überhaupt Daten sammelt.
  3. Begrenzen Sie die Daten, die Sie in die App eingeben: Viele dieser Apps sammeln mehr Daten, als für ihre Kernfunktion erforderlich sind. Fragen Sie, ob Sie diese Daten freigeben müssen, um die App zu verwenden. Zum Beispiel gibt es keinen Grund, warum ein Ovulations-Tracker wissen muss, ob Sie ungeschützten Sex haben, damit er funktioniert.
  4. Wenn Sie Zweifel haben, fragen Sie: Wenn Sie nicht sicher sind, wie ein Fitness-App-Unternehmen Ihre Daten verwenden möchte, senden Sie ihm eine E-Mail und fragen Sie. (Und wenn Sie das tun, lassen Sie uns wissen, was sie sagen!)

Fitness- und Gesundheits-Apps sind großartige Tools, mit denen Sie motiviert werden können, fit zu bleiben und Ihre Fortschritte zu verfolgen. Sie sollten jedoch Ihre digitale Gesundheit nicht im Interesse Ihrer körperlichen Gesundheit gefährden müssen. Es ist wichtig zu wissen, dass die von Ihnen heruntergeladenen Apps Ihre Privatsphäre gefährden können.

Freundliche Grüße,
Das ProtonVPN-Team

UPDATE 1. November 2019: Google kündigte an, Fitbit für 2,1 Milliarden US-Dollar zu kaufen. Dies erhöht die Möglichkeit, dass Google für Werbezwecke auf die Gesundheitsdaten von Fitbit zugreift. Führungskräfte von Google haben jedoch erklärt, dass dies nicht der Fall sein wird. In einer E-Mail an Kunden schrieb der CEO von Fitbit: “Wir verkaufen Ihre persönlichen Daten niemals und Fitbit-Gesundheits- und Wellnessdaten werden nicht für Google-Anzeigen verwendet.” Der Deal wird voraussichtlich irgendwann im nächsten Jahr abgeschlossen.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map