Strava stand in den letzten Tagen in der Kritik wegen einiger Probleme. Konkret ging es um den Datenschutz bei Strava. Wir springen auf den Zug mal auf. Mein Fazit gleich vorneweg: mir scheint das alles halb so schlimm, wie in den Medien behauptet. Die müssen allerdings Klickzahlen generieren – und letztlich vielleicht auch deswegen dieser Beitrag hier ;-)
Was ist eigentlich passiert?
Strava ist eine App, mit der Jogger, Radfahrer usw. ihre Läufe und Fahrten oder Läufe aufzeichnen und veröffentlichen können. Je nach Gerät und zusätzlichen Sensoren wird dabei auch die Herzfrequenz, Leistung, Höhenunterschied und natürlich der Standort aufgezeichnet. Nach dem Training kann man so auswerten, wie schnell man war, wieviel Höhenmeter man zurücklegte, wie der Puls sich verhielt usw. Außerdem kann man ermitteln, wer auf einem “Segment” der oder die Schnellste ist.
Um Datenschutz bei Strava zu gewähren, kann man entscheiden, ob man diese Daten freigibt oder alles auf privat setzt. Man kann auch private Zonen festlegen, die man z.B. um den Wohnort und/oder den Arbeitsort legen kann. Es werden dann nur Daten veröffentlicht (wenn man nicht alles auf privat stellt) die außerhalb dieser Zonen aufgezeichnet wurden.
Außerdem kann man Strava auch mit Facebook und anderen Netzwerken verknüpfen bzw. Touren auf Facebook veröffentlichen.
Zudem veröffentlicht Strava eine Heatmap. Dort werden (wurden?) einfach alle Aktivitäten anonym veröffentlicht.
was wurde kritisiert?
Der erste Fall
Jemand hat sich diese Heatmap genauer angesehen. In Ballungsgebieten fand man sehr viele Läufe, Fahrten usw – ein fast undurchdringliches Knäuel an Strecken. Aber auch in dünnbesiedelten Gegenden fanden sich Aufzeichnungen. Hier bildet sich dann auch eher ein Muster heraus. Und dann fand man selbst Aufzeichnungen in Gegenden, wo man es nicht erwartet, z.B. in Afghanistan. Auch wenn die Menschen dort sicher andere Probleme haben, als Fitnestracker, so kann man die Nutzung solcher wohl nicht völlig ausschließen. Allerdings traten in bestimmten Gegenden die Aufzeichnungen recht gehäuft auf und ergaben ein Rundkurs.
Letztlich fand man heraus, dass es sich bei diesen Rundkursen um Strecken um Militärstützpunkte der USA handelte. Man fand dann in anderen Ländern /Gegenden Stützpunkte der Russen usw. Da einige der Militärangehörigen zudem auf Facebook aktiv sind, konnte man wohl auch zuordnen wer wo stationiert ist.
Hier muss man einfach fragen, ob es sinnvoll ist, als Soldat seine Daten öffentlich zu machen – gerade, wenn man im Krisengebiet stationiert ist. Die Möglichkeiten, das zu unterbinden, waren da – ob man immer daran denkt? Strava hätte evtl auch selbst auf die Idee kommen können, Krisengebiete von der Heatmap ausszuschließen.
Mittlerweile(?) kann man in den Einstellungen zum Datenschutz bei Strava einen Schalter einschalten, wenn man nicht in der Heatmap veröffentlicht werden möchte.
Anekdote am Rande: lt. einigen Internetseiten hat die UA-Armee ihre Soldaten zur Nutzung von Fitnestrackern aufgefordert und sogar solche Geräte verschenkt.
Der 2. Fall
Wie erwähnt, kann man private Zonen anlegen. Dies sind kreisrunde Gebiete um einen Punkt, z.B. die eigene Adresse. Dabei kann für den Kreis eine Größe von 200, 400, 600, 800 oder 1000m eingestellt werden.
Die Aufzeichnung von Strava beginnt mit Start der Tour, auch wenn der Start in der privaten Zone erfolgt. Andere können aber nur die Tour ab Verlassen der privaten Zone sehen. Nun kann man sich recht leicht denken: wenn ich die private Zone immer wieder an einer anderen, beliebigen Stelle verlassen habe, ergibt das irgendwann den gewählten Kreis. Alle Touren liegen (für Betrachter) außerhalb der Zone. In einem kreisrunden Gebiet ist dann keine Tour von mir verzeichnet. Es genügen aber auch wenige “Start-” und “Endpunkte” – die ja für andere immer die Grenze der privaten Zone markieren. Um diese Punkte mit dem Zirkel einen Kreis mit dem vermuteten Durchmesser ziehen: der Schnittpunkt aller Kreise ergibt dann das Zentrum und die richtige Adresse – denkt man… Dabei setzt man allerdings voraus, das die Adresse korrekt angegeben wurde.
Für meinen konkreten Fall stimmt das z.B. nicht. Da ich noch 2 Segmente in der Umgebung mitnehmen wollte, habe ich den Mittelpunkt der privaten Zone so verschoben, dass diese Segmente außerhalb der privaten Zone liegen. Segmente in der privaten Zone werden bei Bestzeiten usw nicht berücksichtigt. Und auch wenn das hinterher jeder sagen kann: die Tatsache, dass man – s.o. – relativ leicht den Mittelpunkt eines Kreises bestimmen kann, war auch auch ein Grund für diese Verschiebung. Übrigens muss man bei Strava nicht seine Adresse angeben, es wird zwar nach einem Wohnort gefragt – aber auch dieses Feld kann man leer lassen oder mit einem andern Ort ausfüllen.
Muss man sich jetzt wirklich sorgen machen – und was kann man tun? Das hängt von jedem Einzelnen ab. Ich fände es nicht gut, wenn man meine Adresse via Strava so ermitteln kann. Man muss aber auch bedenken: wo wohne ich, wie sind die Umstände?
Wohne ich in einem großen Wohnblock, wo 15 Leute ihre Strecken aufzeichnen – wie leicht kann man mich da eindeutig identifizieren? Habe ich überhaupt mehrere Punkte, an denen ich die private Zone verlassen? Wer in meiner Wohngegend nur Rennrad fährt, kann die private Zone nur an einem Punkt verlassen, da es nur eine Zufahrt gibt, die für Rennräder gut genug ist. Um diesen einen Punkt kann man Kreise mit den o.g. Radien ziehen – ich bekomme aber nie einen Schnittpunkt. Ich kann das Gebiet eingrenzen – aber ich erhalte keinen eindeutigen Punkt.
Da ich allerdings auch MTB fahre und früher auch mal joggen war, habe ich ca. 5 Schnittpunkte mit der privaten Zone. Damit ließe sich schon was anfangen. Wie oben erwähnt habe ich aber eine andere Adresse als Zentrum eingestellt habe. Deshalb führt diese Methode nicht zu mir. Außerdem kann man mehrere private Zonen erstellen. Das klappt auch, wenn die einzelnen Zonen direkt nebeneinander liegen. So werde ich für mich auch demnächst direkt in meiner Wohngegend noch ein paar sich überschneidende Zonen mit unterschiedlichen Radien anlegen. Dabei wird immer eine andere Adresse den Mittelpunkt jeder einzelnen Zone bilden – aber nie meine tatsächliche Adresse. Das macht es wahrscheinlich nicht völlig unmöglich, meine Adresse durch Strava zu ermitteln – aber wesentlich schwieriger.
persönliches Fazit:
Es gibt schon einige Möglichkeiten zum Datenschutz bei Strava. Alles hat man wohl nicht bedacht, letztlich ist es aber auch immer eine Angelegenheit, um die sich der Nutzer aktiv kümmern muss. Jeder muss selbst entscheiden ob und was er/sie freigibt. Manche Möglichkeiten kann man selbst allerdings kaum abschätzen – z.B. bei Verbindung mit anderen Netzwerken wie Facebook o.ä.. Einige Stellschrauben, mit denen man was verändern kann, bietet Strava durchaus. Es lohnt sich, gelegentlich die Einstellungen hinsichtlich der Privatsphäre zu überprüfen.
Was hier leider völlig fehlt, ist, welche Rechte Strava selbst zum Nutzen und Weitergeben der Daten hat. Das ist im Prinzip alles, was man sich nur ausdenken kann:
https://www.strava.com/legal/privacy?hl=de-DE
Danke für Deinen Kommentar und den Link. Welche Rechte Strava sich generell raus nimmt, wollte ich hier nicht abhandeln. Die Nutzungsbedingungen und Datenschutzrichtlinien werden mehr oder weniger regelmäßig angepasst. Ich bin auch kein Jurist oder Datenschützer, der da evtl. noch bestimmte Formulierungen deuten kann oder mit möglichen Doppeldeutigkeiten oder Hintertüren was anfangen kann. Mit eindeutigen Aussagen würde ich mir zu viel anmaßen und kann ich hier nur verlieren…. Ich habe jetzt aber selbst noch mal nachgelesen. Wie üblich ist das meiner Meinung nach recht allgemein gehalten. Wenn man Strava oder ähnliche Plattformen nutzt, sollte man sich aber eigentlich schon selbst über einiges im Klaren sein: ohne dass der Anbieter bestimmte Daten erhält, ist das ganze recht sinnlos. Will man Segmente nutzen oder Auswertungen der Aktivitäten erhalten, dann muss man halt gps-Daten, Herzfrequenz u.ä. übertragen. Das beim Besuch der Webseite Infos gesammelt werden (Browser, Monitor, OS….) sollte eigentlich fast Allgemeinwissen sein, da dies bei so ziemlich jeder Webseite geschieht (bzw. der eigene Rechner das sendet).
Das (bei Premium) auch Zahlungs-Infos gesammelt werden.. irgendwie muss ja zugeordnet werden, wer was für wen bezahlt.
Problematischer ist es wahrscheinlich schon, wenn man sich z.B. via Facebook und Co anmeldet. Was gibt da der eine an den anderen weiter? Beide Seiten wissen auch (spätestens) dann, welche Konten zu einer Person gehören. Und ist es sinnvoll, wenn Strava- Aktivitäten autom auf FB geteilt werden? Wird zudem ein Konto gehackt, hat man wohl auch Zugriff auf das andere. Ich melde mich nie mit Facebook oder Google woanders an…
Was Strava dann weiter gibt, ist auch nur sehr schwammig formuliert, scheint sich aber in recht engen Grenzen (?) zu halten. Ich kann das aber wie eingangs erwähnt nicht wirklich beurteilen….
Letztlich muss man sich halt über ein paar Dinge klar sein:
Will ich die Plattform nutzen? Welche Vorteile bringt mir das, was muss ich dafür offen legen?
Nutze ich Klarnamen oder Spitznamen? verknüpfe ich mit Google oder Facebook? Was teile ich mit wem (bei Strava wird nur zw “Alle” und “Abonnenten” unterschieden)
Auch sollte man die (Privatsphären-) Einstellungen gelegentlich mal kontrollieren ob es dort Änderungen oder andere Optionen gibt.
Letztlich gilt das für alle Plattformen.