DSGVO-Konformität bei Gesundheits-Apps: Was du wirklich überprüfen solltest
DSGVO-Konformität ist kein Ja/Nein-Label, sondern eine Bewertung auf Ebene des Datenverantwortlichen. Hier sind sieben konkrete Punkte, die du in der Datenschutzerklärung einer Gesundheits-App überprüfst, bevor du sie installierst.
Auf dieser Seite
DSGVO-Konformität ist kein Ja/Nein-Label auf dem App-Store. Sie ist eine Bewertung darüber, ob ein Unternehmen - der "Datenverantwortliche" in der Sprache der Datenschutz-Grundverordnung - seine Verpflichtungen dir gegenüber erfüllt. Dieser Leitfaden zeigt dir, was du in der Datenschutzerklärung einer Gesundheits-App wirklich überprüfst, und vergleicht vier bekannte Wearables.
Kurz zusammengefasst
Keine Gesundheits-App ist pauschal "DSGVO-konform". Konformität ist eine Bewertung auf Ebene des Datenverantwortlichen, kein Label. Apple App Store und Google Play zertifizieren das nicht. Bevor du eine Gesundheits-App installierst, lies die Datenschutzerklärung und überprüfe sieben Dinge: Wer der Datenverantwortliche ist und wo er sitzt, welche Rechtsgrundlage er für deine Gesundheitsdaten beansprucht, wohin die Daten physisch gehen und unter welchem Transfermechanismus, wer die Unterauftragsverarbeiter sind, wie du deine Rechte ausüben kannst, ob deine Daten für Profiling, Werbung oder KI-Training genutzt werden, und wie Löschung und Aufbewahrung funktionieren. Das Wort "DSGVO-konform" ist eine Kurzform für eine Checkliste - nicht für ein Urteil.
Was "DSGVO-konform" wirklich bedeutet
Die Datenschutz-Grundverordnung - offiziell Verordnung (EU) 2016/679 - gilt, wenn eine Organisation personenbezogene Daten von Menschen in der EU und dem EWR verarbeitet. "Personenbezogene Daten" ist alles, das dich direkt oder indirekt identifizieren kann. "Verarbeitung" umfasst fast alles, was ein Service mit den Daten tut: sammeln, speichern, analysieren, teilen, löschen. Konformität bedeutet, dass der Datenverantwortliche nachweisen kann, dass jede Verarbeitungsaktivität eine Rechtsgrundlage nach Artikel 6 hat, die Prinzipien von Artikel 5 einhält (Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht) und dir die Rechte aus Artikeln 12 bis 22 gibt (Transparenz, Zugang, Berichtigung, Löschung, Einschränkung, Portabilität, Widerspruch und Rechte zu automatisierten Entscheidungen).
Zwei Konsequenzen ergeben sich daraus, die App-Store-Einträge gerne verbergen.
Die erste ist, dass Konformität pro Datenverantwortlicher gilt, nicht pro App. Eine App, die in der EU angeboten wird, ist nicht automatisch konform; das Unternehmen dahinter muss daran arbeiten. Es gibt keinen globalen Stempel, kein zentrales Register, kein Siegel der Kommission, das die Konformität bestätigt. Der Europäische Datenschutzausschuss und nationale Datenschutzbehörden können Leitlinien ausgeben und Bußgelder verhängen, aber sie erteilen keine Vorabfreigabe. Du musst selbst lesen.
Die zweite ist, dass Konformität und bewährte Praktiken unterschiedlich sind. Ein Unternehmen kann technisch alle DSGVO-Kästchen abhaken und trotzdem mehr deiner Daten verarbeiten, als du möchtest. Konformität ist ein Minimum, nicht ein Ideal.
Ein Hinweis: Dieser Artikel ist allgemeine Information, keine Rechtsberatung. Wenn du selbst ein Datenverantwortlicher bist und deine Konformität prüfst, oder wenn eine Behauptung über Nicht-Konformität eines Unternehmens im Raum steht, brauchst du einen Anwalt.
Warum Gesundheitsdaten eine eigene Kategorie sind
Pulsfrequenz, Schlafphasen, Gewicht, Menstruationszykluseinträge, Blutsauerstoffsättigung, Erholungswerte - das sind nicht nur "personenbezogene Daten" nach DSGVO. Sie sind besondere Kategorien nach Artikel 9, die die Verarbeitung von "Daten, die sich auf die Gesundheit beziehen" grundsätzlich verbietet, es sei denn, eine der zehn Ausnahmen greift. Bei einem Verbraucher-Wearable ist die einzige praktische Ausnahme die erste in Artikel 9 Absatz 2: deine ausdrückliche Einwilligung. Das ist eine strengere Anforderung als die einfache "freiwillige, spezifische, informierte und eindeutige" Zustimmung in Artikel 4 Absatz 11. Der Europäische Datenschutzausschuss hat mit seinen Richtlinien 05/2020 zu Einwilligungen ausführlich dargelegt, was "ausdrücklich" in der Praxis bedeutet: eine separate, klar formulierte Zustimmungshandlung - meist ein Kästchen, das du selbst aktiv anklickst, wobei der Verarbeitungszweck direkt daneben sichtbar ist.
Deshalb holen sich die meisten Wearables deine Zustimmung zur Verarbeitung von Gesundheitsdaten getrennt von den Hauptbedingungen ein. Die Architektur zählt: Wenn die Datenschutzerklärung deine Einwilligung zu Gesundheitsdaten in ein einziges "Ich akzeptiere die Bedingungen"-Kästchen packt, ist das nicht die ausdrückliche Zustimmung, die Artikel 9 braucht. Der Europäische Datenschutzausschuss hat klar gemacht, dass Einwilligung nach der DSGVO granular sein muss und dass vorausgewählte Kästchen, Untätigkeit oder Scrollen nicht zählen.
Die sieben Dinge, die du vor der Installation überprüfst
Was folgt, ist eine praktische Checkliste, die du in etwa zehn Minuten pro Datenschutzerklärung durcharbeitest. Keine Rechtskenntnisse nötig. Alles lässt sich aus dem Text - insbesondere dem Datentransfer-Abschnitt - beantworten.
1. Wer ist der Datenverantwortliche, und wo hat er seinen Sitz?
Das erste, was du suchst: Name und Adresse des EU-Datenverantwortlichen. Firmen mit Sitz außerhalb der EU, die EU-Nutzer haben, verfügen üblicherweise über eine EU-Tochtergesellschaft, die Datenverantwortlicher für europäische Nutzer ist; diese Tochter ist der Ansprechpartner für DSGVO-Anfragen. Für den EWR, das UK und die Schweiz ist Apple Distribution International Limited in Irland der Datenverantwortliche für Apple Health (Apple-Datenschutzerklärung, EWR-Datenverantwortlicher). Fitbits EU-Datenverantwortlicher ist Fitbit International Unlimited in Dublin (Fitbit Privacy Policy, "Your Data Controller"). Ouras Datenverantwortlicher für Servicedaten ist Oura Health Oy in Finnland (Oura Privacy Policy, "Controller contact information"). WHOOP erklärt, dass es personenbezogene Daten in den USA verarbeitet (WHOOP Full Privacy Policy).
Warum das wichtig ist: Die Adresse des EU-Datenverantwortlichen bestimmt, welche nationale Datenschutzbehörde Beschwerden gegen das Unternehmen nach dem "One-Stop-Shop"-Verfahren bearbeitet (z.B. die irische Datenschutzbehörde für Apple und Fitbit, die finnische Datenschutzbehörde für Oura). Wenn eine Datenschutzerklärung nur eine US-Adresse angibt und keinen EU-Sitz nennt, ist das ein Signal - nicht automatisch ein Verstoß, aber ein struktureller Unterschied, der sich darauf auswirkt, wo du Beschwerde einreichen kannst.
2. Welche Rechtsgrundlage benutzten sie für deine Gesundheitsdaten?
Für einfache personenbezogene Daten (E-Mail, Konto-ID) gibt es sechs mögliche Rechtsgrundlagen in Artikel 6: Einwilligung, Vertrag, Rechtsverpflichtung, vitale Interessen, öffentliche Aufgabe und berechtigtes Interesse. Für deine Gesundheitsdaten sind nur die Ausnahmen in Artikel 9 verfügbar, und bei einem Verbraucher-Wearable ist in der Praxis nur die ausdrückliche Einwilligung realistisch.
Lies den Abschnitt "Rechtsgrundlage" oder "Rechtsgrundlagen der Verarbeitung". Eine solide Datenschutzerklärung unterscheidet die Grundlagen für verschiedene Datenkategorien. Oura zum Beispiel trennt die Grundlagen nach Zweck: Vertrag für den Service, Einwilligung für sensible personenbezogene Daten, berechtigtes Interesse für Marketing und Produktentwicklung, Rechtsverpflichtung für Steuern und Aufbewahrung (Oura Privacy Policy, "Legal basis for processing"). Fitbit wendet die gleiche Artikel-9-Logik an: Es fordert ausdrückliche Einwilligung, sobald es Gesundheitsdaten erhebt - ausgelöst durch Handlungen wie das Koppeln eines Geräts oder das Aktivieren von Frauengesundheits-Tracking (Fitbit Privacy Policy, "Health and Other Special Categories of Personal Data").
Was du flaggen solltest: Eine Datenschutzerklärung, die "berechtigtes Interesse" als Rechtsgrundlage für Gesundheitsdaten nennt, verdient einen genaueren Blick. Berechtigtes Interesse allein ist keine gültige Rechtsgrundlage nach Artikel 9 für Gesundheitsdaten.
3. Wohin gehen deine Daten physisch, und unter welchem Transfermechanismus?
Das ist der aufschlussreichste Abschnitt in jeder Datenschutzerklärung. Kapitel V der DSGVO (Artikel 44 bis 49) regelt Transfers personenbezogener Daten in "Drittländer" außerhalb des EWR. Nach der Schrems-II-Entscheidung des Europäischen Gerichtshofs von Juli 2020 benötigen Transfers in die USA einen spezifischen Rechtsmechanismus sowie häufig zusätzliche Maßnahmen. Die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses beschreiben, wie Exporteure die Rechtslage im Zielland bewerten und Schutzmaßnahmen hinzufügen sollten, wo die Gesetze von Drittländern hinter dem EU-Standard zurückbleiben.
Es gibt drei Mechanismen, die du 2026 oft sehen wirst:
- Angemessenheitsentscheidung. Die Europäische Kommission hat nach Artikel 45 entschieden, dass ein bestimmtes Land Datenschutzgesetze hat, die "im Wesentlichen gleichwertig" zur EU sind. Die derzeit für die USA maßgebliche Angemessenheitsentscheidung ist Commission Implementing Decision (EU) 2023/1795 vom 10. Juli 2023, auf deren Grundlage Transfers zu US-Importeuren erlaubt sind, die sich selbst im EU-US-Datenschutzabkommen zertifiziert haben. Das DPF ersetzte den durch Schrems II ungültig gewordenen Privacy Shield. Beachte, dass die Angemessenheitsentscheidung selbst vor Gericht angefochten wird; ob sie langfristig Bestand hat, ist eine Frage für den Europäischen Gerichtshof.
- Standardvertragsklauseln (SCC). Vertragsbedingungen, die von der Kommission genehmigt und von Datenexporteur und Datenimporteur unterzeichnet sind, verpflichten den Importeur zu Schutzmaßnahmen auf EU-Niveau. Schrems II bestätigte, dass SCC weiterhin ein gültiges Transferinstrument sind; sie erfordern jedoch eine Einzelfallbewertung der Überwachungsgesetze im Zielland sowie, wo nötig, zusätzliche technische und organisatorische Maßnahmen.
- Verbindliche interne Datenschutzvorschriften (BCR) für Transfers innerhalb einer Unternehmensgruppe.
Achte auf eine Datenschutzerklärung, die den Mechanismus klar benennt. Apple erklärt, dass für Nutzer im EWR, UK und Schweiz "Apples internationaler Transfer solcher personenbezogener Daten von Standardvertragsklauseln geregelt wird" (Apple Privacy Policy, EWR-Transfers). Fitbit listet Angemessenheitsentscheidungen, EU-US-DPF (Fitbit LLC ist DPF-zertifiziert über Google) und SCC auf (Fitbit Privacy Policy, "Our International Operations and Data Transfers"). Oura erklärt, dass EU-Nutzerdaten "in erster Linie innerhalb des Europäischen Wirtschaftsraums übertragen werden" und dass Oura, sofern Daten diesen Raum verlassen, am EU-US-Datenschutzabkommen teilnimmt und Schutzmaßnahmen nach geltendem Datenschutzrecht anwendet (Oura Privacy Policy, "Legal frameworks for international transfers"). WHOOP erklärt, dass es personenbezogene Daten unter Einhaltung europäischer Datenschutzgesetze in die USA transferiert und sich dabei auf Standardvertragsklauseln stützt (WHOOP Full Privacy Policy).
Diese Fragen sollte der Abschnitt beantworten: Wenn meine Daten in die USA gehen, welcher Mechanismus wird benutzt? Ist der Importeur DPF-zertifiziert, hat er SCCs unterzeichnet, beides - oder bleibt es unspezifisch?
4. Wer sind die Auftragsverarbeiter und Unterauftragsverarbeiter?
Artikel 28 DSGVO verpflichtet den Datenverantwortlichen, nur Auftragsverarbeiter einzusetzen, die "ausreichende Garantien" für DSGVO-Konformität bieten - festgehalten in einem Vertrag, der die Pflichten klar regelt. Seriöse Wearable-Unternehmen veröffentlichen eine Liste ihrer Unterauftragsverarbeiter - der Drittfirmen (Cloud-Provider, Kundensupport-Tools, Analyse-Plattformen, KI-Provider), die deine Daten in ihrem Auftrag verarbeiten.
Hier öffnet sich oft die Kluft zwischen "wir erfüllen die DSGVO" und "wir haben die Datenschutzerklärungen unserer eigenen Unterauftragsverarbeiter gelesen". Schau auf:
- Eine benannte Unterauftragsverarbeiter-Liste oder einen klaren Verweis darauf.
- Die Servicekategorie jedes Anbieters (Cloud-Hosting, Analyse, KI-Inferenz, Support).
- Den Standort, an dem jeder von ihnen operiert.
Ein Wearable, das eine aktuelle Unterauftragsverarbeiter-Liste veröffentlicht, ist deutlich transparenter als eines, das nur "wir nutzen vertraute Drittanbieter" sagt. Vertrauen ist kein Transfermechanismus.
5. Welche Rechte sind klar gemacht, und wie übst du sie aus?
Artikel 15 bis 22 geben dir eine Reihe von Rechten: Zugang (Artikel 15), Berichtigung (16), Löschung (17), Einschränkung (18), Portabilität (20), Widerspruch (21) und Rechte zu automatisierten Entscheidungen (22). Artikel 13 und 14 verpflichten den Datenverantwortlichen, dir diese Rechte im Voraus in klarer Sprache zu erklären. Eine Datenschutzerklärung, die die Rechte aufzählt, dir aber keine praktische Möglichkeit bietet, sie auch auszuüben, macht nur die halbe Arbeit.
Was du suchst:
- Eine dedizierte E-Mail oder einen Kontakt (oft
privacy@,dpo@oderdataprotection@) für DSGVO-Anfragen. - Ein Self-Service-Export-Tool in der App, besonders für Portabilität.
- Ein Self-Service-Lösch-Tool, das dich nicht erst durch den Kundensupport wühlen lässt.
- Ein definiertes Antwortfenster (Artikel 12 Absatz 3 sieht einen Monat vor, verlängerbar um zwei weitere Monate bei komplexen Anfragen).
Oura zum Beispiel nennt einen Datenschutzbeauftragten (dataprotection@ouraring.com), verpflichtet sich zu einem 45-Tage-Fenster für überprüfbare Verbraucheranfragen und verweist auf In-App- und Web-Tools für Zugang, Löschung und Export (Oura Privacy Policy, "Your rights as a data subject"). Fitbit benennt ebenfalls einen Datenschutzbeauftragten und verlinkt auf Self-Service-Export- und Lösch-Tools (Fitbit Privacy Policy, "Your Rights to Access and Control Your Personal Data").
6. Profiling, Werbung und KI-Training: Opt-in oder versteckt?
Drei Nutzungsarten bewegen sich in einer Grauzone, in der der Wortlaut der Datenschutzerklärung viel mehr zählt als das Marketing:
- Profiling und Werbung. Viele Gesundheits-Apps trennen Gesundheitsdaten von Werbedaten. Eine Datenschutzerklärung, die ausdrücklich sagt, dass Gesundheits- und Wellness-Daten von Werbung getrennt sind, ist ein sinnvolles Versprechen - dennoch lohnt es sich, unabhängig zu überprüfen, wie das Unternehmen mit Cookies und Werbe-IDs auf seiner Website und in seinem SDK umgeht.
- KI und Machine Learning. Zunehmend trainieren Gesundheits-Apps Modelle auf aggregierten oder anonymisierten Nutzerdaten oder geben Live-Daten an ein Drittanbieter-Sprachmodell weiter, etwa für Coaching- oder Zusammenfassungsfunktionen. Die Datenschutzerklärung sollte dir sagen, ob deine Roh- oder abgeleiteten Gesundheitsdaten zum Trainieren von Modellen genutzt werden, ob das auf Opt-in-Basis geschieht und ob externe Modell-Anbieter deine Daten speichern oder für eigenes Training verwenden dürfen. WHOOPs veröffentlichte Datenschutzerklärung adressiert das direkt: sein LLM-Partner unterliegt einer "Zero-Retention/Zero-Training-Richtlinie", was bedeutet, der Partner "wird keine deiner personenbezogenen Daten speichern oder behalten, noch irgendwelche WHOOP-Metriken zum Trainieren von Algorithmen oder LLM-Technologie nutzen", und WHOOP "wird dem Partner nur anonymisierte WHOOP-Metriken teilen" (WHOOP Full Privacy Policy, abgerufen 17. Mai 2026).
- Verkauf oder "Share" von personenbezogenen Daten. Nach der DSGVO stellt sich die Frage, ob eine Verarbeitung eine gültige Rechtsgrundlage hat - ein eigenes Konzept "Verkauf" gibt es nicht. Nach US-Staatsgesetzen (Kaliforniens CCPA, Washingtons My Health My Data Act) dagegen sind "sale" und "share" definierte Begriffe, und eine global ausgerichtete Datenschutzerklärung legt das normalerweise offen. Wearables, die in Europa vermarktet werden, sagen fast universell, dass sie Daten nicht verkaufen. Wenn deine das nicht tut, ist das ein hartes Signal.
Was du flaggen solltest: jede Klausel, die dem Unternehmen erlaubt, deine Daten für "zukünftige Produktentwicklung", "Forschung" oder "personalisierte Werbung" ohne separate Opt-in zu nutzen. Gebündelte Einwilligungen erfüllen nicht den Artikel-9-Standard für Gesundheitsdaten.
7. Aufbewahrung, Löschung und was passiert, wenn du aufhörst zu zahlen
Artikel 5 Absatz 1 Buchstabe e verlangt, dass Daten "nicht länger gespeichert werden, als notwendig ist". Die Datenschutzerklärung sollte dir für jede Datenkategorie sagen, wie lange sie gespeichert wird und was Löschung auslöst. Über den reinen Wortlaut hinaus gibt es drei praktische Fragen:
- Was passiert, wenn du die App löschst? Werden serverseitige Aufzeichnungen gelöscht oder nur die lokale Kopie auf deinem Telefon?
- Was passiert, wenn du dein Konto löschst? Die meisten Datenschutzerklärungen nennen ein Zeitfenster (üblicherweise 30 bis 90 Tage), in dem auch die Backups gelöscht werden.
- Was passiert, wenn du ein Abonnement kündigst, aber das Konto nicht löschst? Einige Wearables halten deine historischen Daten hinter einer Bezahlschranke - was bedeutet, die Daten sind noch da, aber du kannst sie nicht sehen. Das ist selbst nicht automatisch ein DSGVO-Verstoß, aber ein Fakt, den du kennen solltest, bevor du eine mehrjährige Gesundheits-Chronik aufbaust, die du später vielleicht nicht mehr lesen kannst.
Ein echtes Durchlaufen: vier Wearables verglichen
Im Folgenden siehst du, was ein 15-minütiges Lesen von vier aktuellen Datenschutzerklärungen zutage bringt. Es handelt sich um eine Beschreibung auf Grundlage der veröffentlichten Texte der einzelnen Unternehmen, Stand Mai 2026. Nutze es als Vorlage dafür, wie du deine eigenen liest - nicht als Rangliste.
Apple Health-App
Die Health-App ist um On-Device-Verarbeitung herum gebaut, und Apple erklärt, dass bei aktivierter Zwei-Faktor-Authentifizierung "Apple deine Gesundheits- und Aktivitätsdaten, die zu iCloud synchronisiert sind, nicht lesen kann" (Apple Health App & Privacy). Für EU-Nutzer ist Apple Distribution International Limited in Irland der Datenverantwortliche; internationale Transfers erfolgen auf Grundlage von Standardvertragsklauseln (Apple Privacy Policy). Apps von Drittanbietern, die HealthKit lesen oder schreiben, müssen Zugriff anfragen und haben ihre eigenen Datenschutzerklärungen, die die Health-App dir zeigt. Die Datenarchitektur verlagert den Großteil der Verarbeitung auf das Gerät; die Datenschutzerklärung spiegelt das wider.
Fitbit (Google)
Fitbits EU-Datenverantwortlicher ist Fitbit International Unlimited in Dublin (Fitbit Privacy Policy). Die Datenschutzerklärung unterscheidet einfache personenbezogene Daten (Rechtsgrundlagen: Vertrag, berechtigtes Interesse oder Einwilligung je nach Kontext) von speziellen Gesundheitsdaten (Rechtsgrundlage: ausdrückliche Einwilligung, separat eingeholt, sobald du etwas tust, das solche Daten erzeugt - etwa ein Gerät koppelst). Transfers in die USA stützen sich parallel auf drei Mechanismen: Angemessenheitsentscheidungen, wo relevant, EU-US-DPF (Fitbit LLC ist über Google zertifiziert) und Standardvertragsklauseln. Ab Juni 2023 können Fitbit-Nutzer ihre Konten zu Google verschieben; die Datenschutzerklärung beschreibt eine Vereinbarung zwischen Fitbit und Google-Einheiten für die dafür nötige begrenzte Profilfreigabe. Fitbit erklärt, dass es Nutzerdaten nicht verkauft - die Datenschutzerklärung sagt wörtlich: "We never sell the personal information of our users."
Oura
Ouras Datenverantwortlicher für Servicedaten ist Oura Health Oy, ein finnisches Unternehmen, mit Ouraring Inc. (San Francisco) als Mitverantwortlicher für Marketing-Verarbeitung (Oura Privacy Policy). Die Datenschutzerklärung macht ausdrücklich klar, dass EU-Nutzerdaten "in erster Linie innerhalb des Europäischen Wirtschaftsraums übertragen werden" und dass Oura, sofern Daten diesen Raum verlassen, am EU-US-Datenschutzabkommen, der UK-Erweiterung und dem Schweiz-US-DPF teilnimmt, mit Schutzmaßnahmen nach geltendem Datenschutzrecht. Oura sagt, es verkauft oder vermietet Daten nicht und teilt Oura-App-Daten nicht mit Drittanbieter-Werbeanbietern. Sensible personenbezogene Daten werden nur mit Einwilligung verarbeitet. Die Datenschutzerklärung nennt einen Datenschutzbeauftragten unter dataprotection@ouraring.com und verpflichtet sich zu 45-Tage-Fenstern für überprüfbare Anfragen.
WHOOP
WHOOPs Datenschutzerklärung erklärt, dass WHOOP personenbezogene Daten in den USA verarbeitet und sich auf Standardvertragsklauseln für Transfers aus der EU stützt (WHOOP Full Privacy Policy). Die Datenschutzerklärung beschreibt Kategorien der Datenweitergabe - Dienstleister, bestimmte externe Labore und klinische Partner, Strafverfolgungsanfragen, soweit zutreffend, sowie Nachfolgeunternehmen im Fall einer Geschäftsübertragung. WHOOPs Datenschutzerklärung geht im Detail darauf ein, wie das Unternehmen mit KI-Funktionen umgeht: anonymisierte WHOOP-Metriken werden mit einem LLM-Partner geteilt, der einer "Zero-Retention/Zero-Training-Richtlinie" unterliegt, was bedeutet, der Partner "wird keine deiner personenbezogenen Daten speichern oder behalten, noch irgendwelche WHOOP-Metriken zum Trainieren von Algorithmen oder LLM-Technologie nutzen" (WHOOP Full Privacy Policy, abgerufen 17. Mai 2026).
Was der Vier-Wege-Vergleich zeigt, ist nicht, wer "gewinnt". Es zeigt, dass die vier Unternehmen unterschiedliche architektonische Entscheidungen machen - Apple setzt auf On-Device-Verarbeitung, Oura betont EU-Hosting, Fitbit stützt sich auf eine Kombination mehrerer US-Transfermechanismen, WHOOP stützt sich auf SCCs - und dass diese Entscheidungen in der Datenschutzerklärung sichtbar werden, sobald du über die reine Marketingsprache hinausliest.
Übliche Warnsignale
Fünf Muster tauchen so häufig auf, dass sie eine eigene Erwähnung verdienen.
- Kein benannter EU-Datenverantwortlicher. Eine Datenschutzerklärung, die nur eine US-Adresse auflistet und für EU-Nutzer keine Niederlassung in der EU nennt, ist strukturell unterschiedlich von einer, die das tut.
- Eine gebündelte Einwilligung für alles. Wenn die einzige Einwilligung, die du gibst, "Ich akzeptiere die Bedingungen" ist und es keine separate granulare Einwilligung zur Verarbeitung von Gesundheitsdaten gibt, bleibt das hinter dem Standard von Artikel 9 zurück.
- Vage Transfersprache. Sätze wie "wir können Daten auf Server rund um die Welt transferieren" reichen ohne einen benannten Mechanismus (Angemessenheitsentscheidung, DPF, SCC, BCR) nicht aus, um das beurteilen zu können.
- "Wir nutzen vertraute Drittanbieter." Keine Unterauftragsverarbeiter-Liste, keine Kategorien, keine Standorte. Das ist das häufigste Intransparenz-Muster bei Wearable-Apps aus dem mittleren Marktsegment.
- Ein Self-Service-Export-Tool, aber kein Lösch-Tool. Artikel 17 ist nicht mit einem Kontaktformular erfüllt, das vielleicht beantwortet wird oder nicht. Die Datenschutzerklärung sollte einen klaren Prozess und Zeitrahmen zusagen.
Übliche falsche Beruhigungen
Drei Aussagen klingen stärker, als sie sind.
- "DPF-zertifiziert." Nützlich, aber nur relevant für US-Transfers und nur, solange die Angemessenheitsentscheidung Bestand hat. Es bedeutet nicht, dass das Unternehmen auch beim Rest der Verarbeitung DSGVO-konform ist.
- "HIPAA-konform." HIPAA ist ein US-amerikanisches Gesetz für den Gesundheitssektor. Es gilt nicht für die meisten Verbraucher-Wearables, und HIPAA-Konformität - oder die bloße Behauptung, HIPAA-konform zu sein - sagt nichts über DSGVO aus.
- "End-to-End-Verschlüsselt." Starke technische Sicherheit ist Teil von Artikel 32 (Sicherheit der Verarbeitung), aber Verschlüsselung schützt Daten nur bei der Übertragung und im Speicher. Sie selbst beantwortet keine Fragen zu Rechtsgrundlage, Transfers, Profiling oder Aufbewahrung.
Wo Sam passt
Sam ist eine Wellness-App für Menschen in Europa, die ihre Gesundheits-Tracking-Daten im EU-Datenschutzrahmen halten möchten. Sam ist EU-gehostet und um die gleiche Checkliste gebaut, die dieser Artikel durchläuft: ein EU-Datenverantwortlicher, granulare Einwilligung zu jeder Verarbeitung von Gesundheitsdaten, transparente Offenlegung der Auftragsverarbeiter und ein klarer Löschprozess. Sam ist eine Wellness-App, kein Medizinprodukt - sie zeigt dir deine eigenen Signale und Muster, damit du ein reicheres Gespräch mit den Menschen führst, die dir helfen, auf deine Gesundheit zu achten. Mehr über Sam-Datenschutz und Sam-Produkt-Überblick.
Sam kostenlos ausprobierenQuellen
- Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung), konsolidierter Text, EUR-Lex. URL: https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng. Abgerufen 15. Mai 2026.
- Urteil des Gerichtshofs (Große Kammer) vom 16. Juli 2020 in Rechtssache C-311/18 (Schrems II), EUR-Lex. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62018CJ0311. Abgerufen 15. Mai 2026.
- Commission Implementing Decision (EU) 2023/1795 vom 10. Juli 2023 zur angemessenen Datenschutznorm im Rahmen des EU-US-Datenschutzabkommens, EUR-Lex. URL: https://eur-lex.europa.eu/eli/dec_impl/2023/1795/oj/eng. Abgerufen 15. Mai 2026.
- EDPB, "Leitlinien 05/2020 zu Einwilligungen gemäß Verordnung 2016/679," Europäischer Datenschutzausschuss, 4. Mai 2020. URL: https://www.edpb.europa.eu/our-work-tools-our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en. Abgerufen 15. Mai 2026.
- EDPB, "Empfehlungen 01/2020 zu Maßnahmen, die Transfer-Instrumente ergänzen, um Einhaltung des EU-Datenschutz-Niveaus zu gewährleisten," 18. Juni 2021. URL: https://www.edpb.europa.eu/our-work-tools-our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en. Abgerufen 15. Mai 2026.
- Apple, "Health App & Privacy," Apple Legal. URL: https://www.apple.com/legal/privacy/data/en/health-app/. Zuletzt aktualisiert 11. Februar 2026. Abgerufen 15. Mai 2026.
- Apple, "Privacy Policy," Apple Legal. URL: https://www.apple.com/legal/privacy/en-ww/. Abgerufen 15. Mai 2026.
- Fitbit (Google), "Fitbit Privacy Policy," Google Product Documentation. URL: https://support.google.com/product-documentation/answer/14815921?hl=en. Zuletzt aktualisiert 27. Februar 2026. Abgerufen 15. Mai 2026.
- Oura, "Oura Health Privacy Policy." URL: https://ouraring.com/privacy-policy. Datiert 20. April 2026. Abgerufen 15. Mai 2026.
- WHOOP, "Full Privacy Policy." URL: https://www.whoop.com/us/en/full-privacy-policy/. Abgerufen 15. Mai 2026.
Häufige Fragen
Ist eine App automatisch DSGVO-konform, wenn sie im EU-App-Store angeboten wird?+
Nein. Die Verfügbarkeit im EU-App-Store bedeutet nicht, dass die App DSGVO-konform ist. DSGVO-Konformität ist eine Bewertung des Datenverantwortlichen - ob ein Unternehmen also die Anforderungen der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) erfüllt. App-Stores zertifizieren DSGVO-Konformität nicht, und es gibt kein Siegel, das dir bestätigt, dass Datenschutzerklärung und Praxis übereinstimmen. Du musst selbst lesen und bewerten.
Sind Gesundheitsdaten nach der DSGVO automatisch "sensibel"?+
Ja. Artikel 9 DSGVO stuft Daten, die sich auf die Gesundheit beziehen, als besondere Kategorie personenbezogener Daten ein. Die Verarbeitung ist grundsätzlich verboten, es sei denn, eine der zehn Ausnahmen in Artikel 9 Absatz 2 greift - bei einer Verbraucher-App in der Regel nur deine ausdrückliche Einwilligung. Das ist eine höhere Hürde als die einfache Einwilligung nach Artikel 6.
Löst das EU-US-Datenschutzabkommen das Schrems-II-Problem?+
Die Europäische Kommission hat mit ihrer Angemessenheitsentscheidung vom 10. Juli 2023 Transfers im Rahmen des Data Privacy Framework wieder rechtskonform gemacht. Die Entscheidung selbst wird vor Gericht angefochten. Ob sie langfristig Bestand hat, ist eine Frage, die eventuell der Europäische Gerichtshof klären muss. Derzeit sind Transfers an im DPF zertifizierte US-Importeure ein anerkanntes Rechtsinstrument.
Ist es für mich als EU-Bürgerin oder EU-Bürger illegal, eine US-App zu nutzen?+
Nein. Die DSGVO regelt die Pflichten von Datenverantwortlichen und Auftragsverarbeitern, nicht von Nutzern. Du brichst kein Gesetz, indem du die App installierst. Die Frage ist, ob das Unternehmen hinter der App seine DSGVO-Verpflichtungen gegenüber dir erfüllt und ob du mit der Antwort zufrieden bist.
Wo liegt der Unterschied zwischen "Datenverantwortlicher" und "Auftragsverarbeiter"?+
Der Datenverantwortliche entscheidet, warum und wie deine Daten verarbeitet werden. Der Auftragsverarbeiter handelt nach den Anweisungen des Verantwortlichen. Der Verantwortliche trägt die Hauptverantwortung nach der DSGVO. Wenn für eine App ein EU-Unternehmen verantwortlich ist - etwa eine Tochtergesellschaft in Irland -, richtest du DSGVO-Anfragen an diese Tochtergesellschaft.
Bedeutet CE-Kennzeichnung oder "Medizinprodukt"-Status, dass eine App DSGVO-konform ist?+
Nein. MDR und DSGVO sind zwei separate Regelwerke. Eine CE-gekennzeichnete Medizinprodukt-App muss trotzdem wie jeder andere Datenverantwortliche die DSGVO erfüllen. Und eine Wellness-App, die kein Medizinprodukt ist, muss ebenfalls die DSGVO erfüllen. Der eine Status impliziert nicht den anderen.
Welcher Abschnitt einer Datenschutzerklärung ist am wertvollsten?+
Der Abschnitt zu Datentransfers. Er sagt dir, wohin deine Daten physisch gehen, welcher Transfermechanismus verwendet wird und welches Rechtssystem dahintersteht. Wenn dieser Abschnitt vage ist, ist wahrscheinlich auch der Rest der Erklärung zu allgemein formuliert.
Kann ich meine Gesundheitsdaten löschen lassen?+
Artikel 17 DSGVO gibt dir unter bestimmten Umständen ein Recht auf Löschung. Die meisten seriösen Gesundheits-Apps dokumentieren, wie du deine Daten selbst löschen kannst oder wie eine schriftliche Anfrage dafür abläuft. Die praktische Frage ist, wie gründlich gelöscht wird - ob Backups, abgeleitete Metriken und Auftragsverarbeiter-Kopien auch entfernt werden und in welchem Zeitrahmen. Die Datenschutzerklärung sollte das beantworten. Wenn nicht, ist das selbst ein Signal.
