Fitbit, Kieferknochen, Garmin und Mio Fitnessbänder kritisiert für Privatsphäre Mängel

einige der beliebtesten Fitness tragbare Macher kritisiert wurden mit obskuren und asymmetrische Begriffe und Bedingungen, die für Verbraucher- und Datenschutz Rechte der Bürger eingreifen.

in einer Analyse der Datenschutzrichtlinien und T & Cs vier tragbare Entscheidungsträger, Fitbit, Garmin, Kieferknochen und Mio, fand der norwegischen Verbraucherrat Gründe kritisch über die verschiedenen vor-und Nachteile, erfordern alle Verbraucher bis zur Nutzung ihrer Dienste anmelden.

„die Armbänder sind nützliche Werkzeuge für Überwachungs- und motivierende Fitness-Aktivitäten. Gleichzeitig geben wir persönliche Informationen über unsere Gesundheit, Aktivitäten und Ort asymmetrisch und obskuren Bedingungen“, sagte Finn Myrstad, Direktor von digitalen Diensten in der Verbraucher-Rat in einer Erklärung.

„Wir befürchten, dass diese Informationen für direct Marketing und Preisdiskriminierung Zwecke ausgenutzt werden kann, und dass grundlegende Datenschutzprinzipien vernachlässigt werden.“

der Rat Bericht untersucht die T & Cs und Datenschutzrichtlinien von Fitbit kostenlos HR, Garmin VivoSmart HR, Mio Fuse und Kieferknochen UP3 — und kennzeichnet eine Reihe von Fehlern, als der Körper, sieht unter anderem:

• keines der Unternehmen geben Benutzer ordnungsgemäßen Mitteilung über Änderungen in ihren Bedingungen
• alle die Armbänder mehr Daten sammeln als nötig, dem Service
• keines der Unternehmen voll erklären, die sie teilen können Benutzerdaten mit
• keines der Unternehmen angeben, wie lange sie Benutzerdaten

behalten werden, es auch unglücklich über den Mangel an Datenportabilität angeboten ist; Verfahren zum Löschen von Daten wird nur unzureichend erklärt; und User-Abkommen „schmale und vage“ Definitionen dessen, was persönliche Daten, unter anderen Kritiken.

der Rat sagt sie beabsichtigt, eine gemeinsame Beschwerde gegen alle vier Unternehmen mit der nationalen Datenschutzbehörde und der Verbraucher-Ombudsmann für die Verletzung der Europäischen Datenschutz-Richtlinie und der Richtlinie über unlautere Vertrag Bedingungen.

„Es ist wichtig, dass wir nicht, Grundrechte aufgeben, um die Produkte und Dienstleistungen der Zukunft zu nutzen“, fügt Myrstad, allgemeine Tendenz zunehmend vernetzter Geräte verpackt mit dem Sammeln von Daten auf Sensoren.

„Die Verbraucher haben wenig Zugang zu Informationen über wo ihre persönlichen Daten gesendet werden, und wie diese genutzt werden.“

langen T & Cs, vage Definitionen Datenaustausch Fragezeichen

der Bericht kritisiert wie wortreich und undurchdringlich die Fitness Wearables‘ T & Cs und Datenschutz-Richtlinien werden können – etwas Rat hat zuvor rief app-Hersteller für.

„Wenn die allgemeinen Geschäftsbedingungen sind zu lang und kompliziert für alle, die sie lesen möchten, es ist wichtig zu Fragen, ob wirklich informierte Einwilligung gegeben werden kann“, stellt er fest.

Fitbit Politik kam auf die wordiest der vier, nach seiner Analyse, Taktung bei 7.500 Wörter (17 Seiten), sowie ein 2.000-Word (5 Seiten)-Dokument detailliert ihre Privacy Policy unter dem EU-USA-Sichtschutz.

„The NCC hält es unvernünftig zu erwarten Verbraucher 22 Seiten Begriffe bevor die Nutzung ihres Produktes, wodurch die Implikation der Zustimmung problematisch unterrichtet zu lesen,“ Es fügt.

bei der schwer verständlichen Sprache, die NCC sagt alle vier Dienstleistungen „beschäftigen liberalen Gebrauch“ von was es „vagen Formulierungen“ tituliert, aber es ruft Garmin und Mio als die schlimmsten Übeltäter hier.

„[I] n die leicht verständliche Sprache (z.B. nicht übermäßig legalistischen oder technische), Fitbit und Mio Verwendung von den Bezeichnungen des Laien soweit möglich, während Garmin und Kieferknochen Nutzungsbedingungen haben, die ziemlich schwierig zu analysieren, für den durchschnittlichen Verbraucher sind“ Er stellt fest.

Fitbit bekommt auch ein Plus für die Strukturierung ihrer T & Cs in einem Format, das ist einfacher für die Verbraucher zu verstehen und für nicht schriftlich Begriffe Kappen sperren (wie alle anderen) – Obwohl ihre Bedingungen noch die längste der Partie sind.

der Bericht kennzeichnet auch problematische Differenzen im Umgang mit personenbezogenen Daten von den Unternehmen mit der NCC urteilen nur Kanada ansässige Mio als diese Art von Daten zu definieren, gewissermaßen „befriedigend“ aus europäischer Sicht definiert ist – mit seiner Datenschutzrichtlinie stellt fest, dass: „personenbezogene Daten sind alle Informationen, die Sie persönlich identifizieren entweder allein oder in Kombination mit anderen Informationen, die uns zur Verfügung.“

während Garmin betrachtet nicht Standortdaten als personenbezogene Daten nach der Analyse und Kieferknochen „gibt nicht sie verstehen unter personenbezogenen Daten überhaupt“.

„In der Praxis, das heißt, die diese beiden Dienste einige Daten als persönliche für europäische Verhältnisse, ohne Bezug auf und behandeln diese Informationen als sensibel, verarbeiten kann“ argumentiert der Bericht.

der NCC ruft auch alle Dienste für Nichtaushändigung „deutlich, die sie mit persönliche Daten teilen“ – mit nur Fitbit einige Analysen der dritten namentlich zu erwähnen.

„Auf die Frage, wer Benutzerdaten weitergegeben werden können, Garmin leitet Benutzer zu“Garmins öffentlich zugänglichen Einreichungen bei der US Securities And Exchange Commission-Website zu sehen, die aktuelle Liste der Garmins Partner“,“ schreibt der Rat, hinzufügen: „Dies ist eine obskure und komplizierte Möglichkeit Verbraucher zu informieren, und NCC weder die Citizen Lab konnten tatsächlich erkennen, die diese Tochtergesellschaften sind.“

der NCC auch beauftragt eine technische Prüfung des Gerätes Makers‘ apps durch eine dritte Partei-Beratungsfirma und sagt dies ausgegraben „mehrfach“ Daten zu nicht aufgeführten dritten:

Garmin und Fitbit senden einen Aufruf von graph.facebook.com nach dem Start der app, unabhängig davon, ob der Benutzer aktiv versucht, eine Verbindung zu Facebook. Wenn der Benutzer auch die Facebook-app auf ihrem Handy installiert hat, kann dies Facebook verknüpfen das Armband mit dem Telefon Geräte-ID.

die Garmin Connect app informiert auch die Ad-Tracker Tags.tiqcdn.com und Gigya während der Verwendung der app, Übertragung von IP-Adresse des Gerätes. Obwohl die Tests nicht klare Anhaltspunkte, dass gezeigt haben ist diese Datenübermittlung für marketing-Zwecke, die übermittelte Information verwendet werden könnten, um gezielte Werbung auf verschiedenen Plattformen anzuzeigen. Keines der relevanten Begriffe oder Privatsphäre Politik Staat, der Daten passiv an diese Dritte gesendet werden, wenn Sie die apps zu verwenden.

bei der Einholung der Einwilligung zu Benutzerdaten an Dritte weitergeben, hält das NCC Kieferknochen und Garmin „Best in Class“ dafür, dass Richtlinien, die besagen, sie werden also nicht ohne vorherige Zustimmung.

während in der Frage der ob Benutzerdaten gelöscht werden, wenn ein Benutzer ihr Konto löscht, alle Dienste kritisiert werden nicht explizit angeben, sie werden dies tun.

„leider keiner der analysierten Fitnesstracker explizit angeben, dass sie Benutzerdaten gelöscht werden, wenn das Konto gelöscht wird. Fitbit ist wahrscheinlich die wenigsten schlimmste in diesem Punkt besagt, dass wenn das Benutzerkonto gelöscht wird „Daten, die Sie identifizieren können, werden aus dem Dienst entfernt werden“,“stellt der Bericht fest.

„aber sie fahren fort mit den Worten:“ Backup-Kopien dieser Daten werden entfernt werden von unserem Server, basierend auf einer automatisierten Zeitplan, was bedeutet, es kann in unserem Archiv für eine kurze Zeit andauern. Fitbit kann weiterhin Ihre anonymisierte Daten zu verwenden.“

keiner der Fitnesstracker analysiert jede Erwähnung der Aufbewahrungsfristen der Daten entweder zu machen – zu dem Schluss kommt das NCC bedeuten sie inaktive User Daten nicht löschen.

„das ist problematisch, da viele Benutzer möglicherweise die apps zu löschen und davon ausgehen, dass ihre Daten nicht zur weiteren Verwendung gestellt wird. Inaktive User Daten nicht gelöscht werden, möglicherweise wieder verwendet für andere Zwecke lange könnte es sein nachdem der Benutzer den Dienst verlassen,“schreibt er.

alle Dienstleistungen sind auch für Benutzer ein Konto löschen erschweren kritisiert.

fasst man seine Schlussfolgerungen, der Rat fordert eine Überarbeitung der Weg Fitnesstracker behandeln Verbraucherdaten.

„Gesundheitsdaten ist, wie im Laufe dieses Berichts, sehr sensible Informationen gesehen und sollte nicht leichtfertig behandelt werden,“ schreibt er. „Da app betriebenen Fitness Wearables ist ein noch entwickelnde Technologie, gibt es immer noch Zeit, Verbraucher-Schutz-Maßnahmen und Standards umzusetzen.“

Er warnt auch der sich abzeichnenden Auswirkungen von die neue allgemeine Daten Schutz Verordnung (DSGVO), die in der Europäischen Union im Jahr 2018 in Kraft kommt, werden sagen, dass viele der Probleme, die es kennzeichnet leichter an Adresse durch die neue Richtlinie.

„Durch die Umsetzung von Prinzipien wie Privatsphäre durch Design, diese Dienstleister werden bereit für die neue Verordnung und zugleich Vertrauen der Verbraucher, das ist gut für beide Benutzer und Unternehmen,“ fügt er hinzu.

wir streckte Fitbit, Garmin, Kieferknochen und Mio auffordern ihre Reaktion auf den Bericht. Zum Zeitpunkt der Veröffentlichung nur Fitbit und Kieferknochen reagiert hatte. Wir aktualisieren diese Geschichte mit keine zusätzlichen Aussagen.

Fitbit schickte die folgende Antwort, betonend, dass es nur personenbezogene Daten teilt, wo ein Benutzer „speziell uns leitet dazu“ – oder so genannte es „begrenzte Ausnahmen“, wie sich in seinen Datenschutzbestimmungen:

We Teilen der norwegischen Verbraucherrat Engagement für den Schutz der Privatsphäre der Verbraucher, und wir freuen uns, mit ihnen zusammenzuarbeiten und Regulierungsbehörden, weiterhin starke Datenschutzpraktiken sicherzustellen sind vorhanden.

als Marktführer im angeschlossenen Gesundheit und Fitness, Fitbit engagiert sich für den Schutz der Daten unserer Nutzer und das Vertrauen unserer Kunden ist von größter Bedeutung. Es war schon immer unsere Politik nicht zu Nutzerdaten verkaufen; Wir haben nie persönliche Daten verkauft und wir teilen nicht personenbezogene Daten, es sei denn, ein Benutzer speziell uns leitet, ja, oder unter die begrenzten Ausnahmen in unserer Datenschutzrichtlinie beschriebenen http://www.fitbit.com/privacy zu tun. Darüber hinaus Fitbit versucht, klar, nicht Juristendeutsch Sprache in unserer Politik zu beschäftigen, damit unsere Benutzer zu verstehen, welche Daten wir erheben und wie wir sie verwenden, und wir suchen ständig nach Möglichkeiten, unsere schriftlichen Richtlinien zu verbessern.

Fitbit darauf hingewiesen, dass am 29. September es für die Europäische Kommission neue EU-USA personenbezogene Daten Transfer Rahmen angemeldet – aka die Sichtschutz – argumentieren, dass die Annahme der Daten Mechanismus übertragen „, bekräftigt unsere Verpflichtung zur Datensicherheit für unsere Kunden“.

Obwohl es ist erwähnenswert, dass die EU-USA-Sichtschutz selbst jetzt eine juristische Herausforderung ist, mit Digital Rights Ireland streiten Rahmen bietet keine angemessene Garantien für Europas Daten regionaler datenschutzrechtlichen Bestimmungen einhalten.

Kieferknochen zur Verfügung gestellt der folgenden Erklärung als Antwort auf die NCC-Bericht:

Wir prüfen derzeit den Bericht von NCC.

wollen wir unseren Nutzern zu beruhigen und lassen sie wissen, dass wir nur ihre Daten weitergeben, wenn Fragen sie uns – zum Beispiel mit einem 3rd-Party-app zu integrieren.  Wir sind Hüter der Daten des Benutzers. Wir sammeln, analysieren und präsentieren es zurück an den Benutzer mit Bedeutung. Die Benutzer kann uns Erlaubnis, diese Daten zu teilen geben. Sie können ihre Daten herunterladen und nehmen Sie es woanders. Und sie können uns bitten, es zu löschen (was wir tun wird).

Update: Mio bot nun auch die folgende Anweisung:

Mio hat stets versucht, den Kunden an erster Stelle. Nach der Überprüfung der Kommentare und Bedenken in dem Bericht, gibt es einige sofortige Änderungen, die wir, wie die Privatsphäre Politik Zugriff auf unsere Website, Formatierung und Layout angehen können. Bedenken um persönliche Informationen erforderlich fordert Mio nur Informationen, die verwendet wird, in unsere Algorithmen – das Herzstück des wie wir setzen Herzfrequenzzonen und genaue Trainingsdaten an den Endverbraucher zu liefern. Der Bericht erwähnt, dass Neuregelungen viele dieser Probleme deckt und wir erhebliche Anstrengungen setzen in die Aufrechterhaltung der besten Praktiken in der Privatsphäre und Sicherheit zur Einhaltung aller Vorschriften, den Verbrauchern die schützende erforderlich Maßnahmen.