Datensicherheit im Alltag: Einklang von Wearables & Fitness-Apps mit der DSGVO
7. Januar 20211. Juni 2022
1
In Compliance, Fakten

Datensicherheit im Alltag: Einklang von Wearables & Fitness-Apps mit der DSGVO

Sie sind praktisch, klein und man trägt sie überall bei sich. Die Rede ist von Fitness-Apps und tragbaren Kommunikationsgeräten (Wearables), die die eigenen Fitness- und Gesundheitsdaten aufzeichnen. Die Nachfrage nach diesen Apps und Wearables stieg bereits vor der Corona-Pandemie, da diese insbesondere Sportliebhabern deren Umsetzung eines Gesundheitsprogramms erleichtert. Durch die erlassenen Einschränkungen in der Pandemie und den in Folge geschlossenen Fitnessstudios nahm der Wunsch nach einer mobilen Lösung bzw. Unterstützung stetig zu.

Um den datenschutzrechtlichen Aspekt solcher Wearables und Fitness-Apps an den Grundsätzen der DSGVO messen und bewerten zu können, müssen zunächst die unterschiedlichen Funktionen beleuchtet werden. Primär ist zu unterscheiden, ob der Nutzer die Daten aktiv eingeben muss oder ob diese passiv gemessen und gespeichert werden. Ferner hängt die Art der Datenerfassung auch davon ab, welche Geräte benutzt werden, da diese unterschiedliche technische Fähigkeiten besitzen.

Die Fitness-Apps werden im Regelfall direkt auf dem Smartphone installiert, ohne dass dies weiteres Zubehör voraussetzt. Nach der Installation erfolgt die Registrierung des Nutzers, indem zunächst die vollständigen Daten wie Name, Anschrift und E-Mail-Adresse angegeben werden. Die Fitness-Apps funktionieren wie der bekannte Schrittzähler und nutzen die Piezotechnologie. Bei dieser Technologie wird ein mikroelektrisch-mechanisches System angewendet, welches u.a. auch in Airbags vorzufinden ist. Das System sorgt dafür, dass ein Sensor alle Bewegungen dreidimensional erfasst. Die App kann hierdurch auch feststellen, ob sich der Nutzer auf ebenem Gelände befindet oder Treppenstufen erklimmt. Dies ist aus datenschutzrechtlicher Sicht völlig unproblematisch. Die App kann allerdings auch „aktiv“ genutzt werden, indem man beispielsweise Angaben zur Ernährung oder seine Körpermesswerte einträgt.

Im Unterschied zur App ermöglichen Wearables, welche während der Anwendung am Körper des Nutzers getragen werden oder in die Kleidung integriert sind, zusätzliche Informationen über Vitalzeichen und den Schlaf rund um die Uhr zu erhalten und nachzuverfolgen. Man erhält durch die verbundenen Messgeräte präzisere Daten, wobei es sich bei der Vielzahl der dort verarbeiteten Informationen um sensible Gesundheitsdaten handelt. Für diese hat der Gesetzgeber ein sehr hohes Schutzniveau festgelegt, indem für die Rechtmäßigkeit der Datenverarbeitung besonders strenge Regeln vorgesehen sind.

Bei den modernsten Fitness-Armbändern besteht meistens die Möglichkeit, eine Verbindung zum Smartphone mittels Bluetooth herzustellen. Sofern dies der Fall ist, verbleiben die Daten nicht auf dem Fitness-Armband, sondern werden direkt mit dem Smartphone mittels App synchronisiert. Mit der Synchronisation werden die personenbezogenen Daten über die App auf Servern gespeichert.

Zu beachten gilt, dass Registrierungen oft auch über bestehende Konten wie beispielsweise Google oder Facebook erfolgen können, was es wiederum erleichtert, dass die Datensätze miteinander verbunden werden und somit ein schärferes Profil eines Nutzers erstellt werden kann.

Da im Rahmen der Nutzung von Fitness-Apps und Wearables also personenbezogene Daten verarbeitet werden, kommt hierbei die geltende DSGVO zur Anwendung. Zusätzlich hierzu werden regelmäßig besonders schützenswerte Gesundheitsdaten im Sinne des Art. 9 DSGVO bei dem Einsatz von Wearables betroffen sein, da beispielsweise Ergebnisse eines EKG’s simuliert werden. Außerdem können Kombinationen einzelner Daten, wie beispielsweise der BMI, Gewicht, Körpergröße und Alter, Rückschlüsse auf den allgemeinen Gesundheitszustand der jeweiligen Person zulassen. Um solche Gesundheitsdaten verarbeiten zu können, müssen Hersteller von Apps, Fitness-Armbändern und -Uhren sicherstellen, dass eine Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO erfolgt ist. Die Einwilligung stellt die einzige Rechtsgrundlage bezüglich der Nutzung von Wearables und Fitness-Apps dar.

Nutzer, die sich für App oder Wearable entscheiden, sollten sich bewusst sein, welche Masse an Daten erhoben und gespeichert wird. Es ist sich immer die Frage zu stellen, ob man auch Dritten erzählen würde, dass man am Erotikshop vorbeijoggt, um einen kurzen Blick ins Schaufenster zu werfen (GPS), unter Schlafstörungen leidet (Schlafüberwachung) oder gegebenenfalls nachts (außer) ehelichen Pflichten nachkommt (Pulsmesser). Oftmals werden all diese Daten erhoben, gespeichert und ohne Wissen des Nutzers an Hersteller, Betreiber, Shops und zahlreiche Dienstleister weitergeleitet.

Da Wearables häufig die Herzfrequenz und die Körpertemperatur über Sensoren auf der Haut überwachen sowie Rückmeldung über den Schlafrhythmus geben, nehmen diese Angaben insbesondere bei Versicherern und Unternehmen der Gesundheitsbranche an Beliebtheit zu. Grundsätzlich lehnen gesetzliche Krankenkassen eine derartige Datenerhebung und -nutzung durch Wearables bis dato ab, da dies dem Solidarprinzip widerspricht. Allerdings gibt es einige Krankenkassen, die Fitness-Armbänder bezuschussen. Dahinter steckt die Idee, Menschen, die fleißig Sport treiben, sich viel bewegen und gesund ernähren, reduzierte Beiträge anzubieten. Hingegen sollen Menschen, die sich schlecht ernähren oder wenig bewegen, erhöhte Beiträge zahlen. Bisher ist diese Bezuschussung auch möglich, ohne Krankenkassen alle Daten zu offenbaren. Die Zielsetzung ist deutlich, die künftige Umsetzung noch offen.

Essenz

  • Wearables und Fitness-Apps zeichnen persönliche Fitness- und Gesundheitsdaten auf
  • Unterscheiden zwischen aktiver Eingabe und passiver Messung und Speicherung
  • Wearables erfassen zusätzliche Informationen, z.B. über Schlaf und von Vitalzeichen
  • Nutzung ermöglicht größerem Kreis an Unternehmen Analyse teils sehr persönlicher Daten
  • Einwilligung stellt einzige Rechtsgrundlage bezüglich der Nutzung von Fitness-Trackern dar
  • Idee der Krankenkassen, Wearables bei Offenlegung der Gesundheitsdaten zu bezuschussen