Prüfung von Wearables: Kein Gerät erfüllt die datenschutzrechtlichen Anforderungen

Ende 2016 haben die Datenschutzbehörden Fitness-Armbänder unter die Lupe genommen und hierzu eine Pressemitteilung heraus gegeben:

Im Rahmen einer deutschlandweiten Prüfaktion hat die Landesbeauftragte für den Niedersachsen zusammen mit sechs weiteren Datenschutzaufsichtsbehörden 16 Wearables und Smart Watches mit Gesundheitsfunktionen geprüft. Das Ergebnis ist besorgniserregend: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.

Unter Laborbedingungen wurden insbesondere die Datenflüsse der Geräte analysiert. Die Prüfung ergab, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen und damit Programme nutzen, mit denen sie das Nutzerverhalten nachvollziehen können.

„Die Nutzerinnen und Nutzer von Wearables müssen wissen, dass ihre sensiblen Gesundheitsdaten regelmäßig an Dritte weitergeleitet werden und unklar bleibt, was mit den Informationen im Einzelnen geschieht“, so die Landesdatenschutzbeauftragte Barbara Thiel.

Zwar sind die einzelnen Informationen wie Körpergewicht, zurückgelegte Schritte, Herzfrequenz oder Dauer des Schlafes für sich betrachtet oft wenig aussagekräftig. Aufgrund der Fülle der über einen längeren Zeitraum erfassten Daten und der möglichen Verknüpfung mit Standortdaten entsteht aber ein erstaunlich präzises Bild über den Gesundheitszustand und über den Tagesablauf der Nutzer.

„Permanente Übermittlungen der Daten an den Hersteller oder sogar an Dritte sind für die Funktionen der Wearables nicht erforderlich. Indem dies dennoch geschieht, signalisieren die Hersteller ein eigenes Interesse an den sensiblen Daten. Das macht misstrauisch“, so Thiel.

Problematisch ist auch, dass die meisten der den Geräten beigefügten Datenschutzerklärungen nicht die gesetzlichen Anforderungen erfüllen. So erfährt der Nutzer oftmals nicht, wer konkret Zugriff auf die Daten hat und wie lange sie gespeichert werden. Oft bleibt es bei dem pauschalen Hinweis, dass die Hersteller die Fitness-Daten für eigene Forschungszwecke und Marketing verwenden und an verbundene Unternehmen weitergeben. Thiel: „Aufgrund der mangelnden Transparenz ist der Nutzer nicht mehr Herr seiner Daten. Das ist ein klarer Verstoß gegen das Datenschutzrecht.““ – Quelle: Pressemitteilung, Landesbeauftragte für den Datenschutz Niedersachsen

Das Ergebnis überrascht nicht wirklich, ich hatte schon früher auf die Problematik in aller Kürze hingewiesen: Wer in diesem Bereich Produkte anbietet muss dringend auf die datenschutzrechtlichen Vorgaben achten. Spätestens mit der Datenschutzgrundverordnung und ihren erheblichen Bussgeldmöglichkeiten, die „Privacy by “ als Vorgabe enthält, droht hier ein böses Erwachen der Hersteller. Zugleich müssen sich Nutzer über die Missbrauchsmöglichkeiten derlei Geräte im Klaren sein.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.