Überträgt Fitbit unzulässig Gesundheitsdaten in die USA?
Nach Darstellung der österreichischen Organisation „none of your business“ (noyb) müssen Nutzerinnen und Nutzer dem Datentransfer in Länder außerhalb der EU zustimmen, um die App des Gesundheits- und Fitnessunternehmens nutzen zu können. „Entgegen den gesetzlichen Vorgaben haben die Nutzerinnen und Nutzer nicht einmal die Möglichkeit, ihre Zustimmung zu widerrufen“, schreibt noyb. „Stattdessen müssen sie ihr Konto vollständig löschen, um die illegale Verarbeitung zu stoppen.“
Laut Mitteilung ist es unmöglich, die Datentransfers zu umgehen. Bei der Einrichtung eines Fitbit-Kontos müssen europäische Nutzerinnen und Nutzer „der Übertragung ihrer Daten in die Vereinigten Staaten und andere Länder mit anderen Datenschutzgesetzen“ zustimmen. Dazu gebe es weder klare Informationen „über die möglichen Folgen oder die spezifischen Zielländer der Datentransfers“. Dies führe zu einer Einwilligung, die weder frei, informiert noch spezifisch ist, argumentiert noyb – wodurch sie eindeutig nicht den Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) entspricht.
Sogar die Datenverarbeitung durch Drittunternehmen ist möglich
Unter den geteilten Daten befinden sich laut Fitbits Datenschutzrichtline nicht nur die E-Mail-Adresse, das Geburtsdatum und das Geschlecht von Nutzerinnen und Nutzern. Das Unternehmen könne auch „Daten wie Protokolle über Essen, Gewicht, Schlaf, Wasser oder weibliche Gesundheit, einen Wecker und Nachrichten in Diskussionsforen oder an Freunde in den Diensten“ weitergeben, betonen die Datenschützer. Die gesammelten Daten können sogar zur Verarbeitung an Drittunternehmen weitergegeben werden, „von denen wir nicht wissen, wo sie sich befinden“. Darüber hinaus sei es für Nutzerinnen und Nutzer unmöglich herauszufinden, welche ihrer Daten überhaupt betroffen sind. Für noyb machten drei Beschwerdeführer bei Fitbits Datenschutzbeauftragten von ihrem Auskunftsrecht Gebrauch – ohne jemals eine Antwort zu erhalten.
Bernardo Armentano, Datenschutzjurist bei noyb: „Fitbit möchte, dass Sie einen Blankoscheck für Datentransfers in die ganze Welt ausstellen. Das Unternehmen sammelt hochsensible Gesundheitsdaten. Es ist erstaunlich, dass es nicht einmal versucht, die Verwendung dieser Daten gesetzeskonform zu erklären.“
Mögliche Milliardenstrafe
Die DSGVO lege eindeutig fest, schreibt noyb, „dass die Einwilligung von Nutzerinnen und Nutzer nur als Ausnahme vom Datenübermittlungsverbot in Nicht-EU-Länder verwendet werden darf. Eine gültige Rechtsgrundlage ist sie deshalb nur im Falle gelegentlicher und nicht-wiederholter Datenübermittlungen. Fitbit nutzt die Einwilligung seiner Nutzerinnen und Nutzer allerdings für die routinemäßige Weitergabe aller Gesundheitsdaten.“
noyb fordert die zuständigen Datenschutzbehörden dazu auf, Fitbit anzuweisen, alle obligatorischen Informationen über die Datenübertragungen mit seinen Nutzerinnen und Nutzern zu teilen. Die Nutzung der Fitbit-App müsse auch ohne verpflichtende Datentransfers möglich sein. Weiter schreiben die Datenschützer, dass die zuständigen Behörden ausgehend von Alphabets (Muttergesellschaft von Google) Jahresumsatz 2022 eine Geldstrafe von bis zu 11,28 Milliarden Euro verhängen könnten.
