Du nutzt oder willst einen Schrittzähler, eine Smartwatch oder einen Fitness-Tracker kaufen. Dann stellst du dir sicher Fragen zum Datenschutz. Zum Beispiel: Teilt der Hersteller meine Bewegungsdaten mit Versicherungen? Verkauft er meine Daten an Datenhändler? Können aus meinen Schritten sensible Gesundheitsinformationen abgeleitet werden? Solche Sorgen sind berechtigt. Viele Wearables senden mehr als nur Schrittzahlen. Sie erfassen Herzfrequenz, Schlafmuster und GPS-Daten. Kombiniert ergeben diese Daten oft ein genaues Bild deiner Gesundheit und deines Lebensstils.
In diesem Artikel lernst du konkret, wie Hersteller mit Nutzungsdaten umgehen. Du erfährst, welche Arten von Daten häufig gesammelt werden. Du erfährst, wann und wie Daten an Dritte weitergegeben werden können. Du bekommst Hinweise, wie du Prüfpunkte in den Datenschutzeinstellungen findest. Du lernst, welche Formulierungen in einer Datenschutzerklärung kritisch sind. Du bekommst einfache technische und vertragliche Schritte, um die Datenteilung zu begrenzen.
Am Ende kannst du besser entscheiden, welches Gerät zu deinen Datenschutzanforderungen passt. Oder du erkennst, welche Kompromisse du bewusst eingehen musst. Mögliche folgende Kapitel sind zum Beispiel: Wie Hersteller Daten erfassen, Weitergabe an Versicherungen, Datenhandel und Broker, Rechtliche Grundlagen, Datenschutzeinstellungen prüfen, technische Maßnahmen und eine Checkliste zum Kauf.
Technische und praktische Grundlagen: Welche Daten entstehen und wie sie fließen
Moderne Schrittzähler und Wearables sammeln mehr als nur Schritte. Viele Geräte messen auch Puls, Schlafphasen, Kalorien, Standort und Bewegungsarten. Die Rohdaten stammen meist von Sensoren wie dem Beschleunigungssensor (Accelerometer), dem Gyroskop und optischen Pulssensoren (PPG). Aus diesen Messwerten leiten Hersteller weitere Werte ab. Dazu gehören Schrittlänge, Aktivitätsdauer und Zeitpunkt deiner Aktivitäten.
Welche Arten von Nutzungsdaten gibt es?
Typische Datentypen sind:
- Bewegungsdaten: Schritte, zurückgelegte Strecken, Aktivitätsarten.
- Physiologische Daten: Herzfrequenz, Ruhepuls, Herzfrequenzvariabilität.
- Schlafdaten: Einschlaf- und Aufwachzeiten, Tief- und Leichtschlafphasen.
- Standortdaten: GPS-Tracks oder grobe Ortung.
- Metadaten: Zeitstempel, Gerätetyp, Firmware-Version, Nutzer-ID.
Wie werden Daten übertragen und gespeichert?
In der Regel verbindet sich das Wearable per Bluetooth LE mit dem Smartphone. Das Smartphone synchronisiert die Daten dann mit einem Cloud-Dienst über das Internet. Die Cloud speichert Daten in Datenbanken. Hersteller nutzen APIs und oft auch SDKs von Drittanbietern für Analyse und Funktionen. Dabei können Analyseplattformen und externe Server eingebunden werden.
Datenübertragung sollte mit TLS verschlüsselt sein. Gespeicherte Daten können ebenfalls verschlüsselt werden. Aber nicht alle Anbieter verschlüsseln überall. Backups und Server-Standorte beeinflussen, wer potenziell Zugriff hat.
Anonymisiert versus pseudonymisiert
Anonymisiert heißt, dass Daten so verändert wurden, dass eine Rückführung auf eine Person praktisch ausgeschlossen ist. Das ist schwer zu garantieren. Kombinationen aus Zeitstempeln und Standort können reidentifizieren. Pseudonymisiert bedeutet, dass direkte Identifikatoren entfernt sind. Es gibt aber einen Schlüssel oder eine Verbindung, mit der die Daten wieder einer Person zugeordnet werden können. Pseudonymisierte Daten bieten weniger Schutz als anonymisierte.
Wichtige Begriffe kurz erklärt
- Telemetrie: Automatisch gesendete Nutzungs- und Zustandsdaten, etwa zur Fehlerdiagnose oder Produktverbesserung.
- Datenbroker: Firmen, die gesammelte Daten kaufen, anreichern und weiterverkaufen.
- Tracking-ID: Eindeutige Kennung wie UUID oder Werbe-ID. Sie verbindet Datensätze über Dienste hinweg.
Wenn du verstehst, welche Daten entstehen und wie sie fließen, kannst du Datenschutzhypothesen besser einschätzen. Im nächsten Teil schauen wir an, wie Hersteller Daten mit Dritten teilen und welche Risiken konkret bestehen.
Rechtlicher Rahmen in der EU und Deutschland
Wenn ein Hersteller Daten deines Schrittzählers verarbeitet, gilt die DSGVO. Sie schützt persönliche Daten und legt Pflichten für Verantwortliche fest. Das gilt auch, wenn ein Cloud-Dienst oder ein Datenanalyse-Anbieter eingebunden ist. Du solltest wissen, welche Regeln hier relevant sind. Das hilft dir, Anbieter besser einzuschätzen.
Grundprinzipien der DSGVO
Wichtige Prinzipien sind Zweckbindung, Datenminimierung und Rechtmäßigkeit. Daten dürfen nur für festgelegte Zwecke erhoben werden. Es darf nur so viel Daten geben wie nötig. Als Rechtsgrundlage kommt zum Beispiel eine Einwilligung in Frage. Dann muss sie freiwillig, informiert und widerrufbar sein. Andere Rechtsgrundlagen sind Vertragserfüllung oder berechtigtes Interesse. Bei berechtigtem Interesse muss der Nutzen gegen deine Rechte abgewogen werden.
Besondere Regelungen für Gesundheitsdaten
Gesundheitsdaten gehören zu den besonders schützenswerten Daten. Für ihre Verarbeitung verlangt die DSGVO meist eine ausdrückliche Einwilligung oder eine andere klare Rechtsgrundlage. Hersteller müssen sehr genau begründen, warum sie solche Daten verarbeiten. Versicherungen haben für die Nutzung solcher Daten zusätzliche rechtliche und ethische Hürden. Sei vorsichtig, wenn Anbieter indirekt Gesundheitsprofile aus Aktivitätsdaten erstellen.
Auftragsverarbeitung und gemeinsame Verantwortlichkeit
Wenn ein Hersteller einen externen Dienstleister nutzt, spricht man von Auftragsverarbeitung. Dafür ist ein Vertrag nötig, der Sicherheits- und Kontrollpflichten regelt. Wenn zwei Parteien gemeinsam über Zwecke und Mittel entscheiden, liegt eine gemeinsame Verantwortlichkeit vor. In diesem Fall müssen die Verantwortlichkeiten für Betroffenenrechte klar geregelt sein.
Informationspflichten und Betroffenenrechte
Hersteller müssen Nutzer klar und verständlich informieren. Dazu gehören Zweck der Verarbeitung, Empfänger, Speicherdauer und deine Rechte. Du hast das Recht auf Auskunft, Berichtigung und Löschung. Du kannst die Verarbeitung einschränken oder der Verarbeitung widersprechen. Du kannst Daten in einem gängigen Format anfordern. Bei Einwilligung kannst du sie jederzeit widerrufen.
Konsequenzen für Hersteller und Betroffene
Verstöße können teuer werden. Die DSGVO sieht hohe Bußgelder vor. Zudem drohen Abmahnungen, Schadensersatzansprüche und Reputationsschaden. Für dich als Betroffenen bedeutet das: Du kannst Beschwerden bei der Datenschutzaufsichtsbehörde einreichen. Du kannst Auskunft und Löschung fordern. Prüfe die Datenschutzerklärung. Achte auf die Rechtsgrundlage, auf Empfänger und auf Hinweise zu Drittlandtransfer.
Vergleich: Wie verbreitete Hersteller mit Nutzungsdaten umgehen
Hier findest du einen kompakten Überblick, damit du Datenpraktiken verschiedener Hersteller besser einschätzen kannst. Die Tabelle zeigt typische Datentypen, ob Cloud-Speicherung üblich ist, ob Sharing mit Drittanbietern oder Versicherungen dokumentiert ist, ob Opt-out oder Anonymisierungsoptionen angeboten werden und kurze Hinweise zur Datenschutzerklärung. Die Tabelle ist als maximal 833px breit anzulegen.
| Hersteller | Datentypen | Cloud-Speicherung | Sharing mit Drittanbietern/Versicherungen | Opt-out / Anonymisierung | Hinweise zur Datenschutzerklärung |
|---|---|---|---|---|---|
| Fitbit (Google) | Schritte, Herzfrequenz, Schlaf, Kalorien, ggf. Standort | Ja. Fitbit Cloud. Sync über Smartphone. | Teilt mit Dienstleistern und Partnern. Forschung nur mit Einwilligung. Google erklärte, Fitbit-Daten nicht für Google-Werbung zu nutzen. | Einstellungen für Community-Features und Forschung. Konto löschen möglich. | Datenschutzerklärung nennt Verarbeitungszwecke und Drittanbieter. Prüfe Einwilligungen. |
| Garmin | Schritte, GPS-Tracking, Herzfrequenz, Schlaf | Ja. Garmin Connect Cloud. | Integrationen und APIs ermöglichen Datenweitergabe. Direkte Nutzung durch Versicherer in der Regel nur mit Zustimmung. | Datensichtbarkeit und App-Berechtigungen anpassbar. Export und Löschung möglich. | Privacy Policy nennt Drittanbieter und technische Partner. Achte auf App-Integrationen. |
| Withings | Schritte, Gewicht, Herzfrequenz, Schlaf, ggf. Blutdruck | Ja. Withings Cloud (EU-Server für EU-Kunden in vielen Fällen). | Forschung und Studien meist nur mit ausdrücklicher Einwilligung. Partnerzugriffe möglich. | Opt-ins für Forschung. Datenexport und Löschung verfügbar. | Betont DSGVO-Konformität und Nutzerrechte. Lies die Angaben zu Drittlandtransfer. |
| Xiaomi | Schritte, Herzfrequenz, Schlaf; Modellabhängig auch Standort | Ja. Daten werden in Cloud-Services gespeichert. Serverstandorte variieren. | Datenaustausch mit Drittanbietern möglich. Privacy-Reports deuten auf weniger transparente Praxis bei einigen Diensten hin. | Begrenzte Opt-out-Möglichkeiten je nach App und Region. Konto-Deaktivierung/ Löschung meist möglich. | Datenschutzerklärung nennt Weitergabe an Partner. Prüfe Serverstandorte und lokale Regelungen. |
| Apple (Watch + Health) | Schritte, Herzfrequenz, Schlaf, Gesundheitsdaten über HealthKit | Primär lokal auf dem Gerät. iCloud-Sync optional. Health-Daten sind bei iCloud-Backup end-to-end verschlüsselbar. | Teilen an Dritte nur mit expliziter Nutzerzustimmung. Apple betont, dass es keine Daten an Werbenetzwerke verkauft. | Feine Steuerung über HealthKit-Berechtigungen. Data-Export und Löschung möglich. | Privacy-Statements heben Minimierung und Verschlüsselung hervor. Prüfe App-Berechtigungen. |
Zusammenfassung: Hersteller unterscheiden sich deutlich in Architektur und Transparenz. Apple legt den Fokus auf lokale Speicherung und strikte Kontrollen. Bei Fitbit, Garmin, Withings und Xiaomi werden Daten üblicherweise in Clouds gespeichert und können über Partner weitergeleitet werden. Prüfe vor dem Kauf die Datenschutzerklärung und die Einstellmöglichkeiten im Konto.
Entscheidungshilfe: Sollst du die Nutzung deiner Schrittzählerdaten erlauben?
Fragen und Orientierung
Welche Daten werden genau geteilt und wofür?
Prüfe zuerst die Datenschutzerklärung. Achte auf konkrete Begriffe wie Herzfrequenz, GPS oder Schlafdaten. Suche nach Verarbeitungszwecken. Werden Daten für Forschung genannt oder für Werbung? Wenn Zwecke unklar oder sehr allgemein sind, ist Vorsicht geboten. Frage beim Support nach, wenn du etwas nicht verstehst.
Wer erhält die Daten und können Versicherungen darauf zugreifen?
Schau nach Nennungen von Partnern, Datenbrokern oder API-Integrationen. Verträge mit Drittanbietern ermöglichen oft Zugriff. Versicherungen benötigen in der Regel deine Einwilligung oder eine rechtliche Grundlage. Vermeide, Daten direkt mit Versicherern zu verknüpfen, wenn du keine Vorteile daraus ziehst.
Wie leicht lässt sich die Weitergabe verhindern oder Daten löschen?
Prüfe App-Einstellungen und Kontoverwaltung. Gibt es Optionen zum Deaktivieren der Cloud-Synchronisation? Bietet der Anbieter Export und Löschung an? Pseudonymisierung ist besser als gar nichts. Vollständige Anonymisierung ist selten garantiert.
Praktische Empfehlungen
Prüfe alle App-Berechtigungen. Deaktiviere Standortfreigabe, wenn du sie nicht brauchst. Vermeide Drittanbieter-Integrationen. Richte ein separates Konto ein, falls möglich. Lade und archiviere regelmäßig deine Daten. Lies Passagen zur Weitergabe an Dritte und zu Drittlandtransfers. Dokumentiere Einwilligungen. Fordere bei Bedarf Auskunft oder Löschung an.
Unsicherheiten
Daten können durch Kombination reidentifizierbar werden. Rechtliche Rahmen ändern sich. Firmenfusionen können Datenpraxis beeinflussen. Behalte diese Unsicherheiten im Hinterkopf. Handle eher vorsichtig, wenn du empfindliche Gesundheitsdaten befürchtest.
Fazit
Wenn dir Datenschutz wichtig ist, erlaube nur das Nötigste. Prüfe Einstellungen und die Datenschutzerklärung. Verweigere die Weitergabe an Versicherer, solange kein klarer Nutzen und keine sichere Garantie bestehen. So triffst du eine informierte Entscheidung und behältst die Kontrolle über deine Daten.
Häufige Fragen
Können Hersteller Daten an Versicherungen verkaufen?
Das ist theoretisch möglich. Versicherungen benötigen für die Nutzung von Gesundheitsdaten meist eine klare Rechtsgrundlage. In vielen Fällen ist dafür deine ausdrückliche Einwilligung nötig. Hersteller arbeiten zudem mit Datenbrokern und Analysepartnern zusammen, die Daten weiterreichen können.
Muss ich der Weitergabe zustimmen?
Bei sensiblen Gesundheitsdaten ist in der Regel eine ausdrückliche Einwilligung erforderlich. Für weniger sensible Daten können andere Rechtsgrundlagen wie Vertragserfüllung oder berechtigtes Interesse greifen. Eine Einwilligung muss informiert und jederzeit widerrufbar sein. Beachte: Widerruf kann Funktionen der App einschränken.
Welche Daten gelten als besonders sensibel?
Besonders schützenswert sind Herzfrequenz, Schlafmuster und Gesundheitsdiagnosen. Genaue Standortdaten in Verbindung mit Zeitstempeln sind ebenfalls kritisch. Oft lassen sich aus scheinbar harmlosen Messwerten Gesundheitsprofile ableiten. Solche Daten fallen unter die strikteren Regeln der DSGVO.
Wie kann ich die Weitergabe meiner Daten verhindern?
Prüfe App-Berechtigungen und deaktiviere Standort oder Sensorzugriff, wenn du sie nicht brauchst. Schalte Cloud-Sync aus oder nutze lokale Speicherung, sofern möglich. Lies die Datenschutzerklärung und widerrufe Einwilligungen, die du nicht möchtest. Lösche oder exportiere dein Konto, wenn du die Kontrolle komplett zurückhaben willst.
Was kann ich tun, wenn meine Daten ohne Erlaubnis geteilt wurden?
Fordere zunächst Auskunft beim Anbieter über die verarbeiteten Daten und Empfänger. Nutze deine DSGVO-Rechte auf Löschung und Einschränkung der Verarbeitung. Reiche bei Bedarf eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde ein. Bewahre alle Nachrichten und Belege, falls rechtliche Schritte nötig werden.
Do’s & Don’ts: So verhinderst du Weitergabe von Schrittzählerdaten
Mit ein paar gezielten Maßnahmen reduzierst du das Risiko, dass Gesundheits- oder Bewegungsdaten an Dritte oder Versicherungen gelangen. Die folgenden Empfehlungen sind praktisch und schnell umsetzbar.
| Do | Don’t | Kurzbegründung |
|---|---|---|
| Prüfe Datenschutzeinstellungen in App und Konto | Akzeptiere Standardzustimmungen ungeprüft | Viele Optionen sind abschaltbar. So begrenzt du unnötige Weitergaben. |
| Deaktiviere Standort wenn du ihn nicht brauchst | Erlaube permanent GPS-Zugriff | Standortdaten machen Profile sehr eindeutig. Ohne GPS ist Reidentifikation schwerer. |
| Nutze lokale Speicherung statt Cloud, wenn möglich | Lasse immer die Cloud-Synchronisation aktiviert | Cloud bedeutet mehr Server, mehr Partner und mehr Übertragungswege. |
| Beschränke Drittanbieter-Integrationen und verbinde nur nötige Dienste | Verknüpfe viele Apps und Services ohne Prüfung | Jede Integration erhöht die Zahl möglicher Datenempfänger. |
| Dokumentiere Einwilligungen und prüfe sie regelmäßig | Alte Konten und alte Einwilligungen ignorieren | Du kannst Einwilligungen widerrufen. Alte Zugriffe bleiben sonst bestehen. |