Datenschutz Verstehen – Fitness Tracker Datenschutz
Kurze Einleitung
Fitness ist für die Deutschen in den letzten Jahren immer wichtiger geworden. Seit Beginn 2019 besuchen rund elf Millionen Deutsche ein Fitness-Studio. Um ein effizientes Trainingsprogramm durchzuführen, setzen viele auf sogenannte Fitnesstracker. Fitnesstracker sammeln persönliche Gesundheitsdaten, wie z.B. Schritte, Kalorien, Herzfrequenz und Schlafrhythmus. Diese Funktionen sollen das Trainingsprogramm des Einzelnen verbessern und optimaler gestalten. Viele Hersteller solcher Fitnesstracker zeichnen und analysieren 24 Stunden lang Daten über den Nutzer auf. Doch sind diese Verfahren auch datenschutzkonform? Oder verhalten sich Hersteller trotz, der am 25.05.2018 in Kraft getretenen (DSGVO), immer noch nicht datenschutzkonform?
Was sind Fitness Tracker?
Fitnesstracker gibt es in vielen verschiedenen Formen. Besonders beliebt sind Fitness- Armbänder, Uhren und Apps auf dem Smartphone. Mittels dieser Produkte werden unter anderem der Blutdruck, Puls und der Sauerstoffgehalt der Nutzer ermittelt und analysiert. Gerade in Zeiten in denen die Fitness Studios, aufgrund der COVID-19 Pandemie nicht genutzt werden konnten, stellen solche Fitnessarmbänder einen optionalen Trainingsersatz dar.
Neben Uhren und Armbänder werden auch sogenannte E-Gym Geräte genutzt. E-Gym Kraftgeräte erzeugen den Trainingswiderstand mit einem Elektromotor statt klassischen Gewichtsblöcken. Im Gegensatz zum klassischen Training lassen sich die Gewichte beim E-Gym deutlich feiner anpassen. Dadurch soll sichergestellt werden, dass effizientes personalisiertes Training stattfindet.
Fitness Tracker und der Datenschutz
Wie bereits erwähnt, haben Fitness-Armbänder und andere Fitness Tracker eine große Nachfrage gewonnen. Es ist unklar, wie viele personenbezogene Daten diese Geräte sammeln, doch klar ist, dass diese Daten vor unbefugtem Zugriff Dritter geschützt sein müssen. Da im Rahmen der Nutzung von Fitness Trackern personenbezogene Daten verarbeitet werden, kommt die DSGVO zur Anwendung. Darüber hinaus sind regelmäßig besonders schützenswerte Gesundheitsdaten im Sinne des Art. 9 DSGVO betroffen. So können Fitness-Armbänder oder Apps beispielsweise Ergebnisse eines EKG`s simulieren. Zusätzlich ist zu beachten, dass eine Kombination einzelner Daten Rückschlüsse auf den allgemeinen Gesundheitszustand der jeweiligen Person zulassen können. So können Angaben wie z.B. “Body Mass Index”, Gewicht, Körpergröße und Alter ermittelt werden. Um Gesundheitsdaten verarbeiten zu können, müssen Hersteller von Apps, Fitness-Armbänder und Uhren sicherstellen, dass eine Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO erfolgt ist. Eine Möglichkeit einer anderen Rechtsgrundlage bezüglich der Nutzung von Fitness Trackern liegt nicht vor. Nach Angaben der Verbraucherzentrale NRW lassen Anbieter von Fitness Trackern die Nutzer häufig im Unklaren was mit den gesammelten Daten passiert. Nur 50% der Anbieter klären ihre Nutzer über die Erhebung von Gesundheitsdaten auf. Verantwortliche müssen den Nutzern, zum Zeitpunkt der Verarbeitung von personenbezogenen Daten, ihrer Informationspflicht nach Art. 13 DSGVO nachkommen.
Fitness Apps und Datenschutz
Fitness-Apps erleichtern vielen Sportliebhabern die Umsetzung eines Gesundheitsprogramms. Nutzer müssen sich in der App zunächst einmal mit vollständigen Daten, wie z.B. (Name, Anschrift, E-Mail Adresse) registrieren. Derartige Apps sind in der Regel mit Messgeräten verbunden, welche Gesundheitsdaten aufzeichnen und auf entsprechenden Servern übermittelt und synchronisiert werden. In den meisten Fällen werden personenbezogene Daten Server außerhalb der EU übermittelt. Das dabei datenschutzrechtliche Vorgaben aus der DSGVO nicht eingehalten werden ist keine Seltenheit.
eGym App Datenschutz
Die eGym App ermöglicht den Nutzern jederzeit und überall das Fitnesstraining zu dokumentieren. Die Trainingsergebnisse werden auf der Webseite “eGym.de” synchronisiert. Dort werden die Leistungen nochmals analysiert und ausgewertet. Zudem zeigt die App den Mitgliedern die Entwicklung und den Erfolg ihres Trainingsprogramms. Wichtige Daten, die in der App erfasst werden, sind unter anderem Mitgliedschaftsbeginn, Geschlecht, Gewicht, Größe, und Trainingsintensität. Außerdem werden auch die Trainingsgeräte, Trainingspläne und die Erfahrung des Nutzers erfasst. Neben Aktivitäten, innerhalb des Fitness-Studios, haben Mitglieder die Möglichkeit auch Freizeitaktivitäten in der eGym App ebenfalls zu integrieren. Hinsichtlich datenschutzrechtlicher Aspekte haben die Nutzer jederzeit die Möglichkeit zu erfahren was mit personenbezogenen Daten passiert. Außerdem haben Nutzer nach Art. 15 DSGVO das Recht jederzeit Einsicht in ihre Daten zu fordern. Zudem können die Nutzer ebenfalls die Löschung ihrer Daten fordern.
MyFitnessPal Datenschutz
MyFitnessPal ist eine App für Nutzer, welche besonderen Wert auf gesundheitsbewusste Ernährung legen, besonders attraktiv. In der App können Nutzer die eigene Nahrungsaufnahme protokollieren, welche dann in Kalorien umgerechnet werden. Außerdem kann man mithilfe der App personalisierte Ziele, wie z.B. Gewichtsverlust pro Monat oder Muskelwachstum pro Monat festsetzen. Hinsichtlich datenschutzrechtlicher Aspekte ist die Nutzung der MyFitnessPal wie folgt zu bewerten. Grundsätzlich hat der Anbieter der App vor Nutzung eine Informationspflicht nach Art. 13 DSGVO gegenüber dem Nutzer zu erbringen. Der Nutzer soll dadurch die Möglichkeit erhalten, vor der Nutzung über die Verarbeitung von personenbezogenen Daten aufgeklärt zu werden. Da es sich bei den verarbeiteten Daten um Gesundheitsdaten im Sinne des Art. 9 Abs. 2 DSGVO handelt, genießen sie eine besondere Schutzwürdigkeit. MyFitnessPal ergänzt Nutzerprofile durch zugekaufte Daten, welche auch mit Mitgliedern ihrer Unternehmensgruppe (Garmin, Samsung Health, Fitbit, Apple HealthKit, MapMyRun) ausgetauscht beziehungsweise weitergegeben werden. Wesentlich bedeutender ist die Tatsache, dass auch andere Unternehmen, wie z.B. das Werbenetzwerk MoPub oder Crashlytics, die mit dem Unternehmen in keinem direkten Zusammenhang stehen, ebenfalls die Daten erhalten und modifizieren. Diese Unternehmen erheben nicht nur die Werbe-ID des Nutzers, sondern binden auch zahlreiche weitere Werbenetzwerke ein. Die letzte Berichterstattung, in der MyFitnessPal erwähnt worden ist, zeigt, dass die Nutzung dieses Dienstes ebenfalls nicht sicher ist. So berichtete der Spiegel noch am 30.03.2018 über einen Hackerangriff, bei dem die Täter über 150 Millionen Nutzerdaten gestohlen haben. Resultierend daraus, ist die Nutzung von MyFitnessPal aus datenschutzrechtlichen Aspekten eher kritisch zu betrachten.
SmartWatch Datenschutz
Laut des statistischen Bundesamtes nutzen ca. 8,1 Millionen Menschen Smartwatches. Die Tendenz ist steigend. Auch bei Smartwatches ist sind datenschutzrechtliche Bedenken vorhanden. Besonders die Übermittlung von Gesundheitsdaten im Sinne des Art. 9 DSGVO werden auf Servern der Anbieter gespeichert. Daher rät das Bundesamt für Sicherheit und Informationstechnik (BSI) allen Nutzern Smartwatches gleich zu Beginn abzusichern, damit zumindest ein gewisses Maß an Datensicherheit besteht. Zu den Sicherheitseinrichtungen gehören unter anderem die Änderung des voreingestellten Passwortes und einen Zugriffsschutz mit PIN. Sofern Smartphones mit der Smartwatch verbunden sind, sollte eine Bildschirmsperre mit Passwort oder Code haben. Außerdem sollte ein sicherer Transport der Daten zwischen der Smartwatch, Smartphone und den Hersteller-Servern sicherstellen werden, indem sie den Hinweisen der Geschäftsbedingungen der Smartwatches erforschen.
Fitnessarmband Datenschutz
Neben den bereits erwähnten Smartwatches setzen viele Verbraucher auch auf die Nutzungen von sogenannten Fitnessarmbändern. Es gibt viele verschiedene Fitnessarmbänder, die derzeit auf dem Markt angeboten werden. Die Armbänder unterscheiden sich nicht nur beim Preis oder Design. Vielmehr sollte der Nutzer beim Fitnesstracker insbesondere auf Unterschiede im Umgang mit den personenbezogenen Daten achten. Handelt es sich um moderne Fitnessarmbänder, besteht oftmals eine Verbindungsmöglichkeit zum Smartphone mittels Bluetooth. Wenn dies der Fall ist, verbleiben die Daten nicht auf dem Fitnessarmband, sondern werden auf das Smartphone mittels Apps synchronisiert. Ab diesem Zeitpunkt an werden personenbezogene Daten durch die App auf dem Smartphone auf Servern gespeichert. Somit ergibt sich eine ähnliche Ausgangslage wie bei den Smartwatches. Verbraucher sollten daher bei der Auswahl von Fitnessarmbändern darauf achten, dass personenbezogene Daten nicht gespeichert werden. Es gibt genügend Fitnessarmbänder, die nicht mit dem Smartphone verknüpft werden, aber eine gleichwertige gesundheitliche Effizienz im Fitnessbereich bieten.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.