AdobeStock #174451850

HACKER, HACKER, FITNESSTRACKER

Tracking ist ein sehr negativ besetzter Begriff. Wir kriegen Cookies angehängt und können auf diese Weise im Netz verfolgt werden. Kein schöner Gedanke! Und dann gibt es noch das Tracking, auf das wir stehen: Fitnesstracking ist vor allem seit Corona das ganz große Ding. 15,5 Millionen Menschen in Deutschland nutzten im ersten Quartal des Jahres Smartwatches, Fitnessarmbänder und Co. Wer nicht ins Fitnessstudio kann, muss sich eben von digitalen Tools knechten lassen. Fitnesstracker erfassen dabei nicht nur den Standort und die Anzahl unserer Schritte, sondern zahlreiche besonders schützenswerte Gesundheitsdaten (Art. 9 DSGVO) wie Herzfrequenz, Schlafrhythmus, zugeführte Kalorien, Blutdruck und Sauerstoffsättigung. Solche Daten sind natürlich ein traumhaftes Ziel für Leute, die ein Ding drehen wollen. Garmin kann seit diesem Sommer ein Lied davon singen. Ende Juli legte eine Ransomware-Attacke die Server des Wearables- und Navigationsspezialisten komplett lahm. Die russische Hackergruppe Evil Corp soll mit dem Erpressungstrojaner WastedLocker für den fünf Tage andauernden Systemausfall gesorgt haben. Betroffen waren nicht nur Fitnessfans, sondern auch Piloten, weil Garmin auch Navigationssysteme für die Luft- und Schifffahrtsindustrie herstellt. Aber gut, diesen Sommer waren ohnehin weniger Flugzeuge als sonst in der Luft.
Wie man zu Fitnesstrackern steht, bleibt zum Glück jedem selbst überlassen. Ich lebe meine kompetitiven Anteile aus, indem ich meine Schritte zähle – Standort, Puls, Schlaf und der ganze Rest, gehen aber keinen was an. Ich will’s ja nicht einmal selbst wissen. Wenn allerdings jemand alles im Blick haben möchte, kann ich das durchaus verstehen. Die entscheidende Frage ist natürlich: Was passiert eigentlich mit den sensiblen Gesundheitsdaten? Denn eins ist gewiss: Wieviel wir essen und schlafen, laufen und gehen, sollte nicht jeder wissen, zumal sich daraus eine Menge Schlüsse ziehen lassen.

AUS DER CLOUD GEKLAUT

Wie schön wäre es, wenn wir unsere ganzen Daten zwar selbst hätten, aber sonst kein anderer. Würden die von Smartwatches, Fitnessarmbändern und Co erfassten Daten nur lokal gespeichert werden, wäre das herrlich! Gut, wir könnten uns dann zwar nicht mit der lahmen Restbevölkerung vergleichen, die täglich gerade mal halb so viele Schritte schafft wie wir, aber grundsätzlich hätten wir schon ein gutes Gefühl. Weil aber kein zuverlässiger Zwerg in unserer Smartwatch sitzt, der beständig unsere Schritte und Herzschläge zählt und gewissenhaft für uns notiert, müssen wir uns in den meisten Fällen wohl oder übel damit abfinden, dass die Daten nicht bei uns bleiben. Meistens landen sie in der Cloud – und dort sind sie nicht immer sicher, zumal häufig Server außerhalb der EU ins Spiel kommen. Um die sensiblen Gesundheitsdaten DSGVO-konform verarbeiten zu können, holen sich die Verantwortlich eine Einwilligung (Art. 9 Abs. 2 lit. a) DSGVO) ein. Eine Einwilligung ist das, was wir immer gerne geben, wenn wir zu faul sind, zu lesen, in was wir da eigentlich einwilligen und mehr als drei Sekunden darüber nachzudenken. Das ist menschlich, da wir meistens gar nicht die Kapazität haben, unsere Analysepower in eine Fitness-App zu stecken. Wir brauchen all unsere Analysefähigkeiten, um darüber nachzudenken, wie wohl irgendein Emoji gemeint sein könnte, das einem geschickt wurde. Das Problem ist, dass längst nicht alle App-Anbieter die User ausreichend über die Erhebung und Verarbeitung ihrer Daten aufklären, obwohl die Informationspflicht (Art. 13 DSGVO) dies eigentlich verlangt.
Das Ding ist: Wir sind oft so froh darüber, dass uns jemand die Möglichkeit bietet, uns und unsere Leistungen derart exakt zu vermessen, dass wir über unsere Rechte gar nicht weiter nachdenken. Dabei wäre genau das wichtig! Wir haben zum Beispiel das Recht, Einsicht in unsere Daten zu fordern (Art. 15 DSGVO) und auch auf Löschung (Art. 17 DSGVO). Nutzen wir diese Rechte? Nein, nur selten. Dabei wäre das doch wirklich mal interessant. Wenn wir uns dazu motivieren können, wer weiß wie weit zu laufen, ist doch so ein Auskunftsersuchen echt ein Klacks!