Fitness Tracker und die DSGVO
Lifestyle frisst Datenschutz?
Sport spielt im Alltag Vieler eine enorm wichtige Rolle. Dabei erfreuen sich technische Helferlein großer Beliebtheit - mit Fitness Trackern kann man seine persönlichen Erfolge messen, sich zum Training motivieren und seinen Fitnessplan mit anderen teilen. Doch diese Geräte können mehr preisgeben, als manchem Anwender bewusst ist.
Fitness Tracker erheben personenbezogene Daten
Die WearablesWearables messen neben Körperfunktionen wie dem Herzschlag auch die zurückgelegte Strecke und zeigen den Kalorienverbrauch an. Dies geschieht automatisch während der gesamten Zeit, die Sportuhr und Co. getragen werden - oft auch im Schlaf. Die erhobenen Daten werden meist mittels Cloud in die zugehörige App geladen und können auch in sozialen Netzwerken geteilt werden. Aus den gewonnenen Daten lassen sich Rückschlüsse auf die Person des Trägers schließen. Dank GPS liefern sie neben umfangreichen Bewegungsprofilen auch Informationen zu Fitnesslevel und schließlich auch zum Gesundheitszustand. Oft werden auch Daten zu Alter, Geschlecht und Gewicht erhoben. Gerade Gesundheitsdaten sind aber besonders sensibel und unterliegen daher einem besonderen Schutz. Alles zu Wearables auf CIO.de
Der besondere Schutz von Gesundheitsdaten spiegelt sich insbesondere in der ärztlichen Schweigepflicht wieder. Diese gilt jedoch nur für Berufsgeheimnisträger, so dass die Unternehmen hinter den Fitness Trackern hieran in aller Regel nicht gebunden sind. Auch für Medizinprodukte sieht das Gesetz besondere Regelungen vor und definiert diese als Gegenstände beziehungsweise Software, die der Erkennung, Verhütung, Überwachung, Behandlung oder Linderung von Krankheiten zu dienen bestimmt sind.
Fitness Tracker samt zugehöriger App als Lifestyle-Produkte dienen in erster Linie aber nicht diesen Zwecken und unterstehen daher nicht den Regularien der Medizinprodukte. Jedoch sind vereinzelt Fitness Tracker mit EKG-Funktion auf dem Markt. Die EKG-Funktion bedarf einer CE-Zertifizierung, um auf dem deutschen Markt zugelassen zu sein. Um diese Zertifizierung zu erhalten, müssen diese Produkte die Anforderungen an Klasse-II-Medizinprodukte erfüllen.
Der besondere Schutz von Gesundheitsdaten unter der DSGVO
In der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) heißt es: "Die Verarbeitung von Gesundheitsdaten ist untersagt". Von diesem grundsätzlichen Verbot macht das Gesetz wiederum Ausnahmen. Einer dieser Ausnahmetatbestände, bei deren Vorliegen die Verarbeitung von Gesundheitsdaten ausnahmsweise erlaubt ist, ist die Einwilligung der betroffenen Person. Die gesetzlichen Anforderungen an eine wirksame Einwilligung sind allerdings hoch.
Die Einwilligung wird in der DSGVO definiert als:
jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Hieraus lassen sich zwei Kernanforderungen an die Einwilligung herauslesen:
Sie muss freiwillig und informiert erfolgen.
In die Verarbeitung von Gesundheitsdaten muss die betroffene Person zudem ausdrücklich einwilligen.
Die Information des Nutzers erfolgt dabei in der Regel über die Datenschutzerklärung des Anbieters. Diese muss ausdrücklich auf die verarbeiteten Gesundheitsdaten Bezug nehmen. Die Zustimmung des Nutzers muss dann mittels Opt-in erfolgen; vorangekreuzte Kästchen sind unzulässig. Die Tatsache, dass die Nutzer faktisch keinen Einfluss auf den Umgang mit ihren personenbezogenen Daten haben, sondern ihnen nur die Möglichkeit bleibt, ihre Einwilligung zu erteilen oder von der Nutzung des Produkts abzusehen, hindert die Freiwilligkeit der Einwilligung jedoch nicht. Dies wäre nur dann der Fall, wenn sie auf die Nutzung des Geräts unbedingt angewiesen wären.
Unter den Nutzern von Fitness Trackern befinden sich häufig auch Minderjährige. Die DSGVODSGVO sieht Kinder als besonders schutzbedürftig an, da sie sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Der Begriff des Kindes wird dabei in der DSGVO als europäischem Regelwerk anders verstanden als im deutschen Recht. Ab einem Alter von 16 Jahren kann regelmäßig von einer Einwilligungsfähigkeit der betroffenen Person ausgegangen werden, während die Untergrenze beim vollendeten dreizehnten Lebensjahr anzusetzen sein sollte. Alles zu DSGVO auf CIO.de
Datenübermittlung ins Ausland
Nicht selten sitzen die Anbieter der Fitness Tracker im außereuropäischen Ausland. Die DSGVO ist trotzdem anwendbar, wenn sich das Angebot an Personen in der EU richtet. Es findet dann aber eine Datenübermittlung an ein sogenanntes Drittland statt - ebenso, wenn die Daten auf im Nicht-EU-Ausland befindliche Server übertragen werden. Die Datenübertragung in Drittländer ist nur unter besonderen Voraussetzungen zulässig, um zu verhindern, dass das durch die DSGVO geltende Datenschutzniveau untergraben wird. Speziell die datenschutzkonforme Datenübertragung in die USA ist seit der Schrems-II-Rechtsprechung des EuGH und der damit verbundenen Aufhebung des EU-US Privacy Shields deutlich erschwert.
Gesundheitsbezogene Daten werden in der Regel nur ungern offengelegt. Sie sind sehr persönlicher Natur und bergen erhöhte Risiken für den Schutz personenbezogener Daten. Im Umgang mit Fitness Trackern erfolgt die Preisgabe der Daten in der Regel recht sorglos - so werden sensible Daten im Austausch gegen die Nutzung eines Lifestyle-Produkts preisgegeben. Dabei bieten die datenschutzrechtlichen Bestimmungen der DSGVO einen bestimmten Schutz. Zudem gelten die Betroffenenrechte.