Die active365 App der CSS belohnt Fitness – mit rechtlichen Bedenken zum Datenschutz

Ich habe in meinem Briefkasten Werbung von meiner Krankenversicherung erhalten. Sie werben für ihre Gesundheits-App, mit der Kunden Punkte sammeln können, indem sie die App in Verbindung mit einem Fitness Tracker nutzen können. Diese Punkte können entweder eingelöst werden oder bei Erreichen einer Mindestanzahl an Punkten in Geld ausgezahlt werden. Die App steht praktisch jedem Kunden kostenlos zur Verfügung und kann mit einer einfachen Registrierung genutzt werden.

Broschüre CSS active365 App
Broschüre CSS active365 App

Nun wollte ich im ersten Schritt wissen, wohin diese App die Daten, die sie sammeln würde denn senden würde. Zudem wollte ich wissen, dass wenn die Daten auf Server im Ausland gesendet werden würden, die umworbene App denn auch nach den aktuellen Datenschutzbestimmungen der Schweiz, die Anforderungen hinsichtlich der Weitergabe von „besonders schützenswerten Personendaten“ ins Ausland erfüllen würde.

Die Versicherung bietet auf der in der Broschüre aufgedruckten Webseite einen einfachen Test an. Damit kann ein Kunde grob ermitteln, wie viele Punkte er mit seiner aktuellen Fitness-Aktivität sammeln könnte und welchen monetären Wert dies hätte. Ich nehme an, dass dieser erste Schritt dazu dient, den Kunden zu motivieren, sich mit dem Gedanken anzufreunden, um ihn schliesslich zu überreden, die App aus dem entsprechenden Store (Google oder Apple) herunterzuladen und zu installieren und mit seinem Tracker zu verbinden.

Datenschutzbestimmungen der CSS

CSS versichert, dass sie selbst keinen Zugriff auf die Daten hat. Das macht mich umso neugieriger, denn irgend jemand muss ja auf diese Daten Zugriff bekommen, auch wenn diese letztendlich maschinell verarbeitet werden. Datenschutzrechtlich muss sich also eine Instanz als den Datenverantwortlichen ausgeben.

Datenschutzhinweis von CSS
Datenschutzhinweis von CSS für den Zugriff auf die active365 Daten

Es gibt noch eine zweite Webseite für diese App, welche die Hauptseite zur App darstellt und worüber der genannte Initialtest bzw. die Initialbewertung gemacht wird. Die Webseite active365.css.ch hat ebenfalls einen Link zum Datenschutz. Dieser Link ist jedoch lediglich eine Verbindung zur Website der CSS, worin die Standard-Datenschutzbestimmungen aufgestellt sind (https://www.css.ch/de/ueber-css/story/unternehmen/css-gruppe/datenschutz.html)

Darin werden diverse Erklärungen und Bestimmungen zum Datenschutz niedergelegt, die im ersten Blick recht umfangreich erscheinen. Unter dem Abschnitt „Weitergabe an Dritte – Wem geben wir Ihre Personendaten weiter und wozu?“ wird es dann allerdings etwas interessanter, denn genau diese Frage gilt es zum Wohle des Kunden bezüglich der Sicherheit und Integrität ihrer Gesundheitsdaten zu beantworten.

In diesem Abschnitt ist insbesondere der letzte Absatz recht interessant. Datenschützer werden ggf. die Formulierungen darin als Standardformulierungen wahrnehmen, doch im Eingang des Abschnitts bezieht sich die CSS lediglich auf „Personendaten“. Im letzten Absatz heisst es dann:

Auszug aus den Datenschutzbestimmungen der CSS auf ihrer Webseite
Auszug aus den Datenschutzbestimmungen der CSS auf ihrer Webseite

Wenn der Kunde also ein Vertrag abschliesst und dieser Vertrag eine Bekanntgabe ins Ausland erfordert und der Kunde auch nicht widersprochen hat, dann ist das in Ordnung.

Nun, im vorliegenden Fall werden Kunden der CSS von der Gesellschaft motiviert die genannte App zu nutzen, ein Vertrag kommt hierbei jedoch nicht zustande. Ein Widerspruch muss gesetztlich dagegen nachweislich erfolgen, was in diesem Fall ja nicht vorliegen kann. Doch es gibt noch die Fürsorgepflicht, die eine Gesellschaft wie die CSS für ihre Kunden ausüben sollte, und zwar uns Kunden darauf hinzuweisen, dass eben unsere Gesundheitsdaten ins Ausland gesendet werden würden.

Im Artikel 5.c des schweizerischen Datenschutzgesetzes gibt es neben der Begriffserklärung zu Personendaten auch noch die Erklärung zu „besonders schützenswerte Personendaten“ darunter eben auch unter Nummer 2 die Gesundheitsdaten. Nun kann man sich darüber streiten ob Fitness Tracker Daten Gesundheitsdaten sind. Nein, das sind sie natürlich mit Sicherheit!

Diese werden jedoch in der schweizerischen Gesetztgebung etwas strickter reguliert, und zwar folgendermassen:

Auszug Artikel 6 aus dem schweizerischen Datenschutzgesetz
Auszug Artikel 6 aus dem schweizerischen Datenschutzgesetz

Gemäss dem Artikel 6.7.a muss also die CSS in der Regel die Einwilligung vorher einholen, bevor sie die Gesundheitsdaten der Kunden weitergeben darf. An dieser Stelle haben wir eine Pat-Situation aus Sicht des Sachverhalts und der Gesetzgebung. Denn die CSS erhebt diese Daten nicht und ist auch nicht in deren Besitzt, naja, äusserlich betrachtet nicht. Wäre da nicht die App!

Die active365 App – Was ist das überhaupt?

Wie viele Gesellschaften, deren Kern-Business es nicht ist Software herzustellen und die keine interne Software Entwicklung betreiben wollen, z.B. für die Entwicklung von Kernapplikationen, hat auch die CSS sich wahrscheinlich zuvor im Markt umgesehen, um die passende Lösung eines Drittanbieters, sozusagen eines Service Providers für dieses Fitnessprogramm zu finden.

Tja, and the Winner iiiss: HUMANOO

active365 APP Start Page (AKA HUMANOO APP)
active365 APP Start Page (AKA HUMANOO APP)

Die Marke Humanoo gehört der Firma eTherapists GmbH, welches ein Unternehmen mit Sitz in Berlin/Deutschland ist, das sich auf digitale Gesundheitslösungen spezialisiert hat.

Humanoo bzw. die eTherapists GmbH bietet eine Plattform, die Nutzern hilft, ihre Gesundheit und ihr Wohlbefinden durch personalisierte Programme zu verbessern. Diese Programme umfassen Bereiche wie Bewegung, Ernährung, mentale Gesundheit und Schlaf. Die Plattform nutzt Daten aus Fitness-Trackern und anderen Gesundheitsgeräten, um individuelle Empfehlungen und Programme anzubieten.

Einige Hauptmerkmale von Humanoo sind:

  1. Personalisierte Gesundheitsprogramme: Nutzer erhalten maßgeschneiderte Programme basierend auf ihren individuellen Bedürfnissen und Zielen.
  2. Integration von Fitness-Trackern: Die Plattform kann mit verschiedenen Fitness-Trackern und Gesundheitsgeräten synchronisiert werden, um genaue Daten zu sammeln und zu analysieren.
  3. Belohnungssystem: Nutzer können durch das Erreichen von Gesundheitszielen Punkte sammeln, die sie dann für verschiedene Belohnungen einlösen können.
  4. Ganzheitlicher Ansatz: Humanoo deckt verschiedene Aspekte der Gesundheit ab, einschliesslich körperlicher Fitness, Ernährung, mentaler Gesundheit und Schlaf.
  5. Unterstützung für Unternehmen: Humanoo bietet auch Lösungen für Unternehmen an, um die Gesundheit und das Wohlbefinden ihrer Mitarbeiter zu fördern.

Die Punkte 2 und 3 lassen das Vorhaben der CSS mit dem active365 Programm also voll und ganz wiedererkennen.

Doch Humanoo selbst macht kein Geheimnis draus und gibt gleich auf der Homepage ihre Referenzen an, darunter auch die CSS:

humanoo.com Webseite
humanoo.com Webseite

Es gibt sogar eine umfangreiche SUCCESS STORY zu CSS auf der Webseite von HUMANOO:

https://humanoo.com/de/success-story/css

Es werden in der Success Story auch konkrete Zahlen über die bisherige Anzahl der Nutzer, oder etwa der über die ausgeschütteten Millionen Summen gemacht.

Die active365 App ist also im Grunde gar keine echte CSS App sondern wurde eingekauft und etwas „Customized“, damit der Kunde nicht gleich abgeschreckt wird, aber das ist nur eine Vermutung von mir. Damit aber nicht genug, denn die App versucht bei Start nicht nur an HUMANOO zu funken, sondern funkt auch gleich zu phraseapp.com.

Phrase.com ist eine Plattform, die sich auf Übersetzungsmanagement und Lokalisierung spezialisiert hat. Sie bietet Tools und Lösungen, die Unternehmen dabei helfen, ihre Inhalte in verschiedenen Sprachen zu übersetzen und lokal anzupassen.

Dieses Unternehmen hat ihren Sitz in den Staaten (USA), ebenso der Server, den meine Installation der App angesprochen hat. Somit bekommt phrase.com meine IP mit und sonstige Daten, die HUMANOO durch ihre App zur Verfügung stellt. Ich habe die übertragenen Daten nicht überprüft, das würde eine wesentlich umfangreichere Analyse mit einem MiDM-Proxying Verfahren (bzw. SSL/TLS-Inspection) erforderlich machen, was den Rahmen dieses Artikels sprengen würde.

Über eine Sicherheits-App kann ich in den Protokollen die Verbindungen der APP nachverfolgen
Über eine Sicherheits-App kann ich in den Protokollen die Verbindungen der APP nachverfolgen

Neben Phrase und Humanoo versucht die App auch Verbindungen zu Google aufzubauen, zwecks der Anmeldung über einen möglichen Google-Account. Doch eine weitere Verbindung zu Adobe ist noch erforderlich, genauer genommen zu assets.adobedtm.com und dpm.demex.net, welches eine von ADOBE aufgekaufte Firma war (die Demex) und aus Legacy Gründen die URL noch bestehen bleiben muss.

Der Aufruf an „assets.adobedtm.com“ dient entweder der DTM-Implementierung (im Falle der JavaScript-Implementierung in der App) oder dem Abrufen von Messaging-Konfigurationen aus Mobile Services.

Die Überprüfung, die hier erforderlich ist, besteht darin, festzustellen, ob die App Analysen über die UI-Konfiguration von Mobile Services implementiert hat. Wenn dies der Fall ist, ist der Aufruf an „assets.adobedtm.com“ zum Abrufen der Nachrichtenkonfiguration (In-App oder Push) durchaus zu erwarten. Jedenfalls weisst dies nach, dass die App-Entwickler den ADOBE Audience Manager integriert haben müssen. Dieser funkt eben direkt nach USA, zu den besagten URLS. Mehr Infos über:

Für ADOBE DTM https://experienceleague.adobe.com/de/docs/experience-manager-65/content/assets/managing/use-dtm-for-asset-insights

Für DEMDEX: https://experienceleague.adobe.com/en/docs/audience-manager/user-guide/reference/demdex-calls#:~:text=It%20tells%20internal%2C%20Adobe%20systems,Adobe%20Experience%20Cloud%20ID%20Service.

Was sagt HUMANOO zum Datenschutz

Auf den Humanoo Webseiten finde ich recht schnell Informationen über den Datenschutz und sogar eine Seite, worin eine Einwilligungserklärung niedergeschrieben ist. In dieser Einwilligungserklärung wird auf die Erhebung von Gesundheitsdaten eingegangen und wie diese Daten gehandhabt werden im groben erklärt. Angeblich werden dabei die Personendaten anonymisiert und es wird dabei auf die europäische DSGVO, also die Datenschutzgrundverordnung referenziert. Doch die ist erst einmal für mich irrelevant denn:

A. Ich befinde mich als CSS Kunde in der Schweiz und es gelten für mich die schweizerische Gesetzgebung zum Datenschutz

B. Ich habe keinen Vertrag mit HUMANOO, bin in diesem Fall lediglich ein Internetnutzer und werde von meiner Krankenkasse motiviert die HUMANOO App zu nutzen und meine Gesundheitsdaten an sie zu senden, damit ich von diesem Punkteprogramm von der CSS profitieren kann.

Doch wenn die CSS angeblich meine Tracker und Gesundheitsdaten nicht haben soll und HUMANOO meine Daten anonymisieren will, wie komme ich dann an mein verschwitztes Geld? Irgendwie muss also doch eine Verbindung in diesem Triangel bestehen, so dass CSS von HUMANOO die erforderlichen Informationen bekommen kann, um mich wiederum auszuzahlen. Ich weiss jedoch, dass ich dies über die Webseite enjoy365.ch triggern muss. Den Nachweis benötige ich trotzdem, den Humanoo hätte. Die Auszahlungen erfolgen seitens des Unternehmens eTherapists GmbH an den Nutzer. Das bedeutet, sie bekommen auch die Bankverbindung der Nutzer durch diese selbst als Daten mitgeteilt.

Einwilligungserklärung auf https://humanoo.com/de/einwilligungserklaerung/
Einwilligungserklärung auf https://humanoo.com/de/einwilligungserklaerung/

Wo sind meine Gesundheitsdaten denn letztendlich

Das Unternehmen HUMANOO betreibt die Infrastruktur für ihre Kunden, an die sie ihre App und ihre Dienstleistungen verkauft, nicht selbst. Denn die URL, an die die active365 App versucht die Daten zu senden wird an einem anderen Ort TCP/IP technisch terminiert. Die URL api.humanoo.com , die von der App aufgesucht wird, ist nur ein DNS Alias auf public.prod.humanoo.io welches auf bestimmte IP Adressen aufgelöst wird. Sucht man nach dem Standort der IPs auf INFOSNIPER, kommt folgendes raus:

ec2-18-197-85-54.eu-central-1.compute.amazonaws.com

Autsch! Es ist ein EC2 Server von Amazon AWS, ein US amerikanisches Cloud-Unternehmen mit einem RZ in Frankfurt in der sogenannten AWS Region „Central 1 Europe“ welches eben das RZ Frankfurt am Main ist.

Was passiert während der Registrierung

Wenn der Kunde auf den „Ich bin neu“ Button der App tippt, wird er auf eine Maske in der App weitergeleitet, worin er eine Emailadresse und ein Kennwort eingeben muss. Das Kennwort muss die Kennwortregeln der App erfüllen und mindestens 13-stellig sein.

Danach kommt er zur Maske der Einwilligungen. Und genau hier wird das Ganze nochmal etwas interessanter. Die Links

  • „Einverständniserklärung anschauen“ ,
  • „Details in den Datenschutz-Hinweisen“ und
  • „Nutzungsbestimmungen einverstanden“

enden alle mit einer und der gleichen PDF Datei namens –> „20230712_Nutzungsbestimmungen_V1.5_DE“.

Zu lesen unter: https://networm.ch/files/20230712_Nutzungsbestimmungen_V1.5_DE.pdf

Maske zur Einwilligung von diversen Bestimmungen in der CSS active365 App

Diese Datei wurde gemäss den Meta Angaben in der PDF Datei von einem Herr „Nuot Lietha“ unter Microsoft Word 365 in Luzern erstellt und als PDF auf dem Server durch Humanoo abgelegt. Wer sich für Herrn Nuot Lietha interessiert, hier sein LinkedIn:

https://www.linkedin.com/in/nuotlietha/?originalSubdomain=ch

Gleich zu Beginn unter Punkt 2 dieser Nutzungsbestimmungen steht:

„Mit der Zustimmung zu den Nutzungsbestimmungen erklärt der Nutzer verbindlich, die Nutzungsbestimmungen tatsächlich gelesen, verstanden und vollumfänglich sowie vorbehaltlos akzeptiert zu haben.“

An dieser Stelle frage ich mich, wer von den angeblichen 270 Tausend aktiven Benutzern dies auch tatsächlich getan haben könnte. Denn dieses PDF-File ist 12 Seiten lang und beinhaltet jede Menge rechtliche Regulationen, Bestimmungen und Vorbehalte, die für einen normalen Leser recht verwirrend sind, da hier zum ersten Mal die Firma eTherapists GmbH ins Spiel kommt und dem Nutzer rechtliche Regeln aufstellt, aus Deutschland mit dem Recht der Schweiz.

In dieser Datei steht des Weiteren auch, dass verifizierte Nutzer die in der App gesammelten activePoints gegen Geldwerte, Spenden oder gegen Wertgutscheine beim Onlineshop www.enjoy365.ch einlösen können. Es gibt also doch ein PING BACK! Diese Tatsache vernichtet die Behauptung von der CSS, dass sie nicht an diese Art Daten ihrer Kunden kommen kann. Denn zu Supportzwecken können gem. dieser Bedingungen die Daten an die CSS weitergegeben werden. Die Datenweitergabe der App an die CSS durch die eTherapists GmbH wird aber nachvollziehbar unter dem Punkt 17 der Nutzungseinwilligung erklärt.

Das Ganze wird dann noch kurioser, wenn man sich unter Punkt 5 den 2. Abssatz durchliesst. Darunter steht u.a., dass es für die Auszahlung der gesammelten Punkte praktisch reicht, wenn der Nutzer ein aktuelles Vertragsverhältnis nach Versicherungsvertragsgesetz (VVG) zur CSS Versicherung AG verfügt.

Jetzt müssen wir bei dem folgenden Statement der CSS auf ihrer eigenen Seite unter Q&A aufpassen! Das ist MEGA

Q&A der CSS active365 App unter https://www.css.ch/de/privatkunden/meine-gesundheit/gesundheit-foerdern/active365.html

Diverse rechtliche Widersprüche aus der Sicht eines Laien

Oh my God: Mit diesem Widerspruch zwischen der Aussage der CSS und den Nutzungsbestimmungen der Humanoo App wäre der Vertrag quasi nichtig und auch die Nutzungsbestimmungen defekt, da ich gemäss der CSS eine Zusatzversicherung brauche, gemäss eTherapists GmbH aber nicht. Diese Nutzungsbestimmung ist nun kaputt……wäre da nicht noch der letzte Absatz in den Nutzungsbestimmungen, die so eine Art „salvatorische Klausel“ darstellen soll.

Doch in diesem Absatz finde ich dann den Satz, der der ganze Sache den Todesstoss setzt:

„Für sämtliche Fragen und Auseinandersetzungen im Zusammenhang mit der Nutzung der App gilt – soweit gesetzlich zulässig – ausschliesslich schweizerisches Recht, unter ausdrücklichem Ausschluss kollisionsrechtlicher Bestimmungen.“

In diesem Fall wäre es nun endlich klar

Mit diesen Erkenntnissen wird mir klar, dass:

  • A. Es gesetzlich nicht zulässig sein kann, dass ausschliesslich schweizerisches Recht gelten kann, da aufgrund der Zusammenarbeit der CSS über die Landesgrenzen hinaus auch die Gesetzte des Landes beachten muss, in dem ihr Geschäftspartner sitzt und
  • B. Sie im Grunde nicht der Vertragspartner der Nutzer dieser App ist, sondern der App Betreiber, da er im 2. Satz dieser Bestimmungen folgende Aussage macht:

„Der Nutzer tritt durch das Herunterladen, die Installation, den Zugriff oder Nutzung der App zu keinem Zeitpunkt mit einem Unternehmen der CSS Gruppe (die CSS Gruppe umfasst die CSS Holding AG sowie deren Tochtergesellschaften) in ein Vertragsverhältnis ein.“

Das bedeutet, die Nutzung der App unterliegt völlig dem EU Recht, sprich der DSGVO und nicht dem Schweizerischen Datenschutzrecht, wie zu Beginn in diesem Artikel angenommen.

Es ist also erstaunlich kompliziert und in diesem vorliegenden Fall erheblich widersprüchlich, welcher von den genannten Parteien tatsächlich in Haftung treten muss, wenn der Kunde der CSS und zugleich der potenzielle Nutzer der Firma eTherapists GmbH diese App herunter lädt, sich registriert und den persönlichen FitnessTracker mit dieser APP verbindet, um seine Gesundheitsdaten bei AWS in Frankfurt speichern und von Humanoo alias eTherapists GmbH auswerten zu lassen, damit er im Umkehrschluss die CSS Kundendaten über die App an die CSS senden lassen kann um festzustellen, ob er durch die Firma eTherapists GmbH als Kunde der CSS ausgezahlt werden kann.

puuuh, tief Luft holen, kurios, oder nicht? :)))

Zusammenfassung:

Ich habe Werbung von meiner Krankenkasse erhalten, die für eine Gesundheitsapp wirbt. Mit dieser App können Kunden durch die Nutzung von Fitness-Trackern Punkte sammeln, die sie entweder einlösen oder bei Erreichen einer Mindestanzahl in Geld auszahlen lassen können. Die App ist kostenlos und einfach zu registrieren.

Auf der Webseite der Krankenkasse kann man testen, wie viele Punkte man mit seiner aktuellen Aktivität sammeln könnte und welchen monetären Wert dies hätte. Dies soll die Kunden motivieren, die App herunterzuladen und zu installieren.

Es stellt sich die Frage, wohin die App die gesammelten Daten sendet und ob dies den Datenschutzbestimmungen der Schweiz entspricht. Die Versicherung gibt an, keinen Zugriff auf die Daten zu haben, was jedoch fraglich ist, da eine Instanz die Daten verarbeiten muss.

Die App wird von Humanoo, einem Unternehmen für digitale Gesundheitslösungen, bereitgestellt. Humanoo bietet personalisierte Gesundheitsprogramme und sammelt Daten von Fitness-Trackern. Die Daten werden anonymisiert und nach europäischen Datenschutzstandards (DSGVO) behandelt. Da sich die Kunden in der Schweiz befinden, gelten für sie jedoch die schweizerischen Datenschutzbestimmungen.

Die App verbindet sich auch mit phrase.com, einem Übersetzungsmanagement-Dienst aus den USA, sowie mit Google und Adobe-Diensten, was zusätzliche Datenschutzfragen aufwirft. Bei der Registrierung in der App wird eine Einwilligung zu den Datenschutzbestimmungen verlangt, die Nutzungsbedingungen sind umfangreich und verweisen auf rechtliche Regelungen.

Die Daten werden auf einem AWS-Server in Frankfurt gespeichert, was bedeutet, dass sie in die EU übertragen werden. Dies wirft Fragen zur Einhaltung des schweizerischen Datenschutzrechts auf, da es Unterschiede zur DSGVO gibt. Letztendlich bleibt unklar, welche Partei für den Datenschutz verantwortlich ist, wenn die App in der Schweiz genutzt wird.

  • Related Posts

    Google Play Store checkt Nutzung von Apps

    Android-Nutzer haben vielleicht schon einmal die Erfahrung gemacht: Nach dem Kauf eines neuen Geräts oder nach einem Reset haben sie zahlreiche ihrer Lieblings-Apps auf ihrem Android-Smartphone installiert. Doch oft bleibt…

    Trotz LinkedIn Privacy – Profilfotos und weitere Medien öffentlich einsehbar

    Wusstet ihr, dass…. ungeachtet dessen, wie ihr eure Privatsphäre auf LinkedIn eingestellt habt, eure Profilfotos und weitere Medien dennoch frei abrufbar sind? In einem nicht-öffentlichen Profil bewirkt der Aufruf eurer…

    You Missed

    Das Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?

    • Oktober 30, 2024
    • 48 views
    Das Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?

    Weihnachtszeit ohne Konsumdruck – Eine alternative Sichtweise

    • Oktober 21, 2024
    • 63 views
    Weihnachtszeit ohne Konsumdruck – Eine alternative Sichtweise

    The Brain Pollution – Das kognitive CO², das unser Kopfklima wandelt

    • Oktober 17, 2024
    • 112 views
    The Brain Pollution – Das kognitive CO², das unser Kopfklima wandelt

    Google Play Store checkt Nutzung von Apps

    • Oktober 17, 2024
    • 118 views
    Google Play Store checkt Nutzung von Apps

    Israelische Firma liefert Cybersicherheit für türkisches Militär und Ministerien

    • Oktober 17, 2024
    • 54 views
    Israelische Firma liefert Cybersicherheit für türkisches Militär und Ministerien

    A vendor experiences a data breach. How do you protect sensitive information?

    • Oktober 17, 2024
    • 56 views
    A vendor experiences a data breach. How do you protect sensitive information?