Daten-Beschwerde gegen Fitbit - kein Opt-Out zu illegalen Datentransfers
Das Unternehmen Fitbit wurde 2021 von Google übernommen (z.B. Fitbit Versa 4 von Google bei Amazon). Der Megakonzern ist nicht gerade für seine Datensparsamkeit bekannt, und so gibt es wohl auch beim Neuerwerb jede Menge Verbesserungsbedarf. Denn das Unternehmen für Gesundheits- und Fitnessprodukte zwingt neue Nutzer dazu dem Datentransfer in Länder außerhalb der EU zuzustimmen. Selbst einen nachträglichen Widerruf zur Datensammelei und -weitergabe bietet das Unternehmen seinen Nutzern nicht an. Damit handelt der Konzern entgegen den gesetzlichen Vorgaben.
Einzige Möglichkeit dem illegalen Datentransfer in unsichere Drittländer wie den USA beizukommen, ist entweder niemals einen Account anzulegen oder diesen zu löschen. In beiden Fällen lässt sich dann das gekaufte Fitbit-Produkt nicht mehr nutzen und ist dann quasi für den Müll. Ansonsten werden Nutzer gezwungen, der Weitergabe sensibler Daten über sie zuzustimmen, ohne Informationen darüber zu erhalten, was mit diesen Daten geschieht oder in welche spezifischen Länder diese Daten abwandern. Die Einwilligung ist somit unfrei, uninformiert und unspezifisch und damit laut Datenschutzgrundverordnung (DSGVO) illegal.
Daher hat die Datenschutzorganisation noyb („none of your business“) nun Beschwerde bei den zuständigen Datenschutzbehörden gegen Fitbit eingereicht. Schaut man sich die „Datenschutzbestimmungen“ bei Fitbit an, so werden dabei hochgradig sensible Daten gesammelt, darunter die E-Mail-Adresse, das Geburtsdatum und das Geschlecht von Nutzern. Darüber hinaus kann das Unternehmen zusätzliche Daten wie „Protokolle über Essen, Gewicht, Schlaf, Wasser oder weibliche Gesundheit, einen Wecker und Nachrichten in Diskussionsforen oder an Freunde in den Diensten" weitergeben. Die Daten wandern nicht nur auf Server außerhalb der EU, sie werden auch an unbekannte Drittunternehmen weitergereicht.
Ebenfalls heikel: Die drei BeschwerdeführerInnen machten bei Fitbits Datenschutzbeauftragten Gebreuch von ihrem Auskunftsrecht, in allen drei Fällen gab es jedoch keine Antwort. Jetzt drohen dem Unternehmen deftige Geldstrafen, da der Jahresumsatz des Mutterkonzerns Alphabet als Maßstab für eine Strafzahlung angelegt wird. Die Datenschutzbehörden wurden aufgefordert Fitbit zur Teilung der Informationen zur Datenübertragung zu verpflichten. Die Nutzung der Fitbit-App müsse auch ohne verpflichtende Datentransfers möglich sein, so noyb. Oder wie es ein Datenschutzjurist bei noyb ausdrückt:
"Fitbit möchte, dass Sie einen Blankoscheck für Datentransfers in die ganze Welt ausstellen. Das Unternehmen sammelt hochsensible Gesundheitsdaten. Es ist erstaunlich, dass es nicht einmal versucht, die Verwendung dieser Daten gesetzeskonform zu erklären."