Datenschutz bei Cloud-Anwendungen: Die sind ja alle Stalker

„Die sind ja alle Stalker“ – Datenfluss zwischen Smartwatch und Smartphone-App

Auf der Fachtagung „Leben – lieben – liken: Familie und Digitalisierung“ hielt ich einen Workshop zu „Datenschutz und Datensouveränität“. Mir war wichtig zu zeigen, dass Datenschutz anfängt, bevor ich beginne, Daten zu verarbeiten.

Als Illustration zum Einstieg ins Thema diente folgende persönliche Geschichte, bebildert kann man sie auch auf den Slides zum Workshop nachlesen.

  • Vor einigen Jahren begann ich wieder zu laufen. Ich hatte meine regelmäßige Runde, beim Start sah ich auf die Wohnzimmeruhr, ebenso wenn ich zurückkam. Da ich die Strecke einmal gemessen hatte, wusste ich immer, wie schnell ich war.
  • Irgendwann wollte ich auch andere Strecken laufen, ich lud mir eine Lauf-App aufs Handy und wusste über die App immer, wie schnell ich wo gelaufen bin.
  • Mein Nachbar und Laufpartner nutzt dieselbe App, so können wir miteinander um die Wette laufen, unsere Challenge: wer läuft mehr pro Monat.
  • Irgendwann wollte ich nicht mehr das Handy zum Laufen an den Oberarm schnallen, eine Laufuhr musste her. Die Überraschung, für meine Lauf-App gibt es keine passende Smartwatch. Auch bekomme ich aus meiner Lauf-App die Daten nicht heraus, was nun? Auf drei Jahre Lauf-Historie verzichten? Keine Challenge mehr mit meinem Laufpartner mehr?
  • Nach längerer Recherche finde ich eine Uhr, die einen Konnektor zu meiner ursprünglichen Lauf-App besitzt. Diese Uhr hole ich mir und richte sie ein. Zunächst ein Konto beim Smartwatch-Hersteller anlegen, wahlweise über Email-Registrierung oder Facebook-Connect. Dann lade ich mir eine neue Smartwatch-App aufs Handy und koppele die Uhr per Bluetooth mit dem Handy. Ich laufe nun locker die Strecken mit einer kleinen Uhr am Handgelenk, habe meine Läufe auf der Uhr, auf dem Handy und in der Cloud und kann mich mit meinem Laufpartner messen.
  • Ich nutze die Uhr zum Laufen, allerdings habe nun zwei Apps auf dem Handy, die miteinander sich synchronisieren: meine ursprüngliche Lauf-App und die neue App für Smartwatch, die meine Fitness-Aktivitäten misst.
  • Dann fragt mich meine Tochter, wie die Uhr funktioniert. Ich erkläre es ihr und sie malt sich die Funktionsweise auf. Als sie das Bild betrachtet, und sieht, wie die Laufdaten verarbeitet werden, meint sie nur: „Die sind ja alle Stalker“.

Wie sieht der Datenfluss zwischen Uhr, Handy, den beiden Apps und der Servern in der Cloud aus?

Beide Anbieter – der der Handy-Lauf-App und der der Smartwatch – haben ihre Daten in der Cloud. Ich muss mich bei ihnen registrieren oder ich authentifiziere mich über Facebook bei den beiden App-Anbietern. Nutze ich Facebook, weiß natürlich auch dieses Netzwerk, wann ich mich wo anmelde. Nach einem Lauf verbindet sich die Uhr per Bluetooth mit dem Handy und nutzt dann die Internetverbindung des Handys, um die Daten des neuen Laufes in der Cloud des Smartwatch-Anbieters abzulegen. Mit der Cloud synchronisiert dann auch die Smartwatch-App. Gleichzeitig läuft übers Internet auch die Synchronisation zwischen dem Servern des Smartwatch-Anbieters und dem Server, wo die Daten der Lauf-App gehostet sind. Wenn die Daten zwischen diesen beiden Servern übertragen sind, synchronisiert sich die Handy-Lauf-App und ich kann in meiner ursprünglichen App auch die Läufe sehen, für die ich die Uhr benutzt habe. Die Uhr hatte ich mir gekauft, weil sie einen Konnektor zu meiner ursprünglichen Lauf-App hat. Aber es wäre völlig naiv zu glauben, der Konnektor der Uhr würde sich auf dem Handy mit der ursprünglichen Lauf-App verbinden. Sämtliche Verbindungen laufen über die Cloud – und ggfs. zusätzlich noch über Facebook. Daher der Ausruf meiner Tochter, dass alle Stalker seien, als ihr der Datenfluss klar wurde.
Wann habe ich die Kontrolle über meine Daten aufgegeben? Im Rückblick liegt der Fehler bereits bei der Auswahl der ersten App. Ich hatte nicht darauf geachtet, dass ich meine Laufdaten aus der App wieder in lesbarer Form herausbekommen kann. Denn dann hätte ich jederzeit die App wechseln können. Hätte ich die Daten nicht mehr in der Cloud haben wollen, hätte ich eine App suchen können, die die Daten auf meinem Endgerät speichert. Ich war zu gedankenlos und habe mich davon blenden lassen, dass die App kostenlos war.

Freie Software und Offene Formate

Meine Lehre: wenn es um Einsatz von Programmen geht, am besten Freie Software und Offene Datenformate auswählen. Freie Software garantiert, dass der Quellcode einsehbar ist. Wenn man weiß, wie die Daten verarbeitet werden, hat man (oder zumindest versierte Programmiererinnen und Programmierer) die Möglichkeit, die Daten sich wieder ausgeben zu lassen. Außerdem favorisiert Freie Software auch Offene Datenformate, so dass man die Daten durch andere Programme verarbeiten lassen kann. Datenschutz heißt daher für mich auch, wenn möglich Freie Software und Offene Datenformate einzusetzen.

Datenportabilität gemäß der neuen Datenschutz-Grundverordnung

In Bezug auf Offene Formate und Datenportabilität wird ab 24. Mai 2018 auch die EU-Datenschutz-Grundverordnung (DSGVO) interessant. Artikel 20 erlaubt die Datenübertragung zu einem Anbieter:

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln […].

Die Ausübung dieses Rechtes gilt aber nur „soweit dies technisch machbar ist.“ Was dieses Recht in der Praxis bedeutet, wird sich daher erst ab Mai zeigen, weil es für dieses Recht auf Datenübertragbarkeit keine vergleichbare Vorgängerregelung gibt, die Anhaltspunkte für die Umsetzung und Rechtssprechung geben könnte.
Datenschutz und Datensouveränität: es wird spannend ab Mai, wenn die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt.


Zu den anderen Aspekten des Datenschutzes siehe die Slides zum Workshop.

Autor:in


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.