»Soldaten in Einsatzgebieten dürfen keine Fitnesstracker oder Smartphone-Apps mehr nutzen«, informierte die Deutsche Welle über eine Entscheidung des Pentagons. Diese Geräte wurden in bestimmten militärischen Bereichen und Kriegsgebieten – zu denen im Jahr 2018 die Länder Syrien, Irak, Afghanistan und einige afrikanische Länder zählten, »umgehend verboten«.

Der Grund, warum Sport- und Fitnessapps als »signifikantes Risiko« für die Soldatinnen und Soldaten eingestuft wurden – und das nicht nur für amerikanische – , waren die Erkenntnisse eines 20-jährigen australischen Sicherheitsanalysten und Studenten. Seine Entdeckungen führten zunächst zu einer Empfehlung gegen den Einsatz von Fitnesstrackern, dann zu weiteren Untersuchungen durch die US-Streitkräfte und schließlich zum Verbot der Nutzung solcher Programme.

Rückschlüsse auf Militärstützpunkte

Die in die Kritik geratene Lauf-, Radfahr- und Wanderapp »Strava«, die sich selbst als »social network for athletes« bezeichnet, zeichnete mithilfe des GPS-Signals die Bewegungsrouten der Hobbyathleten auf und veröffentlichte sie kumuliert als sogenannte »Heatmap«. Obwohl die Daten der Nutzer anonymisiert und ausschließlich die Routen auf den Karten abgebildet waren, ließen die aufgezeichneten Strecken Rückschlüsse darauf zu, dass sich in bestimmten Regionen Militärstützpunkte befinden könnten. Insbesondere dort, wo die einheimische Bevölkerung üblicherweise wenige oder keine Sportanlagen nutzt, fiel die standortbezogene Verdichtung von Sportaktivitäten auf – wie beispielsweise in Afghanistan nördlich von Kabul, wo sich das Bagram Airfield befand, oder im Süden, in der Nähe des ehemaligen Kandahar Airfield. Dies verriet die Anwesenheit (sportbewusster und technikaffiner) amerikanischer Soldaten.

Nutzer müssen Standortbestimmung deaktivieren

Eine weitere Fitnessanwendung, die Fitnessplattform Polar Flow, veröffentlichte im selben Jahr interaktive Trainingskarten online. Diese ermöglichten es Reportern von De Correspondent in Zusammenarbeit mit dem Portal Bellingcat, sensible Daten von Soldaten und Geheimdienstmitarbeitern, einschließlich ihrer Privatadressen in internationalen Schutzzonen rund um Bagdad oder von russischen Soldaten auf der Krim, zu identifizieren.

Es werden mehr Informationen gesammelt, als den Nutzern bewusst ist.

Auf den Karten waren Lauf-, Fahrrad- und Schwimmrunden der Nutzer seit 2014 verzeichnet, berichtete das RND über die Recherche – darunter auch Routen rund um Militärbasen. »Wenn eine bestimmte Route immer wieder von und zu einem bestimmten Haus führt, liegt der Verdacht nahe, dass die Person dort wohnt«, lautete die Annahme, und – voilà! – schon waren die Adressen einiger MI6- oder NSA-Mitarbeiter identifiziert.

Die Betreiber der finnischen App Polar wiesen die Vorwürfe einer Sicherheitslücke in ihrer Anwendung zurück und betonten, dass die Nutzer die Standortbestimmung selbst hätten deaktivieren müssen.

Anonymisierung ist nicht gleich Anonymität

Strava und Polar Flow waren nicht die ersten Programme, die weit mehr Informationen, einschließlich Standortdaten, sammelten, als den Nutzern bewusst war. Und sie waren auch nicht die ersten, die einige dieser Informationen absichtlich oder unabsichtlich neugierigen Blicken zugänglich machten. Obwohl keine der Plattformen ihre Daten (wissentlich) durch einen Hackerangriff verloren hatte, zeigten die Sicherheitsrecherchen erneut, dass Anonymisierung weder gleichwertig noch ein Ersatz für Anonymität im Internet ist.

Die Strava-App, die heute weiterhin zu den erfolgreichsten Fitnessanwendungen zählt und Anfang des Jahres von TechRadar als die beste (wenn auch zunehmend kostspielige) App für Jogger und Radfahrer bezeichnet wurde, war eine der ersten, die sich mit tragbarer Technologie – ob iPhones, Smartphones oder Fitnessuhren verschiedener Hersteller – verknüpfen ließ. Das Unternehmen mit Sitz in Kalifornien ging dabei weiter als die Konkurrenz, indem es die Standorte von Nutzern präzise nachverfolgte und diese Informationen mit der Welt teilte. Die sogenannten »Heatmaps« zeigten das Ausmaß der zurückgelegten Strecken und ob diese zu Fuß, mit dem Fahrrad oder in einem Fahrzeug zurückgelegt wurden. Diese Informationen weckten übrigens nicht nur das Interesse von Sicherheitsforschern und Geheimdiensten, sondern zunehmend auch ganz andere Begehrlichkeiten.

Monetarisierungstechniken für Nutzerdaten: Beispiel Indien

Mit einem ähnlichen Konzept – einer Kombination von Fitnesstracker und dazugehöriger App – arbeitete die GOQii-Fitness-App, entwickelt von GOQii, einem indischen Health-Tech-Unternehmen mit Sitz in Kalifornien. Wie Strava und viele andere Fitnessapps, war auch GOQii auf Abo-Basis zugänglich. Im August 2019 war die App auf etwa 430.000 Smartphones in Indien installiert und fiel nicht nur durch ihre Nähe zur Politik, sondern auch durch innovative Monetarisierungstechniken für Nutzerdaten und prekäre Beschäftigungsverhältnisse auf, wie der Longread Verkaufte Daten, digitale Fließbandarbeit und Regierungstreue (zuerst veröffentlicht bei HuffPost India) von Gayathri Vaidyanathan enthüllte. Laut Vaidyanathan deuteten die Daten darauf hin, »dass etwa 40.000 Menschen den Dienst täglich nutzen«. Zum Vergleich: »Die App von HealthifyMe, dem Marktführer in Indien, war laut SimilarWeb auf 1,9 Millionen Telefonen mit 98.000 täglichen Nutzern installiert«. Diese Zahlen variieren jedoch je nach Quelle.

Essensfotos gegen Motiviationssprüche

Die Gesundheitsapp GOQii beschränkte sich nicht nur darauf, Trainingsdaten aus dem Wearable zu tracken, sondern kombinierte diese mit Ernährungs-, Gesundheits- und Fitnesstipps, die teils von menschlichen Trainern, teils durch KI erstellt wurden. Die KI schöpfte dabei aus den Interaktionen mit den Nutzern und nutzte diese als Grundlage für Standardempfehlungen oder tägliche Motivationssprüche. »Ein großer Fortschritt gestern«, sagt sie etwa zu einem Nutzer, der am Vortag mehr als 15.000 Schritte zurückgelegt hatte«, beschrieb die Autorin als Beispiel. GOQii funktioniert jedoch auch ohne Fitnesstracker am Handgelenk – und wird oft auch so genutzt. Man konnte etwa Essensfotos auf dem Server hochladen und bekam im Gegenzug Motivationssprüche als Push-up-Nachrichten auf das Smartphone.

»Die Daten werden an Dritte verkauft, zur KI-Schulung verwendet und zur Steigerung der Mitarbeitereffizienz genutzt.«

»Ohne Daten würde das nicht funktionieren«, schreibt die Autorin. Es handelt sich um Daten, teils intime wie Gewicht, Essgewohnheiten, Krankengeschichte und tägliche Bewegungsroutinen, die sowohl von den Nutzern als auch von den Trainern stammen. Diese Daten werden monetarisiert, indem sie an Dritte verkauft, zur Schulung von KI verwendet und zur Steigerung der Mitarbeitereffizienz genutzt werden – und letztlich sollen sie irgendwie auch der Optimierung der Gesundheit und des Wohlbefindens der Nutzer dienen. »Viele dieser Daten werden gebündelt und an Datenkonzerne wie Facebook, Kundenmanagement- und Marketingfirmen wie CleverTap oder Krankenversicherungen wie Max Bupa Health Insurance sowie an Swiss Re, eine Rückversicherungsgesellschaft, weitergegeben.« Diese Informationen sollten beispielsweise dazu beitragen, »die Kosten für Schadensfälle zu reduzieren« und »den Versicherern ermöglichen, den Verbrauchern bessere Preise für ihre Produkte anzubieten«, zitierte Gayathri Vaidyanathan aus einer GOQii-Pressemitteilung.

EU-Datenschutzgrundverordnung

Dies war nur deshalb möglich, weil »es in Indien noch kein zeitgemäßes Datenschutzrecht« gab, wie die Autorin kritisch anmerkte. »[W]ährend das Datensammeln von Technologieunternehmen in den Vereinigten Staaten und Europa inzwischen immer stärker von Regulierungsbehörden überprüft wird.« In Deutschland beruft man sich auf die EU-weit geltende Datenschutzgrundverordnung, die Vorrang vor nationalen Datenschutzgesetzen hat (i.e. darf durch diese nicht abgeschwächt werden). Sie gilt jedoch eingeschränkt in Ausnahmesituationen, wie der Coronapandemie, in der Menschen bereit waren, »Verzichtleistungen im Interesse der Allgemeinheit« zu erbringen, »selbst, wenn es um Bewegungs- und Versammlungsfreiheit oder informationelle Selbstbestimmung ging«.

Wie der Mensch Technik nutzt, hängt immer auch von der jeweiligen Gesellschaft ab.

In Das Virus und das Digitale untersucht Roberto Simanowski, wie die Corona-Apps in verschiedenen Kulturen unterschiedlich angewendet wurden. Er stellt fest: »Wie der Mensch die Technik, der er sich nicht entziehen kann, nutzt, hängt immer auch von der Gesellschaft ab, in der es dazu kommt.« Die Gesundheitsapps während der Pandemie dienten weniger der Wellness oder Heilung bzw. Gesundheitserhaltung der Nutzer, sondern fungierten als »Handlungsoptionen« zum Lockdown. Dank technischem Fortschritt – Smartphone, GPS und Bluetooth – kontrollierten sie die Bewegung der Bürgerinnen und Bürger, damit diese (ihre Bewegung) ausweiten konnten.

Güterabwägung zwischen Gesundheits- und Datenschutz

»Die Notwendigkeit einer Güterabwägung zwischen Gesundheits- und Datenschutz ist die politische Seite des epidemiologischen Problems«, bemerkte Simanowski. In China hätte niemand ohne das Scannen der App Zugang zum öffentlichen Raum – »ein Paradebeispiel für das, was kommen könnte.« Der Unterschied zu Deutschland liegt daher im Unterschied »zwischen Tracking und Tracing, Pflicht und Freiwilligkeit sowie zentraler und dezentraler Datenverarbeitung«. Innerhalb Deutschlands gab es wesentliche Unterschiede zwischen den beiden meistgenutzten Corona-Apps und ihren Datenschutzeinstellungen: der Corona-Warn-App, die unter anderem vom damaligen Wirtschaftsminister Peter Altmaier beworben wurde, und der vom Ex-Rapper Smudo mitfinanzierten Luca-App.

Verwendung von Kontaktdaten zur Corona-Infektionsverfolgung für Zwecke der Strafverfolgung.

Zwar bleiben in Deutschland Skandale wie der eines QR-Code-Betreibers in Großbritannien, der Kontaktdaten, die zur Nachverfolgung von Infektionsketten in Restaurants hinterlassen wurden, an Werbetreibende und Versicherungen verkaufte, aus. Doch »Thüringen forderte vergeblich eine bundesweite Vorschrift, wonach die erhobenen Daten ausschließlich für den Infektionsschutz verwendet werden dürften«, wie das Portal heise.de erinnerte.

Systematischer Vertrauensbruch

Die Verwendung von Kontaktdaten zur Infektionsverfolgung zwecks Strafverfolgung durch die Polizei führte jedenfalls zu Diskussionen: Wenn die eine Seite sich bereit erklärt, in einer Krisensituation im Interesse der Gemeinschaft ihre Daten herzugeben, dann stellt der Versuch, diese Daten zweckentfremdet oder vermarktet zu nutzen, einen »Waffenstillstandsbruch« dar, schreibt Simanowski.

Obwohl der Vertrauensbruch wahrscheinlich auch in Friedenszeiten nachwirken wird, scheinen die Fitnessapps – weder Strava noch Polar – durch die Vorwürfe von Sicherheitslücken oder Datenpannen keinen ernsthaften Schaden genommen zu haben.