Aktivitätstracker – Deine Fitness, unsere Daten

Der Schweizer Uhrmacher Abraham-Louis Perrelet gilt als Erfinder des Schrittzählers, den er 1780 zur Vollendung brachte. Damals noch mechanisch, schmückt dieser heutzutage in digitaler Ausführung immer mehr Handgelenke. Der nun integrierte 3-Achsen Beschleunigungssensor liefert neben der Schrittanzahl eine Menge an Daten, die Aufschluss über die aktuelle Aktivität bzw. ausstehende Aktivität des Trägers geben. Im Angesicht der immer umfangreicheren Vermessungsmöglichkeiten ist auch der Begriff “Pedometer” nicht mehr zeitgemäß und wurde durch “Aktivitäts- / Fitnesstracker” oder auch “Fitnessarmband” ersetzt.

Bild von Juhan Sonin
Bild von Juhan Sonin (CC-NY)
Im Kampf um Kunden überbieten sich die Hersteller mit immer neuen Innovationen. Neben den üblichen Aktivitäts- und Schlafaufzeichnungen gehört spätestens seit Ende letzten Jahres auch ein integrierter Herzfrequenzmesser zur Standardausstattung dieser Allzeitbegleiter.

Das Versprechen ist, die Träger zu (mehr) sportlicher Betätigung zu motivieren und ihnen ein Tagebuch der erbrachten Aktivität zur Selbstvermessung, Trainingsoptimierung und Langzeitbeobachtung zur Verfügung zu stellen.

Aus diesen Gründen weckte die neueste Generation der Fitnessarmbänder auch mein Interesse. Testberichte und Produktvergleiche der einzelnen Modelle gibt es zu Hauf. Die Akkulaufzeit, die Messgenauigkeit, die Ablesbarkeit bei Sonne, die Bedienbarkeit, das Design … Kein einziger setzt sich jedoch damit auseinander, wo die erfassten Daten eigentlich gespeichert und aufbereitet werden. Und dass der Benutzer bereits die Kontrolle darüber verloren hat.

Um dieses Thema – Datenschutz und Datenhaltung bei Fitnesstrackern – soll es in diesem Blogeintrag gehen. Neben einem knappen Abriss über die Thematik, sollen auch die Antworten ausgewählter Hersteller gezeigt werden, die dazu von mir befragt wurden.

Im Prinzip funktioniert die Datenerfassung, Verarbeitung und Speicherung bei allen Fitnesstrackern sehr ähnlich. Die erfassten Sensordaten können durch die recht begrenzte Speicherkapazität nur für wenige Tage oder Wochen auf dem Gerät vorgehalten werden. Für eine detaillierte Ansicht und Analyse der Daten sind die Armbänder nicht vorgesehen. In der Regel werden höchstens die wichtigsten Kennzahlen des aktuellen Tages, in dem nur sehr wenige Pixel umfassenden und damit funktionell recht eingeschränkten Display, angezeigt.

Um die Sensordaten auch auf lange Zeit zu archivieren und zur detaillierten Analyse aufzubereiten, müssen sie von dort exportiert und an einem anderen Ort, in einem anderen System gespeichert werden. Jetzt würde man annehmen, dass das eigene Smartphones oder der eigene Computer der geeigneste Ort für diese Zwecke wäre. Es handelt sich dabei schließlich um sehr sensible Daten: der eigene Herzschlag, die körperliche Aktivität und das Schlafverhalten – säuberlich protokolliert über den gesamten Tag/Woche/Monat/Jahr. Aber weit gefehlt.

Für das Smartphone bzw. den Computer hält jeder Hersteller eine eigene App vor. In dieser kann der Benutzer direkt nach dem Training oder am Tagesende seine Aktivität detailliert auswerten und seine kompletten Aufzeichungen zur Langzeitanalyse einsehen. Die Daten an sich befinden sich zu diesem Zeitpunkt aber bereits an ganz anderer Stelle.

Die gesammelten Aufzeichnungen des Fitnesstrackers werden per Smartphone oder Computer über Kabel oder Bluetooth ausgelesen. Statt die Daten dort langfristig abzulegen, fungiert Smartphone/Computer nur als eine Art Proxy, der die Daten entgegennimmt und umgehend weiter via Internet an den entsprechenden Webservice des Herstellers schickt. Dort werden sie endgültig gespeichert und zur weiteren Analyse wie zum Beispiel durch die Smartphone-App aufbereitet.

Kein Problem? Ganz normal? Im Sinne des Nutzers?

Was passiert, wenn der Fitnesstracker eines Tages den Dienst quittiert? Der Vorteil ist, dass man nicht mehr vergleichen muss, welches Gerät zu diesem Zeitpunkt das Beste auf dem Markt ist. Man ist gezwungen, bei den Modellen des gleichen Herstellers zu bleiben, um nicht seine gesamten Aufzeichnungen zu verlieren bzw. diese fortführen zu können. Oder schonmal versucht, alle Einträge zu exportieren und in die App eines anderen Herstellers zu importieren?

Vielleicht möchte man lieber selbst darüber entscheiden, wo die Daten gespeichert werden, wer darauf Zugriff hat und was damit genau passiert? Dies ist nämlich, durch die am Standort des Servers, auf welchem der Webservice gehostet wird, geltende nationale Gesetzgebung geregelt. So kann es vorkommen, dass sich die Datenschutzbestimmungen am Standort des Nutzer fundamental von denen am Speicherungsort seiner Daten unterscheiden. Aus diesem Grund wurde zum Beispiel das ‘Safe’ Harbor-Abkommen im Oktober 2015 durch den Europäischen Gerichtshof annuliert, welches bis dahin die Rechtgrundlage für den transatlantischen Datenaustausch zwischen Europa und den USA war. Oder das durch Snowden bekannt gewordene PRISM-Programm, über welches amerikanische und befreundete Geheimdienste legitimierten Zugriff auf die gesamten Daten haben oder hatten, die bei mindestens neun der größten Internetkonzerne (Apple, Google, Microsoft, Facebook, …) in den USA liegen.

Spannend könnte auch noch die Antwort auf die Frage sein, wie lange es einen Hersteller und seinen Webservice in dieser Form wohl geben wird? Datenschutzrichtlinien und AGBs können sich be­kann­ter­ma­ßen schnell ändern, siehe Facebook. Vielleicht auch das Geschäftsmodell des Herstellers? Oder wird er gar aufgekauft/übernommen, inklusive aller Aktivitätsdaten seiner Kunden?

Interessenten an den Daten gibt es im übrigen genügend. Die Kranken-/Lebensversicherung: Treibt mein Versicherungsnehmer ausreichend Sport für seinen Tarif? Der Arbeitnehmer: Ist mein (neuer) Angestellter ausreichend aktiv bzw. nicht zu sehr, um seinen beruflichen Pflichten nachkommen zu können? Die Forschung: Welche Auswirkungen hat Faktor XY auf die physische Verfassung einer Person bzw. Gruppe? Die Datenfusion (“Big Data”): Durch die Korrelation mit anderen Datensätzen können ganz neue Kenntnisse über eine Person oder Gruppe gewonnen werden. Und so weiter. Hier sind der Fantasie keine Grenzen gesetzt und es wird klar, je mehr Parameter erfasst werden, desto interessanter wird der Zugriff auf die Datensätze für jedwede gut- sowie bösartigen Interessensgruppen.

So ist es nicht weiter verwunderlich, dass sich mittlerweile auch Sicherheitsforscher mit Fitnesstrackern auseinander gesetzt haben, unter anderem:

Beide zeichnen ein sehr gemischtes Bild der Sicherheitsarchitektur von Fitnesstrackern. Manche Konzepte überzeugten, andere wiesen zum Teil erhebliche Mängel auf. Beispielsweise war es ohne größere Einschränkungen möglich, einen Tracker über einen unberechtigten Computer auszulesen. Ein anderes Gerät speicherte Benutzername, Passwort sowie die erhobenen Sensordaten ungeschützt auf dem Smartphone, so dass diese von unberechtigten Apps mit einfachen Mitteln direkt auf dem Smartphone abgegriffen werden konnten. Oder aber die gespeicherten Aktivitätsdaten ließen sich direkt auf dem Fitnessarmband manipulieren. Außerdem teilte die Mehrheit der getesteten Trackern bereitwillig die eigene Bluetooth ID der Umgebung mit. Eigentlich zur einfachen Kommunikation mit dem gekoppelten Smartphone bzw. Computer gedacht, ermöglicht sie auch allen anderen Lauschern, den Träger des Fitnessarmbandes eindeutig zu identifizieren und seine An-/Abwesenheit am belauschten Ort zu überwachen. Positiv war dagegen, dass die meisten Hersteller bei der Kommunikation mit Ihrem Webservice auf eine verschlüsselte HTTPS-Verbindung setzen, die das Risiko eines Abhören durch Dritte minimiert.

Aber nun zurück zu meinem ursprünglichen Kauf-Interesse. Dieses galt den folgenden Fitnesstrackern, da sie einen Pulsmesser integriert haben und auf dem deutschen Markt erhältlich sind:

Detaillierter Vergleich siehe unten. [Vergleichstabelle]

Nach Durchsicht der Produktseiten und diversester Testberichte blieben meine Fragen zu Datenhaltung und Datenschutz, wie bereits eingangs beschrieben, immer noch unbeantwortet. Dies veranlasste mich, mit dem jeweiligen Hersteller direkt in Kontakt zu treten. Dafür schickte ich meine Fragen [Anfrage] entweder über das Kontaktformular bzw. an die referenzierte E-Mail-Adresse des Kundendienstes.

Im Nachfolgenden sind die einzelnen Fragen mit den jeweils kontextuell zugehörigen Antworten der Hersteller aufgelistet. Der Vollständigkeit halber können die kompletten Antwortschreiben am Ende dieses Posts eingesehen werden.

  • Besteht die Möglichkeit, meine Daten ausschließlich auf dem Gerät und auf meinem Smartphone/Computer zu speichern und auszuwerten, d.h. ohne die Nutzung von Ihrem Webservice?
    • “Die Nutzung des A360 ist nur in Verbindung mit dem Flow Webservice oder der Flow App möglich. Eine Offline-Variante steht nicht zur Verfügung.” [Polar]
    • “Die Informationen werden lokal auf dem Telefon gespeichert. […] Es gibt keine Smartphone Web-Fähigkeiten, wir speichern keine Daten von Ihrem Mio-Geräten.” [Mio]
    • “Da die Identifizierung und das Speichern der Daten aus dem Tracker durch Fitbit.com entsteht, gibt es keine Möglichkeit ihn ‘offline’ zu nutzen.” [Fitbit]
    • “Ihre Daten werden in dem Fitnesstracker aufgezeichnet und gesammelt und anschliessend sicher in Ihr Cloud basierendes Jawbone.com Konto über die UP App übertragen.”[Jawbone]
    • “Da die vivosmart HR Schritt, Schlaf und Herzfrequenzdaten nur eine begrenzte Zeit lang speichern kann, ist ein Hochladen der Daten in Garmin Connect sinnvoll, da die Daten sonst vom Gerät gelöscht werden.”[Garmin]
  • Kann ich die Daten auch mit Software anderer Hersteller auswerten? Welche Datenaustauschformate (z.B. XML) stehen dafür zur Verfügung?
    • “Ein Export der Daten ist nur für die Trainingseinheiten möglich. Der Export erfolgt als TCX- oder CSV-Datei.” [Polar]
    • “Nur die Herzfrequenz aus dem Sicherungs wird bis zum 3. Anwendungen gesendet. Einige Anwendungen haben die Fähigkeit, diese Details zu exportieren.” [Mio]
    • “Fitbit kann mit anderen Anwendungen verwendet werden aber dazu muss man die Kontos verlinken. Auf Fitbit.com stehen einige Apps, die mit Fitbit kompatible sind. Zudem, das Exportieren von Daten erfolgt durch XLS aber zurzeit werden die HF-Messungen dort nicht exportiert.” [Fitbit]
    • “Auf Ihre Rohdaten haben Sie Zugriff über https://[…]. Die Daten werden in einer Standard .csv Datei zur Verfügung gestellt, die mit diversen Tabellenkalkulationsprogrammen, wie zum Beispiel Excel, geöffnet und bearbeitet werden kann.” [Jawbone]
    • “Dies müssen Sie beim entsprechenden anderen Hersteller erfragen.” [Garmin]
  • Wie wird sicher gestellt, dass das Gerät ausschließlich von meinem Smartphone/Computer ausgelesen werden kann und nicht durch unberechtigte Dritte?
    • “Der A360 kann theoretisch an jedem Rechner oder Smartphone mit kompatiblen Betriebssystem ausgelesen werden. Allerdings ist dieser Prozess nur mit Ihrem entsprechenden Account möglich, der natürlich durch Ihr persönliches Passwort geschützt ist. Unsere Geräte können die ermittelten Daten auch nur in jenen Account übertragen, mit dem sie verknüpft sind.” [Polar]
    • n/a [Mio]
    • “Aufgrund der Sicherheitstechnologie, die wir anwenden, kann man nur mit seinem Konto auf den Daten zugreifen.” [Fitbit]
    • “Nur Sie haben Zugriff auf Ihre Daten mit Ihrem Benutzernamen (email Adresse) und Ihrem Passwort. Gemäss unserer Datenschutzbestimmungen und werden von Jawbone nur und ausschliesslich für interne Untersuchungen verwendet und niemals mit Dritten geteilt.” [Jawbone]
    • “Sie können in Garmin Connect selbst bestimmen, ob Ihre Daten freigegeben werden können oder nicht. Nur wenn diese freigegeben werden, haben andere Nutzer die Möglichkeit die Daten einzusehen.” [Garmin]
  • Wie wird sicher gestellt, dass während der Übertragung der Daten von meinem Smartphone/Computer zu Ihrem Webservice keine Dritten unberechtigten Zugriff erhalten? Findet die Übertragung verschlüsselt statt?
    • “Die Datenübertragung ist https-verschlüsselt.” [Polar]
    • “Es gibt keine Smartphone Web-Fähigkeiten, wir speichern keine Daten von Ihrem Mio-Geräten. [Mio]
    • “Die Daten werden verschlüsselt übertragen.” [Fitbit]
    • “Bei Jawbone respektieren wir die Privatsphäre unserer Nutzer voll und ganz un fühlen uns dem Schutz von Daten und persönlichen Daten verpflichtet. Bluetooth LE ist der Industriestandard für die Datenkommunkation von Activiy Trackern und anderen tragbaren Geräten. Die Benutzerdaten werden nur dann verschlüsselt übertragen, wenn eine sichere Verbindung zwischen dem Fitnesstracker und der UP App hergestellt ist.” [Jawbone]
    • “Die Übertragung der Daten in Garmin Connect erfolg verschlüsselt. Solange niemand Ihre Zugangsdaten kennt, hat auch niemand anderes außer Sie Zugriff.” [Garmin]
  • Wie wird sicher gestellt, dass während der Speicherung und Verarbeitung der Daten durch Ihren Webservice keine Dritten unberechtigten Zugriff erhalten? Werden die Daten auf Ihren Servern verschlüsselt gespeichert?
    • n/a [Polar]
    • Nicht relevant. [Mio]
    • “Wir halten uns an Standards der Industrie um die Daten zu beschützen.” [Fitbit]
    • “Siehe vorherige Antwort.” [Jawbone]
    • “Die Daten werden bei uns verschlüsselt gespeichert.” [Garmin]
  • In welchem Land werden meine Daten durch Ihren Webservice gespeichert?
    • “Die Daten liegen sicher auf den Servern unseres finnischen Mutterunternehmens.” [Polar]
    • Nicht relevant. [Mio]
    • “Bezüglich des Landes, wo die Daten gespeichert werden, leider haben wir kein Zugriff auf dieser Information.” [Fitbit]
    • “Die Server befinden sich in San Francisco, USA.” [Jawbone]
    • “Die Garmin Connect-Server stehen in den USA.” [Garmin]
  • Werden meine persönlichen Daten für z.B. medizinische Studien durch Ärzte, Krankenkassen oder sonstige Gesundheitsdienstleister weiterverwendet oder ausschließlich zum Zwecke meines persönlichen Fitnesstrackings?
    • “Die Daten werden nicht an Krankenkassen oder andere Institutionen weitergeleitet.” [Polar]
    • “Sie können wählen, die Informationen mit Mio zu teilen, aber es wird nicht an Dritte weitergegeben.” [Mio]
    • “Wir verkaufen keine Informationen, die von unseren Produkte einsammelt wurde. Fitbit Benutzern haben eine vollständige Steuerung von wann und mit wem ihre Datei mitgeteilt wird. Z. B. Benutzern können entscheiden, Ihre Informationen auf Social Media zu veröffentlichen. Die Datenschutzeinstellungen sind standardmäßig auf Privat eingestellt, und die Benutzern müssen selbst diese Einstellungen verändern um das Veröffentlichen ihrer Datei zu steuern.” [Fitbit]
    • “Benutzerdaten sind nur für Ihren persönlichen Gebrauch und werden nicht mit anderen Institutionen, welcher Art auch immer, geteilt.” [Jawbone]
    • “Datenschutz wird bei uns groß geschrieben. Wir geben keine Ihrer gespeicherten Daten weiter an Dritte.” [Garmin]

Man könnte an dieser Stelle auch über die Qualität des Kundenservices von Fitnesstracker-Herstellern sprechen. Nachdem es hier aber um etwas anderes gehen soll, möchte ich es bei dieser Bemerkung belassen.

Die hilfreichste und klarste Antwort kam definitiv von Polar, gefolgt von Jawbone und Garmin. Ob einem der Inhalt bzw. die Aussage gefällt, ist eine ganz andere Frage. Mio scheint den einzigsten Tracker ohne serverseitige Datenhaltung anzubieten … wenn ich die vermutlich durch einen automatischen Übersetzungsdienst verunstaltete Antwort richtig interpretiere. Jawbone bietet als einzigster Hersteller die Möglichkeit, alle Daten gesammelt in einer CSV-Datei zu exportieren. Die verschlüsselte Übertragung der Daten über das Internet wurde von allen bestätigt. Beängstigend ist, dass Fitbit selbst nicht sagen will kann, in welchem Land die Daten gespeichert werden. Jawbone und Garmin speichern die Daten in den USA, Polar ist der einzigste Hersteller, der die Daten innerhalb Europas hält. Bis jetzt versichern die Hersteller geschlossen, die Daten nicht an Dritte weiterzugeben.

Gemein haben aber leider auch alle, dass sie sich nicht in die Karten schauen lassen bzw. nicht davon ausgehen, dass es den Endkunden interessieren könnte, wie die Datensicherheit und damit der Schutz der Privatsphäre im Detail gewährleistet wird.

Am Ende bleibt einem nur, entweder den Herstellern blind zu vertrauen oder sogar besser: Zu warten bis sich Angebot und Umsetzung mehr im eigentlichen Interesse der Nutzer und Kunden entwickeln.

Wünsche hätte ich da ein paar …

  • Möglichkeit, die App zum Auslesen, Speichern und Analysieren der Sensordaten zu auditieren, an meine Bedürfnisse anzupassen und gegebenenfalls unabhängig vom Hersteller des Fitnesstrackers weiter nutzen zu können. Dafür müsste sie auf den Prinzipien freier und offener Software basieren.
  • Möglichkeit, die Sensordaten auf meiner lokalen Infrastruktur (Smartphone, Computer) zu speichern, ohne auf einen Webservice angewiesen zu sein.
  • Möglichkeit, die Daten in einem offenem Format direkt vom Sensor zu exportieren, so dass ich sie auch unabhängig von der App bzw. dem Webservice des jeweiligen Herstellers bearbeiten und speichern kann.
  • Möglichkeit, etwaige Sensordaten in einem offenen Format in den Webservice eines Herstellers zu importieren.
  • Möglichkeit, bei Nutzung eines Webservices dort gespeicherte Daten mit sofortiger Wirkung unwiderruflich zu löschen.
  • Transparenz darüber, welche Maßnahmen ergriffen wurden bzw. Mittel verfügbar sind, um die Sicherheit meiner Daten und den Schutz meiner Privatsphäre zu gewährleisten.
  • Transparenz darüber, wo und durch wen die Daten gespeichert werden.
  • Transparenz und Kontrolle darüber, wer auf diese Daten Zugriff hat.

Die Angaben dazu sollten zwingender Bestandteil jeder Produktbeschreibung werden und eine überzeugende Sicherheitsarchitektur, die Unterstützung offener Formate und die Möglichkeit der unabhängigen Datenhaltung zu wettbewerbsentscheidende Marketing-Argumenten.

Bis dahin haben die über 200 Jahre alten mechanischen Pedometer noch zumindest zwei entscheidende Vorteile: den Schutz der Privatsphäre und die Unabhängigkeit vom Hersteller.

Nachtrag 1 (9. Februar 2016): In einer Stellungnahme zu Mobile-Health-Diensten (Mai 2015) stuft der europäische Datenschutzbeauftragte Giovanni Buttarelli die aus Fitnesstrackern stammenden Daten als Gesundheitsdaten ein, die durch ihre Sensibilität eines besonderen Schutzes nach EU Datenenschutzrichtlinie 95/46/EG – Artikel 8 bedürfen: “Daten über Lifestyle und Wohlbefinden dürften generell als Gesundheitsdaten gelten, wenn sie in einem medizinischen Kontext verarbeitet werden (wenn z. B. der Patient die App auf Rat des Arztes nutzt), oder wenn Informationen über den Gesundheitszustand einer Person vernünftigerweise aus den Daten (allein oder in Kombination mit anderen Informationen) abgeleitet werden können, insbesondere dann, wenn der Zweck der App darin besteht, die Gesundheit oder das Wohlbefinden der Person zu überwachen (in einem medizinischen oder einem anderen Kontext).” [via netzpolitik.org]

Nachtrag 2 (9. Februar 2016): Im Rahmen einer Veranstaltung zum Safer Internet Day 2016 hat das Bundesministerium der Justiz und für Verbraucherschutz ein lesenswertes Positionspapier zu Wearables und Gesundheitsapps veröffentlicht. Unter dem Titel “Am Puls der Zeit? Wearables und Gesundheits-Apps aus verbraucherpolitischer Sicht.” wird ein Überblick über Markt und Aktoren gegeben, die Ergebnisse einer Benutzerumfrage zusammengefasst und Thesen und Forderungen im Kontext von Gesetzgebung und Verbraucherschutz aufgestellt. [via heise.de]

Aktualisierung (13. Februar 2016): Nachdem mittlerweile auch die Antworten von Jawbone und Garmin eingetroffen sind, wurden diese entsprechend ergänzt und die Kommentierung nach dem Frage- & Antworten-Teil überarbeitet. Wahrscheinlich ist es nur Zufall, dass beide Firmen die Daten in den USA speichern und erst nach dem vorläufigem Abschluss des neuen transatlantischen Datenschutzabkommens “Privacy Shield” meine Anfrage beantwortet haben.

[Vergleichstabelle]Übersicht der Fitnesstracker mit integriertem Pulsmesser, Stand: Januar 2016

Modell A360 FUSE Charge HR UP3 vivosmart HR
Hersteller Polar Mio (Physical Enterprises Inc.) Fitbit Jawbone Garmin
optischer Herzfrequenzsensor Ja Ja Ja Nein (Bioimpedanz-Sensor) Ja
Beschleunigungssensor Ja Ja Ja Ja Ja
Barometer Nein Nein Ja Nein Ja
Größe (B x H) 23,5 x 13,5 mm 30 x 16 mm 21 x ? mm 12,2 x 9,3 mm 21 x 12,3 mm
Gewicht 33,7g 38 g ? g 29 g 29,6 g
Bildschirmauflösung 80 x 160 Pixel (TFT) n/a (LED) ? (OLED) n/a (LED) 68 x 160 Pixel (LCD)
Bildschirmgröße 13 x 27 mm n/a ? n/a 10,7 x 25,3 mm
Akku 100 mA (Lithium-Polymer) 125 mA (Lithium-Polymer) ? mA (Lithium-Polymer) 38 mA (Lithium-Polymer) ? mA (Lithium)
Laufzeit 12 Tage 6-7 Tage 5 Tage 7 Tage 5 Tage
Wasserdicht 30 m 30 m spritzwasser-geschützt spritzwasser-geschützt 50 m
Schnittstellen Bluetooth, micro USB Kabel Bluetooth, ANT+, proprietäres Kabel Bluetooth, proprietäres Kabel Bluetooth, proprietäres Kabel Bluetooth, proprietäres Kabel
Datenspeicherung und Analyse Polar Flow (Webservice) Mio Go (lokale App) fitbit (Webservice) UP App (Webservice) Garmin Connect (Webservice)
Firmwareaktualisierung Kabel, Bluetooth Bluetooth Kabel, Bluetooth Bluetooth Kabel, Bluetooth
Preis 199,95 € 159,00 € 149,95 € 179,99 € 149,00 €

[Anfrage]Anfrage an den Kundenservice/Support der entsprechenden Hersteller, versendet , 31. Januar 2016:

[…] ich interessiere mich sehr für Ihr Produkt „Produktname“ Fitnesstracker. Ich möchte dies vor allem zum kontinuierlichen Puls- und Schlaftracking nutzen.

Nachdem dies sehr persönliche Daten von mir sind, hätte ich noch die folgenden Fragen, die ich leider nicht über Ihre sonst sehr informative Produkt-Homepage klären konnte:

1.) Besteht die Möglichkeit, meine Daten ausschließlich auf dem Gerät und auf meinem Smartphone/Computer zu speichern und auszuwerten, d.h. ohne die Nutzung von Ihrem Webservice?

2.a) Kann ich die Daten auch mit Software anderer Hersteller auswerten? 2.b) Welche Datenaustauschformate (z.B. XML) stehen dafür zur Verfügung?

3.) Wie wird sicher gestellt, dass das Gerät ausschließlich von meinem Smartphone/Computer ausgelesen werden kann und nicht durch unberechtigte Dritte?

Falls ich Ihren Webservice nutzen sollte, würden mich noch die folgenden Punkte interessieren:

4.a) Wie wird sicher gestellt, dass während der Übertragung der Daten von meinem Smartphone/Computer zu Ihrem Webservice keine Dritten unberechtigten Zugriff erhalten? 4.b) Findet die Übertragung verschlüsselt statt?

5.a) Wie wird sicher gestellt, dass während der Speicherung und Verarbeitung der Daten durch Ihren Webservice keine Dritten unberechtigten Zugriff erhalten? 5.b) Werden die Daten auf Ihren Servern verschlüsselt gespeichert?

6.) In welchem Land werden meine Daten durch Ihren Webservice gespeichert?

7.a) Werden meine persönlichen Daten für z.B. medizinische Studien durch Ärzte, Krankenkassen oder sonstige Gesundheitsdienstleister weiterverwendet oder ausschließlich zum Zwecke meines persönlichen Fitnesstrackings? 7.b) Falls die Daten weiterverwendet werden, werden Sie dafür anonymisiert/pseudonymisiert? […]

[Polar]Antwort vom Polar-Service, erhalten 02. Februar 2016:

“[…] Die Nutzung des A360 ist nur in Verbindung mit dem Flow Webservice oder der Flow App möglich. Eine Offline-Variante steht nicht zur Verfügung.

Ein Export der Daten ist nur für die Trainingseinheiten möglich. Der Export erfolgt als TCX- oder CSV-Datei.

Der A360 kann theoretisch an jedem Rechner oder Smartphone mit kompatiblen Betriebssystem ausgelesen werden. Allerdings ist dieser Prozess nur mit Ihrem entsprechenden Account möglich, der natürlich durch Ihr persönliches Passwort geschützt ist. Unsere Geräte können die ermittelten Daten auch nur in jenen Account übertragen, mit dem sie verknüpft sind.

Die Datenübertragung ist https-verschlüsselt und die Daten liegen sicher auf den Servern unseres finnischen Mutterunternehmens.

Die Daten werden nicht an Krankenkassen oder andere Institutionen weitergeleitet.

Die kompletten Datenschutzrichtlinien finden Sie unter folgendem Link: https://flow.polar.com/privacyPolicy […]”

[Mio]Antwort vom Mio Customer Support, erhalten 05. Februar 2016:

“[…] 1. Die Sicherung kann auf der Mio GO App auf Ihrem Smartphone synchronisieren, aber die Informationen nicht verfügbar auf den Computer zu übertragen.

2. Nur die Herzfrequenz aus dem Sicherungs wird bis zum 3. Anwendungen gesendet. Einige Anwendungen haben die Fähigkeit, diese Details zu exportieren.

3. Die Informationen werden lokal auf dem Telefon gespeichert. Sie können wählen, die Informationen mit Mio zu teilen, aber es wird nicht an Dritte weitergegeben.

4. Es gibt keine Smartphone Web-Fähigkeiten, wir speichern keine Daten von Ihrem Mio-Geräten. […]”

[Fitbit]Antwort vom Fitbit-Team, erhalten 31. Januar 2016:

“[…] 1.) Da die Identifizierung und das Speichern der Daten aus dem Tracker durch Fitbit.com entsteht, gibt es keine Möglichkeit ihn ‘offline’ zu nutzen.

2.) a. Fitbit kann mit anderen Anwendungen verwendet werden aber dazu muss man die Kontos verlinken. Auf Fitbit.com stehen einige Apps, die mit Fitbit kompatible sind. b. Zudem, das Exportieren von Daten erfolgt durch XLS aber zurzeit werden die HF-Messungen dort nicht exportiert.

3/4.) Aufgrund der Sicherheitstechnologie, die wir anwenden, kann man nur mit seinem Konto auf den Daten zugreifen. Zudem, die Daten werden verschlüsselt übertragen.

5/6/7.) Wir halten uns an Standards der Industrie um die Daten zu beschützen. Wir verkaufen keine Informationen, die von unseren Produkte einsammelt wurde. Fitbit Benutzern haben eine vollständige Steuerung von wann und mit wem ihre Datei mitgeteilt wird. Z. B. Benutzern können entscheiden, Ihre Informationen auf Social Media zu veröffentlichen. Die Datenschutzeinstellungen (https://www.fitbit.com/user/profile/privacy) sind standardmäßig auf Privat eingestellt, und die Benutzern müssen selbst diese Einstellungen verändern um das Veröffentlichen ihrer Datei zu steuern. Bezüglich des Landes, wo die Daten gespeichert werden, leider haben wir kein Zugriff auf dieser Information. […]”

Antwort vom Fitbit-Team auf Rückfragen zur ursprünglichen Antwort, erhalten 06. Februar 2016:

“[…] Sei versichert, dass deine Information urheberrechtlich geschützt ist. […]”

[Jawbone]Antwort vom Jawbone Customer Care, erhalten 10. Februar 2016:

“[…] 1.) Ihre Daten werden in dem Fitnesstracker aufgezeichnet und gesammelt und anschliessend sicher in Ihr Cloud basierendes Jawbone.com Konto über die UP App übertragen

2.) Auf Ihre Rohdaten haben Sie Zugriff über https://jawbone.com/user/settings#!accounts. Die Daten werden in einer Standard .csv Datei zur Verfügung gestellt, die mit diversen Tabellenkalkulationsprogrammen, wie zum Beispiel Excel, geöffnet und bearbeitet werden kann.

3.) Nur Sie haben Zugriff auf Ihre Daten mit Ihrem Benutzernamen (email Adresse) und Ihrem Passwort. Gemäss unserer Datenschutzbestimmungen (Jawbone.com/privacy) und werden von Jawbone nur und ausschliesslich für interne Untersuchungen verwendet und niemals mit Dritten geteilt.

4.) Bei Jawbone respektieren wir die Privatsphäre unserer Nutzer voll und ganz un fühlen uns dem Schutz von Daten und persönlichen Daten verpflichtet. Bluetooth LE ist der Industriestandard für die Datenkommunkation von Activiy Trackern und anderen tragbaren Geräten. Die Benutzerdaten werden nur dann verschlüsselt übertragen, wenn eine sichere Verbindung zwischen dem Fitnesstracker und der UP App hergestellt ist.

5.) Siehe unter 4.)

6.) Die Server befinden sich in San Francisco, USA

7.) Benutzerdaten sind nur für Ihren persönlichen Gebrauch und werden nicht mit anderen Institutionen, welcher Art auch immer, geteilt. […]”

[Garmin]Antwort vom Garmin Deutschland GmbH, erhalten 11. Februar 2016:

“[…] Zu Frage 1: Da die vivosmart HR Schritt, Schlaf und Herzfrequenzdaten nur eine begrenzte Zeit lang speichern kann, ist ein Hochladen der Daten in Garmin Connect sinnvoll, da die Daten sonst vom Gerät gelöscht werden.

Zu Frage 2: Dies müssen Sie beim entsprechenden anderen Hersteller erfragen.

Zu Frage 3: Sie können in Garmin Connect selbst bestimmen, ob Ihre Daten freigegeben werden können oder nicht.
Nur wenn diese freigegeben werden, haben andere Nutzer die Möglichkeit die Daten einzusehen.

Zu Frage 4/5: Die Übertragung der Daten in Garmin Connect erfolg verschlüsselt. Solange niemand Ihre Zugangsdaten kennt, hat auch niemand anderes außer Sie Zugriff. Die Daten werden bei uns verschlüsselt gespeichert.

Zu Frage 6: Die Garmin Connect-Server stehen in den USA.

Zu Frage 7: Datenschutz wird bei uns groß geschrieben. Wir geben keine Ihrer gespeicherten Daten weiter an Dritte. […]”

7 thoughts on “Aktivitätstracker – Deine Fitness, unsere Daten

  1. Danke für den netten Block.
    Leider bestätigt er mich nur in der Annahme weiterhin lediglich meine Garmin Puls-Uhr zu nutzen. Ich hatte gehofft etwas zu finden mit dem ich mir ein kleines privates Trainings-Programm aufstellen kann, bzw. eine Uhr zu finden, die mir dabei hilft. Jedoch plane ich nicht meine Daten mit Gott und der Welt zu teilen.

  2. Herzlichen Dank für diese Übersicht. Ich suche schon länger die einfache Information, ob ich so ein Gerät auch “offline” verwenden kann. So wie es ausschaut, lasse ich das Ganze sein. Ich habe absolut keine Lust, meine Daten irgendwo zu speichern.

  3. Danke! Tolle Arbeit! Dachte schon, niemand anderes interessiert sich dafür was mit den Daten passiert und ob es möglich ist, diese nicht auch ganz oldschool am PC auszuwerten ohne GruselKlaut. Leider sind viel zu viele User reine Lämmer wenns um Datenhoheit und -selbstbestimmung geht.

    Frage: haben Sie mal ausprobiert, ob der Webserver die Auswertung an den Client übergibt aka. Läuft das Skript im Browser oder verwaltet der Browser nur die Daten/Ergebnisse. Im ersten Fall gäbe es da Lösungen für poweruser 😉

  4. Vielen Dank für den Beitrag, der leider alles an Befürchtungen bestätigt, die man hinsichtlich der Fitness-Tracker hat.
    Ich habe gerade eine “Garmin vívoactive HR” bekommen und möchte natürlich meine Daten nicht mit Garmin (und deren Kunden/Partnern) teilen. Gibt es eine Software, die mit der genannten Uhr funktioniert, welche die Daten ausschließlich lokal auf meinem Rechner speichert? Werde deswegen auch bei Garmin nachfragen.
    Ich würde für eine solche Software selbstverständlich auch zahlen. Dafür würden sicherlich auch viele andere bis zu 50 € zahlen. Wäre diese Software “GoldenCheetah”, die Robert verlinkt hat, dafür geeignet?
    Vielen Dank und viele Grüße
    A

  5. Hallo
    Da ich auch auf der Suche nach einem Programm bin das meine Daten nur Offline auslesen kann, bin ich bei Sport Tracks 3,1 gelandet.Man kan zwar nur einzelne Fit Daten auslesen, ist aber besser wie nichts.
    Getestet mit einem Forerunner 310Xt

Comments are closed.