Das hier ist ein vollständig KI generierter Artikel.

Der Gesundheits-Tracker Oura-Ring steht erneut in der Kritik: Das Unternehmen bestätigt, dass es behördliche Anfragen zu Nutzerdaten erhält – legt aber weder Anzahl noch Umfang dieser Zugriffe offen. Besonders brisant: Die sensiblen Gesundheitsdaten der Nutzerinnen und Nutzer sind nicht Ende-zu-Ende-verschlüsselt und liegen auf Oura-Servern grundsätzlich im Zugriff des Unternehmens – und damit potenziell auch von Ermittlungsbehörden.

Wie der Oura-Ring Daten sammelt und speichert

Der Oura-Ring ist ein Wearable, das am Finger getragen wird und eine Vielzahl von Gesundheits- und Verhaltensdaten erfasst. Dazu gehören unter anderem Herzfrequenz, Schlafmuster, Menstruationszyklen, Aktivitätsdaten und teilweise auch Standortinformationen. Diese Daten werden vom Ring an die Smartphone-App übertragen und von dort aus an die Server von Oura gesendet.

Entscheidend aus Sicht von Sicherheit und Datenschutz: Oura setzt nach eigenen Angaben keine Ende-zu-Ende-Verschlüsselung ein. Die Daten werden zwar auf dem Transportweg geschützt, können aber auf den Servern des Unternehmens im Klartext oder zumindest in entschlüsselbarer Form vorliegen. Zudem bestätigt Oura, dass bestimmte Mitarbeitende Zugriff auf diese Daten haben – etwa für Support- und Analysezwecke.

Warum fehlende Ende-zu-Ende-Verschlüsselung ein Problem ist

Wenn ein Anbieter auf gespeicherte Nutzerdaten zugreifen kann, öffnet dies zwangsläufig auch die Tür für Dritte. Dazu zählen:

  • Strafverfolgungsbehörden mit richterlichen Anordnungen oder anderen Rechtsgrundlagen,
  • Angreifer, die Zugangsdaten, Schlüssel oder interne Systeme kompromittieren,
  • Insider, die ihre Zugriffsrechte missbrauchen.

Ende-zu-Ende-Verschlüsselung würde dieses Risiko deutlich reduzieren, da selbst der Anbieter die Inhalte nicht mehr entschlüsseln könnte. Oura hat sich jedoch für ein Modell entschieden, in dem das Unternehmen die Daten technisch weiterhin lesen kann – ein Ansatz, der in der Frühphase vieler Startups verbreitet ist, aber mit wachsender Nutzerbasis und Unternehmensbewertung zunehmend kritisch gesehen wird.

Behördliche Anfragen: Oura bleibt vage

Im Zuge der Berichterstattung hat Oura eingeräumt, „seltene“ Anfragen von Regierungsstellen zu erhalten. Das Unternehmen betont, jede Anfrage auf Rechtmässigkeit, Umfang und Notwendigkeit zu prüfen und sich gegen überzogene Forderungen zu wehren. Konkrete Zahlen oder Beispiele legt Oura jedoch nicht vor.

Unklar bleibt damit:

  • Wie viele Anfragen pro Jahr eingehen,
  • in wie vielen Fällen Oura tatsächlich Daten herausgibt,
  • welche Datentypen typischerweise betroffen sind (z.B. Identitätsdaten, Gesundheitswerte, Standortdaten).

Angesichts von mehr als 5,5 Millionen verkauften Ringen ist die potenzielle Reichweite solcher Zugriffe erheblich. Ohne belastbare Zahlen lässt sich nicht beurteilen, ob es sich um Einzelfälle oder um ein strukturell relevantes Thema handelt.

Transparenzberichte als Branchenstandard – Oura hinkt hinterher

Seit den NSA-Enthüllungen 2013 haben viele grosse Tech-Unternehmen begonnen, regelmässig Transparenzberichte zu veröffentlichen. Darin legen sie in aggregierter Form offen, wie viele behördliche Anfragen sie erhalten, aus welchen Ländern diese stammen und wie oft Daten tatsächlich herausgegeben werden. Ziel ist es, das Ausmass staatlicher Zugriffe sichtbar zu machen und pauschalen Vorwürfen der „Geheimkooperation“ zu begegnen.

Oura veröffentlicht bislang keinen solchen Bericht. Auf frühere Nachfragen erklärte das Unternehmen, man prüfe, wie sich aggregierte Daten sicher und ohne zusätzliche Risiken für Nutzerinnen und Nutzer veröffentlichen liessen. Acht Monate später gibt es jedoch weder einen Transparenzbericht noch eine klare Zusage, diesen künftig bereitzustellen. Auf aktuelle Anfragen reagierte Oura demnach nicht mehr.

Vertrauen als Währung im Gesundheitsdatenmarkt

Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Sie erlauben Rückschlüsse auf körperliche und psychische Verfassung, Lebensstil, Zyklusdaten und vieles mehr. Für Anbieter von Wearables und Health-Apps ist Vertrauen daher eine zentrale Geschäftsgrundlage. Wer solche Daten sammelt, muss nicht nur technisch, sondern auch organisatorisch und kommunikativ hohe Standards erfüllen.

Im Fall von Oura stehen zwei Punkte im Fokus:

  • Die Architektur ohne Ende-zu-Ende-Verschlüsselung, die Zugriffe durch Anbieter, Behörden und potenzielle Angreifer grundsätzlich ermöglicht.
  • Die fehlende Transparenz über Umfang und Art behördlicher Datenanforderungen.

Beides zusammen erschwert es Nutzerinnen und Nutzern, eine informierte Entscheidung über die Nutzung des Produkts zu treffen – insbesondere in politisch sensiblen Kontexten oder bei besonders schutzbedürftigen Personengruppen.

Was Nutzerinnen und Nutzer beachten sollten

Wer einen Oura-Ring oder ähnliche Wearables nutzt, sollte sich bewusst machen, welche Daten erhoben und wie sie verarbeitet werden. Dazu gehören insbesondere:

  • Prüfen der Datenschutzerklärung und Sicherheitsdokumentation des Anbieters,
  • Bewusste Entscheidung, welche Funktionen (z.B. Zyklus-Tracking, Standortfreigabe) wirklich notwendig sind,
  • Regelmässige Kontrolle der App-Berechtigungen auf dem Smartphone,
  • Abwägung, ob der Nutzen des Trackings den potenziellen Verlust an Privatsphäre rechtfertigt.

Wo immer möglich, sind Lösungen zu bevorzugen, die starke Verschlüsselung einsetzen und den Zugriff des Anbieters auf Gesundheitsdaten technisch minimieren.

Fazit

Oura hat sich im Markt für Gesundheits-Wearables eine führende Position erarbeitet – und trägt damit eine besondere Verantwortung für den Schutz der Daten seiner Nutzerinnen und Nutzer. Die aktuelle Architektur ohne Ende-zu-Ende-Verschlüsselung und die fehlende Transparenz über behördliche Datenzugriffe stehen diesem Anspruch im Weg. Ein regelmässiger Transparenzbericht und eine klar kommunizierte Roadmap hin zu stärkerer technischer Abschottung der Gesundheitsdaten wären zentrale Schritte, um Vertrauen zurückzugewinnen und den Umgang mit sensiblen Informationen auf ein zeitgemässes Niveau zu heben.

Quelle: https://this.weekinsecurity.com/oura-says-it-gets-government-demands-for-user-data-will-it-share-how-many/