Fitness Tracker und die DSGVO

Lifestyle frisst Datenschutz?

26.12.2019
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Yvonne Wolski ist Rechtsreferendarin und wissenschaftliche Mitarbeiterin bei Luther Rechtsanwaltsgesellschaft mbH. Ihre Tätigkeitsschwerpunkte liegen im Datenschutz- und IT-Recht.
Bei der Auswahl des richtigen Fitness Trackers spielen Funktionalitäten und Design oft eine entscheidende Rolle. Datenschutz ist hingegen selten ein Thema - was zum Problem werden kann.

Sport spielt im Alltag Vieler eine enorm wichtige Rolle. Dabei erfreuen sich technische Helferlein großer Beliebtheit - mit Fitness Trackern kann man seine persönlichen Erfolge messen, sich zum Training motivieren und seinen Fitnessplan mit anderen teilen. Doch diese Geräte können mehr preisgeben, als manchem Anwender bewusst ist.

Ein gesunder Lebensstil liegt im Trend. Im Zusammenhang mit Fitness Trackern gerät der Datenschutz allerdings allzu oft in Vergessenheit.
Ein gesunder Lebensstil liegt im Trend. Im Zusammenhang mit Fitness Trackern gerät der Datenschutz allerdings allzu oft in Vergessenheit.
Foto: Maridav - shutterstock.com

Fitness Tracker erheben personenbezogene Daten

Die Wearables messen neben Körperfunktionen wie dem Herzschlag auch die zurückgelegte Strecke und zeigen den Kalorienverbrauch an. Dies geschieht automatisch während der gesamten Zeit, die Sportuhr und Co. getragen werden - oft auch im Schlaf. Die erhobenen Daten werden meist mittels Cloud in die zugehörige App geladen und können auch in sozialen Netzwerken geteilt werden. Aus den gewonnenen Daten lassen sich Rückschlüsse auf die Person des Trägers schließen. Dank GPS liefern sie neben umfangreichen Bewegungsprofilen auch Informationen zu Fitnesslevel und schließlich auch zum Gesundheitszustand. Oft werden auch Daten zu Alter, Geschlecht und Gewicht erhoben. Gerade Gesundheitsdaten sind aber besonders sensibel und unterliegen daher einem besonderen Schutz.

Der besondere Schutz von Gesundheitsdaten spiegelt sich insbesondere in der ärztlichen Schweigepflicht wieder. Diese gilt jedoch nur für Berufsgeheimnisträger, so dass die Unternehmen hinter den Fitness Trackern hieran in aller Regel nicht gebunden sind. Auch für Medizinprodukte sieht das Gesetz besondere Regelungen vor und definiert diese als Gegenstände beziehungsweise Software, die der Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten zu dienen bestimmt sind.

Fitness Tracker samt zugehöriger App als Lifestyle-Produkte dienen in erster Linie aber nicht diesen Zwecken und unterstehen daher nicht den Regularien der Medizinprodukte. Jedoch sind vereinzelt Fitness Tracker mit EKG-Funktion auf dem Markt. Die EKG-Funktion bedarf einer CE-Zertifizierung, um auf dem deutschen Markt zugelassen zu sein. Um diese Zertifizierung zu erhalten, müssen diese Produkte die Anforderungen an Klasse-II-Medizinprodukte erfüllen.

Der besondere Schutz von Gesundheitsdaten unter der DSGVO

In der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) heißt es: "Die Verarbeitung von Gesundheitsdaten ist untersagt". Von diesem grundsätzlichen Verbot macht das Gesetz wiederum Ausnahmen. Einer dieser Ausnahmetatbestände, bei deren Vorliegen die Verarbeitung von Gesundheitsdaten ausnahmsweise erlaubt ist, ist die Einwilligung der betroffenen Person. Die gesetzlichen Anforderungen an eine wirksame Einwilligung sind allerdings hoch.

Die Einwilligung wird in der DSGVO definiert als:

jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Hieraus lassen sich zwei Kernanforderungen an die Einwilligung herauslesen:

  • Sie muss freiwillig und informiert erfolgen.

  • In die Verarbeitung von Gesundheitsdaten muss die betroffene Person zudem ausdrücklich einwilligen.

Die Information des Nutzers erfolgt dabei in der Regel über die Datenschutzerklärung des Anbieters. Diese muss ausdrücklich auf die verarbeiteten Gesundheitsdaten Bezug nehmen. Die Zustimmung des Nutzers muss dann mittels Opt-in erfolgen; vorangekreuzte Kästchen sind unzulässig. Die Tatsache, dass die Nutzer faktisch keinen Einfluss auf den Umgang mit ihren personenbezogenen Daten haben, sondern ihnen nur die Möglichkeit bleibt, ihre Einwilligung zu erteilen oder von der Nutzung des Produkts abzusehen, hindert die Freiwilligkeit der Einwilligung jedoch nicht. Dies wäre nur dann der Fall, wenn sie auf die Nutzung des Geräts unbedingt angewiesen wären.

Unter den Nutzern von Fitness Trackern befinden sich häufig auch Minderjährige. Die DSGVO sieht Kinder als besonders schutzbedürftig an, da sie sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Der Begriff des Kindes wird dabei in der DSGVO als europäischem Regelwerk anders verstanden als im deutschen Recht. Ab einem Alter von 16 Jahren kann regelmäßig von einer Einwilligungsfähigkeit der betroffenen Person ausgegangen werden, während die Untergrenze beim vollendeten dreizehnten Lebensjahr anzusetzen sein sollte.

Datenübermittlung ins Ausland

Nicht selten sitzen die Anbieter der Fitness Tracker im außereuropäischen Ausland. Die DSGVO ist trotzdem anwendbar, wenn sich das Angebot an Personen in der EU richtet. Es findet dann aber eine Datenübermittlung an ein sogenanntes Drittland statt - ebenso, wenn die Daten auf im Nicht-EU-Ausland befindliche Server übertragen werden. Die Datenübertragung in Drittländer ist nur unter besonderen Voraussetzungen zulässig, um zu verhindern, dass das durch die DSGVO geltende Datenschutzniveau untergraben wird. Speziell die datenschutzkonforme Datenübertragung in die USA ist seit der Schrems-II-Rechtsprechung des EuGH und der damit verbundenen Aufhebung des EU-US Privacy Shields deutlich erschwert.

Gesundheitsbezogene Daten werden in der Regel nur ungern offengelegt. Sie sind sehr persönlicher Natur und bergen erhöhte Risiken für den Schutz personenbezogener Daten. Im Umgang mit Fitness Trackern erfolgt die Preisgabe der Daten in der Regel recht sorglos - so werden sensible Daten im Austausch gegen die Nutzung eines Lifestyle-Produkts preisgegeben. Dabei bieten die datenschutzrechtlichen Bestimmungen der DSGVO einen bestimmten Schutz. Zudem gelten die Betroffenenrechte.