Fitness-Tracker, Sportuhren und Smartwatches werden immer beliebter. Doch wie gehen sie mit den sensiblen Daten um, die sie aufzeichnen? Ein Test mit 13 Geräten zeigt: Die meisten machen es vorbildlich, doch ein großer Hersteller fällt krachend durch.

Fitness-Tracker und Wearables sind als kleine Assistenten am Handgelenk vor allem bei Sport-Fans und gesundheitsbewussten Menschen beliebt. Sie messen den Puls, verfolgen Fortschritte beim Workout, zeichnen Schlafphasen auf und erstellen mithilfe der passenden Apps und aller gesammelten Daten hilfreiche und informative Statistiken und Analysen. Der Markt der Fitness-Armbänder, Sportuhren und Smartwatches mit Fitness-Funktionen boomt, Krankenversicherungen beteiligen sich beim Kauf mit Zuschüssen - doch wie steht es um die Sicherheit der eigenen Daten? Warnen Datenschützer zu Recht vor dem "gläsernen Patienten" mit "Fitness-Fessel" am Handgelenk?

Datenschutz stark verbessert

Das unabhängige Institut AV-Test hat den 12 beliebtesten aktuellen Fitness-Trackern sowie der dritten Generation der Apple Watch vor diesem Hintergrund erneut auf den Zahn gefühlt - in einem Test aus dem Jahr 2015 entdeckte AV-Test bei vielen Geräten noch "haarsträubende Sicherheitsmängel", das hat sich laut den Testern inzwischen aber stark gebessert. Die 13 Prüflinge mussten sich im Test in vier Kategorien behaupten: Sicherheit der lokalen und der externen Kommunikation, App-Sicherheit und Datenschutz. Acht Geräte erhielten dieses Mal die Bestnote (3 von 3 Sternen), vier Geräte brachten es nur auf 2 Sterne - und ein Gerät fiel mit einem Stern durch.   

Die geprüften Geräte sind:

• Apple - Watch Series 3
• Fitbit - Charge 2
• Garmin - vívofit 3
• Huawei - Band 2 Pro
• Jawbone - UP3
• Lenovo - HW01
• Medion - Life S2000
• Moov - Now
• Nokia - Steel HR
• Polar - A370
• Samsung - Fit2 Pro
• TomTom - Spark 3
• Xiaomi - Mi Band 2

Sensible Daten

Warum es bei Fitness-Trackern besonders auf guten Datenschutz ankommt, wird schnell klar, wenn man einen Blick auf die Menge der Daten wirft, die die kleinen mobilen Diagnoseinstrumente erheben: Schritte, Bewegung und zurückgelegte Strecken mittels GPS-Daten, Kalorienverbrauch, Herzfrequenz und Hautspannung, Stresswerte, Schlafverhalten. Sie erkennen anhand bestimmter Bewegungsmuster, welche Sportart der Träger ausübt und sollen mittels Datenanalyse sogar die Herzinfarktgefahr ihrer Träger berechnen können.

Kombiniert man diese Daten mit anderen Angaben zur Person, lässt sich ein sehr detailliertes Nutzerprofil erstellen. AV-Test nennt in diesem Zusammenhang die Gefahr, dass die auf den Unternehmensservern gespeicherten Daten an Dritte weitergegeben werden könnten - an Kreditinstitute, Arbeitgeber, Leasing-Firmen, Versicherungen und andere Unternehmen. Viele Krankenkassen subventionieren die Anschaffung eines Fitness-Trackers und bieten Belohnungen beim Erreichen bestimmter Ziele.

Bluetooth und App-Sicherheit

Im Test prüfte das Institut zuerst die Sicherheit der Bluetooth-Verbindung zwischen Tracker und der Smartphone-App. Wichtig war hier, dass Daten nur an authentifizierte Geräte übertragen und idealerweise verschlüsselt werden. Außerdem sollten die Tracker nur mit einem authentifizierten Gerät eine Verbindung zulassen, die für andere Geräte in Funkreichweite nicht sichtbar ist. 9 Geräte erfüllten die Bedingungen. Bei den Geräten Medion Life S2000 und dem Moov Now zeigten sich deutliche Sicherheitsschwächen: Sie übertrugen Daten unverschlüsselt und ohne vorherige Authentifizierung. Beim Moov immerhin erst nach Knopfdruck auf dem Gerät - der Medion-Tracker lässt auch diese Sicherheitsmaßnahme vermissen.

Auch bei der Sicherheit der zu den Trackern gehörenden Apps gaben 9 von 13 Geräten ein gutes Bild ab. Dabei geht es darum, ob die Apps gegen Angriffe von außen geschützt sind und ob erfasste Daten sicher übertragen, verarbeitet und gespeichert werden. Kritik bekommen die Apps von Medion, Moov, Lenovo und Xiaomi, weil hier "die Programmierer […] das notwendige handwerkliche Geschick" vermissen ließen – negativ auf die Sicherheit wirkte sich zum Beispiel aus, dass die Tester in den Speicherdaten der Apps unverschlüsselte Hinweise auf die Login-Daten zur App fanden. Bei Medion, Moov und Xiaomi kritisieren die Tester zudem die "massenhafte Integration von Werbemodulen von Drittanbietern".

Cloud und Datenschutz

Für die Analyse und das Speichern von Fitnessdaten setzen die meisten Anbieter ein Konto in der Cloud voraus. AV-Test prüfte, wie sicher die Datenkommunikation, Speicherung und der Zugriff auf Online-Konten ist - mit "überraschend" gutem Ergebnis: Das Lenovo HW01 konnte als einziges Produkt nicht überzeugen, weil Registrierung und Einwahl ins Online-Konto unverschlüsselt erfolgen. Leichte Kritik bekommt zudem das Garmin Vivofit 3: Hier werden Firmware-Updates zur Aktualisierung des Trackers über eine unverschlüsselte Verbindung übertragen.   

Bei der Datenschutzerklärung liefern 10 von 13 Anbietern vorbildlich ab, die Bestimmungen sind ausführlich formuliert, aber leicht zu verstehen. Lob bekommen die Regeln von Garmin, Huawei, Nokia und Samsung, weil sie eine Weitergabe von Daten an Dritte ohne Einwilligung des Nutzers komplett ausschließen. Moovs Datenschutzerklärung wirkt dagegen "schwammig" und ungenau, Lenovo und Polar werden sogar mit einem "ungenügend" abgestraft. Polar lässt viele Informationen vermissen, unter anderem zur Weitergabe von Daten. Lenovos App kommuniziert im Hintergrund mit vielen fremden Internetadressen, ohne dass der Anbieter dazu Auskunft gibt. Die Erklärung selbst ist laut AV-Test "aussagelos und wenig informativ".

Am Ende bekommen die Geräte von Apple, Fitbit, Garmin, Huawei, Jawbone, Nokia, Samsung und TomTom die Bestnote. Das Moov Now und das Polar A370 bringen es nur auf zwei Sterne, das Lenovo HW01 fällt mit einem Stern durch den Test.