Datensicherheit – Gesundheitsdaten in der Cloud

Wie schützen Self-Tracking Anbieter die Daten Ihrer Nutzer und welche rechtlichen Vorrausetzungen gelten für die persönlichen, bei Cloud-Diensten gehosteten Daten? Ein Gastbeitrag des Datensicherheitsexperten Stefan Finkenzeller.
stefan finkenzeller
Gastautor Stefan Finkenzeller

Gesundheitsdaten in den unendlichen Weiten der Cloud.

Quantified Self (QS) ist mittlerweile in aller Munde und hat nicht nur viele Anhänger in der digitalen Szene gefunden. Die Erfassung und Messung der eigenen (Gesundheits-) Daten zur Verbesserung des Lebens vermittelt das Gefühl das Leben und den Körper beherrschbar zu machen und motiviert viele Menschen zu einem gesünderen Lebensstil. Das liegt aber auch an den Tools, die es einem einfach machen, alle möglichen „KPIs“ zu erfassen: Ob es die täglich zurück gelegten Schritte sind, die Phasen im Schlaf, aufgesuchte  Orte oder das eigene Gewicht. Alles wird aufgezeichnet, in der Cloud gespeichert und mit Freunden geteilt. Das „Real Life“ macht einfach mehr Spaß, wenn man für alltägliche Leistungen mit „Badges“ belohnt wird und sich auch noch mit Freunden messen kann. Das eigene Leben als Spiel, dank Gamification. In Zeiten der Snowden-Enthüllungen und der NSA frägt man sich aber immer öfters, ob die eigenen Daten sicher sind. Und was noch viel entscheidender ist: Behandeln die Dienstleister im QS Bereich sie mit der nötigen Vertraulichkeit oder übergeben sie sie wahllos an Dritte? Warum vertrauen wir den QS-Diensten und habe sie dieses Vertrauen überhaupt verdient?

Gesundheits- und Verhaltensdaten – Dafür interessiert sich doch niemand. Oder?

Schön wär’s. Neben den Firmen, die uns mit den Daten Gutes tun möchten, gibt es doch eine recht große Interessensgruppe, die begierig auf unsere Gesundheitsdaten schielt, um sich das Leben leichter zu machen.

So könnten Krankenkassen individuelle Tarife anbieten, abgestimmt auf die ganz persönliche Lebensgestaltung. Das ist nicht per se schlecht, die Retour käme allerdings schnell, wenn man Krankenhausrechnungen voll tragen müsste, da man sich nicht an die tägliche Laufleistung oder den tariflich vorgeschriebenen Fitnessplan gehalten hat. Ein mögliches Szenario wäre auch, dass einem beim nächsten Personalgespräch die anstehende Beförderung verweigert wird, da man zu ungesund lebt und somit möglicherweise schneller ausfällt. Diese beschriebenen Situationen sind aktuell noch reine Fiktion. Doch wer hindert Krankenkassen und Unternehmen daran, ähnliche Ideen in die Realität umzusetzen? Natürlich schützt der Gesetzgeber den Mitarbeiter bzw. Versicherungsnehmer vor ungerechtfertigter Nutzung seiner Daten, doch wie kann man dies beweisen? Und vor allem, wie sieht die Lage aus, wenn man „freiwillig“ diese Daten zur Verfügung stellt…

Grundrecht „Datensicherheit“

Im Grundgesetz steht es zwar noch nicht, aber der Gesetzgeber hat mit dem „Bundesdatenschutzgesetz“ (BDSG) in Deutschland bzw. der Europäischen Datenschutzrichtlinie innerhalb der EU eine recht gute Gesetzesgrundlage mit eigenen Aufsichtsbehörden geschaffen.  Durch sie genießen Gesundheits- und Verhaltensdaten einen besonderen Schutz und zählen zu den „besonderen personenbezogenen Daten“ (BDSG §3 Abs. 9). Dienstleister müssen die ihnen anvertrauten Daten somit schützen und die Datenweitergabe vertraglich regeln. Dies gilt allerdings nur, wenn das in der EU sitzt. Dies führt leider zu einem großen Problem im QS Bereich: Die meisten QS-Firmen sind nicht in der EU ansässig. Damit unterliegen sie auch nicht dem EU-Recht dass den Schutz der personenbezogenen Daten regelt.

Verdienen QS-Dienste unser Vertrauen?

Da kann man nur hoffen, dass die QS-Dienste sich ihrer Verantwortung bewusst sind und sorgsam mit den Daten umgehen. Vertrauen kann man nur durch Offenheit und Transparenz schaffen, sowie mit einer klaren vertraglichen Grundlage. Diese sollte beinhalten dass der Nutzer Herr über seine Daten ist und auch bleibt.

Um einen Überblick über den aktuellen Datenschutz durch die QS Dienstleister zu liefern, habe ich die Daten auf den Webseiten der Dienste analysiert und versucht, über direkte Anspreche zusätzliche Informationen zu erhalten. Ich wollte in Erfahrung bringen, wo die Daten liegen und wie sie gegen Verlust (Verfügbarkeit) und Veränderung bzw. Manipulation (Integrität) geschützt sind. Wichtig war mir auch die Frage, ob die Daten verschlüsselt abgelegt werden und ob es vertrauensfördernde Zertifizierungen gibt, wie z.B. eine Sicherheitszertifizierung nach ISO 27001 und ob es Sicherheitsprüfungen der Infrastruktur (z.B. Penetrationstests) gibt.

Um es vorweg zu nehmen: Das Ergebnis war ernüchternd. Beim Blick auf die Seiten der QS-Dienste und in ihre AGB wird schnell klar, dass Sicherheit und Vertrauen noch nicht zu den Hauptthemen der Anbieter zählen – mit einer Ausnahme.

Der Marktführer – Fitbit

Es ist schon bemerkenswert, dass sich QS-Dienste – und allen voran der Marktführer Fitbit – so wenig Gedanken über die Ängste seiner Kunden macht. Wenn man sich die Nutzungsbedingungen (http://www.fitbit.com/de/terms) und die Datenschutzrichtlinie (http://www.fitbit.com/de/privacy) durchliest, könnte man meinen, dass sich Fitbit mehr vor seinen Nutzern schützen muss, als die Daten seiner Nutzer. Man sichert sich dort weitreichende Auswertungsmöglichkeiten (Perform internal market research, project planning, …) sowie den Transfer der Daten zu strategischen Partner. Aber gleichzeitig informiert man den Benutzer, dass die Sicherheit der Daten bei diesen Partner nicht mehr Sache von Fitbit ist (Data Security. […] It is important to understand that these precautions apply only to our Site and systems. We exercise no control over how your information is stored, maintained or displayed by third parties or on third-party sites”). Die AGB sind übrigens English only.

Zumindest ist Fitbit ehrlich und stellt korrekt dar, dass die Daten seiner Nutzer in den USA gespeichert und verarbeitet werden. Zudem sichert Fitbit seinen Nutzern zu, die Daten nach dem EU Safe Harbor Framework (http://www.export.gov/safeharbor/) zu verarbeiten, welcher ähnliche Sicherheitanforderungen wie der EU-Datenschutz vermitteln soll. Dazu muss man sagen, dass die letzten Monate gezeigt haben, dass das Framework nicht wirklich schützt.

Zumindest gibt es in den Nutzungsbedingungen einen (!) Absatz, der sich mit der Sicherheit der Daten beschäftigt. Man verwendet Firewalls und Verschlüsselungstechniken und speichert Kennwörter auch nur verschlüsselt. Gut, das würde auch auf mein Notebook zutreffen, auf dem ich gerade diesen Artikel schreibe, aber ok. Man hat sich zumindest bemüht. Zwei Sätze zur Sicherheit der Daten müssen schließlich reichen.

Unverständlich ist nur, dass man dann wiederum den Schutz der Anmeldeinformationen in den Nutzungsbedingungen komplett auf den Benutzer abschiebt („…Für den Schutz deiner Anmeldeinformationen und deines Kennworts bist du verantwortlich. Weiterhin bist du für sämtliche Handlungen verantwortlich, die unter Nutzung deiner Anmeldeinformationen erfolgen, unabhängig davon, ob diese von dir genehmigt wurden oder nicht.…“)

Dreist ist dann noch der Schlussabsatz „Schadloshaltung von Fitbit durch den Benutzer“. Hier darf man sich dann noch bereit erklären alle Fitbit-Verantwortlichen vor „.. Verlusten, Verbindlichkeiten, Schäden und Kosten…“ frei zu sprechen….

Diese Analyse betrifft mich selber, da ich selbst Kunde von Fitbit bin und nicht verstehen kann, das Fitbit die aktuellen Ereignisse (NSA, Snowden, German Angst) schlicht ignoriert. Da hilft es auch nichts, dass die deutsche Vertretung von Fitbit Kooperationsbereitschaft anbietet, selbst aber an der amerikanischen Mutter zerschellt! Dass es besser geht, zeigt die Konkurrenz.

Dacadoo (ehemals Quentiq)

Positives Beispiel ist die eidgenössische Firma Dacadoo, die nach eigenen Angaben eine sichere Gesundheits- und Fitnessplattform betreibt. Die Firma räumt zumindest der Datensicherheit und dem Datenschutz viel Platz auf ihrer Webseite ein, um den Benutzer mit den nötigen Informationen zu versorgen. Für Dacadoo hat die Datensicherheit der Gesundheitsdaten ihrer Nutzer, nach eigener Aussage, oberste Priorität. Die Kommunikation wird zeitgemäß per SSL verschlüsselt und selbst die Daten auf den Servern liegen ausschließlich in verschlüsselter Form vor. Der Zusammenhang zwischen Daten und Identität werden durch eine zusätzliche Komponente („Sicherheitsserver“) getrennt.  Das Rechenzentrum liegt in der Schweiz und wird lt. eigener Webseite mit „modernster logischer und physischer Sicherheit“ betrieben.

Auf Anfrage erhält man dann sogar noch detailliertere Informationen. Verschlüsselt wird mit AES-256 und eine Sicherheitszertifizierung nach ISO 27001 wird vorbereitet. Backups landen in einem zweiten Rechenzentrum und mehrere Penetrationstests wurden durchgeführt. Kurz um, genauso sollte man es machen!

Wer das Impressum sucht, um heraus zu finden, wo der Sitz der Firma ist, muss den Link „dacadoo ag“ bemühen. Dieser bringt Licht ins Dunkel und nennt Zürich als Sitz. In San Francisco (USA) ist lediglich die Tochtergesellschaft dacadoo americas beheimatet.

Nike+ (oder #Fail+)

Auch Sporthersteller haben QS entdeckt und nehmen QS unterstützende Dienste in die Produktpallette auf. Ein prominentes Beispiel ist Nike mit seinen Nike+ Produkten. Als US-Hersteller liegt der Schwerpunkt der Informationen auf der Darstellung der Produktfunktionalitäten. Was Nike mit den erhobenen Daten aus Nike+ Produkten macht und wie diese geschützt werden, bleibt allerdings das Geheimnis von Nike. Zwar wird in der „Privacy Policy“ ganz allgemein beschrieben, dass man Verschlüsselungstechniken einsetzt und Benutzer authentifiziert. Unklar ist allerdings, ob dies nur für die Shop-Informationen gilt, denn im gleichen Satz werden Kreditkarteninformationen beschrieben. Statt genauer darzustellen, was man für die Datensicherheit tut, folgt gleich der Absatz „No Guarantee“, in dem man dem Benutzer mitteilt, dass man keine 100%-Sicherheit gewähren kann. Das ist zwar grundsätzlich richtig, aber ohne zu wissen was getan wird, liest sich das eher als Entschuldigung für kommende Datenleck. Zumindest weißt Nike darauf hin, dass der Benutzer für die Veröffentlichung seiner Daten die Verantwortung trägt und falls man Daten veröffentlicht, werden diese auch von Nike für Werbezwecke verwendet…

Auch auf Nachfrage bekommt man nur den Hinweis, dass man sich gefälligst auf der Nike-Webseite informieren soll. Tja, ich bin hier allerdings nicht wirklich fündig geworden. Viel intransparenter kann man eigentlich nicht sein. #Fail

Tappa

Eine neuere Plattform ist Tappa aus Schweden mit ihrer deutschen Tochtergesellschaft in Lübeck. Tappa wirbt vor allem in Firmen mit virtuellen Geh-Wettbewerben für Fitness. Hier bekommt man einen traditionellen Schrittzähler und darf über die Tappa-Webseite seine Ergebnisse eintragen. Auf ihrer Webseite beschreiben sie ihre Mission „Mitarbeiter gesünder und glücklicher zu machen“.

Zwar gibt es eine Datenschutzerklärung, in der werden aber nur die nötigsten Informationen beschrieben, um dem BDSG gerecht zu werden. Wie und wo die Daten verarbeitet werden wird nicht aufgezeigt. Da in der Erklärung erwähnt wird, dass die Daten an die Mutter nach Schweden gehen ist davon auszugehen, dass die Daten auch in Schweden liegen.

Auf Anfrage erhält man nur die Information, dass nicht alle Daten an den Arbeitgeber fließen. Wirklich sehr hilfreich.

Fazit

Datenschutz wird in unserer heutigen Zeit immer wichtiger und ein vertrauensvoller Umgang mit den sensiblen Daten seiner Kunden müsste selbstverständlich sein. Dacadoo zeigt der Konkurrenz ganz deutlich dass man es verstanden hat und wie es geht. Hut ab. Schlusslicht ist Nike, welches als US-Unternehmen die Ängste seiner Kunden (zumindest in Europa) ignoriert. Fitbit versucht es als US-Unternehmen besser zu machen, allerdings aus europäischer Sicht noch nicht gut. Unverständlich ist es da hingegen, warum die Firma Tappa mit einem primär europäischen Markt kein Verständnis zeigt.

Tabelle QS DS

 

Dies ist ein Gastbeitrag des Datensicherheitsexperten Stefan Finkenzeller. Stefan Finkenzeller ist Geschäftsführer der PMG Projektraum Management GmbH. Mit eProjectCare Datenraum entwickelt er eine Plattform für den sicheren Austausch hoch sensibler Daten und setzt sich privat mit Wearables und deren Vor-und Nachteilen auseinander. Wissen zur IT-Sicherheit erlangte der gelernte Bankkaufmann u. a. bei der BayernLB als Konzernbeauftragter für Informationssicherheit und als freier IT-Journalist für den Heise Zeitschriften Verlag und Symposion Publishing.

One Comment

  1. Florian Schumacher
    Florian Schumacher

    Reply

    Danke für diesen Gastbeitrag, Stefan. Als ambitionierter Self-Tracker bin ich ebenfalls der Meinung, dass man als Anwender die Kontrolle über die eigenen Daten haben sollte und die Anbieter alles in Ihrer Macht stehende Unternehmen sollten, um unsere Daten zu schützen. Zugleich liegt es oft in meinem eigenen Interesse, dass die Anbieter meine Daten auch an Dritte weitergeben. So habe ich der Ernährungs-App MyFitnessPal Zugriff auf mein Fitbit Profil gewährt, damit mein Tages-Kalorien-Bedarf in Abhängigkeit von meiner Bewegungsaktivität berechnet werden kann. Die Daten meiner Withings-Waage werden von IFTTT abgerufen, um meine vernetzte Zimmerbeleuchtung von Philips zu steuern und die Daten von Fitbit, Withings und vielen anderen lasse ich mir übersichtlich im Dashboard von Tic-Trac zusammenfassen. Ich finde es daher verständlich, dass Unternehmen wie Fitbit keine Haftung dafür übernehmen, was von mir autorisierte Apps von Drittanbietern mit den Daten anfangen. Zugleich verstehe ich Deine Kritik an den AGBs vieler Hersteller, wenn diese nicht zum Ausdruck bringen, dass sie sich intensiv um den Schutz Ihrer Kunden bemühen. Ich bin gespannt wie sich die Lage entwickelt, wenn Player wie z.B. Apple in die Verwaltung von Gesundheitsdaten einsteigen und hoffe dass diese einen positiven Einfluss auf die Position der Anwender haben. Interessant wäre es auch zu erfahren wie Samsung mit dem Thema umgeht. Mit S Health haben sie ja schon seit längerem eine App zur Verwaltung von Gesundheitsdaten auf ihren Smartphones die vor kurzem von der FDA zugelassen wurde.

Leave a Comment

Your email address will never be published or shared. Required fields are marked with an asterisk (*).