11.09.2023 DSGVO-Verstoß bei Gesundheitstrackern

Eine ungesicherte Datenbank hat dazu geführt, dass 61 Millionen Datensätze aus Fitness-Trackern (wie Fitbit) öffentlich zugänglich sind. Die veröffentlichten Informationen der Nutzer stammen aus verschiedenen Bereichen weltweit. Sie enthalten Vor-, Nach- und Nutzernamen sowie die Geburtsdaten von Millionen Menschen. Darüber hinaus beinhalten die Listen auch sensible Gesundheitsdaten, einschließlich Alter, Geschlecht und Gewicht - allesamt den jeweiligen Personen zugeordnet. In einigen Fällen war sogar die Einsicht der Standortdaten möglich.

Noyb klagt wegen DSGVO-Verstoß

Die Organisation für Datenschutz Noyb hat gegen Fitbit Klage eingereicht. Noyb geht davon aus, dass Fitbit europäische Datenschutz-Richtlinien verletzt hat. Folglich liegt ein Verstoß gegen die DSGVO vor. Als Anbieter von Fitness-Trackern zeichnet Fitbit nicht nur Aktivitäten der Nutzer auf, sondern überwacht ebenso Körperfunktionen. Dazu gehören unter anderem Herzfrequenz und Schlafzyklen. Google ist Eigentümer des Unternehmens Fitbit.

Weiterhin bemängelt Noyb, dass Fitbit seine Anwender zwingt, bei der Einrichtung ihres Kontos einer Datenübermittlung in Länder außerhalb der Europäischen Union zuzustimmen. Unter anderem überträgt Fitbit Informationen an die USA. Diese scheinbar freiwillige Zustimmung genügt gemäß Noyb nicht den Standards der DSGVO.

Wenn Anwender den Datenschutz-Bestimmungen und der Daten-Übertragung in Nicht-EU-Länder widersprechen, ist eine Nutzung des Trackers unmöglich. Folglich ist die Uhr unbrauchbar, da es keine Möglichkeit mehr gibt, auf die Daten zuzugreifen.

Folgende persönliche Daten gibt Fitbit gemäß seiner Datenschutz-Richtlinien an Drittanbieter weiter:

• E-Mail-Adressen
• Geschlecht
• Gewicht
• Schlafmuster
• Flüssigkeits-Aufnahme
• Ernährungs-Aufzeichnungen

Auch Informationen bezüglich der Gesundheit von Frauen, Weckzeiten sowie Unterhaltungen in Diskussionsforen und mit Freunden sind betroffen. Fitbit gibt diese Daten an Dritte weiter. Die genaue Identität dieser Drittunternehmen legt Fitbit nicht offen.

Möglicherweise hat die Datenübermittlung durch Fitbit an Dritte den Zweck, maßgeschneiderte Werbung zu schalten. Auf diese Weise sammelt Fitbit wichtige Erkenntnisse über Bedürfnisse und Charakteristika der Zielgruppe für Marketing- und Vertriebszwecke.

Laut Art. 7 Abs. 3 DSGVO steht es Nutzern frei, ihre Einwilligung zur Verarbeitung ihrer Daten jederzeit zu widerrufen. Allerdings scheint bei Fitbit ein Widerruf bezüglich der Übermittlung von Daten nur durch eine Löschung des Benutzerkontos möglich zu sein. Das hat zwangsläufig den Verlust aller gesammelten Gesundheits- und Trainingsdaten für die betroffenen Anwender zur Folge.

Bei DSGVO-Verstoß hohe Strafen möglich

Bei einem Verstoß gegen die DSGVO ist es möglich, dass Unternehmen Geldbußen in Höhe von bis zu vier Prozent ihres weltweiten Jahresumsatzes zu zahlen haben. Bei einer erfolgreichen Klage gegen Fitbit bedeutet dies womöglich eine Geldstrafe von über elf Milliarden Euro. Wie sich der Fall entwickeln und ob das Unternehmen tatsächlich belangt wird, bleibt abzuwarten.

Schon im Sommer 2022 sah sich jedoch der Musikstreaming-Dienst Spotify einer Klage seitens Noyb ausgesetzt. Spotify musste rund fünf Millionen Euro zahlen - aufgrund mangelhafter Umsetzung des Auskunftsrechts.

Sie benötigen Hilfe zum Schutz Ihrer persönlichen Daten? Die Kanzlei Wawra & Gaibler hilft!

Wenden Sie sich jederzeit schriftlich oder telefonisch an uns. Wir prüfen Ihren Fall individuell und besprechen mit Ihnen das weitere Vorgehen sowie die Erfolgschancen. Nutzen Sie hierfür unsere kostenfreie und unverbindliche Erstberatung.

NUTZEN SIE HIERZU GERNE AUCH UNSERE MUSTERSCHREIBEN ZUR AUSKUNFT, LÖSCHUNG, BERICHTIGUNG ODER ZUM WIDERSPRUCH GEMÄSS DSGVO.