Eine Pixel Watch mit Fitbit-App
Die Google-Tochter Fitbit soll gegen die Datenschutz-Grundverordnung verstoßen, kritisiert die Datenschutz-NGO Noyb.
APA/AFP/PATRICK T. FALLON

Fitbit steht in der Kritik von Datenschützern. Das Gesundheits- und Fitnessunternehmen, das 2021 von Google übernommen wurde, soll die Nutzenden der App dazu zwingen, Datentransfers in Länder außerhalb der EU zuzustimmen. Eine Möglichkeit, eine einmal gegebene Zustimmung zu widerrufen, gibt es nicht, stattdessen müssen sie ihr Konto vollständig löschen, um die Verarbeitung zu stoppen. Dieses Vorgehen sei illegal, kritisiert die Datenschutzorganisation Noyb, die am Donnerstag drei Beschwerden gegen Fitbit in Österreich, in den Niederlanden und in Italien eingereicht hat.

Es ist unmöglich, die Datentransfers zu umgehen. Bei der Einrichtung eines Fitbit-Kontos müssen europäische Nutzerinnen und Nutzer "der Übertragung ihrer Daten in die Vereinigten Staaten und andere Länder mit anderen Datenschutzgesetzen zustimmen". Mit anderen Worten: Fitbit zwingt seine Nutzenden, der Weitergabe sensibler Daten zuzustimmen, ohne klare Informationen über die möglichen Folgen oder die spezifischen Zielländer der Datentransfers bereitzustellen. "Dies führt zu einer Einwilligung, die weder frei, informiert noch spezifisch ist – wodurch sie eindeutig nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht", so Noyb in einer Aussendung.

Daten über Essverhalten, Gewicht und Schlaf

Unter den geteilten Daten befinden sich laut Fitbits Datenschutzrichtline nicht nur die E-Mail-Adresse, das Geburtsdatum und das Geschlecht der Betroffenen. Das Unternehmen kann auch "Daten wie Protokolle über Essen, Gewicht, Schlaf, Wasser oder weibliche Gesundheit, einen Wecker und Nachrichten in Diskussionsforen oder an Freunde in den Diensten" weitergeben. Die gesammelten Daten können sogar zur Verarbeitung an Drittunternehmen weitergegeben werden – welche das sind, bleibt offen. Darüber hinaus sei es unmöglich herauszufinden, welche Daten überhaupt betroffen sind, kritisieren die Datenschützer. Alle drei Beschwerdeführerinnen machten bei Fitbits Datenschutzbeauftragten von ihrem Auskunftsrecht Gebrauch – ohne jemals eine Antwort zu erhalten.

Maartje de Graaf, Datenschutzjuristin bei Noyb, kritisiert dieses Vorgehen: "Zuerst kauft man eine Fitbit-Uhr für mindestens 100 Euro. Dann meldet man sich für ein kostenpflichtiges Abonnement an – nur um festzustellen, dass man 'freiwillig' der Datenweitergabe an Empfänger:innen auf der ganzen Welt zustimmen muss. Fünf Jahre nach Inkrafttreten der DSGVO versucht Fitbit immer noch, einen 'Take it or leave it'-Ansatz durchzusetzen."

Die Datenschutz-Grundverordung gibt allen Nutzenden das Recht, ihre Einwilligung zu Datentransfers zu widerrufen. Das heißt: Man darf seine Meinung im Nachhinein ändern. Im Fall von Fitbit gibt es dies Möglichkeit aber nur theoretisch. Wenn eine Person ihre Einwilligung widerrufen möchte, muss sie ihr Konto löschen. Das bedeutet den Verlust aller zuvor aufgezeichneten Trainings- und Gesundheitsdaten. Diese Regel greift sogar dann, wenn man ein Premium-Abonnement für 79,99 Euro pro Jahr abschließt. Es gibt also keine realistische Möglichkeit, die Kontrolle über die eigenen Daten zurückzugewinnen, ohne das Produkt unbrauchbar zu machen. Dabei sind diese Funktionen der Hauptgrund für den Kauf einer Fitbit. "Fitbit möchte, dass Sie einen Blankoscheck für Datentransfers in die ganze Welt ausstellen. Das Unternehmen sammelt hochsensible Gesundheitsdaten. Es ist erstaunlich, dass es nicht einmal versucht, die Verwendung dieser Daten gesetzeskonform zu erklären", kritisiert der Datenschutzjurist Bernardo Armentano von Noyb.

Google selbst nennt in der Privacy Policy zu Fitbit in Hinblick auf die Weitergabe von Daten an Dritten übrigens sehr wohl konkrete Szenarien. So wird dabei auf die Nutzung von Bezahldiensten ebenso verwiesen, wie auf die Integration mit anderen Fitnessplattformen – also der von den Nutzerinnen und Nutzern selbst beantragte Austausch von Gesundheitsdaten mit diesen.

Massive Datentransfers sind verboten

Aber selbst wenn es eine Möglichkeit zum Widerruf der Zustimmung gäbe, würde Fitbit dem europäischen Datenschutzrecht noch immer nicht entsprechen, kritisieren die Datenschützer. Die DSGVO legt fest, dass die Einwilligung von Nutzenden nur eine Ausnahme vom Datenübermittlungsverbot darstellt. Diese Ausnahme gelte aber nur für gelegentliche und nicht wiederholte Datenübermittlungen. Fitbit nutze die Einwilligung allerdings für die routinemäßige Weitergabe aller Gesundheitsdaten, so die Juristinnen und Juristen von Noyb.

Noyb fordert in den Beschwerden die zuständigen Datenschutzbehörden dazu auf, Fitbit anzuweisen, alle Informationen über die Datenübertragungen mit seinen Nutzerinnen und Nutzern zu teilen. Die Nutzung der Fitbit-App muss auch ohne verpflichtende Datentransfers möglich sein.

Es geht nicht um Werbung

Dass die eingesammelten Daten dann für gezielte Werbung verwendet werden, wirft Noyb Fitbit übrigens nicht vor. Das wäre nämlich tatsächlich und ohne jeden Zweifel illegal. Hat sich Google doch im Rahmen der Fitbit-Übernahme explizit dazu verpflichtet, die über den Fitness-Service eingesammelten Daten nicht für Werbezwecke zu verwenden. Diese Regelung war Teil eines Deals mit der EU, der wiederum Voraussetzung für die Erlaubnis zur Übernahme von Fitbit war. Im Zentrum der Beschwerde steht also der reine Umstand, dass Daten in die USA und damit in eine andere Judikatur verschoben werden.

DER STANDARD hat Google um eine Stellungnahme zu den Vorwürfen gebeten. Sobald diese vorliegt, wird dieser Artikel aktualisiert. (red, 31.8.2023)