Probleme und Risiken bei Erfassung medizinisch relevanter Daten in mobilen Anwendungen Diplomarbeit zur Erlangung des akademischen Grades Diplom-Ingenieur im Rahmen des Studiums Medizinische Informatik eingereicht von Patric Strasser, BSc Matrikelnummer 0728052 ander FakultätfürInformatikderTechnischenUniversitätWien Betreuung: Ao.Univ.-Prof.Mag.Dr.iur.MarkusHaslinger Wien,9.Juni2015 (UnterschriftVerfasser/In) (UnterschriftBetreuung) TechnischeUniversitätWien A-1040Wien￿Karlsplatz13￿Tel. +43-1-58801-0￿www.tuwien.ac.at Problems and risks of collection of medically relevant data in mobile apps and devices Master’s Thesis submitted in partial fulfillment of the requirements for the degree of Master of Science in Medical Informatics by Patric Strasser, BSc Registration Number 0728052 totheFacultyofInformatics attheViennaUniversityofTechnology Advisor: Ao. Univ.-Prof. Mag. Dr. iur. MarkusHaslinger Vienna,June9,2015 (SignatureofAuthor) (SignatureofAdvisor) TechnischeUniversitätWien A-1040Wien￿Karlsplatz13￿Tel. +43-1-58801-0￿www.tuwien.ac.at Eidesstattliche Erklärung PatricStrasser,BSc Finsterergasse6/2/20,1220Wien Hiermit erkläre ich, dass ich diese Arbeit selbständig verfasst habe, dass ich die verwende- ten Quellen und Hilfsmittel vollständig angegeben habe und dass ich die Stellen der Arbeit – einschließlich Tabellen, Karten und Abbildungen –, die anderen Werken oder dem Internet im WortlautoderdemSinnnachentnommensind,aufjedenFallunterAngabederQuellealsEnt- lehnungkenntlichgemachthabe. BeiallenBezeichnungen,dieaufPersonenbezogensind,werdenbeideGeschlechterangespro- chen, unabhängig von der in der Formulierung verwendeten konkreten geschlechtsspezifischen Bezeichnung. (Ort,Datum) (UnterschriftVerfasser/In) i Danksagung HiermitmöchteichmichzuallererstbeimeinenEltern,AlexanderundSilvia,fürihrejahrelan- geUnterstützungaufmeinemgesamtenAusbildungswegbedanken. Ein besonderer Dank geht an meine Freundin und Partnerin Lea Singer, die mich speziell in den letzten Jahren und im Besonderen während der Erstellung dieser Arbeit tatkräftig in allen Situationenunterstützthat. Zusätzlich danke ich Mag. Eva Singer-Meczes und MMag. Dr. Walter Perné, LL.M. für das Korrekturlesen. EingroßerDankergehtanmeinenStudienkollegenundgutenFreundDipl.-Ing.MarkusPutzen- lechnerfürdiejahrelangeFreundschaftunddiegroßartigengemeinsamenStudienjahre,welche auchdurchihnwesentlichanBeschwerlichkeitverlorenhaben. Ich bedanke mich darüber hinaus sehr herzlich bei meinem Betreuer Ao. Univ.-Prof. Mag. Dr. MarkusHaslingerfürdieverständnisvolleBegleitungundimhöchstenMaßprofessionelleBe- treuungmeinerDiplomarbeit. ii Kurzfassung Das Aufkommen des Internets und die vollständige Durchdringung aller Bereiche durch Netz- werktechnologie und -kommunikation ist bis heute eine schwer zu erfassende Tatsache. Einen gutenTeilfürdenunglaublichenErfolglieferndiemobilenGeräte,wobeidieserdurchdenSie- geszug der Smartphones zusätzlich beschleunigt wird. Das „Tandem“ aus Internet und Smart- phoneistausdemtäglichenLebenkaumnochwegzudenken.BeinahejedeInformationistorts- unabhängig, zu jeder Tageszeit, für jede Person verfügbar. Durch diese Entwicklung entstan- denauchneueGeschäftsmodelle.DasSammelnvonpersonenbezogenenDatenwurdeüberdie JahrezurPrämisse fürallemodernenUnternehmen. Dadurchlassensichnoch genauerePerso- nenprofile erstellen, um noch exaktere Werbung zu generieren. Dies ist ein großes Verkaufsar- gument, da zielgerichtete Werbung weniger Streuverlust bietet und somit effizienter ist. Doch auch abseits der Werbeindustrie sammeln die neuen Anbieter fleißig Daten; teilweise, um ihre eigenen Dienstleistungen anzubieten. Angefangen von immer verfügbaren Datenspeichern im virtuellen Raum, der sogenannten Cloud, bis hin zu Fitness und Healthcare Applikationen für unterwegs ist alles verfügbar. Dies bietet allerdings speziell im Bereich des Datenschutzes er- heblicheRisiken,dawederderGesetzgebernochderBürgeraufsolcheSituationeninjeglicher Form vorbereitet war und noch immer nicht ausreichend ist. Aus diesem Grund ergeben sich selbst bei der Erhebung von sehr sensiblen Gesundheitsdaten Unwissen und Unschlüssigkeiten auf beiden Seiten. Nachteilig für die Privatperson wirkt sich zusätzlich die Tatsache aus, dass UnternehmenoftwesentlichschnelleraufneueSituationenundMöglichkeitenreagierenalsder Gesetzgeber. Obendrein ist die derzeitige inhomogene Rechtslage im Bereich des Datenschut- zes innerhalb der Europäischen Union äußest nachteilig für rechtliche Klarheit. Datenexporte inunsichereDrittländer,zuwelchenauchdieVereinigtenStaatenvonAmerikagezähltwerden müssen, sind darüber hinaus ein sehr heikles und komplexes Thema und bieten daher zusätz- lichen Zündstoff. Daher ist es Ziel dieser Diplomarbeit, die aktuelle Rechtslage zu analysieren unddanachaufdieserGrundlageeineTestanordnungzuschaffen,welcheexemplarischmobile Fitness-Anwendungen auf Datenschutzrisiken untersucht. Die Ergebnisse können dann sowohl eineHilfestellungfürdieVerbraucheralsaucheinLeitfadenfürUnternehmendarstellen. iii Schlüsselwörter Datenschutz,PersonenbezogeneDaten,SensibleDaten,Internet,BigData,Smartphone,Tablet, App,WearableDevices,Smartwatch,HealthApp,MedicalApp,FitnessApp iv Abstract The advent of the Internet and the comprehensive penetration of this medium into all areas of human endeavour is a profound reality whose dimensions and implications are as yet not fully achieved-norreadilycomprehensible. Itcanbedescribedasarevolutionaryevolution–ageo- metricprogressioninhardwaretechnologycoupledwithquantumleapsinhumanbehaviorand comprehension. A large measure of the incredible success of this phenomenon has generally been based on mobile devices - which success has been further accelerated by the spectacular impactofsmartphones. Thesynergisticcapabilitythattheinternetandthesmartphoneprovide is so fundamental to daily life - as to be virtually inconceivable without it. This is true for ev- ery level of endeavour; from teenager and parent, to student and professors and from business managerstodoctorsandscientists. Inthisregard,virtuallyeverypersonineveryprofessionhas come to expect the instant availability of information independent of location or qualification at any time of the day or night – usually at no cost – and with very little effort. Naturally, this development has spawned a wide and deep range of new business models and opportunities – many of which are still emerging – including the automatic collection, sorting and analysis of personalandbusinessdata. Consequently,itisnowpossibletocreatedetailedpersonalprofiles in retail sales for customer, client, patient and potential buyer profiles that enable more precise andspecificallytargetedadvertisingwhichresultsinlesswaste,lowercosts,betterproductivity andmuchhigherefficiency. Beyondtheobviousbenefitstothesaleofdurableandnon-durable goodsthebenefitstotheadvertisingindustryinthefullrangeofservicesarequiteremarkable; ranging from data stores permanently available in virtual space (the so-called "cloud") – to fit- ness,healthcare,academic,researchandtravelapplications-everythingisreadilyavailable. In conjunctionwiththeobviousbenefits,thesedevelopmentsalsocontinuetoengendersubstantial risksinthefieldofdataprotection,lawenforcement,healthcare,businessliabilityandpersonal privacy - which neither the legislature nor the citizenry were prepared for across the full spec- trum of possibilities. For this reason, the collection of very sensitive personal medical data is marked by ignorance and apprehension on both sides of the equation. An additional disadvan- tageisthatbusinessenterprisesrespondmorequicklyandwithmoreflexibilitythangovernment bureaucraciesorthelegislature. Furthermore,thecomplexandvariegatedapproachtodatapro- tection within the European Union is extremely detrimental to legal clarity and uniformity in best business practices. The export and import of data – to and from basically unsafe nations suchastheUnitedStatesofAmericaandmanydozensofothers–isaverysensitiveandcom- plicated issue which offers more fuel for potential conflict and legal liability. Therefore, it is imperative to analyze the existing legal situation, compare the available options, develop a test v modelandthencompareandexamineexemplaryfitnessapplicationstoassessandquantifythe inherentdataprotectionrisks. Theresultscanserveasaguideforbothbusinessendeavoursand consumers. Keywords DataPrivacy,PersonalData,SensitiveData,Internet,BigData,Smartphone,Tablet,App,Wear- ableDevices,Smartwatch,HealthApp,MedicalApp,FitnessApp vi Inhaltsverzeichnis 1 Einleitung 1 1.1 Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.3 Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.4 AufbauderArbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 Grundlagen 4 2.1 ÖsterreichischeRechtsvorschriften . . . . . . . . . . . . . . . . . . . . . . . . 4 2.2 EuropäischeRechtsvorschriften . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2.1 AktuellgeltendesRecht . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.2.2 AusblickaufdasneueeuropäischeDatenschutzrecht . . . . . . . . . . 13 2.3 AmerikanischeRechtsvorschriften . . . . . . . . . . . . . . . . . . . . . . . . 17 2.3.1 U.S.Constitution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.3.2 ThePrivacyActof1974 . . . . . . . . . . . . . . . . . . . . . . . . . 18 2.3.3 ThePrivacyProtectionActof1980 . . . . . . . . . . . . . . . . . . . 18 2.3.4 TheRightofFinancialPrivacyActof1978 . . . . . . . . . . . . . . . 19 2.3.5 TheFairCreditReportingActof1970 . . . . . . . . . . . . . . . . . . 19 2.3.6 TheDriversPrivacyProtectionActof1994 . . . . . . . . . . . . . . . 19 2.3.7 TheTelephoneConsumerProtectionActof1991 . . . . . . . . . . . . 20 2.3.8 TheChildren’sOnlinePrivacyProtectionActof1998 . . . . . . . . . 20 2.3.9 TheHealthInsurancePortabilityandAccountabilityActof1996. . . . 21 2.3.10 TheGeneticInformationNondiscriminationActof2008 . . . . . . . . 21 2.3.11 KalifornienalsVorreiter . . . . . . . . . . . . . . . . . . . . . . . . . 22 2.4 AnalyseundVergleichderRechtsvorschriften . . . . . . . . . . . . . . . . . . 23 2.4.1 DatentransferinDrittstaaten . . . . . . . . . . . . . . . . . . . . . . . 23 2.4.2 VorteileundSchwachstellen . . . . . . . . . . . . . . . . . . . . . . . 25 2.4.3 DirekteGegenüberstellung . . . . . . . . . . . . . . . . . . . . . . . . 27 2.4.4 LeitfadenfürUnternehmen . . . . . . . . . . . . . . . . . . . . . . . . 31 3 TechnologischeEntwicklung 35 3.1 SmartphonesundTablets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 3.2 MobileApps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 3.3 WearableDevices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 vii 4 AnalysedesMarktes 51 4.1 VorgehensweiseundTestumgebung . . . . . . . . . . . . . . . . . . . . . . . 51 4.2 Runtastic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.3 GoogleFit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 4.4 FitNotesGymWorkoutLog . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 4.5 Endomondo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 4.6 Kalorienzähler–MyFitnessPal . . . . . . . . . . . . . . . . . . . . . . . . . . 115 5 GegenüberstellungderAnwendungen 148 6 Ergebnisse 150 7 ZusammenfassungundAusblick 151 Literatur 153 WissenschaftlicheLiteratur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 Rechtsquellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 OnlineReferenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Abbildungsverzeichnis 164 Tabellenverzeichnis 167 Abkürzungen 168 viii