Zwangsweise Nutzung von Fitnesstracker
Zwangsweise Benutzung von Fitnesstrackern verboten
Ein Fitnessstudio hatte die Teilnahme an Kursen von der Verwendung eines bestimmten Fitnesstrackers abhängig gemacht. Da dies datenschutzrechtlich nicht gerechtfertigt ist, hat die Datenschutzbehörde diese Vorgabe verboten.
Aufgrund von Beschwerden stellte die Datenschutzbehörde fest, dass in manchen Fitnessstudios die Teilnahme an bestimmten Kursen, in denen Belastungssport getrieben wird, nur nach dem Erwerb sowie der Nutzung von Fitnesstrackern und einer Handy-App eines namhaften Herstellers von kabellosen Herzfrequenzmessgeräten ermöglicht wird. Mit den Messutensilien sollen während des Trainings in Echtzeit Leistungsdaten von Clubmitgliedern in Form der Herzfrequenz, der Intensität und des Kalorienverbrauches erfasst werden, die dann automatisch über eine Cloudanwendung zum Hersteller hochgeladen und dort gespeichert werden. Die Teilnehmer haben die Möglichkeit, ihre Daten über die App einzusehen, um ihre Trainingsfortschritte zu verfolgen. Bei den erhobenen und gespeicherten Angaben handelt es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Eine Notwendigkeit zur verpflichtenden Nutzung dieser Datenerhebung und -nutzung ist nicht erkennbar.
Derartige Daten dürfen daher nach Art. 7 Abs. 1 DSGVO nur mit informierter und freiwillig erteilter Einwilligung der Betroffenen und nur für festgelegte Zwecke verarbeitet werden. Die Wirksamkeit der eingeholten Einwilligungen steht in Zweifel, wenn der Erwerb der für die Datenerfassung und Wiedergabe benötigten Produkte für die Nutzung von Trainingsangeboten als verbindlich erklärt wird, ohne dass dies für die Erfüllung der Dienstleistungsverträge mit den Studios erforderlich wäre.
Verantwortung durch Hersteller delegiert
Bedeutsam in dem geprüften Fall ist auch, dass die Verantwortung für die Datenverarbeitung nach den mit dem Hersteller getroffenen Vereinbarungen nicht bei ihm, sondern bei den Studiobetreibern liegt. Denn der Hersteller gibt Vertragsregelungen zur Nutzung seiner Produkte vor, die ihm die Position des Auftragsverarbeiters der Daten zuweisen, dessen Aufgabe darin besteht, Namen und Trainingsdaten der Nutzer zu sammeln, zu speichern und zu nutzen. Den an der Nutzung der Messgeräte interessierten Studiobetreibern wird dagegen die Position der datenschutzrechtlich Verantwortlichen zugeschrieben. Diese können angeblich entscheiden, welche Daten im System gespeichert werden und wie diese behandelt werden. Ferner sind sie auch für die Richtigkeit der Daten und die datenbezogenen Anfragen der Benutzer zuständig. Mit dieser Vertragsregelung ist der Hersteller nicht selbst in der Verantwortung für die Datenverarbeitung, solange er im Rahmen der erteilten Weisungen der Studiobetreiber handelt. Ob derartige Weisungen tatsächlich möglich sind oder Verarbeitungsmodalitäten tatsächlich vorgegeben werden können, bezweifelt die Datenschutzbehörde. Ungeachtet dessen übernehmen die Studiobetreiber bei Abschluss des Vertrages mit dem Hersteller aus freiem Entschluss sämtliche Pflichten, die sich zur Herstellung und Wahrung der Rechtmäßigkeit der Datenverarbeitung aus der DSGVO ergeben. Dazu gehört sowohl die Einholung wirksamer Einwilligungen als auch die Sicherstellung der umfassenden Information über sämtliche Verarbeitungen, die nicht alle unter der Regie der Studiobetreiber erfolgen. Dem Studiobetreiber wurde die Verarbeitung der Daten untersagt, weil er die Rechtmäßigkeit der Verarbeitung nicht darstellen konnte und sie auch nicht ersichtlich ist. Dagegen wurde Klage erhoben, eine Entscheidung des Verwaltungsgerichts steht noch aus.
Aufsichtsbehörde schreitet gegen Hersteller ein
Hinzu kommt ein weiteres datenschutzrechtliches Problem: Der Hersteller mit Sitz in einem anderen EU-Staat wurde Ende 2022 von der zuständigen nationalen Aufsichtsbehörde verwarnt und mit einer Geldbuße belegt. Nach Feststellung der Aufsichtsbehörde sind die vom Hersteller eingeholten Einwilligungen für die Verarbeitung der Maximum-Sauerstoffaufnahme und des Body-Mass-Indexes datenschutzrechtswidrig. Der Hersteller wurde zudem angewiesen, die Einholung der Einwilligungen neu zu organisieren. Studiobetreiber, die sich bislang auf die Zuschreibung der Rolle des primär Verantwortlichen für die Datenverarbeitung durch den Hersteller eingelassen haben, stehen somit vor einem weiteren Problem.
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks