Joggen unter strenger Überwachung mit Runtastic von Adidas

Runtastic häuft die Tracker an und lässt Ihren Namen durchsickern

Da ich regelmäßig jogge, wollte ich mehr über „Fitness“-Anwendungen erfahren, angefangen mit Runtastic. Diese Anwendung wurde im Jahr 2015 von Adidas gekauft und seitdem in „adidas Running by Runtastic“ umbenannt. Fitnessanwendungen eignen sich zwar hervorragend, um sich selbst zu motivieren und Ihre Fortschritte zu messen, sie sammeln jedoch auch recht sensible personenbezogene Daten wie:

• Ihre körperliche Aktivität: Diese Daten können beispielsweise für Versicherungsgesellschaften von Interesse sein, denn wenn Sie in einer besseren Verfassung sind, sind Sie profitabler (in den Vereinigten Staaten bietet ein Versicherer bereits an, seine Preise zu senken, wenn Sie ein Gesundheitsarmband tragen).
• Ihre sportlichen Wege: insbesondere von zu Hause oder von der Arbeit aus, aber nicht nur; diese Daten sind vor allem für Werbetreibende von Interesse.

Google hat sich da im Übrigen nicht geirrt und beschloss letztes Jahr, Fitbit zu kaufen, und vergrößerte damit zusätzlich die Masse und Vielfalt der personenbezogenen Daten, die das Unternehmen über einen großen Teil der Weltbevölkerung besitzt.

Um die von Runtastic installierten Tracking-Tools anzuzeigen, bin ich auf meinem iPhone wie folgt vorgegangen:

• Schließen der verschiedenen Hintergrundanwendungen.
• Start der Anwendung Charles Proxy und Aktivierung des Trackings.
• Start der Runtastic-Anwendung, anschließende Navigation in der App einschließlich des Starts einer Aktivität.
• Export von Protokollen aus meiner Charles Proxy-Sitzung auf meinen Computer.

Wie Sie sehen, kontaktiert Runtastic zahlreiche Dritte. Schauen wir uns diejenigen an, die Sie tracken:

• Google: unvermeidlich, Runtastic verwendet Firebase, die Google-Toolbox für Apps.
• Facebook: ebenfalls unvermeidlich, Runtastic nutzt die Facebook-Toolbox für Apps und insbesondere den Analytics-Baustein.
• Pushwoosh: Toolbox für Anwendungen, insbesondere zur Bereitstellung von Benachrichtigungsdiensten, E-Mails und personalisierten In-App-Nachrichten. Böse Überraschung: Zusätzlich zum Senden eines Pseudonyms und Ihrer verschiedenen Aktionen gibt Runtastic Ihren Vornamen, Ihren Nachnamen, Ihr Geschlecht und Ihre Altersgruppe bekannt.
• NewRelic: Tool zum Messen der Leistung der Runtastic-Anwendung, besonders nützlich für Entwickler.
• Adjust: Mobile-Marketing-Unternehmen, das sich auf die Zuordnung von Werbekampagnen spezialisiert hat (also darauf, herauszufinden, über welche Anzeige Sie Runtastic installiert haben). Adjust erfasst Ihre Aktionen in der Runtastic-App.
• Emarsys: Datenmarketing-Unternehmen, das es Runtastic ermöglicht, Sie umfassend zu profilieren, um Sie anschließend gezielter erneut anzusprechen. Emarsys erhält so die Details Ihrer Aktivitäten: die zurückgelegte Distanz, die Dauer der Übung, die Anzahl der verbrannten Kalorien, Ihre Eindrücke am Ende der Übung, das Wetter, die Art der Aktivität, die Außentemperatur usw.

Massenhafte Sammlung personenbezogener Daten und Weitergabe an Dritte ohne gültige Rechtsgrundlage

Als ich Runtastic zum ersten Mal startete, hatte ich leider keine andere Wahl: Ich musste die Nutzungsbedingungen akzeptieren, um die Anwendung nutzen zu können.

Anschließend konnte ich den Erhalt gezielter Runtastic-Werbung auf Drittplattformen wie Google und Facebook ablehnen (jedoch ohne diesen Dritten die Erhebung meiner personenbezogenen Daten verbieten zu können):

Beachten Sie die Schaltfläche „Akzeptieren“, die im Vergleich zu „Ich lehne ab“, einem weiteren Beispiel für Dark Pattern, deutlich hervorgehoben ist.

In der Datenschutzerklärung von Runtastic sind die verschiedenen erfassten personenbezogenen Daten detailliert aufgeführt. Sie können Abschnitt 3. „Daten, die wir sammeln und verarbeiten“ lesen, um die Vielfalt und den Umfang der gesammelten personenbezogenen Daten besser zu verstehen (und damit besser zu verstehen, warum Google Fitbit gekauft hat). Hier sind die verschiedenen Kategorien personenbezogener Daten:

• Identitätsinformationen.
• Kontaktdaten.
• Standortinformationen.
• Informationen zu Größen und Schuhgrößen.
• Kaufinformationen.
• Profil- und Verhaltensinformationen.
• Community-Informationen.
• Informationen zu sozialen Medien.
• Geräteinformationen.
• Aktivitätsinformationen.
• Präferenzinformationen.
• Informationen zum Creators Club.
• Registrierung über Google oder Facebook.
• Facebook-Freundesliste.
• Informationen zu Trainingsaktivitäten, die aus verbundenen Konten importiert wurden.

Für jede Empfängerkategorie informiert Runtastic über die Kategorien der übermittelten personenbezogenen Daten hier.

Anschließend erklärt Runtastic ausführlich die Verwendung von Firebase, Google Analytics, Adjust und Facebook Analytics. Weiter unten in der Datenschutzerklärung gibt Runtastic kurze Informationen zu den verschiedenen Anbietern, die wir zuvor gesehen haben:

Wir nutzen Subunternehmer wie Adjust, Google, Facebook, Amazon Web Services, Inc., Emarsys eMarketing Systems AG, Pushwoosh, Inc., NewRelic, Inc., Apptimize, Inc. oder Zendesk, Inc.

So lobenswert diese Erläuterungen auch sind, beruft sich Runtastic auf das berechtigte Interesse (lesen Sie die Dokumentation der CNIL zu dieser Rechtsgrundlage), um Ihre personenbezogenen Daten an diese Dritten weiterzugeben: „Die Grundlage für die Verarbeitung der Daten sind unsere berechtigten Interessen“. Diese Auslegung der DSGVO ist jedoch nicht gültig. Für Analytics-Tools lässt sich insbesondere auf diese Seite der CNIL verweisen:

Wenn das vom Datenverantwortlichen implementierte System die Kriterien der beiden vorherigen Fälle nicht strikt einhält, kann nur die Einwilligung der Personen als Rechtsgrundlage für die Verarbeitung herangezogen werden (Artikel 7 des Datenschutzgesetzes, Artikel 6 der DSGVO). Diese Einwilligung kann auf beliebige Weise eingeholt werden (z. B. Verbindung zu einem bestimmten WLAN-Netzwerk, Herunterladen einer bestimmten Anwendung, Registrierung über eine spezielle Website, „Kennzeichnung“ des Terminals mit einem NFC-Terminal). Diese Einwilligung muss informiert (Einzelpersonen müssen vor ihrer Einwilligung gemäß dem nachstehenden Punkt informiert werden), frei (Einzelpersonen müssen frei entscheiden können, ob sie einwilligen oder nicht, und dürfen keine negativen Konsequenzen erleiden, wenn sie nicht einwilligen) und spezifisch sein (die Einwilligung darf sich nur auf die Tracking-Verarbeitung beziehen und kann beispielsweise nicht in die Annahme von AGB einbezogen werden).

Runtastic kann sich daher nicht auf ein berechtigtes Interesse berufen und muss meine Zustimmung einholen, um meine personenbezogenen Daten an Dritte wie Google, Facebook oder Adjust weiterzugeben. Insbesondere bedeutet die Annahme der AGB nicht, dass ich dieser Überwachung zugestimmt habe.

Allerdings beruft sich Runtastic weiterhin auf die Rechtsgrundlage des berechtigten Interesses, wie auch in Abschnitt 8.1 seiner Datenschutzrichtlinie „Rechtsgrundlagen“ dargelegt:

Die Rechtmäßigkeit der Verarbeitung von Daten hat ihren Ursprung in den berechtigten Interessen von Runtastic oder einem Dritten, zum Beispiel unserer Verwendung von Cookies, Plug-Ins oder gezielter Werbung.

Selbstverständlich kann der Einsatz von Cookies, Plug-Ins oder zielgerichteter Werbung nicht auf berechtigten Interessen beruhen.

Es ist erstaunlich zu sehen, dass ein bekannter deutscher Konzern (Adidas) personenbezogene Daten von Millionen Nutzern in diesem Umfang ohne gültige Rechtsgrundlage sammelt. Genauso erstaunlich ist, dass Adidas sich nicht darauf beschränkt, Marketingtools einzusetzen, die Ihre personenbezogenen Daten preisgeben, ebenfalls ohne gültige Rechtsgrundlage. Was können Sie tun, um Datenlecks an Drittanbieter-Tools zu verhindern? Während Sie auf eine mögliche Sanktion einer zuständigen Aufsichtsbehörde warten, können Sie unter iOS Apps wie DNSCloak, AdGuard oder NextDNS nutzen.