Wearables und dazugehörige Apps aus Sicht des Datenschutzes
Wearables, sprich am Körper tragbare Gadgets, die verschiedenste Messdaten erheben, sind nach wie vor populär. Die Messungen werden immer präziser und vielfältiger. Die durch Wearables erhobenen Daten dienen dabei nicht nur dem Nutzer, sondern können auch von den Anbietern oder Dritten zu Marketing- oder Forschungszwecken eingesetzt werden. Hinsichtlich Datenschutz kommt Nutzern die schwierige Aufgabe zu, unter den Wearables und deren Anbietern die Spreu vom Weizen zu trennen.
Wearables sind heute aus den Bereichen Lifestyle und Sport nicht mehr wegzudenken. Die bekanntesten Beispiele sind Smartwatches und Fitnessarmbänder. Wearables werden in der Regel mit einer App genutzt, über welche die Messdaten gespeichert und ausgewertet werden können. Im Laufe der Nutzung des Wearables kann sich eine beträchtliche Datenmenge, auch sensibler Natur, ansammeln. Vonseiten der Datenschützer wird insbesondere die fehlende Transparenz bei einzelnen Anbietern über das tatsächliche Ausmass ihrer Datenbearbeitung kritisiert. Bei Apps hat sich gezeigt, dass sich durch die Hintertür auch Zugriff auf etwa Kontaktdaten oder Standortdaten verschaffen lässt auch ausserhalb der Inbetriebnahme von App und Wearable.
Regelungen in der EU-DSGVO
Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) enthält zwei Regelungen, die für Wearables und dazugehörige Apps von besonderem Interesse sind: die Prinzipien Privacy by Design/Privacy by Default sowie das Recht auf Datenportabilität. Privacy by Design verlangt nach einer datenschutzfreundlichen Ausgestaltung der einem Produkt zugrundeliegenden Technik, Privacy by Default die datenschutzfreundliche Ausgestaltung von Werkseinstellungen. Das Recht auf Datenportabilität beabsichtigt, sogenannte Lock-in-Effekte zu verhindern und Nutzern einen Anbieterwechsel inklusive Datenmigration zu ermöglichen.
Die Situation im Schweizer Datenschutzrecht
Der Entwurf zum revidierten Schweizer Datenschutzgesetz sieht die Einführung von Privacy by Design und Privacy by Default, nicht aber ein Recht auf Datenportabilität vor. Schon im geltenden Schweizer Datenschutzrecht gelten auch für Wearables und die dazugehörigen Apps die allgemeinen Grundsätze von Transparenz, Zweckbindung und Verhältnismässigkeit. Anbieter sind folglich verpflichtet, spätestens bei Erhebung personenbezogener Daten transparent darüber zu informieren, welche Daten sie bearbeiten. In Kombination mit dem Zweckbindungsgrundsatz bedeutet dies auch, dass der Nutzer in transparenter und klarer Weise über die Bearbeitungszwecke informiert werden muss. Der Grundsatz der Verhältnismässigkeit ist eigentlich sehr ähnlich zum Ansatz Privacy by Design und verlangt, dass nur jene Daten bearbeitet werden, die für das Erreichen des jeweiligen Zwecks notwendig sind. Sollen personenbezogene Daten auch unternehmenseigenen Zwecken des Anbieters oder Zwecken Dritter dienen, muss dies klar kommuniziert und im Regelfall die Zustimmung des Nutzers eingeholt werden.
Pflichtlektüre Datenschutzerklärung
Die Information zur konkreten Datenerhebung und -bearbeitung erfolgt üblicherweise in der Datenschutzerklärung, die dem Nutzer bei der Installation oder beim Herunterladen der App angezeigt wird. Der Grossteil der Nutzer installiert Wearables und dazugehörige Apps, ohne sich über die konkrete Datenerhebung und -bearbeitung zu informieren. Informationelle Selbstbestimmung bedeutet aber auch Aktivierung des Bewusstseins bezüglich Sensibilität der eigens zur Verfügung gestellten Daten. Im Zweifelsfall ist ein Verzicht auf Nutzung einer datenschutzrechtlich fragwürdigen Dienstleistung nämlich das effektivste Mittel für den Datenschutz.