Erkrankungen, Allergien, Fitnessdaten und Co. sind die persönlichsten Informationen eines Menschen. Doch auch sie fließen in algorithmische Bewertungen ein – wenn man es nicht verbietet.
Eine tolle Sache: Jogging-Shirt und -Hose überstreifen, Turnschuhe anziehen, ran mit der „Fitness-Uhr“ ans Handgelenk: Und schon kann der Hobbysportler über Stock und Stein flitzen und die Aufzeichnungen seiner Gesundheitsdaten seinem „Wearable“ überlassen. Kein lästiges Pulsfühlen mehr, kein umständliches Blutdruckmessen nach dem Lauf: Alles perfekt aufgezeichnet durch den digitalen Helfer am Handgelenk. Und der weiß auch noch viel mehr: Wieviel Schritte wir geschafft haben, ob wir dabei ins Keuchen gekommen sind oder am Hügel schlapp gemacht haben. Kurzum: Er gibt uns alle nur erdenklichen Daten über unsere körperliche Fitness.
Intime Daten im Netz
Doch diese Daten sehen nicht nur die Nutzenden. Privatsphäre? Fehlanzeige. Die digitalen Geräte am Arm sammeln neben dem Pulsschlag auch Daten wie etwa den Kalorienverbrauch ihrer Nutzerinnen und Nutzer oder wie lange und wie gut diese schlafen.
Aus dem Abschlussbericht zum Projekt "Sicherheit von Wearables mit medizinischen Teilfunktionalitäten" (SiWamed) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geht hervor, dass viele der getesteten Geräte offen für Angriffe sind. Schwachstellen in der Verschlüsselung, unzureichend gesicherte Kommunikationskanäle und mangelhafte Authentifizierungsmechanismen können es Übeltätern ermöglichen, sensible Informationen abzufangen oder zu manipulieren.
Die am häufigsten gefundenen Schwachstellen betreffen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. Bei vielen Geräten werde nicht einmal eine PIN abgefragt, monierten die Tester.
Maik Morgenstern ist Technischer Leiter von AV-Test, einem unabhängigen Forschungsinstitut für IT-Sicherheit. Er sieht die Nutzung insbesondere von Fitnesstrackern durchaus kritisch: „Einerseits lassen sich bei manchen Geräten Daten durch Angreifer auslesen und manipulieren. Andererseits erheben einige Hersteller unnötig viele Daten.“ Diese würden dann an eigene Server übermittelt und es bleibe unklar wie diese Daten genutzt, verarbeitet und an wen sie weitergegeben werden.
Deswegen rät Morgenstern Käufern dazu, sich zu überlegen, ob es immer die vernetzte Variante sein muss – oder ob nicht auch ein klassisches Gerät ausreiche. Denn natürlich gebe es auch Vorteile bei der Nutzung, etwa Komfort bei der Speicherung der Daten und potentiell bessere Auswertemöglichkeiten
Gut für Nutzerinnen und Nutzer von Wearables: Ab Ende 2027 dürfen laut dem Cyber Resilience Act nur noch Produkte "mit digitalen Elementen" in der EU auf den Markt kommen, wenn sie Mindestanforderungen an Cybersicherheit einhalten.
Trotzdem sollten sich Verbraucherinnen und Verbraucher bewusst sein, dass die Weitergabe von Gesundheits-Daten prekär sein kann. Denn das Interesse an solchen sensiblen Daten könnte in folgenden Bereichen groß sein:
Banken, Versicherungen, Arbeitgeber als potentielle Interessenten
Schauen wir uns an, was sich mit Gesundheitsdaten so alles herausfinden lässt: Da ist nicht nur die Fitness, die sich anhand der mit solchen Geräten erhobenen Daten feststellen lässt – sondern auch das sonstige Lebensverhalten. Algorithmen errechnen aus einem individuellen Datensatz aufgrund ihrer Fähigkeit, große Mengen an Vergleichsdaten auszuwerten und einzuordnen, ganze Gesundheitsprofile von Menschen. Und die sind interessant für:
Pharma-Anbieter: Wenn ich weiß, welches Wehwehchen der eine oder andere Nutzer hat, kann ich ihr oder ihm gleich punktgenau die Werbung für weitere vermeintliche durch Algorithmen festgestellte Leiden zukommen lassen.
Arbeitgeber: Wie gut in Schuss ist denn die neue Bewerberin oder der neue Bewerber wirklich? Lebt sie oder er wirklich so fit und gesund, wie sie oder er im Bewerbungsgespräch vorgibt?
Versicherungen: Kann ich dem Kunden einer privaten Zusatzversicherung wirklich einen Rabatt geben, weil er sagt, dass er sich gesund ernähre und viel bewege? Die Daten aus der Gesundheits-App legen schonungslos klar, ob er sich wirklich so fit hält, wie er sagt.
Geldinstitute: Ein Baudarlehen mit 25 Jahren Laufzeit? Tut uns sehr leid, liebe Familie Müller: Ihre Gesundheitsdaten – kombiniert mit den Daten über Ihren Konsum von Genussmitteln, generiert aus Kunden- und Rabattkarten – sehen leider ganz und gar nicht gut aus. Entweder Sie bekommen den gewünschten Kredit erst gar nicht. Oder nur mit horrenden Sicherheitsaufschlägen wie einer Restschuldversicherung.
Krankenversicherungstarife, die finanzielle Anreize mit der fortlaufenden, dauerhaften Offenlegungsverpflichtung von Daten verknüpfen, lehnt der Bundesverband der Verbraucherzentralen ab. „Nach aktuellem Prinzip finanzieren die Jungen und Gesunden die Alten und Kranken. Doch sobald eine Kasse genügend Daten besitzt, um jeweils das individuelle Risiko zu berechnen, wird dieses Grundprinzip aufgelöst. Wer krank oder schwach ist, darf dafür nicht bestraft werden“, sagt Kai Vogel, Leiter Team Gesundheit und Pflege beim Verbraucherzentrale Bundesverband e. V. Zumindest bei Privaten Krankenkassen, bei denen das Solidaritätsprinzip nicht gesetzlich verankert ist, ist das eine reale Gefahr.
Diese Szenarien sind technisch gesehen schon längst möglich. Denn eine weitere Entwicklung lässt Datenschützer, Ärzte und Verbraucher aufhorchen: der Trend zur digitalen Gesundheitsakte.
Die elektronische Patientenakte
Am 29. April 2025 wurde die elektronische Patientenakte (ePA) in ganz Deutschland eingeführt. Zuvor wurde sie bereits in einigen Modellregionen getestet. Die Teilnahme ist freiwillig. Alle gesetzlich krankenversicherten Personen, die keinen Widerspruch eingelegt haben, haben von ihrer Krankenkasse eine elektronische Patientenakte erhalten. Die elektronische Patientenakte (ePA) ist ein persönlicher, digitaler und lebenslanger Aktenordner für Gesundheitsdaten. (Zahn-) Ärztinnen oder (Zahn-) Ärzte, Krankenhäuser, Physiotherapeutinnen und Physiotherapeuten und andere medizinische Einrichtungen stellen medizinische Unterlagen ein, sofern Versicherte dem nicht widersprochen haben. Die elektronische Patientenakte speichert wichtige Gesundheitsdaten, die besonders geschützt werden müssen, um Missbrauch, Diskriminierung oder Vertrauensverlust im Gesundheitssystem zu vermeiden. Um mögliche Sicherheitslücken sofort schließen zu können und Schutzmaßnahmen stetig zu verbessern, arbeitet der Anbieter der ePA, die Firma Gematik mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen. Auch bei umfassenden Sicherheitsvorkehrungen ist aber wichtig zu wissen, dass keine IT-Infrastruktur vollständig vor Angriffen geschützt ist. Das Risiko, Opfer eines Cyberangriffs zu werden, lässt sich nie vollständig ausschließen.
In der elektronischen Patientenakte werden alle wichtigen Informationen rund um die Gesundheit dauerhaft digital gespeichert. Der Vorteil ist, dass alle Informationen an einem Ort sind und Versicherte diese jederzeit einsehen können. So erleichtert die ePA den Austausch von medizinischen Dokumenten zwischen Arztpraxen, Apotheken, Kliniken und Patientinnen und Patienten, da Unterlagen vorhanden sind und nicht erst angefordert werden müssen. Unnötige Doppeluntersuchungen können entfallen. Versicherte können einfacher ärztliche Zweitmeinungen einholen. Auch Arztwechsel werden einfacher. Bei einem Krankenhausaufenthalt liegen die Gesundheitsdaten bereits vor, wenn dem Zugriff durch das Krankenhaus nicht widersprochen wurde.
So mache ich mich unberechenbar in Sachen Gesundheit
Wie können nun Verbraucherinnen und Verbraucher agieren, die ihre sensiblen Gesundheitsdaten schützen wollen? Die Tipps von Ärzten, Verbraucher- und Datenschützern lauten:
- Prüfen Sie, ob Sie wirklich ein Fitness-Wearable brauchen: Die schlichte Pulsmessung am Handgelenk tut es auch. Wenn Sie ein solches Gerät benutzen wollen: Achten Sie darauf, dass Sie die Einstellungen ändern können, die den Zugriff auf die Daten erlauben. Tragen Sie solche Geräte, die mit dem Netz verbunden sind, nicht ständig, sondern nur bei sportlichen Aktivitäten – so fallen weniger Daten an.
- Seien Sie sich stets bewusst, dass bei der Nutzung von Wearables und Fitness-Apps zahlreiche sensible Daten gesammelt und verarbeitet werden, wenn die Daten im Netz gespeichert und abrufbar sind. Prüfen Sie die Grundeinstellungen des Geräts: Lassen sich Ortungsdienste ausschalten? Können Sie über die Speicherung und Übertragung von persönlichen Gesundheitsdaten bestimmen?
- Aus den Bedienungsanleitungen solcher Geräte sollten Datenschutzhinweise hervorgehen, die verständlich und in deutscher Sprache verfügbar sein sollten. Falls dies nicht der Fall ist, sollte das für Sie ein Ausschlusskriterium zur Nutzung eines solchen Gerätes sein.
- Die Zugriffsrechte der Apps für Wearables sollten überprüft werden. Fitness-Programme wie „Google Fit“ oder „Fitbit“ benötigen Zugriff auf die Aktivitäts- oder Wearable-Sensorendaten, um dem Benutzer Ergebnisse und Auswertungen zu präsentieren. Andere unberechtigte Zugriffe sollten deaktiviert werden, ansonsten könnten auch private Dateien eingesehen, verändert oder gelöscht werden. Das gleiche gilt für Termine und Kontaktdaten. Besonders kritisch sind auch Zugriffe anderer installierter Apps auf Wearable-Sensorendaten und Aktivitätsdaten mit denen Rückschlüsse auf den Gesundheitszustand möglich sind. Dieser Zugriff sollte auf keinen Fall gewährt werden, denn sie könnten die körperliche Verfassung ausspionieren.
- Beim Suchen und Surfen im Web soweit wie möglich keine Spuren hinterlassen. Das gilt besonders beim Besuch von Websites mit Gesundheitsseiten (Ratgeberseiten mit medizinischer Diagnose, Beratung und Therapie, Seiten von Selbsthilfegruppen, Seiten mit Versicherungsangeboten, Online-Apotheken im Netz, u.a.). Dazu lässt sich einerseits der private Modus nutzen, andererseits können diverse Tools dabei helfen.
"Privates Fenster" im Firefox öffnen:
"Inkognito Fenster" in Google öffnen:
