Das zu Google gehörende Unternehmen Fitbit sieht sich in der Europäischen Union mit drei Datenschutzbeschwerden konfrontiert, denen zufolge das Unternehmen illegal Benutzerdaten exportiert und damit gegen die Datenschutzbestimmungen der Union verstößt.
Die Beschwerden zielen auf die Behauptung von Fitbit ab, dass Benutzer der internationalen Übermittlung ihrer Daten – in die USA und anderswo – zugestimmt hätten, und argumentieren, dass das Unternehmen die Zustimmung der Benutzer erzwinge, die nicht den erforderlichen rechtlichen Standards entspreche.
Die EU-Datenschutz-Grundverordnung (DSGVO) legt eine Reihe von Regeln fest, wie die Informationen lokaler Benutzer verwendet werden können. Dazu gehört die Anforderung, dass Datenverarbeiter über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen müssen, und die Festlegung von Kontrollen für Datenexporte. Verstöße gegen das Regelwerk können mit Geldstrafen von bis zu 4 % des weltweiten Jahresumsatzes des Rechtsverletzers geahndet werden.
Die von Fitbit geltend gemachte Rechtsgrundlage für den Export von EU-Benutzerdaten – die Einwilligung – muss bestimmte Standards erfüllen, um gültig zu sein. Kurz gesagt, es muss informiert, konkret und frei gegeben werden. In den Beschwerden wird jedoch argumentiert, dass Fitbit die Einwilligung illegal erzwingt, da Benutzer, die Produkte und Dienstleistungen nutzen möchten, für die sie bezahlt haben, keine andere Wahl haben, den Datenexporten zuzustimmen, damit die Produkte funktionieren.
In den Beschwerden wird auch behauptet, dass Fitbit es versäumt hat Stellen Sie den Nutzern angemessene Informationen über die Übermittlung ihrer Daten zur Verfügung – was bedeutet, dass sie auch keine Einwilligung nach Aufklärung erteilen können, wie es die DSGVO erfordert. Sie betonen auch, dass Fitbit-Benutzer ihre Einwilligung nicht widerrufen können, wie dies nach der DSGVO der Fall sein sollte – es sei denn, sie löschen ihre Fitbit-Konten und verlieren alle ihre aufgezeichneten Trainingseinheiten. Das bedeutet, dass Fitbit-Benutzer mit einer Bestrafung ihres Produkterlebnisses rechnen müssen, wenn sie ihre Einwilligung widerrufen.
Europäische gemeinnützige Organisation für Datenschutzrechte, noybhat die Beschwerden im Namen von drei (ungenannten) Fitbit-Nutzern bei Datenschutzbehörden in Österreich, den Niederlanden und Italien eingereicht.
In einer Stellungnahme äußerte sich Maartje de Graaf, Datenschutzanwältin bei noyb, sagte: „Zuerst kauft man eine Fitbit-Uhr für mindestens 100 Euro. Dann melden Sie sich für ein kostenpflichtiges Abonnement an und stellen dann fest, dass Sie gezwungen sind, der Weitergabe Ihrer Daten an Empfänger auf der ganzen Welt „freiwillig“ zuzustimmen. Fünf Jahre nach Einführung der DSGVO versucht Fitbit immer noch, den „Nimm es oder lass es“-Ansatz durchzusetzen.“
noyb stand in den letzten Jahren hinter zahlreichen erfolgreichen DSGVO-Beschwerden – darunter eine Reihe von Angriffen gegen Meta (Facebook), die kürzlich dazu führten, dass das Unternehmen ankündigte, dass es endlich dazu übergehen wird, die Zustimmung lokaler Benutzer für die Nachverfolgung und Profilerstellung einzuholen, die sein Kernverhalten antreiben Anzeigenausrichtung. Daher sind die strategischen Rechtsstreitigkeiten von noyb immer sehenswert.
„Bei der Erstellung eines Kontos bei Fitbit sind europäische Nutzer verpflichtet, ‚der Übermittlung ihrer Daten in die Vereinigten Staaten und andere Länder mit anderen Datenschutzgesetzen zuzustimmen‘.“ Das bedeutet, dass ihre Daten in jedem Land rund um den Globus landen könnten, das nicht über den gleichen Datenschutz wie die EU verfügt“, schreibt noyb in einer Pressemitteilung, in der die Fitbit-Beschwerden bekannt gegeben werden. „Mit anderen Worten: Fitbit zwingt seine Nutzer dazu, der Weitergabe sensibler Daten zuzustimmen, ohne ihnen klare Informationen über mögliche Auswirkungen oder die spezifischen Länder zu geben, in die ihre Daten gehen.“ Dies führt zu einer Einwilligung, die weder frei, informiert noch spezifisch ist – was bedeutet, dass die Einwilligung eindeutig nicht den Anforderungen der DSGVO entspricht.“
„Laut der Datenschutzrichtlinie von Fitbit umfassen die geteilten Daten nicht nur Dinge wie die E-Mail-Adresse, das Geburtsdatum und das Geschlecht eines Benutzers. Das Unternehmen kann auch Daten wie Protokolle zu Ernährung, Gewicht, Schlaf, Wasser oder zur Überwachung der weiblichen Gesundheit weitergeben; ein Alarm; und Nachrichten in Diskussionsforen oder an Ihre Freunde in den Diensten. Die gesammelten Daten können sogar zur Verarbeitung an Drittunternehmen weitergegeben werden, von denen wir nicht wissen, wo sie sich befinden“, heißt es weiter. „Außerdem ist es für Nutzer nicht möglich, herauszufinden, welche konkreten Daten überhaupt betroffen sind. Alle drei Beschwerdeführer machten beim Datenschutzbeauftragten des Unternehmens von ihrem Auskunftsrecht Gebrauch – erhielten jedoch nie eine Antwort.“
Die Beschwerden stellen auch die Gültigkeit der Behauptung in Frage, dass Fitbit sich bei routinemäßigen Übermittlungen sensibler Daten außerhalb des Blocks auf die Einwilligung verlässt.
„In der DSGVO heißt es eindeutig, dass eine Einwilligung nur als Ausnahme vom Verbot von Datenübermittlungen außerhalb der EU verwendet werden kann – was bedeutet, dass eine Einwilligung nur eine gültige Rechtsgrundlage für gelegentliche und sich nicht wiederholende Datenübermittlungen sein kann. Fitbit nutzt jedoch die Einwilligung zur routinemäßigen Weitergabe aller Gesundheitsdaten“, schlägt noyb vor und argumentiert, dass die Übermittlungen von Fitbit „eindeutig systematisch“ seien. Außerdem stellt sich die Frage, ob sie angesichts der Menge an personenbezogenen Daten (einschließlich einiger sensibler Daten) „den strengen Notwendigkeitstest bestehen können“. ) wird regelmäßig exportiert.
Während das Exekutivorgan der EU, die Europäische Kommission, letzten Monat ein neues Abkommen über die Angemessenheit der Datenübermittlung mit US-Kollegen angenommen hat – ein hochrangiges Abkommen, das darauf abzielt, die rechtlichen Risiken im Zusammenhang mit transatlantischen Datenströmen zu verringern – stellt noyb fest, dass Fitbit nicht behauptet, sich darauf zu verlassen sogenanntes EU-US Data Privacy Framework für Datenexporte von EU-Nutzern.
„Fitbit gibt in seiner Datenschutzrichtlinie oder an anderer Stelle nicht an, dass es Daten im Rahmen des neuen Rahmenwerks überträgt, sondern dass es Einwilligungen und Standardvertragsklauseln verwendet [standard contractual clauses] als ‚Übertragungsmechanismen‘“, sagte de Graaf gegenüber Tech. „Fitbit ist auch nicht nach dem Datenschutzgesetz zertifiziert.
„Abgesehen davon ist es nur eine Frage der Zeit bis noyb wird die Gültigkeit des neuen Rahmens vor dem EuGH anfechten [Court of Justice of the EU]. Die grundlegenden Probleme mit den US-Überwachungsgesetzen bestehen immer noch.“
noyb bestätigte, dass es erwartet, dass die drei Beschwerden im Einklang mit dem One-Stop-Shop-Mechanismus der DSGVO zur Straffung grenzüberschreitender Beschwerden an Googles führende Datenschutzaufsichtsbehörde in der EU, die irische Datenschutzkommission (DPC), weitergeleitet werden.
Anfang 2019 hat Google das umgestellt Gerichtsstand wo es die Daten europäischer Nutzer verarbeitet, von den USA bis zu seinem in Dublin ansässigen Unternehmen Google Ireland Limited – was dazu führte, dass sein europäischer Hauptsitz den Status einer sogenannten Hauptniederlassung gemäß der DSGVO erhielt, was bedeutet, dass Google die Einhaltung des EU-Flaggschiffs leitend überwacht Die Datenschutzregelung obliegt dem irischen DPC. (Zuvor war Google in Frankreich von einer vorzeitigen Durchsetzung der DSGVO betroffen, die sich auf Elemente der Bedienung seines Android-Smartphone-Betriebssystems bezog.)
Die irische Regulierungsbehörde steht weiterhin in der Kritik wegen ihres langsamen Tempos, der verschlungenen Wege oder einfach wegen der völligen mangelnden Durchsetzung bei führenden Technologiegiganten. Dies gilt auch im Fall einer Reihe wichtiger DSGVO-Beschwerden, die sich gegen Google richten – beispielsweise eine Beschwerde, die sich auf die Standortverfolgung von Google konzentriert (die das DPC im Februar 2020 eröffnete); und ein weiteres in Googles Adtech (das die irische Regulierungsbehörde im Mai 2019 ins Leben gerufen hat). Keine dieser Untersuchungen zu Aspekten des Google-Geschäfts hat bisher zu einer Entscheidung außerhalb Irlands geführt. Und im Fall der letztgenannten Untersuchung wurde das DPC letztes Jahr tatsächlich von den Beschwerdeführern verklagt, die der Regulierungsbehörde vorwarfen, den Inhalt der Beschwerde nicht untersucht zu haben.
Im Fall der jüngsten großen Angriffe von noyb auf Meta/Facebook wurde dem DPC auch vorgeworfen, die Durchsetzung zu behindern, indem es sich Metas Argumenten zur Rechtsgrundlage anschloss – eine Feststellung, die von anderen EU-Datenschutzbehörden und dem Europäischen Datenschutzausschuss (EDPB) aufgehoben wurde ein in die DSGVO integriertes Einspruchs- und Überprüfungsverfahren.
Angesichts der Bilanz des DPC bei der Aufsicht über große Technologieunternehmen scheint ein schnelles Ergebnis dieser drei Fitbit-Beschwerden unwahrscheinlich – auch wenn die Durchsetzung der DSGVO im Allgemeinen dank einer wachsenden Zahl klarstellender EuGH-Urteile in den fünf+ Ländern etwas an Dynamik gewonnen hat Jahre seit seinem Inkrafttreten.
Wenn die Beschwerden von noyb gegen Fitbit eine Untersuchung durch das DPC auslösen – und sich später Verstöße gegen die DSGVO bestätigen – könnten Google mit Geldstrafen in Milliardenhöhe rechnen, da die Muttergesellschaft Alphabet im vergangenen Jahr einen Jahresumsatz von 283 Milliarden US-Dollar verzeichnete. (Noyb geht davon aus, dass dem Unternehmen Geldstrafen von bis zu 11,28 Milliarden Euro drohen, wenn sich die Verstöße bestätigen.)
Auch wenn die DPC wiederum nicht nur darauf verzichtet hat, die höchstmöglichen Strafen bei großen DSGVO-Verstößen großer Technologiekonzerne zu verhängen, sehen ihre Entscheidungsentwürfe häufig niedrigere Strafen vor, als andere EU-Datenschutzbehörden (und der EDSA) für angemessen halten – was zu Interventionen im Streit um die Verordnung geführt hat Vergleichsmechanismen, die häufig zu einer Erhöhung der letztendlich in Irland verhängten Strafen geführt haben, auch wenn diese Rückschläge die Durchsetzungsfristen in der Regel um viele zusätzliche Monate verlängert haben. Erwarten Sie also, dass die Durchsetzung dieser Beschwerden ein Marathon und kein Sprint sein wird.