Wir begleiten die Verarbeitung personenbezogener Daten durch Wearables bereits seit einiger Zeit [1]. Die Verbraucherzentrale NRW hatte auch auf Grundlage einer bei der datenschutz nord GmbH beauftragten technischen Analyse sowie einer datenschutzrechtlichen Untersuchung zum Datensendungsverhalten von zwölf Wearables und 24 Fitness-Apps Abmahnungen gegen mehrere Anbieter ausgesprochen.
Die Ergebnisse der Untersuchung [2] wurden im April 2017 von der Verbraucherzentrale veröffentlicht. Hierin wurde deutlich, dass kaum einer der Anbieter in seinen Datenschutzerklärungen ausreichend über die genaue Verwendung der zum Teil sensiblen Daten informiert. Ausgehend von der vorgenannten Untersuchung sowie eines zwischenzeitlich durchgeführten Marktwächter-Praxistests hat die Verbraucherzentrale NRW die folgenden sechs Anbieter wegen Verstößen gegen Datenschutzbestimmungen abgemahnt: Garmin, Fitbit, Technaxx, Jawbone, Striiv und Apple. Davon haben Garmin, Fitbit, Striiv und Technaxx eine Unterlassungserklärung abgegeben, Jawbone ist mittlerweile insolvent. Apple hat keine Unterlassungserklärung abgegeben und wurde daraufhin von der Verbraucherzentrale verklagt.
Marktwächter-Praxistest zur Erreichbarkeit der Wearables-Anbieter
Gegenstand des Marktwächter-Praxistests war insbesondere die Beantwortung von Anfragen der Wearables-Nutzer zur Verarbeitung personenbezogenen Daten durch die Fitness-Apps [3]. Das Marktwächter-Team der Verbraucherzentrale NRW wollte deshalb wissen, inwieweit Verbraucher auf eine solche Anfrage eine Antwort erhalten. Die Ergebnisse haben gezeigt: „Verbraucher, die bei der Wearable- und Fitness-App-Nutzung ihre eigenen Daten im Blick behalten möchten, haben kaum eine Chance. Selbst dann nicht, wenn sie Informationen direkt beim Anbieter einfordern. Damit wird die Kontrolle der eigenen Daten erschwert oder sogar vollständig blockiert“, so Ricarda Moll, Referentin im Marktwächter-Team Digitale Welt der Verbraucherzentrale NRW [3].
Im Rahmen der Marktwächter-Untersuchung stellten zwölf Nutzer einen Auskunftsantrag, nachdem sie das Wearable und die dazugehörige Fitness-App zuvor vier Wochen genutzt hatten. Die Verbraucherzentrale selbst tauchte hier selbst im Antrag auf. Nach zwei Kontaktversuchen haben zwar acht von zwölf Anbietern reagiert, jedoch waren nur drei der Antworten zufriedenstellend. Andere Reaktionen bestanden beispielsweise lediglich aus pauschalen Hinweisen zum Umgang mit den erhobenen Daten, ohne jedoch auf die konkreten Fragen der Nutzer einzugehen. Vier der zwölf Anbieter haben innerhalb der genannten Frist überhaupt nicht auf das Auskunftsersuchen der Nutzer reagiert.
Anhand des Praxistests wurde deutlich: Wenn die Verbraucher wissen möchten, was mit ihren Daten bei der kombinierten Wearable- und App-Nutzung geschieht, müssen sie einige Hürden überwinden. Denn abgesehen davon, dass einige Anbieter bis zuletzt in keiner Weise auf das Auskunftsersuchen reagierten, forderten zwei Anbieter vom Verbraucher zusätzlich weitere Informationen zur Identifikation (z.B. Produktbestellnummer/Personalausweis). Eine Antwort hierauf haben die Betroffenen bis heute nicht erhalten, obwohl die aus Sicht der Marktwächter-Experten ggf. notwendigen Informationen übermittelt wurden [3].
Die Marktwächter-Experten der Verbraucherzentrale NRW beurteilen die ausbleibenden beziehungsweise unzureichenden Antworten der Anbieter als Verstöße gegen geltendes Datenschutzrecht. Daher wurden sechs Anbieter abgemahnt, von denen vier Anbieter Unterlassungserklärungen abgegeben haben. Dies wertete die Verbraucherzentrale NRW als Erfolg im Sinne der Verbraucher. Apple als großen Anbieter im Markt haben die Marktwächter-Experten mittlerweile verklagt [3].
Fazit
Die Abmahnungen wie auch die Klage der Verbraucherzentrale NRW gegen einen großen Wearable-Anbieter zeigen, dass man den Worten Taten folgen lässt. Ausgehend von einer umfassenden Untersuchung zu den technischen und rechtlichen Aspekten der Fitness-Apps konnte die Verbraucherzentrale NRW offensichtlich genug Material sammeln, um einen Verstoß einiger Wearables-Anbieter gegen geltendes Datenschutzrecht hinreichend zu untermauern. Der Ausgang der gegen Apple gerichteten Klage dürfte wegweisend im Hinblick auf die Beurteilung von Datenschutzerklärungen bei Fitness-Apps sein.
Insgesamt zeigt sich, dass einige Wearables-Anbieter in der Vergangenheit rechtliche Grenzen zulasten der Verbraucher ausgetestet haben: Letztere waren ausgehend von intransparenten Datenschutzerklärungen oftmals nicht in der Lage, eine informierte Einwilligung zur Verarbeitung ihrer personenbezogener Daten im Rahmen der Fitness-Apps abzugeben. Es bleibt abzuwarten, ob und inwieweit an dieser Stelle auch der Gesetzgeber aktiv wird, um die Verbraucher im Hinblick auf ihre personenbezogenen Daten besser zu schützen.
Wir halten Sie über die technische und rechtliche Entwicklung zu Wearables und Fitness-Apps gerne weiter auf dem Laufenden.
Abschließend weisen wir darauf hin, dass dieser Beitrag Überlegungen und Forderungen enthält, die unsere Auffassung widerspiegeln, aber in dieser Form nicht all umfänglich in den im Beitrag und nachfolgend in den Referenzen genannten Untersuchungen der Verbraucherzentrale NRW enthalten sind.
Referenzen
[1] Blogbeitrag bei www.datenschutz-notizen.de vom 22.05.2017, Marktwächter-Studie „Wearables, Fitness-Apps und Datenschutz“, Online verfügbar unter www.datenschutz-notizen.de/marktwaechter-studie-wearables-fitness-apps-und-datenschutz-1418098/
[2] Moll, R., Schulze, A., Rusch-Rodosthenous, M., Kunke, C., & Scheibel, L. (2017). Wearables, Fitness-Apps und der Datenschutz: Alles unter Kontrolle?. Verbraucherzentrale NRW e.V. (Hrsg.), Online verfügbar unter www.marktwaechter.de/sites/default/files/downloads/mw-untersuchung_wearables_0.pdf
[3] Presseinfo der Verbraucherzentrale Nordrhein-Westfalen e.V. vom 22.11.2017: „Fitness-App-Anbieter geben kaum Auskunft für Datennutzung“, Online verfügbar unter www.verbraucherzentrale.nrw/sites/default/files/2017-11/Pressetext%20Wearables.pdf