Datenschutz bei Laufapps

Wer seine Aktivitäten mit einer App misst, überlässt viele individuelle Daten einem fremden Unternehmen. Gerade Daten aus einer App zur Verfolgung sportlicher Aktivitäten sind stark personenbezogen und lassen vertiefte Rückschlüsse auf einzelne Personen zu.

nicht_oeffentlich

Die Server, auf denen die Daten ausgewertet werden, stehen dabei in der Regel nicht in Deutschland – oftmals nicht einmal in der EU – und unterliegen damit nicht dem deutschen Datenschutz. Das Bundesdatenschutzgesetz (BDSG) definiert Daten über die Gesundheit einer Person sogar als besonders schutzwürdig und fordert von Unternehmen, die mit solchen Daten umgehen, besondere Maßnahmen zum Schutz dieser Daten.

Ob endomondo, runtastic und Co. sich daran halten, lässt sich nur mittelbar prüfen. Wir haben einen einzelnen Aspekt herausgegriffen und Informationen aus den Datenschutzerklärungen der Betreiber in dieser Hinsicht geprüft.

Nicht alles ist für die Öffentlichkeit bestimmt

Kann ich meiner Laufapps wirklich bedenkenlos meine Daten anvertrauen? Wer eine App nutzt, gibt eine Menge von sich preis. Um die vom Anwender erbrachten Leistungen richtig bewerten zu können, fragen die Betreiber deutlich mehr persönliche Daten ab, als viele andere Webanwendungen. So gehören neben dem Gewicht, der Körpergröße und gesundheitlichen Einschränkungen auch die regelmäßig hinzukommenden Daten durch die gemessenen Aktivitäten des Anwenders zu den Daten, die ein sehr individuelles und persönliches Bild des Anwenders zeichnen. Nach dem deutschen Recht zum Schutz personenbezogener Daten fallen diese sogar unter die „besonderen Daten“ (§3 Abs 9 BDSG). Darunter sind solche zu verstehen, bei deren Verarbeitung „besondere Risiken für die Rechte und Freiheiten der Betroffenen“ bestehen (§4 d BDSG). Dies sind unter anderem Daten über die Gesundheit.

Nun ließe sich trefflich darüber nachdenken, welche App die Vorschriften, die sich aus dieser Vorgabe des deutschen Rechts ergeben vollumfänglich einhält. Das würde allerdings unweigerlich in einem juristischen Seminar enden. Daher soll hier für einige Apps nur ein sehr zentraler Aspekt beleuchtet werden.

Bin ich Herr meiner Daten?

Sollte ich als Anwender einer Laufapp eines Tages zum Schluss kommen, dass ich meine Daten dem Betreiber nicht mehr zur Verfügung stellen möchte, muss dieser auf mein Verlangen hin die Daten vollumfänglich löschen. Die Aufforderung dazu kann ich dem Datenschutzbeauftragten (identifizierbar in jedem Impressum mit einer namentlich benannten E-Mail Adresse) des Unternehmens zukommen lassen.

runtastic: Bei den Österreichern schreibt man DATENSCHUTZ zwar groß, die Erklärung bleibt dann allerdings im Allgemeinen. Es wird versichert, dass man ordentlich mit den Daten umgehe. Was allerdings nach einer Löschung meines Profils damit geschieht ist genau so wenig zu ersehen wie der zu bestimmende Datenschutzbeauftragte, den ich danach fragen könnte.

endomondo: Auch hier befinden wir uns in der EU. Und die Dänen nehmen dies ernst. Nicht nur findet sich ein Hinweis auf den Standort der Server, auf dem meine Daten gespeichert sind (und zwar in der EU was nach geltendem Recht zur Speicherung personenbezogener Daten notwendig ist). Auch wird der Anwender klar darauf hingewiesen, wie er seine Daten einsehen kann. Es wird sogar klar und deutlich erläutert, dass der Anwender sich seine personenbezogenen Daten erläutern lassen und im Zweifelsfall berichtigen oder löschen lassen kann. Klares Plus für die dänischen Softwaresportler.

runkeeper: Auf der anderen Seite des Atlantiks sieht die Sache ganz anders aus. Schon der Ton der „Privacy Policy“ ist ein komplett anderer. Hier wird der Anwender gleich mal damit konfrontiert, was alles mit seinen Daten angestellt wird. Netterweise – muss man sagen. Nach Bundesdatenschutzgesetz dürfen die personenbezogenen Daten nur zweckgebunden verarbeitet werden. Der Rahmen dafür ist – zum Leidwesen jeden Statistikers – sehr eng. Die Jungs von runkeeper aber verheimlichen nicht, das sie umfangreiche Analysen mit den personenbezogenen Daten über Demografie, Interessen und Verhalten anstellen, die ich dort hinterlasse. Definitiv nicht im Sinne des BDSG (§4 Abs 3 BDSG). Ob das allerdings überhaupt eine Rolle spielt angesichts der Tatsache, dass die USA keinen Safe Harbour für personenbezogene Daten darstellen?

Das Fazit: Der gute Wille ist da, eine Konformität mit dem deutschen Datenschutzgesetz ist bei keinem der Unternehmen zu finden. Lediglich die Dänen (endomondo) kommen sehr nahe an das heran, was unter dem „informationellen Selbstbestimmungsrecht“ verstanden wird.

(Dieser Artikel wird regelmäßig aktualisiert).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.