Seit jeher misst und bewertet der Mensch seine körperlichen Merkmale und Leistungen mit Zahlen. Dieser Prozess, der einst mit herkömmlichen Körperwaagen, Papierkalendern und Maßbändern begann, hat sich durch die fortschreitende Digitalisierung erheblich erweitert. In der heutigen Zeit stehen uns zusätzlich vielfältige digitale Selbstvermessungstools zur Verfügung, einschließlich der Nutzung von sogenannten Wearables.
Wearables sind elektronische Geräte, also kleine Computersysteme, die am Körper getragen werden und haben eine Vielzahl von Funktionen und Einsatzgebieten. Die bekanntesten Wearables sind wohl Smartwatches, Fitnessarmbänder und im medizinischen Bereich, die sog. Bio-Sensor-Wearables.
Sie sind in unser tägliches Leben integriert und bieten innovative Lösungen für persönliche und berufliche Herausforderungen – dabei werden jedoch auch eine Menge Daten verarbeitet. Es ist daher wichtig zu wissen, wie aus datenschutzrechtlicher Sicht mit Wearables umzugehen ist. Was Du darüber wissen musst, erfährst Du in diesem Beitrag.
Du hast konkrete Fragen zur Nutzung von Wearables oder suchst einen kompetenten Ansprechpartner im Datenschutz? Durch unser breit aufgestelltes Team mit umfassender Fachkompetenz in der Datenschutzberatung und Informationssicherheitsberatung unterstützen wir Dich und Dein Unternehmen bei allen offenen Fragen. Vereinbare jetzt ein unverbindliches Erstgespräch mit unseren Experten.
Wearables: Was sind die Chancen?
Wearables bieten zahlreiche Vorteile und haben schon bereits in vielen Branchen Anwendung gefunden – darunter Sport, Unterhaltung und Mode. Vor allem aber revolutionieren sie das Gesundheitswesen.
Sie ermöglichen es Nutzern, ihre Gesundheit und Fitness zu überwachen, was zu einem bewussteren Lebensstil führen kann. Im medizinischen Bereich können sogenannte Bio-Sensor-Wearables eingesetzt werden, die unter anderem eine frühzeitige Erkennung von Krankheiten ermöglichen. Die Einsatzmöglichkeiten von Wearables sind noch lange nicht ausgeschöpft.
Wo liegen die datenschutzrechtlichen Risiken?
Damit Wearables effektiv eingesetzt werden können, führt kein Weg an der Verarbeitung von personenbezogenen Daten vorbei. Wearables sammeln eine Vielzahl an Daten, darunter häufig Daten zur Person, Bewegungs- und Standortdaten, Daten zum Schlafrhythmus, Umweltdaten oder biometrische Daten. Die Erhebung und Verarbeitung dieser Daten erfolgt über entsprechende Apps, die es ermöglichen, dass Wearables den Funktionen, die sie anbieten, überhaupt nachgehen können. Dies wirft Fragen bezüglich der Datensicherheit und des Datenschutzes auf – denn wenn unbefugte Dritte Zugriff erhalten, können diese auf persönliche Informationen über die Nutzer zugreifen.
Das sind einige Risiken, die sich aus der Nutzung von Wearables ergeben können:
Wearables können gehackt oder anderweitig kompromittiert werden, was zu Datenschutzverletzungen führen kann, indem persönliche Daten und andere sensible Informationen in die falschen Hände gelangen.
Es ist wichtig z.B. vom Datenschutzbeauftragten zu überprüfen, ob Hersteller von Wearables und die damit verbundenen Dienstleistungsanbieter die gesammelten Daten für kommerzielle Zwecke nutzen, ohne die ausdrückliche Zustimmung der Benutzer einzuholen.
Es ist oft unklar, wie genau die gesammelten Daten verwendet und geteilt werden. Die Nutzer könnten möglicherweise nicht umfassend darüber informiert sein, wie mit ihren Daten umgegangen wird, was ihre Entscheidungsfreiheit beeinträchtigen könnte, zuzustimmen oder abzulehnen:
Wearables können oft Daten an Dritte übertragen, wie zum Beispiel App-Entwickler oder Gesundheitsdienstleister. Die Offenlegung dieser Informationen bedarf einer Rechtsgrundlage.
Rechtliche Compliance: Unternehmen, die Wearables für Mitarbeiter einsetzen, müssen sicherstellen, dass sie die Datenschutzgesetze und -vorschriften einhalten, insbesondere wenn es um die Verarbeitung von Mitarbeiterdaten geht.
Wearables können mittels Sensoren auch Gesundheitsdaten erfassen. Hierzu zählen unter anderem Bewegungsdaten, Herzfrequenz, Blutsauerstoffsättigung, Atemfrequenz, Körpertemperatur sowie Daten über die psychische Gesundheit, Vitalparameter, medizinische Verlaufsdaten und Krankenversicherungsdaten. Diese sind in der Datenschutz-Grundverordnung (DSGVO) besonders geschützt und die Erhebung von solchen Daten ist sogar grundsätzlich untersagt (Art. 9 Abs. 1 DSGVO).
Von diesem grundsätzlichen Verbot macht das Gesetz allerdings Ausnahmen, zum Beispiel wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt. Der Nutzer muss über die Verarbeitung ausführlich informiert werden und die Einwilligung freiwillig abgeben (Art. 9 Abs. 2 lit. a DSGVO). Das setzt eine transparente Kommunikation über die Datennutzung voraus, was in der Regel über die Datenschutzerklärung des Anbieters erfolgt.
Immer häufiger verwenden auch Minderjährige Wearables. Die DSGVO bietet hier einen besonderen Schutz, da Minderjährige sich über die Risiken, Folgen und Garantien der Geräte und über ihre eigenen Rechte bei der Verarbeitung personenbezogener Daten möglicherweise nicht bewusst sind (Art. 8 DSGVO). Bei Kindern unter 16 Jahren ist eine Einwilligung durch die Eltern erforderlich.
Auch wenn die Anbieter von Wearables ihren Sitz im Ausland haben, ist die DSGVO anwendbar, solange sich das Angebot an Verbraucher in der EU richtet. Für Datenübertragungen in Drittländer, sind die Voraussetzungen der Art. 44 ff. DSGVO erforderlich. Eine sichere Datenübertragung in die USA ist seit dem EU-US Data-Privacy-Framework wieder möglich.
Wearables in Unternehmen: Das müssen Arbeitgeber beachten
Auch am Arbeitsplatz werden Wearables zunehmend eingesetzt und werden immer beliebter für Arbeitgeber. So können Wearables Arbeitsabläufe optimieren, Mitarbeitern Tools für ein effizienteres Arbeiten bieten und insbesondere Gesundheitsgefahren der Beschäftigten minimieren.
Doch auch hier zeigen sich die Schattenseiten der neuen Technologie: Es können eine Vielzahl von personenbezogenen Daten verarbeitet werden. Hierzu zählen
Standortdaten des Mitarbeiters, mit deren Hilfe Bewegungsprofile erstellt werden können,
Nutzeridentifikationsdaten, wenn Wearbales dazu verwendet werden, die Identität eines Benutzers zu verifizieren,
Leistungsdaten über die Beschäftigten (z. B. Arbeitszeiten, Pausenverhalten und Effizienz).
Zum Schutz der Beschäftigten (z. B. Arbeitssicherheit, Gesundheitsvorsorge) können sensible Gesundheitsdaten verarbeitet werden, was jedoch bedeutet, dass die speziellen Anforderungen der DSGVO an diese erfüllt werden müssen (siehe oben).
Neben der Einwilligung sollten in Beschäftigungsverhältnissen außerdem Vorschriften des Bundesdatenschutzgesetzes (BDSG) eingehalten werden. So sieht § 26 Abs.1 BDSG vor, dass die Verarbeitung von Beschäftigtendaten im Rahmen der Nutzung von Wearables erforderlich und im Übrigen verhältnismäßig sein muss, was je nach Einzelfall entschieden wird. Wenn das Unternehmen einen Betriebsrat hat, muss dieser zudem mit in die Einführung technischer Einrichtungen eingebunden werden (§ 87 Abs. 1 Nr. 6 BetrVG).
Um das Transparenzgebot der DSGVO einzuhalten, sollten die Beschäftigten im Rahmen von Datenschutzhinweisen auf die Datenverarbeitung hingewiesen und informiert werden. Wenn neue Technologien im Betrieb eingesetzt werden, ist eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO). Dabei erfolgt eine ausführliche Risikobewertung.
Die Zukunft der Wearable-Technologie
Die Zukunft der Wearables sieht vielversprechend aus, mit Trends hin zu noch mehr Integration in den Alltag, verbesserten Gesundheitsüberwachungsfunktionen und innovativen Anwendungen in verschiedenen Branchen.
Mit der Weiterentwicklung der Wearable-Technologie sind die Möglichkeiten endlos.
Wearables bieten eine aufregende Mischung aus Technologie und Praktikabilität, stehen aber auch vor Herausforderungen, insbesondere im Bereich des Datenschutzes. Ihre Zukunft ist eng mit der Entwicklung sicherer und benutzerfreundlicher Lösungen verbunden, die Datenschutz und Funktionalität in Einklang bringen.
Du benötigst Unterstützung? Unser Team besteht aus Juristen, Datenschutzbeauftragten, Auditoren, IT-Sicherheitsberatern und Risk Managern, die im gesamten Bundesgebiet und in Luxemburg für Dich tätig werden. Als spezialisierte Unternehmensberater unterstützen wir Dich ganzheitlich bei den Themen Datenschutz, Informationssicherheit und Cybersicherheit. Komm jederzeit für ein unverbindliches Erstgespräch auf uns zu.