Zur Blog-Übersicht
9 Min. LesezeitSanoLabs Editorial

Welche Gesundheits-Apps deine biometrischen Daten wirklich schützen - und welche sie an Dritte weitergeben

Herzfrequenzvariabilität, Schlaf, Blutdruck, Zyklusdaten - welche Apps schützen diese sensiblen Daten und welche teilen sie mit Werbenetzwerken oder Datenmaklern? Ein praktischer Überblick über die wichtigsten Gesundheits-Apps und ihre tatsächlichen Datenschutzrichtlinien.

datenschutzgesundheits-appsapple-watchapple-healthdsgvodatensicherheitwellness
Auf dieser Seite

Warum Gesundheitsdaten-Datenschutz über Fitness hinausgeht

Consumer-Gesundheits-Apps erfassen Daten, die sich grundlegend von den meisten anderen personenbezogenen Daten unterscheiden. Herzfrequenzvariabilität, Schlafmuster, Blutsauerstoff, Fortpflanzungszyklen, Blutdruckschätzungen und Stressniveaus lassen sich auf eine Weise nutzen - oder missbrauchen -, die weit über die Fitnessoptimierung hinausgeht: bei der Versicherungsprüfung, im Bewerbungsprozess, vor Gericht oder im gezielten Handel mit Daten.

Die gesetzlichen Schutzmaßnahmen sind ungleich verteilt. In den USA regelt HIPAA Daten von Gesundheitsdienstleistern - nicht von Consumer-Wearables. EU-Nutzer profitieren von der DSGVO, die für jedes Unternehmen gilt, das Daten über EU-Bewohner verarbeitet, und die wirksame Rechte gewährt: Zugang, Berichtigung, Löschung und Datenportabilität. In Deutschland kommen zusätzlich die Schutzmaßnahmen des BDSG hinzu.

Die praktische Folge: Zwei Nutzer mit identischen Apps können für ihre Gesundheitsdaten sehr unterschiedliche rechtliche Schutzmaßnahmen genießen - allein aufgrund ihres Wohnorts. Es lohnt sich daher, die tatsächlichen Datenschutzpraktiken der eigenen Gesundheits-Apps zu kennen.


Ein Rahmen zur Bewertung von Gesundheits-App-Datenschutz

Bevor wir einzelne Apps im Detail betrachten, helfen vier Fragen dabei einzuordnen, wo eine App auf dem Datenschutzspektrum steht:

1. Wo liegen die Daten? Lokale Speicherung auf dem Gerät bietet den stärksten Schutz - das Unternehmen kann nicht auf die Daten zugreifen, sie können nicht von dessen Servern gehackt werden, und du behältst die Kontrolle darüber. Cloud-Speicherung ist bequemer, birgt aber das Risiko eines Zugriffs durch Dritte.

2. Kann das Unternehmen die Daten auslesen? Ende-zu-Ende-Verschlüsselung bedeutet, dass das Unternehmen auf deine Daten nicht zugreifen kann, selbst wenn es wollte - nur dein Gerät verfügt über die Entschlüsselungscodes. Ohne E2E-Verschlüsselung sind in der Cloud gespeicherte Gesundheitsdaten theoretisch für das Unternehmen zugänglich - und im Zweifel auch für Dritte, etwa durch ein Gerichtsverfahren oder ein Datenleck.

3. Wie sieht das Geschäftsmodell aus? Unternehmen, die Geld mit Geräten und Abos verdienen, haben keinen finanziellen Anreiz, deine Daten zu monetarisieren. Werbefinanzierte Unternehmen oder solche, die stark auf Datenhandel setzen, tun genau das.

4. Was sagt die Datenschutzrichtlinie wirklich? Aussagen wie "wir verkaufen deine Daten nicht" sind oft enger gefasst, als es zunächst klingt. "Verkaufen" hat eine spezifische rechtliche Definition, die viele Formen der Weitergabe ausschließt. Achte darauf, ob die Richtlinie die Weitergabe an "Geschäftspartner", "Dienstleister" oder zu "Forschungszwecken" erlaubt - solche Klauseln erweitern den Spielraum für die Datennutzung erheblich, weit über das hinaus, was die plakative Aussage vermuten lässt.


Sam - liest Apple Health, lässt dich es nicht woanders speichern

Wo Daten liegen: Sam liest deine bestehenden Apple-Health-Daten über HealthKit auf deinem iPhone und synchronisiert sie dann mit Sams eigenem Backend - gehostet auf Google-Cloud-Infrastruktur innerhalb des Europäischen Wirtschaftsraums -, um daraus die Auswertung zu erstellen. Das ist eine echte zweite Kopie deiner Daten, kein rein lokaler Vorgang auf dem Gerät.

Ende-zu-Ende-Verschlüsselung: Nicht E2E-verschlüsselt im Apple-Sinn - Sam hat serverseitigen Zugang zu den Daten, die es verarbeitet, wie die meisten Cloud-basierten Gesundheits-Apps in dieser Liste. Der Unterschied zu den weiter unten genannten US-Firmen: Die Verarbeitung bleibt im EWR und ist damit nicht den Fragen zur Datenübermittlung nach Kapitel V der DSGVO ausgesetzt, denen diese Apps unterliegen.

Geschäftsmodell: Kostenlos im App Store für iPhone. Derzeit kein Abo. Keine Werbung. Keine Datenverkäufe.

Bewertung: Sams Datenschutzposition ist nicht "keine Cloud" - Sam synchronisiert deine Apple-Health-Daten auf seine eigenen Server, um daraus Einblicke zu gewinnen, und bietet keine Ende-zu-Ende-Verschlüsselung. Was es bietet: Verarbeitung ausschließlich im EWR statt über US-Infrastruktur, keine werbebasierte Monetarisierung und keinen zusätzlichen Account mit eigenen, weitreichenden Regeln zur Datenweitergabe. Wer sich auf Apples rein lokale Basisvariante (siehe unten) beschränken möchte und sonst nichts, sollte dabei bleiben. Nutzer, die eine im EWR gehostete Cloud-Verarbeitung in Kauf nehmen, um im Gegenzug Auswertungen zu erhalten, die Apple Health von Haus aus nicht bietet, werden Sams Datenstandort und Geschäftsmodell überzeugender finden als die meisten der cloud-abhängigen Alternativen weiter unten. Mehr über Sam Health erfährst du auf der Sam Health Produktseite. Sam ist eine Wellness-App, kein Medizinprodukt.

Sam Health kostenlos testen


Apple Health - die datenschutz-konservativste Baseline

Wo Daten liegen: Lokal auf deinem iPhone. Nicht auf Apples Servern.

Ende-zu-Ende-Verschlüsselung: Ja, wenn iCloud-Synchronisierung mit Zwei-Faktor-Authentifizierung aktiviert ist. Apple gibt an, dass es die Entschlüsselungscodes nicht auslesen kann.

Geschäftsmodell: Geräte- und Services-Umsatz. Gesundheitsdaten werden nicht für Werbung verwendet.

Entwicklerrichtlinien: Apples Entwicklerrichtlinien verbieten Apps, die HealthKit-Daten auslesen, diese für Werbung zu nutzen oder an Datenmakler zu verkaufen. Diese Beschränkung gilt für Drittanbieter-Apps, die sich mit Apple Health verbinden.

Bewertung: Apple Health bietet von Haus aus die stärkste Datenschutzarchitektur, die im Bereich der Consumer-Gesundheitsdaten verfügbar ist. Es funktioniert als lokaler Datenspeicher: Die Daten gehören dir und liegen auf deinem Gerät, während Apple öffentlich zusichert, nicht darauf zugreifen zu können. Für EU-Nutzer hat Apple ausdrücklich DSGVO-Konformität bestätigt und angegeben, dass Gesundheitsdaten, die auf dem Gerät verarbeitet werden, nicht an Apple übertragen werden.

Die praktische Konsequenz: Für die meisten Nutzer ist es der konservativste Ansatz, die eigenen Gesundheitsdaten innerhalb von Apple Health und den nativen Apple-Watch-Apps zu halten - ohne sie mit Drittanbieter-Diensten zu verbinden, die sie in eine eigene Cloud hochladen.


Withings - stärkste Datenschutz-Position für EU-Nutzer mit dedizierter Hardware

Wo Daten liegen: Cloud, gehostet in Frankreich (BSO-Betreiber). Gesundheitsdaten werden nicht außerhalb der EU übertragen.

Ende-zu-Ende-Verschlüsselung: Nicht als E2E-verschlüsselt deklariert; allerdings ist die Plattform ISO-27001:2022, ISO-27701:2019 und HDS (Hébergement de Données de Santé) zertifiziert - der in Frankreich vorgeschriebene Standard für das Hosting klinischer Gesundheitsdaten.

Geschäftsmodell: Umsatz durch Geräte und Abonnements. Withings erklärt ausdrücklich, dass es persönliche Informationen nicht an Dritte verkauft.

DSGVO-Ansatz: Withings wendet DSGVO-Schutzmaßnahmen weltweit an - nicht nur für EU-Bewohner. Das ist ein klares Bekenntnis, das über die gesetzliche Mindestanforderung hinausgeht.

Bewertung: Für EU-Nutzer, die Hardware in Medizinprodukt-Qualität (vernetzte Waagen, Blutdruckmessgeräte, Schlaf-Tracking-Matte) mit strenger regulatorischer Compliance wünschen, ist Withings die stärkste Option. EU-Datensouveränität (französische Server, keine grenzüberschreitende Datenübermittlung), die HDS-Zertifizierung und ein auf Gerätekäufen basierendes Geschäftsmodell entsprechen den Ansprüchen datenschutzbewusster Nutzer besser als bei den meisten Wettbewerbern. Withings bietet keine Handgelenks-Hardware als Alternative zur Apple Watch - es ist daher eine Ergänzung zur Apple-Watch-Gesundheitsverfolgung, kein Ersatz dafür.


Oura - datenschutz-vernünftig, Cloud-abhängig

Wo Daten liegen: Ouras Cloud-Server.

Ende-zu-Ende-Verschlüsselung: Nicht E2E-verschlüsselt im Apple-Sinn - Oura hat serverseitigen Zugang zu den Daten.

Geschäftsmodell: Ring-Hardware (349 Euro) und Mitgliedschaft-Abo (5,99 Euro/Monat). Oura erklärt, dass es persönliche Daten nicht verkauft.

Datenfreigabe: Ouras Datenschutzrichtlinie erlaubt das Teilen aggregierter und anonymisierter Daten für Forschungszwecke. Nutzer können OAuth-basierten Zugang zu ihren Daten an Drittanbieter-Apps selektiv erteilen. Oura ist ein finnisches Unternehmen, das der EU-DSGVO unterliegt. Daten werden innerhalb von sechs Monaten nach einer Kontolöschanfrage aus Backups gelöscht.

Bewertung: Oura ist für Nutzer, die eine cloudbasierte Speicherung ihrer Gesundheitsdaten akzeptieren, eine vernünftige Wahl in Sachen Datenschutz. Der EU-Sitz, die DSGVO-Konformität, das Versprechen, keine Daten zu verkaufen, und das transparente OAuth-Zugangsmodell sprechen für Oura. Die Cloud-first-Architektur und die erlaubte Nutzung aggregierter Daten für Forschungszwecke sind Punkte, die Nutzer mit höheren Datenschutzansprüchen gegeneinander abwägen sollten. Für Oura-Nutzer, die EU-Bewohner sind, sind DSGVO-Rechte (Zugang, Löschung, Datenportabilität) durchsetzbar.


Garmin - gutes Geschäftsmodell, schwächere technische Schutzmaßnahmen

Wo Daten liegen: Garmin Connect Cloud. Garmin hat serverseitigen Zugang.

Ende-zu-Ende-Verschlüsselung: Nicht E2E-verschlüsselt. Garmin kann theoretisch auf Cloud-gespeicherte Daten zugreifen.

Geschäftsmodell: Umsatz durch Hardware und Abonnements - nicht werbefinanziert. Diese Ausrichtung des Geschäftsmodells ist positiv zu bewerten.

DSGVO-Konformität: Ja, für EU-Nutzer. Garmins Datenschutzrichtlinie gewährt EU-Bewohnern DSGVO-Rechte.

Historischer Kontext: Garmin erlitt 2020 einen schweren Ransomware-Angriff, der seine Dienste lahmlegte und einige Systeme kompromittierte. Das Unternehmen hat seitdem erheblich in seine Sicherheitsinfrastruktur investiert. Das ist relevanter Kontext für die Einschätzung des Risikos der Cloud-Speicherung.

Bewertung: Garmins Geschäftsmodell, das auf Gerätekäufen basiert, ist ehrlich auf die Interessen der Nutzer ausgerichtet - das Unternehmen hat keinen finanziellen Anreiz, Gesundheitsdaten zu monetarisieren. Allerdings bedeutet das Fehlen von E2E-Verschlüsselung, dass Cloud-gespeicherte Daten technisch nicht von Garmins Zugriff isoliert sind, und ein gewisses Cloud-Sicherheitsrisiko bleibt bestehen. Nutzer, die gezielt ein Stress- und HRV-Wearable abseits der Apple Watch suchen, sind bei Garmin gut aufgehoben. Wer besonders hohe Anforderungen an den Datenschutz hat, sollte erwägen, die Apple-Health-Synchronisierung von Garmin Connect zu aktivieren, um die Daten lokal zu halten, statt sich auf Garmins Cloud als primären Speicherort zu verlassen.


WHOOP - die bedeutsamsten aktiven Datenschutz-Bedenken

Wo Daten liegen: WHOOP Cloud-Server.

Ende-zu-Ende-Verschlüsselung: Nicht E2E-verschlüsselt.

Geschäftsmodell: Abo erforderlich (mindestens 199 Euro/Jahr, Life-Tier 359 Euro/Jahr). Keine Werbung.

⚠️ Wichtige Offenlegung: Im August 2025 wurde eine Sammelklage gegen WHOOP Inc. eingereicht (Lomeli v. WHOOP Inc., kalifornischer Bundesgerichtshof). Sie wirft WHOOP vor, eine Drittanbieter-Analyseplattform namens Segment in seine mobile App eingebaut und die persönlichen Gesundheitsdaten der Nutzer - darunter vollständiger Name, E-Mail-Adresse, Größe, Gewicht, Geburtsdatum, Geschlecht, Herzfrequenz, Blutsauerstoff, Blutdruck-Einblicke, Stressniveaus und Schlafmuster - ohne ausdrückliche Benachrichtigung oder Einwilligung an Segment übermittelt zu haben. Die Klage wirft WHOOP Verstöße gegen das US-Bundesgesetz Video Privacy Protection Act (VPPA, 18 U.S.C. § 2710) und den California Confidentiality of Medical Information Act (CMIA, Cal. Civ. Code §§ 56 et seq.) vor, gestützt auf die angebliche Übertragung von Gesundheits- und personenbezogenen Daten der Nutzer an Segment ohne Einwilligung. Die hier zusammengefassten Behauptungen stammen aus der Klageschrift und sind gerichtlich nicht bestätigt. Berichterstattung und Stellungnahme des Unternehmens: Milberg - Whoop Health Privacy Lawsuit Alleges Unauthorized Data Sharing; siehe auch The5KRunner, Whoop Faces Class Action Lawsuit, Oktober 2025 und die Berichterstattung von OpenClassActions.org. Stand Mai 2026 hat WHOOP nicht öffentlich bestätigt, die Segment-Integration entfernt zu haben.

Das ist ein eigenständiges Thema, losgelöst von den Blood Pressure Insights (MARCS-CMS 709755), zu denen die FDA im Juni 2025 ein Warnschreiben an WHOOP ausgestellt und nach einer Anpassung der Funktionskennzeichnung durch WHOOP am 17. Juni 2026 ein Abschlussschreiben nachgereicht hat - ausführlicher behandelt in unserem Artikel WHOOP vs. Apple Watch Erholungs-Tracking. Die FDA-Angelegenheit ist inzwischen abgeschlossen; die Segment-bezogene Datenschutzklage ist von diesem Abschluss nicht betroffen und ist nach aktuellem Stand weiterhin anhängig.

Bewertung: WHOOP hat derzeit das besorgniserregendste aktive Datenschutzprofil unter großen Gesundheits-Wearable-Firmen. Die Kombination aus dem Vorwurf der laufenden Sammelklage, Gesundheitsdaten ohne Offenlegung weitergegeben zu haben, und einer Cloud-Speicherarchitektur ohne Ende-zu-Ende-Verschlüsselung ergibt für datenschutzbewusste Nutzer ein erhebliches Risikoprofil - selbst wenn die separate regulatorische Angelegenheit zu Blood Pressure Insights inzwischen abgeschlossen ist. Das heißt nicht, dass WHOOPs Produkte nichts taugen - die Methodik zur Erholungsmessung bleibt tatsächlich differenzierend -, aber Nutzer, für die der Datenschutz von Gesundheitsdaten das Hauptkriterium ist, sollten diese Faktoren sorgfältig abwägen, bevor sie ein WHOOP-Abo abschließen.


HRV4Training - bestes Datenschutz-Verhalten unter Drittanbieter-Apple-Watch-Apps

Wo Daten liegen: Die Verarbeitung erfolgt lokal auf dem Gerät. Für ein optionales Cloud-Backup ist eine Kontoregistrierung erforderlich.

Ende-zu-Ende-Verschlüsselung: Die Verarbeitung erfolgt auf dem Gerät; die Bedingungen für die Speicherung im Cloud-Backup hängen von der Konto-Infrastruktur ab.

Geschäftsmodell: Einmaliger Kauf (ungefähr 9,99 Euro). Keine Werbung. Kein Abo.

Datenfreigabe: Der Entwickler gibt an, dass die App Nutzerdaten nicht mit anderen Firmen oder Organisationen teilt. Mit Zustimmung der Nutzer können Herzfrequenzdaten an Apple Health weitergegeben werden.

Bewertung: Die Verarbeitung auf dem Gerät, das Einmalkauf-Modell und der Verzicht auf Werbung machen HRV4Training zu einer guten Wahl für datenschutzbewusste Nutzer. Der Entwickler (Marco Altini, ein Forscher, der seine Methodik offen veröffentlicht) zählt zu den transparenteren Akteuren im Bereich der Consumer-HRV-Apps. Für Nutzer, die eine HRV-Analyse ohne Cloud-Offenlegung ihrer Daten wünschen, ist HRV4Training die passende Wahl.


Apps für reproduktive Gesundheit - eine besondere Datenschutzpriorität

Daten zur reproduktiven Gesundheit erfordern im aktuellen rechtlichen Umfeld besondere Sorgfalt. Apps, die Menstruationszyklen, Eisprung oder Fruchtbarkeitsdaten erfassen, stellen ein besonderes Risiko dar, wenn diese Daten Dritten zugänglich sind.

Clue (Biowink GmbH, Berlin): Ein deutsches Unternehmen, das dem BDSG und der DSGVO unterliegt. Clue erklärt ausdrücklich, dass es Daten nicht ohne gerichtliche Anordnung eines europäischen Gerichts an Strafverfolgungsbehörden weitergibt - und weil die Daten in der EU liegen, greifen US-Anfragen von Strafverfolgungsbehörden in der Regel nicht. Für deutsche und europäische Nutzer ist Clue neben Apple Health die rechtlich sicherste Option für die Zyklusverfolgung.

Apple Health Zyklus-Tracking (nativ): Die Daten werden lokal gespeichert und Ende-zu-Ende-verschlüsselt, und Apple hat bestätigt, nicht darauf zugreifen zu können. Das ist aus technischer Sicht die privateste verfügbare Option, auch wenn sie weniger Funktionen als spezialisierte Apps bietet.

Euki: Vollständig lokale Speicherung, ganz ohne Cloud-Synchronisierung. Weil die Daten auf keinem Server liegen, können sie auch nicht per Gerichtsbeschluss herausverlangt werden. Für Nutzer mit maximalen Datenschutzanforderungen ist Euki trotz des eingeschränkteren Funktionsumfangs die konservativste Option.


Praktische Empfehlungen je nach Datenschutzbedürfnis

Übliches Datenschutzbedürfnis (die meisten Nutzer): Apple Health speichert deine Daten von Haus aus lokal und mit Ende-zu-Ende-Verschlüsselung. Nutze es als primären Datenspeicher. Verbinde Drittanbieter-Apps nur gezielt - prüfe die Datenschutzrichtlinie jeder App, bevor du ihr HealthKit-Zugriff gewährst. Withings und Oura sind sinnvolle Ergänzungen für Nutzer, die Messungen abseits des Handgelenks wünschen.

Erhöhtes Datenschutzbedürfnis (Nutzer mit arbeitsrechtlichen, versicherungsbezogenen oder rechtlichen Bedenken): Bleib im Apple-Health-Ökosystem. Nutze die nativen Apple-Watch-Apps für Schlaf, HRV und Aktivität. Wenn du eine HRV-Analyse von Drittanbietern möchtest, nutze HRV4Training. Verbinde deine Gesundheitsdaten nicht mit Abo-Diensten, die in der Cloud speichern, es sei denn, du hast deren Datenschutzrichtlinien geprüft und akzeptiert. Meide WHOOP, solange die Klage läuft.

Maximales Datenschutzbedürfnis (Nutzer mit Bedenken bei der Offenlegung reproduktiver, medizinischer oder rechtlicher Daten): Nutze ausschließlich native Apple-Health-Funktionen. Deaktiviere die iCloud-Synchronisierung für Health und behalte die Daten ausschließlich lokal (Hinweis: Das bedeutet, die Daten liegen nur auf einem Gerät - es gibt kein geräteübergreifendes Backup). Nutze bei Bedarf Euki für die Verfolgung reproduktiver Gesundheitsdaten. Verbinde keine Drittanbieter-App mit Apple Health, es sei denn, ihre Datenschutzrichtlinie verpflichtet sich ausdrücklich zu einer reinen Verarbeitung auf dem Gerät.


Das größere Bild

Der Markt für Gesundheits-Wearables befindet sich in den meisten Rechtsordnungen in einer rechtlichen Grauzone: HIPAA deckt klinische Gesundheitsdaten ab, aber Consumer-Wearables gelten in den meisten Fällen nicht als Medizinprodukte - die rechtlichen Schutzmaßnahmen fallen also schwächer aus, als viele annehmen. Die EU-DSGVO bietet EU-Bürgern wirksamen Schutz - aber nur, wenn sich das jeweilige Unternehmen daran hält, und nur für die Rechte, die du auch aktiv wahrnimmst.

Der verlässlichste Schutz für deine Daten ist keine Datenschutzrichtlinie, sondern technische Architektur. Daten, die dein Gerät nie verlassen, können nicht gehackt, per Gerichtsbeschluss herausverlangt oder weitergegeben werden. Wenn Cloud-Speicherung für eine Kernfunktion einer App notwendig ist, ist Ende-zu-Ende-Verschlüsselung die nächstbeste technische Schutzmaßnahme. Schriftliche Zusagen, keine Daten zu verkaufen, sind weniger verlässlich als architektonische Einschränkungen, die eine Weitergabe technisch unmöglich machen.


Quellen
  • Apple-Health-Datenschutzarchitektur (lokale Speicherung, E2E-Verschlüsselung, HealthKit-Entwicklerrichtlinien): apple.com/legal/privacy/data/en/health-app/, apple.com/privacy/docs/Health_Privacy_White_Paper_May_2023.pdf, support.apple.com/en-us/108779, abgerufen im Mai 2026.
  • Apple-HealthKit-Entwicklerrichtlinien (keine Nutzung von Gesundheitsdaten für Werbung): developer.apple.com/documentation/healthkit/protecting-user-privacy, abgerufen im Mai 2026.
  • Withings' Datenspeicherung in der EU (Frankreich, BSO-Betreiber), HDS-/ISO-27001-Zertifizierung, weltweite DSGVO-Anwendung: support.withings.com/hc/en-us/articles/115010336328, developer.withings.com/developer-guide/v3/withings-solutions/security-and-compliance/, abgerufen im Mai 2026.
  • WHOOP-Sammelklage: Lomeli v. WHOOP, Inc., eingereicht im August 2025 beim U.S. District Court for the Northern District of California. Vorgeworfene Verstöße: gegen das US-Bundesgesetz Video Privacy Protection Act (VPPA, 18 U.S.C. § 2710) und den California Confidentiality of Medical Information Act (CMIA, Cal. Civ. Code §§ 56 et seq.), gestützt auf die angebliche Übertragung von Gesundheits- und personenbezogenen Daten der Nutzer an Segment (ein von Twilio betriebenes Analyse-SDK) ohne Einwilligung. Die hier zusammengefassten Behauptungen stammen aus der Klageschrift und sind gerichtlich nicht bestätigt. Berichterstattung und Stellungnahme des Unternehmens: Milberg - Whoop Health Privacy Lawsuit Alleges Unauthorized Data Sharing; siehe auch The5KRunner, Whoop Faces Class Action Lawsuit, Oktober 2025 und die Berichterstattung von OpenClassActions.org. Stand Mai 2026 hat WHOOP nicht öffentlich bestätigt, die Segment-Integration entfernt zu haben.
  • WHOOP Blood Pressure Insights - FDA-Warnschreiben (MARCS-CMS 709755, Juli 2025) und Abschlussschreiben (17. Juni 2026): dokumentiert in unserem Artikel WHOOP vs. Apple Watch Erholungs-Tracking. Querverweis: fda.gov/inspections-compliance-enforcement-and-criminal-investigations/warning-letters/whoop-inc-709755-07142025 und whoop-inc-709755-06172026.
  • Ouras Datenschutzrichtlinie (kein Datenverkauf, aggregierte Forschung erlaubt, OAuth-API-Zugang, finnisches Unternehmen, DSGVO): ouraring.com/privacy, abgerufen im Mai 2026.
  • Garmins Datenschutzpraktiken und die Datenschutzverletzung von 2020: garmin.com/en-US/privacy/connect/policy/; devproblems.com/best-smartwatches-privacy/, abgerufen im Mai 2026.
  • HRV4Trainings Datenverarbeitung (auf dem Gerät, laut Entwicklerangabe): hrv4training.com/privacy--terms.html, Google-Play-Datensicherheitsangaben, abgerufen im Mai 2026.
  • Clue (Biowink GmbH, Berlin) zu DSGVO-Konformität und dem Umgang mit Anfragen von Strafverfolgungsbehörden: helloclue.com/articles/culture/clue-s-stance-on-protecting-your-data, abgerufen im Mai 2026.
  • Euki und die vollständig lokale Datenspeicherung: eukiapp.com, App-Store-Eintrag, abgerufen im Mai 2026.
  • Unabhängige Analyse der Datenschutzrisiken bei Wearables: askvora.com/blog/wearable-data-privacy-biometric-security-2026, abgerufen im Mai 2026.

Häufige Fragen

Sind meine Daten in Apple Health wirklich privat?+

Apple Health bietet von Haus aus einen der stärksten Datenschutzmechanismen für Gesundheitsdaten im Consumer-Bereich. Die Daten liegen lokal auf deinem iPhone, nicht in Apples Cloud - und sofern die iCloud-Synchronisierung mit Zwei-Faktor-Authentifizierung aktiviert ist, werden sie mit Ende-zu-Ende-Verschlüsselung synchronisiert. Apple gibt an, dass es die Entschlüsselungscodes nicht auslesen kann. Apples Entwicklerrichtlinien verbieten Apps, die HealthKit-Daten für Werbung oder zum Verkauf an Datenmakler nutzen. Apple verkauft Gesundheitsdaten nicht an Dritte und nutzt sie nicht für Werbezwecke. Für Nutzer, die ihre Wearable-Daten privat halten möchten, ist das Apple-Health-Ökosystem ein vernünftiger Ausgangspunkt.

Teilt WHOOP meine Gesundheitsdaten mit Dritten?+

Seit 2025 sieht sich WHOOP einer Klage ausgesetzt (eingereicht im August 2025, Lomeli v. WHOOP Inc.), die vorwirft, WHOOP habe eine Datenplattform namens Segment in seine App eingebaut und die Gesundheitsdaten von Nutzern - einschließlich Herzfrequenz, HRV, Blutdruck-Einblicke, Schlafmuster und Sauerstoffsättigung - ohne ausdrückliche Einwilligung an Segment übertragen. WHOOP hat nicht öffentlich bestätigt, diese Integration entfernt zu haben. Außerdem erlaubt WHOOPs Datenschutzrichtlinie die Weitergabe von Daten an Geschäftspartner sowie die Aufbewahrung anonymisierter Daten nach der Kontolöschung. Nutzer, denen der Schutz ihrer Gesundheitsdaten wichtig ist, sollten dieses laufende Verfahren kennen, bevor sie ein WHOOP-Abo abschließen.

Welcher Wearable-Anbieter hat die besten Datenschutzpraktiken?+

Nach unabhängiger Analyse veröffentlichter Datenschutzrichtlinien und Geschäftsmodelle bietet Apple von Haus aus den stärksten Datenschutz: lokale Speicherung, Ende-zu-Ende-verschlüsselte iCloud-Synchronisierung, keine Werbenutzung von Gesundheitsdaten und strenge HealthKit-Entwicklerrichtlinien. Withings (Frankreich) ist für EU-Nutzer die beste Option unter den spezialisierten Anbietern von Gesundheitshardware: Die Gesundheitsdaten werden in Frankreich gehostet, die DSGVO wird weltweit angewendet, es gibt eine HDS- und ISO-27001-Zertifizierung, und Daten werden nicht an Dritte verkauft. Oura (Finnland) liegt im Mittelfeld: Cloud-Speicherung, keine Angaben zum Datenverkauf, aggregierte Daten dürfen für Forschungszwecke genutzt werden. WHOOP hat derzeit das besorgniserregendste veröffentlichte Datenschutzprofil - wegen der laufenden Klage über die angebliche Weitergabe von Gesundheitsdaten an Dritte.

Ist Oura Ring DSGVO-konform für EU-Nutzer?+

Oura ist ein finnisches Unternehmen und unterliegt der EU-DSGVO. Die Datenschutzrichtlinie besagt, dass personenbezogene Daten nicht an Dritte verkauft werden. Oura erlaubt das Teilen aggregierter und anonymisierter Daten für Forschungszwecke. Nutzerdaten werden in Ouras Cloud gespeichert und innerhalb von sechs Monaten nach einer Löschanfrage aus den Backups gelöscht. Die Oura-API nutzt OAuth, damit Nutzer Dritten selektiv Zugriff gewähren können. Für EU-Nutzer sind Ouras DSGVO-Konformität und sein Sitz in der EU positive Faktoren, auch wenn die Cloud-first-Architektur bedeutet, dass die Daten - anders als bei Apple Health - nicht lokal oder Ende-zu-Ende-verschlüsselt gespeichert werden.

Können meine Gesundheitsdaten gegen mich bei Versicherungen oder in Gerichtsverfahren verwendet werden?+

Das ist eine berechtigte Sorge, besonders in Rechtsordnungen ohne umfassende Datenschutzgesetze für Consumer-Wearables. In den USA gilt HIPAA nicht für Consumer-Wearable-Daten - sie werden nicht von einer Gesundheitseinrichtung erhoben. EU-Nutzer profitieren von DSGVO-Schutzmaßnahmen, die eine informierte Einwilligung zur Datenerfassung voraussetzen und Rechte auf Zugang, Berichtigung und Löschung gewähren. In Deutschland bietet das Bundesdatenschutzgesetz (BDSG) zusätzliche Schutzmaßnahmen. Allerdings können Daten, die mit Dritten geteilt wurden (wie in der WHOOP-Klage behauptet), sich deiner Kontrolle entziehen. Für Nutzer mit konkreten Bedenken zu Versicherungs- oder Rechtsrisiken bei Gesundheitsdaten ist der konservativste Ansatz, Apps mit lokaler Speicherung oder Ende-zu-Ende-Verschlüsselung zu wählen und Apps mit dokumentierter Weitergabe von Daten an Dritte zu meiden.

Welche Schlaf-Tracking-App für Apple Watch ist am datenschutzfreundlichsten?+

AutoSleep (7,99 Euro einmalig, kein Abo) wird von datenschutzorientierten Rezensenten häufig empfohlen, da es die Daten lokal verarbeitet, ohne auf ein Analytics-Abo-Modell zu setzen. Die native Apple-Sleep-App (kostenlos) speichert alle Daten lokal in Apple Health mit Ende-zu-Ende-Verschlüsselung und ohne Weitergabe an Dritte - und hat sich mit dem Sleep Score in watchOS 26 deutlich verbessert. Für Nutzer, bei denen Datenschutz das Hauptkriterium ist, ist die native Apple-Sleep-App mit Apple Health die konservativste Wahl. AutoSleep bietet mehr Funktionstiefe, sollte aber vor der Installation anhand der aktuellen Datenschutzrichtlinie geprüft werden.

Sind meine Zyklusdaten auf Apple Watch privat?+

Zyklus- und Fruchtbarkeitsdaten, die in Apple Health gespeichert sind, unterliegen denselben Schutzmaßnahmen wie andere Gesundheitsdaten: lokale Speicherung, Ende-zu-Ende-verschlüsselte iCloud-Synchronisierung, keine Werbenutzung. Apple hat ausdrücklich bestätigt, nicht auf Zyklus-Tracking-Daten zugreifen zu können. Bei eigenständigen Zyklus-Apps, die mit Apple Health synchronisieren, unterscheiden sich die Datenschutzpraktiken erheblich. Clue (mit Sitz in Berlin, DSGVO-unterliegend) und Euki (vollständig lokal, keine Cloud) sind die datenschutzkonservativsten Optionen. Diese Fragen sind seit 2022 stärker in den Vordergrund gerückt, weil Nutzer begannen zu prüfen, ob ihre Zyklusdaten Dritten zugänglich gemacht oder in Gerichtsverfahren verwendet werden könnten.

Ist Sam privat?+

Sam liest deine bestehenden Apple-Health-Daten über HealthKit auf deinem iPhone und synchronisiert sie mit Sams eigenem Backend - gehostet auf Google-Cloud-Infrastruktur innerhalb des Europäischen Wirtschaftsraums -, um daraus seine Auswertung zu erstellen. Die Verarbeitung ist weder Ende-zu-Ende-verschlüsselt noch rein lokal. Was Sam bietet: Verarbeitung ausschließlich im EWR statt über US-Infrastruktur, keine werbebasierte Monetarisierung und derzeit kein Abo. Sam ist eine Wellness-App, kein Medizinprodukt.