2474510

Fitness-Tracker und DSGVO: Lifestyle frisst Datenschutz?

10.12.2019 | 08:33 Uhr |

Bei der Auswahl des richtigen Fitness-Trackers spielen Funktionalitäten und Design oft eine entscheidende Rolle. Datenschutz ist hingegen selten ein Thema – was zum Problem werden kann.

Sport spielt im Alltag Vieler eine enorm wichtige Rolle. Dabei erfreuen sich technische Helferlein großer Beliebtheit – mit Fitness-Trackern kann man seine persönlichen Erfolge messen, sich zum Training motivieren und seinen Fitnessplan mit anderen teilen. Doch diese Geräte können mehr preisgeben, als manchem Anwender bewusst ist.

Fitness Tracker erheben personenbezogene Daten

Die Wearables messen neben Körperfunktionen wie dem Herzschlag auch die zurückgelegte Strecke und zeigen den Kalorienverbrauch an. Dies geschieht automatisch während der gesamten Zeit, die Sportuhr und Co. getragen werden – oft auch im Schlaf. Die erhobenen Daten werden meist mittels Cloud in die zugehörige App geladen und können auch in sozialen Netzwerken geteilt werden. Aus den gewonnenen Daten lassen sich Rückschlüsse auf die Person des Trägers schließen. Dank GPS liefern sie neben umfangreichen Bewegungsprofilen auch Informationen zu Fitnesslevel und schließlich auch zum Gesundheitszustand. Oft werden auch Daten zu Alter, Geschlecht und Gewicht erhoben. Gerade Gesundheitsdaten sind aber besonders sensibel und unterliegen daher einem besonderen Schutz.

Der besondere Schutz von Gesundheitsdaten spiegelt sich insbesondere in der ärztlichen Schweigepflicht wider. Diese gilt jedoch nur für Berufsgeheimnisträger, sodass die Unternehmen hinter den Fitness-Trackern hieran in aller Regel nicht gebunden sein werden. Auch für Medizinprodukte sieht das Gesetz besondere Regelungen vor und definiert diese als Gegenstände beziehungsweise Software, die der Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten zu dienen bestimmt sind. Fitness-Tracker samt zugehöriger App als Lifestyle-Produkte dienen in erster Linie aber nicht diesen Zwecken und unterstehen daher nicht den Regularien der Medizinprodukte .

Der besondere Schutz von Gesundheitsdaten unter der DSGVO

In der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) heißt es: "Die Verarbeitung von Gesundheitsdaten ist untersagt". Von diesem grundsätzlichen Verbot macht das Gesetz wiederum Ausnahmen. Einer dieser Ausnahmetatbestände, bei deren Vorliegen die Verarbeitung von Gesundheitsdaten ausnahmsweise erlaubt ist, ist die Einwilligung der betroffenen Person. Die gesetzlichen Anforderungen an eine wirksame Einwilligung sind allerdings hoch.

Die Einwilligung wird in der DSGVO definiert als:

jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Hieraus lassen sich zwei Kernanforderungen an die Einwilligung herauslesen:

  • Sie muss freiwillig und informiert erfolgen.

  • In die Verarbeitung von Gesundheitsdaten muss die betroffene Person zudem ausdrücklich einwilligen.

Die Information des Nutzers erfolgt dabei in der Regel über die Datenschutzerklärung des Anbieters. Diese muss ausdrücklich auf die verarbeiteten Gesundheitsdaten Bezug nehmen. Die Zustimmung des Nutzers muss dann mittels Opt-in erfolgen; vorangekreuzte Kästchen sind unzulässig. Die Tatsache, dass die Nutzer faktisch keinen Einfluss auf den Umgang mit ihren personenbezogenen Daten haben, sondern ihnen nur die Möglichkeit bleibt, ihre Einwilligung zu erteilen oder von der Nutzung des Produkts abzusehen, hindert die Freiwilligkeit der Einwilligung jedoch nicht. Dies wäre nur dann der Fall, wenn sie auf die Nutzung des Geräts unbedingt angewiesen wären.

Unter den Nutzern von Fitness Trackern befinden sich häufig auch Minderjährige. Die DSGVO sieht Kinder als besonders schutzbedürftig an, da sie sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Der Begriff des Kindes wird dabei in der DSGVO als europäischem Regelwerk anders verstanden als im deutschen Recht. Ab einem Alter von 16 Jahren kann regelmäßig von einer Einwilligungsfähigkeit der betroffenen Person ausgegangen werden, während die Untergrenze beim vollendeten dreizehnten Lebensjahr anzusetzen sein sollte.

Datenübermittlung ins Ausland

Nicht selten sitzen die Anbieter der Fitness-Tracker im außereuropäischen Ausland. Die DSGVO ist trotzdem anwendbar, wenn sich das Angebot an Personen in der EU richtet. Es findet dann aber eine Datenübermittlung an ein sogenanntes Drittland statt – ebenso, wenn die Daten auf im Nicht-EU-Ausland befindliche Server übertragen werden. Die Datenübertragung in Drittländer ist nur unter besonderen Voraussetzungen zulässig, um zu verhindern, dass das durch die DSGVO geltende Datenschutzniveau untergraben wird.

Gesundheitsbezogene Daten werden in der Regel nur ungern offengelegt. Sie sind sehr persönlicher Natur und bergen erhöhte Risiken für den Schutz personenbezogener Daten. Im Umgang mit Fitness Trackern erfolgt die Preisgabe der Daten in der Regel recht sorglos – so werden sensible Daten im Austausch gegen die Nutzung eines Lifestyle-Produkts preisgegeben. Dabei bieten die datenschutzrechtlichen Bestimmungen der DSGVO einen bestimmten Schutz. Zudem gelten die Betroffenenrechte . (fm)

2474510