IT-Recht

Wearables und der Datenschutz: Was dürfen die kleinen Helferlein speichern?

Wearables Daten Datenschutz Cloud Server
geschrieben von Boris Burow

In der heutigen Kolumne befassen wir uns mit dem Thema Wearables und Datenschutz. Wir werden die allseits bekannten Fitnessarmbänder und sonstigen Accessoires, die heutzutage allerlei Daten sammeln und zur Verfügung stellen, einmal aus datenschutzrechtlicher Sicht betrachten. Die spannende Herausforderung für das Bundesdatenschutzgesetz ist wie so oft, dass neue Technologien keine expliziten Regelungen im Gesetz erfahren haben und somit die vorhandenen Regelungen in irgendeiner Form auf neue Technologien angewandt werden müssen.

Das Thema Wearables ist allgegenwärtig. Insbesondere sind eine Vielzahl von Fitnessarmbändern auf dem Markt erhältlich und auch die Smartwatches drängen immer mehr aus ihrem Nischendasein hin zu den kaufwilligen Kunden. Es gibt zwar technische Unterschiede welche Daten überhaupt erhoben werden und wie akkurat diese Daten sind. Der Trend ist aber ganz klar erkennbar, dass man versucht mit den Wearables möglichst eine große Vielzahl von Daten sehr exakt über die jeweilige Person zu erfassen.

Der Markt steht noch ganz am Anfang, soll aber in den nächsten Jahren rasant anwachsen. Gerade an den Smartwatches sieht man, wie viel technisches Potenzial in diesen Geräten steckt. Vergleicht man die Entwicklung von 2007 mit dem ersten iPhone bis heute kann man erkennen, dass die Smartwatches in zwei, drei Jahren ein Vielfaches von dem leisten werden, was sie heute schon können. Es ist daher davon auszugehen, dass in der Zukunft mehr an Daten gesammelt und erhoben werden und dass diese Daten immer exakter werden.

Wearables sind ein Wachstumsmarkt

Es überrascht daher nicht, dass dieser Datenschatz sicherlich nicht nur für den Anwender interessant ist sondern auch für die jeweiligen beteiligten Hersteller und Unternehmen. Daher darf man nicht nur im Bereich der vernetzten Automobile die Frage nach dem Datenschutz stellen, sondern auch im Bereich der Wearables. In datenschutzrechtlicher Hinsicht besteht die Relevanz des Themas darin, dass die Daten, die z.B. über einen Fitnesstracker oder einer Smartwatch erhoben werden regelmäßig einer Person unproblematisch zugeordnet werden können.

Das Bundesdatenschutzgesetz verlangt für das Vorliegen von personenbezogenen Daten – nach herrschender Meinung – immer nur einen relativen Personenbezug. Es reicht daher aus, wenn eine Person auch mit einem gewissen Aufwand identifiziert werden kann. Die Person muss nicht von vornherein exakt identifiziert werden können. Das Bundesdatenschutzgesetz hat daneben Regelungen für besonders sensible Daten getroffen. Das Gesetz unterscheidet daher zwischen personenbezogenen Daten und personenbezogenen Daten, die noch einmal einen besonderen Schutz unterliegen.

Gesundheitsdaten sind auch geschützt

Als Beispiel hierfür nennt § 3 Abs. 9 Bundesdatenschutzgesetz Daten, die die Gesundheit betreffen. Wie im Bundesdatenschutzgesetz üblich ist der Begriff der Gesundheit nicht exakt definiert aber im Sinne eines ausgewogenen Datenschutzes ist der Begriff der Gesundheit weit auszulegen. Er umfasst daher nicht nur Daten zu Krankheiten, sondern auch Daten, die mittelbar Rückschlüsse auf die Gesundheit zulassen. Greift man beispielsweise die modernen Smartwatches heraus und im vorliegenden Fall die Watch von Apple so wird recht schnell klar, dass diese einer Person eindeutig zugeordnet wird und, dass die Apple-Watch in ihrer ersten Hardwarefunktion bereits eine Vielzahl von Daten über den Nutzer sammelt.

Im Hinblick auf die besonders geschützten Gesundheitsdaten sammelt die Watch z.B. Daten über den Herzschlag. Die Uhr kann auch Daten über die Fortbewegung einer Person sammeln bzw. Bewegungsprofile erstellen. Sie kann Rückschlüsse auf das Aktivitätslevel ziehen und eine Vielzahl von Alltagsgewohnheiten des Nutzers erfassen. Unabhängig davon ob man eine Smartwatch den ganzen Tag oder ob man diese zum Schlafen ablegt, in beiden Fällen ist es möglich den Tag über eine Vielzahl an Daten zu erheben und mittels moderner Auswertungssoftware aus diesen Daten heraus weitere valide Rückschlüsse ziehen zu können. Gerade im Hinblick auf die Watch von Apple wäre dieser Datenschatz nur ein kleiner Teil.

Wenn man diese Daten mit allen weiteren vorhandenen Nutzungsdaten der betreffenden Person kombiniert, könnte man ein umfassendes Profil erstellen. Man muss nur bedenken, welche Daten man im Rahmen der Nutzung seiner Apple-ID auch noch generiert. Es ist heutzutage auch anerkannt, dass eine Vielzahl von Services kostenfrei sind, einzig und allein aus dem Grund, weil man mit seinen Daten hierfür bezahlt. Die Erstellung von Profilen, um personalisierte Werbung auszusteuern ist heutzutage Alltag.

Deutsches Datenschutzrecht – ja oder nein?

Die Firmen, die Wearables herstellen sind internationale große Konzerne, sodass sich zunächst die Frage stellt ob hierfür deutsches Datenschutzrecht zur Anwendung gelangt. Schwerpunktmäßig sind die relevanten Regelungen für Wearables im Bundesdatenschutzgesetz und in dem Telemediengesetz verankert. Das deutsche Datenschutzgesetz gilt unproblematisch für alle Unternehmen, die ihren Sitz in Deutschland haben oder zumindest ihren Sitz oder eine Niederlassung innerhalb der europäischen Union. Liegt dies nicht vor, so dürfte deutsches Datenschutzrecht dennoch anwendbar sein, da die personenbezogenen Daten durch den Nutzer in Deutschland erhoben werden. Eine grundsätzliche Anwendbarkeit des Bundesdatenschutzgesetzes sollte damit gegeben sein.

Die zweite Frage, die sich stellt ist, wie mit den personenbezogenen Daten umgegangen wird, die durch Wearables erhoben werden. Das Bundesdatenschutzgesetz schützt den Einzelnen nicht per se davor, dass personenbezogene Daten erhoben werden, sondern es schützt den Einzelnen davor, dass Dritte nicht uneingeschränkt mit diesen personenbezogenen Daten verfahren können wie sie möchten. Unproblematisch sind immer die Fälle, bei denen der Betroffene selbst personenbezogene Daten über sich erhebt, verarbeitet oder speichert.

Logischerweise ist es hier nicht notwendig, eine Regelung zu treffen. Wenn also Fitnessarmbänder oder Samartwatches technisch so ausgestaltet sind, dass die Daten auf den jeweiligen Geräten verbleiben bzw. nur durch den Berechtigten ausgelesen werden können und keinerlei Datenübermittlung stattfindet, sind solche Wearables datenschutzrechtlich in keinster Weise bedenklich. Wenn der einzelne Nutzer diese Daten an Dritte weitergibt, so unterliegt dies seinem eigenem Verantwortungsbereich. Hier ist der Hersteller nicht verantwortlich.

Personenbezogene Daten liegen vor

Geht man davon aus, dass der Hersteller ein Interesse daran hat, die Daten, die über die Wearables erhoben werden selbst zu analysieren und zu nutzen, so stellt sich die Frage nach der datenschutzrechtlichen Zulässigkeit. Eine erste Möglichkeit die Problematik zu umgehen wäre, eine unternehmerfreundliche Haltung beim Thema personenbezogene Daten einzunehmen. Es gibt Ansichten innerhalb der Juristen, die fordern, dass der Personenbezug immer durch denjenigen, der die Daten erhebt und verarbeitet, hergestellt werden muss. In diesem Fall wäre der Begriff der personenbezogenen Daten eng auszulegen.

Wenn man als Beispiel eine IP-Adresse nimmt, so könnten die meisten Webseitenbetreiber von selbst nicht herausfinden welchem Anschlussinhaber eine IP-Adresse zuzuordnen ist. Folgt man der datenschutzfreundlichen Auslegung, so stellt man darauf ab, dass es einem Webseitenbetreiber selbst nicht möglich ist aufzuschlüsseln, wem eine IP-Adresse gehört, aber es ist z. B. für einen Internetprovider möglich den Personenbezug herzustellen. Auch wenn hier gerade in Deutschland noch großer Streit herrscht, sollte man eher der Ansicht folgen, dass personenbezogene Daten dann vorliegen, wenn der Verantwortliche selbst den Personenbezug nicht direkt herstellen kann, dies aber durchaus unter Zuhilfenahme von Dritten möglichen wäre.

Wenn in diesem Fall ein Unternehmen entsprechend personenbezogene Daten nutzen möchte, sind die gesetzlichen Vorgaben zu erfüllen. Regelmäßig verlangt das Gesetz eine Einwilligung in die Nutzung von personenbezogenen Daten. Eine solche Einwilligung müsste von dem jeweiligen Nutzer eingeholt werden und er müsste sehr detailliert auf den Umfang der Nutzung seiner Daten hingewiesen werden.

Wearables: Juristisch kann man streiten

Der Gesetzgeber gestattet die Nutzung personenbezogener Daten immer dann, wenn die Nutzung für die Begründung oder Durchführung eines Vertragsverhältnisses notwendig ist. Wenn ich also eine App nutze, die mich mittels GPS lokalisiert und mir sodann eine Routenplanung ermöglicht, ist die Nutzung von personenbezogenen Daten definitiv notwendig um diesen Service zu erbringen. In Fällen von Wearables ist aber oftmals das Problem, dass die Unternehmen nicht nur daran interessiert sind, die Verträge zu erfüllen, sondern die Daten darüber hinaus weitergehend zu nutzen.

Die gesetzlichen Erlaubnistatbestände kommen daher regelmäßig nicht zur Anwendung. Regelmäßig müssten Unternehmen daher sehr genau erklären wie sie die personenbezogenen Daten der Nutzer selbst nutzen insbesondere dann wenn Gesundheitsdaten im Spiel sind. Im Sinne des Datenschutzes ist der Begriff der personenbezogenen Daten weit auszulegen, deutsches Datenschutzrecht kommt zur Anwendung. Wenn ich die erhobenen Daten meiner Kunden nutzen möchte bin ich als Unternehmer gezwungen eine ausführliche Datenschutzerklärung zu liefern und die Möglichkeit zu geben, die Erhebung, Nutzung und Speicherung meiner personenbezogenen Daten zu verhindern.

Die Datenschutzerklärung muss deutlich sichtbar sein und in deutscher Sprache abgefasst werden. Zusätzlich gilt das Gebot der Datensparsamkeit mit der Folge, dass sowieso nur so wenige Daten wie möglich erhoben werden sollten. Alles in allem dürfte das Unternehmen vor große Herausforderungen stellen.

Datenschutz und IT-Sicherheit

Weiterhin ein wichtiges Thema ist die IT-Sicherheit. Auch wenn ein Unternehmen die personenbezogenen Daten selbst gar nicht nutzen möchte, so hat das Unternehmen sicherzustellen, dass die personenbezogenen Daten entsprechend sicher und vor dem Zugriff Dritter geschützt sind. Wenn es hieran mangelt liegen auch wiederum Verstöße gegen das Bundesdatenschutzgesetz vor. Lassen sich z.B. Fitnesstracker durch Dritte problemlos auslesen, so liegt definitiv ein Verstoß vor. Es wäre zu fordern, dass Daten grundsätzlich verschlüsselt abgelegt werden, der Zugriff auf die Daten entsprechend geschützt ist und die Datenübermittlung auch verschlüsselt erfolgt.

Zusammengefasst lässt sich festhalten, dass es problematisch ist, wenn Unternehmen Wearables verkaufen und die darüber erhobenen Daten selbst nutzen möchten. In diesem Fall wäre eigentlich die Einholung einer Einwilligung beim jeweiligen Kunden notwendig. Weiterhin hat der Anbieter von Wearables ein gewisses Maß an Datensicherheit zu leisten. Deutsches Datenschutzrecht dürfte im Regelfall zur Anwendung kommen.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Boris Burow

Boris ist Rechtsanwalt aus Karlsruhe und hat seine Begeisterung für IT, Medien und Internet zum Schwerpunkt seiner Arbeit gemacht.

1 Kommentar

  • Sehr guter und detaillierter Beitrag. Vielen Dank dafür 🙂

    Problematisch finde ich hier, dass ein Großteil der Anbieter der Wearables derzeit außerhalb der EU angesiedelt sind (China, USA) und damit den Datenschutz nicht ernst genug nehmen.

    Es ist durchaus denkbar, dass die Daten zukünftig auch gegen Bezahlung an Versicherungen oder andere Dritte zur Verfügung gestellt werden, wie es bereits im Werbebereich üblich ist.

    Entsprechende Passagen sind meist tief in den jeweiligen AGBs versteckt und für den Verbraucher nur schwer einsehbar.

    Viele Grüße
    Michael Kostka

Kommentieren