Fitnessarmbänder werden am Körper getragen und sammeln mittels Trackingfunktionen verschiedene Vitalfunktionen und Bewegungsmuster und können diese ebenso steuern und kontrollieren. Mit diesem Blogbeitrag wird aufgezeigt, was bei der Verarbeitung von Gesundheitsdaten gemäss revidiertes Datenschutzgesetz (revDSG) zu berücksichtigen ist.
Begrifflichkeit
Bei den erhobenen Daten von Fitnessarmbänder handelt es sich mehrheitlich um Gesundheitsdaten welche als besonders schützenswerte Personendaten (Art. 5 bst. c revDSG) zu behandeln sind. Wie in der Bezeichnung der Personendaten zu entnehmen ist, verlangt der Gesetzgeber, dass diese Art von Personendaten besonders gut mit Massnahmen geschützt werden müssen da es bei Missbrauch zu einem hohen Risiko für die betroffenen kommen kann.
Rechtmässigkeit der Datenverarbeitung
Der Schutz von natürlichen Personen bei der Verarbeitung von personenbezogener Daten ist ein Grundrecht. In Art. 13 Abs. 2 der Bundesverfassung der Schweizerischen Eidgenossenschaft wird aufgeführt, dass jede Person das Recht auf Sicherheit und Schutz ihrer Daten vor Missbrauch durch unbefugte zusteht. Damit die Nutzenden von Fitnessarmbändern zu Beginn ihres Gebrauchs nach Art. 1 revDSG ihr Recht auf Schutz ihrer Persönlichkeit und ihrer Grundrechte ausüben können, müssen diese ausdrücklich nach Art. 6 Abs. 7 der Bearbeitung ihrer Gesundheitsdaten zustimmen. Neben der Sammlung von Personendaten müssen die Anbieter von Fitnessarmbändern ihre Nutzenden darüber informieren, zu welchem Zweck die Personendaten erhoben werden. Art. 6 Abs. 3 revDSG schreibt den Anbietern vor, dass Personendaten nur zu einem bestimmten Zweck, der für die Nutzenden erkennbar ist, beschafft werden dürfen. Die Informationspflichten nach Art. 19 revDSG muss so erfolgen, dass die betroffene Person schnell und einfach Kenntnis über die Art und Weise der Beschaffung ihrer Personendaten erlangen kann. Hierfür eignet sich eine gut lesbare und sprachlich leicht verständliche Datenschutzerklärung an. Durch Art. 12 revDSG wird die Einhaltung der Betroffenenrechte sichergestellt da für jede Datenerhebung ein Bearbeitungsverzeichnis erstellt werden muss.
Gewährleistung von Datensicherheit und Datenschutz
Art. 7 und Art. 8 des revDSG formuliert die Anforderungen an die Datensicherheit und den Datenschutz. Art. 7 Abs. 1 revDSG verpflichtet die Anbieter, ihre Bearbeitung von Personendaten technisch und organisatorisch derart auszugestalten, dass die Vorgaben des revDSG bereits bei der Planung und Entwicklung der Geräte eingehalten werden müssen. Dies betrifft vor allem die Grundsätze nach Art. 6 revDSG. Es gilt zu beachten, dass die technischen und organisatorischen Massnahmen den Stand der Technik widerspiegeln, damit bei der Datenverarbeitung die Persönlichkeits- und Grundrechte gewahrt bleiben.
Die Verletzung der Datensicherheit liegt Hauptsächlich dann vor, wenn im Zusammenhang mit der Verarbeitung nach Art. 5 Bst. h revDSG in unbeabsichtigter Weise Personendaten verloren gehen, gelöscht, verändert oder unbefugten Dritten offengelegt oder zugänglich gemacht werden (z.B. durch Cyberangriffe). Aus diesem Grund verpflichtet Art. 8 revDSG die Anbieter dazu, der Verletzung der Datensicherheit mithilfe angemessene technische und organisatorischen Lösungen entgegenzuwirken und Risiken so gut wie möglich zu minimieren. Das erwähnte Risiko ist dabei das Verhältnis von Schadensschwere und Eintrittswahrscheinlichkeit. Ein hohes Risiko liegt gemäss Art. 22 Abs. 2 revDSG vor, sofern besonders schützenswerte Personendaten verarbeitet werden. Aufgrund dieser Zweckgebundenheit sind die Anbieter von Fitnessarmbändern nach Art. 22 revDSG zu einer Datenschutz-Folgeabschätzung verpflichtet.
