Google-Tochter Fitbit soll illegal sensible Daten verarbeiten

Bei drei Datenschutzbehörden wurde Beschwerde über Fitbit eingereicht. Denn wer den Datentransfers seines Fitnesstrackers nicht zustimmt, kann diesen nicht nutzen.

Die Google-Tochter Fitbit steht laut "Der Standard" aktuell unter der Beobachtung von Datenschützern. Denn das Gesundheits- und Fitnessunternehmen soll User:innen dazu zwingen, Datentransfers in Nicht-EU-Länder zuzustimmen. Dem müsse bereits beim Erstellen eines Fitbit-Kontos zugestimmt werden, um seinen Tracker nutzen zu können. Wo die sensiblen Daten landen und was mit ihnen geschieht, bleibe ungewiss. Ein nachträglicher Widerspruch sei auch unmöglich: Um die Verarbeitung der Daten zu stoppen, müssen User:innen ihr Konto löschen, wodurch auch alle aufgezeichneten Gesundheits- und Trainingsdaten verloren gehen.

Der Datenschutzorganisation von Noyb zufolge ist dieses Verhalten illegal, weshalb sie Beschwerden gegen Fitbit in Österreich, Italien und den Niederlanden eingereicht hat. Schließlich führe dieser Zwang laut Noyb "zu einer Einwilligung, die weder frei, informiert noch spezifisch ist – wodurch sie eindeutig nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht."

Welche sensiblen Daten sind betroffen?

Laut Fitbits Datenschutzrichtlinie gehören zu den geteilten Daten nicht nur E-Mail-Adresse, Geschlecht und Alter. Auch "Daten wie Protokolle über Essen, Gewicht, Schlaf, Wasser oder weibliche Gesundheit, einen Wecker und Nachrichten in Diskussionsforen oder an Freunde in den Diensten" können weitergegeben werden. Diese könnten sogar von Drittunternehmen verarbeitet werden. Weiterhin ist es laut den Datenschützern unmöglich, herauszufinden, welche Daten überhaupt betroffen sind. Obwohl alle drei Beschwerdeführerinnen von ihrem Auskunftsrecht Gebrauch machten, warten sie noch vergeblich auf eine Antwort seitens Fitbit.

Maartje de Graf, Datenschutzjuristin bei Noyb, äußert scharfe Kritik gegenüber der Google-Tochter: "Zuerst kauft man eine Fitbit-Uhr für mindestens 100 Euro. Dann meldet man sich für ein kostenpflichtiges Abonnement an – nur um festzustellen, dass man 'freiwillig' der Datenweitergabe an Empfänger:innen auf der ganzen Welt zustimmen muss. Fünf Jahre nach Inkrafttreten der DSGVO versucht Fitbit immer noch, einen 'Take it or leave it'-Ansatz durchzusetzen."

Im Gegensatz zu Fitbit nennt immerhin Google in seiner Privacy Policy zu Fitbit konkrete Beispiele zur Weitergabe von Daten an Dritte. Das Unternehmen verweist hierbei auf die Nutzung von Bezahldiensten und die Integration mit anderen Fitnessplattformen, die in der Regel von Nutzer:innen selbst beantragt werden.

Unmöglicher Widerruf ist nicht das einzige Problem

Laut den Datenschützern wird Fitbit dem europäischen Datenschutzgesetz selbst mit einer Möglichkeit zum Widerruf der Einwilligung nicht gerecht. Denn eine Einwilligung durch Nutzer:innen stellt laut DSGVO nur eine Ausnahme für gelegentliche Übermittlungen dar. Fitbit hingegen nutze diese Einwilligung routinemäßig für die Weitergabe aller Gesundheitsdaten. Deshalb fordert Noyb die Datenschutzbehörden dazu auf, Fitbit anzuweisen, sämtliche Informationen über Datenübertragungen mit seinen Nutzer:innen zu teilen. Weiterhin müsse die Fitbit-App ohne verpflichtende Datentransfers nutzbar sein.

• Verwendete Quellen:
• Der Standard: "Fitbit soll Daten im großen Stil illegal verarbeiten"
• Noyb: "Beschwerde bei der österreichischen Datenschutzbehörde"