Zum Inhalt springen Zur Navigation springen
NOYB: Beschwerden gegen Fitness-Tracking-Unternehmen Fitbit

NOYB: Beschwerden gegen Fitness-Tracking-Unternehmen Fitbit

Artikel von Dr. Datenschutz·7. September 2023

Die Datenschutzorganisation noyb hat gleich in drei Ländern Beschwerden gegen das Fitness-Tracking-Unternehmen Fitbit eingereicht. Dabei geht es vor allem um mangelnde Transparenz und fehlenden Informationen zur Datenübermittlung in Drittstaaten. Der Artikel erläutert die Hintergründe.

Beschwerden gegen die weltweit meistgenutzte Fitness-App

Die österreichische Nichtregierungsorganisation noyb – Europäisches Zentrum für digitale Rechte, dessen Gründer Max Schrems allen Blog-Leser bekannt sein sollte, hat zu einem neuen Schlag ausgeholt: noyb hat Ende August 2023 in gleich drei Ländern (Österreich, Niederlande und Italien) Beschwerden gegen Fitbit eingereicht.

Fitbit bietet Smartwatches und Fitness-Tracker, „die dich dabei unterstützen, gesünder zu leben und deine Fitnessroutine zu optimieren“. Im Jahr 2021 wurde das Unternehmen für 2,1 Milliarden US-Dollar von Google übernommen. Zur Nutzung der Geräte bietet Fitbit eine eigene App an. Laut noyb-Beschwerde „eine der weltweit meistgenutzten Apps für Gesundheit und Fitness“. Mit dieser können u.a. Aktivität, Training, Schlaf, Ernährung und Stress der Nutzer erfasst und getrackt werden.

Mangel an Transparenz und Informationen

In ihren Beschwerden bemängelte noyb mehrere Punkte. Darunter:

Erzwungene Einwilligung

Will man die App nutzen, müssen europäische Nutzer bei der Einrichtung eines Fitbit-Kontos

„der Übertragung ihrer Daten in die Vereinigten Staaten und andere Länder mit anderen Datenschutzgesetzen zustimmen“.

Dabei ist es nicht möglich, diesen Datentransfer auszuschließen, denn die Schaltfläche „Weiter“ funktioniert nur, wenn das Häkchen zur Einwilligung gesetzt wurde. Folglich zwingt Fitbit seine Nutzer dazu, der Weitergabe sensibler (Gesundheits-) Daten zuzustimmen.

In den Datenschutzbestimmungen von Fitbit heißt es dazu:

„Bitte beachten Sie, dass in den Ländern, in denen wir tätig sind, möglicherweise Gesetze zum Schutz der Privatsphäre und zum Datenschutz gelten, die sich von den Gesetzen Ihres Landes unterscheiden und möglicherweise weniger schützend sind als diese. Sie stimmen diesem Risiko zu, wenn Sie ein Fitbit-Konto erstellen und auf „Ich stimme zu“ klicken, unabhängig davon, in welchem Land Sie leben.“

Umfangreiche Datenerhebung

Zu den von der App erhobenen Daten gehören u.a. Geburtsdatum und Geschlecht der Nutzer, aber auch Protokolle über Essen, Gewicht oder weibliche Gesundheit. Fitbit erfasst aber auch über das Gerät der Nutzer eine Vielzahl von Daten (z.B. Schrittzahl, zurückgelegte Entfernung, Kalorienverbrauch). Stellt der Nutzer dann noch eine Verbindung zu Facebook oder Google her, kann Fitbit weitere Informationen über seine Nutzer erfassen, wie z.B. das Profilbild oder auch die Freundesliste.

Dabei können alle diese Daten auch an Drittunternehmen weitergegeben werden, jedoch ohne Kenntnis des Nutzers darüber, wo diese ihren Sitz haben und welches Datenschutzniveau dort besteht. Zudem ist es diesen nicht möglich, herauszufinden, welche ihrer Daten überhaupt betroffen sind.

Fitbit stellt also keine transparenten Informationen über die möglichen Folgen oder die spezifischen Zielländer der Datentransfers bereit. Im Ergebnis liegt somit keine DSGVO-konforme Einwilligung vor, da die hier erforderliche Zustimmung weder frei, informiert noch spezifisch erfolgt, vgl. Art. 4 Nr. 11 sowie Art. 7 DSGVO.

Einwilligung zudem ungeeignet

Hinzu kommt, dass eine Einwilligung zum Datentransfers in Drittstaaten nach der DSGVO nur in Ausnahmefällen wirksame Rechtsgrundlage sein soll, vgl. Art. 49 Absatz 1 lit. a) DSGVO. Ausnahmefälle meint hier, eine gelegentliche, nicht aber wiederholte Datenübermittlung. Fitbit dagegen nutzt die Einwilligung seiner Nutzer jedoch für eine routinemäßige Weitergabe von (Gesundheits-) Daten in Drittstaaten.

Widerruf nur durch Kontolöschung möglich

Nun gut, stellt man das als Nutzer fest und kennt sich ein bisschen im Datenschutzrecht aus, bleibt nach der DSGVO ja noch der Widerruf der zuvor erteilten Einwilligung nach Art. 7 Absatz 3 DSGVO. Danach muss dieser genauso einfach möglich sein, wie die zuvor erteilte Einwilligung.

In der Fitbit-App ist der Widerruf jedoch nur durch Löschung des Fitbit-Kontos möglich. In der Praxis bedeutet das den Verlust aller zuvor (mühevoll) aufgezeichneten Trainings- und Gesundheitsdaten. Dies lässt sich wohl nicht einmal mit einem Premium-Abo für gut 80 € im Jahr umgehen, sodass es nach noyb

„keine realistische Möglichkeit [gibt], die Kontrolle über die eigenen Daten zurückzugewinnen, ohne das Produkt unbrauchbar zu machen.“

Mangelnder Datenschutz könnte teuer werden

In seinen Beschwerden fordert noyb von den zuständigen Datenschutzbehörden, dass diese Fitbit anweisen, seine App-Nutzer transparent über sämtliche Datenübermittlungen zu informieren. Zudem solle die Nutzung der App auch ohne verpflichtenden Datentransfer möglich sein.

Gemessen am Jahresumsatz 2022 von Googles Muttergesellschaft Alphabet, droht Fitbit von den zuständigen Datenschutzbehörden ein Bußgeld von bis zu 11,28 Milliarden Euro. Abwarten, ob Fitbit ein solches riskiert oder sich doch eher dazu entschließt, sich zukünftig DSGVO-konform zu verhalten.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.