Gütsel RSS Feed
Noyb: Fitbit ist nutzlos – außer man akzeptiert illegale Datentransfers
Wien, 31. August 2023
Noyb hat heute drei Beschwerden gegen #Fitbit in #Österreich, den Niederlanden und in Italien eingereicht. Das beliebte Gesundheits und Fitnessunternehmen, das 2021 von #Google übernommen wurde, zwingt neue App Nutzer dazu, den Datentransfers in Länder außerhalb der EU zuzustimmen. Entgegen den gesetzlichen Vorgaben haben die Nutzer:innen nicht einmal die Möglichkeit, ihre Zustimmung zu widerrufen. Stattdessen müssen sie ihr Konto vollständig löschen, um die illegale Verarbeitung zu stoppen.
-
Beschwerde bei der österreichischen Datenschutzbehörde (Deutsch)
-
Beschwerde bei der niederländischen Datenschutzbehörde (Holländisch)
-
Beschwerde bei der niederländischen Datenschutzbehörde auf Englisch (maschinell übersetzt)
-
Beschwerde bei der italienischen Datenschutzbehörde (Italienisch)
Es ist unmöglich, die #Datentransfers zu umgehen. Bei der Einrichtung eines Fitbit Kontos müssen europäische Nutzer »der Ãœbertragung ihrer Daten in die Vereinigten Staaten und andere Länder mit anderen Datenschutzgesetzen zustimmen«. Mit anderen Worten: Fitbit zwingt seine Nutzer, der Weitergabe sensibler Daten zuzustimmen, ohne klare Informationen über die möglichen Folgen oder die spezifischen Zielländer der Datentransfers bereitzustellen. Dies führt zu einer Einwilligung, die weder frei, informiert noch spezifisch ist – wodurch sie eindeutig nicht den Anforderungen der #Datenschutzgrundverordnung (DSGVO) entspricht.
Hochgradig persönliche Informationen
Unter den geteilten Daten befinden sich laut Fitbits Datenschutzrichtline nicht nur die E Mail Adresse, das Geburtsdatum und das Geschlecht von Nutzer:innen. Das Unternehmen kann auch »Daten wie Protokolle über #Essen, #Gewicht, #Schlaf, #Wasser oder weibliche Gesundheit, einen Wecker und Nachrichten in Diskussionsforen oder an Freunde in den Diensten« weitergeben. Die gesammelten Daten können sogar zur Verarbeitung an Drittunternehmen weitergegeben werden, von denen wir nicht wissen, wo sie sich befinden. Darüber hinaus ist es für Nutzer:innen unmöglich herauszufinden, welche ihrer Daten überhaupt betroffen sind. Alle 3 Beschwerdeführer machten bei #Fitbits Datenschutzbeauftragten von ihrem Auskunftsrecht Gebrauch – ohne jemals eine Antwort zu erhalten.
Maartje de Graaf, Datenschutzjuristin bei Noyb: »Zuerst kauft man eine Fitbit Uhr für mindestens 100 Euro. Dann meldet man sich für ein kostenpflichtiges Abonnement an – nur um festzustellen, dass man ›freiwillig‹ der Datenweitergabe an Empfänger auf der ganzen Welt zustimmen muss. Fünf Jahre nach Inkrafttreten der DSGVO versucht Fitbit immer noch, einen ›take it or leave it‹ Ansatz durchzusetzen.«
»Take it or leave it«. Die #DSGVO gibt allen Nutzern das Recht, ihre Einwilligung zu Datentransfers zu widerrufen. Dadurch erhalten sie die Möglichkeit, ihre Meinung im Nachhinein zu ändern. Zumindest theoretisch. Fitbit hält in seinen Datenschutzrichtlinien fest: Wenn eine Person ihre Einwilligung widerrufen möchte, muss sie ihr Konto löschen. Für die Verbraucher:innen bedeutet das den Verlust aller zuvor aufgezeichneten Trainings und Gesundheitsdaten. Diese Regel greift sogar dann, wenn man ein Premium Abonnement für 79,99 Euro pro Jahr abschließt. Es gibt also keine realistische Möglichkeit, die Kontrolle über die eigenen Daten zurückzugewinnen, ohne das Produkt unbrauchbar zu machen. Dabei sind diese Funktionen der Hauptgrund für den Kauf einer Fitbit.
Bernardo Armentano, Datenschutzjurist bei Noyb: »Fitbit möchte, dass Sie einen Blankoscheck für Datentransfers in die ganze Welt ausstellen. Das Unternehmen sammelt hochsensible Gesundheitsdaten. Es ist erstaunlich, dass es nicht einmal versucht, die Verwendung dieser Daten gesetzeskonform zu erklären.«
Massive #Datentransfers sind verboten. Selbst wenn es eine Möglichkeit zum Widerruf der Zustimmung gäbe, würde Fitbit dem europäischen Datenschutzrecht noch immer nicht entsprechen. Die DSGVO legt eindeutig fest, dass die Einwilligung von Nutzern nur als Ausnahme vom Datenübermittlungsverbot in Nicht EU Länder verwendet werden darf. Eine gültige Rechtsgrundlage ist sie deshalb nur im Falle gelegentlicher und nicht wiederholter Datenübermittlungen. Fitbit nutzt die Einwilligung seiner Nutzer allerdings für die routinemäßige Weitergabe aller #Gesundheitsdaten.
Romain Robert, einer der Beschwerdeführer: »Fitbit mag eine nette #App sein, um meine Fitness zu tracken. Sobald ich aber mehr darüber erfahren will, wie mit meinen Daten umgegangen wird, muss ich mich auf einen #Marathon gefasst machen.«
Mögliche Milliardenstrafe
Noyb fordert die zuständigen Datenschutzbehörden dazu auf, Fitbit anzuweisen, alle obligatorischen Informationen über die Datenübertragungen mit seinen Nutzer:innen zu teilen. Die Nutzung der Fitbit App muss auch ohne verpflichtende Datentransfers möglich sein. Ausgehend von Alphabets (Muttergesellschaft von #Google) Jahresumsatz 2022 könnten die zuständigen Behörden eine Geldstrafe von bis zu 11,28 Milliarden Euro verhängen.
Gütsel Webcard, mehr …
Noyb, European Center for Digital Rights
Goldschlagstraße 172/4/2
1140 Wien, Austria
E-Mail info@noyb.eu
www.noyb.eu
