Datenschutz

DSGVO und Fitnessdaten: Wo landen deine Smartwatch-Daten wirklich?

Was die Verordnung sagt, was Marken wirklich tun und was du als Europäer einfordern kannst. Ohne Hysterie, mit konkreten Beispielen.

KategorieDatenschutz

Datum21. Mai 2026

Lesezeit10 Min. Lesezeit

Kurzfassung

Herzfrequenz, Schlaf, Menstruationszyklus und SpO₂ sind 'besondere' Gesundheitsdaten gemäß DSGVO Art. 9: Die Einwilligung muss ausdrücklich und granular sein, kein generisches 'Alle akzeptieren'.
Fast kein großes Unternehmen hat Server in Europa: Apple, Google/Fitbit, Garmin und Samsung übermitteln Daten in die USA über SCC- oder DPF-Mechanismen.
Du hast drei praktische Rechte, die du sofort ausüben kannst: Auskunft (Datenkopie innerhalb von 30 Tagen, kostenlos), Portabilität (CSV/JSON) und Löschung.
Warnsignal in Datenschutzrichtlinien: 'Weitergabe an Forschungspartner' gebündelt in einer einzigen Einwilligung, oder 'Werbepersonalisierung' für Gesundheitsdaten.
Health Connect ist das datenschutzfreundlichste Android-Setup: Die Daten bleiben auf dem Gerät und jede App muss eine Genehmigung pro Datentyp einholen.

Die Daten deines Smartwatches (Herzfrequenz, Schlaf, Menstruationszyklus, Gewicht, Aktivität) gelten gemäß DSGVO Art. 4 Nr. 15 als Gesundheitsdaten: Die Verordnung unterwirft sie strengeren Regeln als E-Mail-Adressen oder Kaufverläufe, und jede Marke, die diese Daten erhebt, muss gegenüber europäischen Nutzern genaue Pflichten erfüllen. Dieser Artikel erklärt, was diese Pflichten in der Praxis bedeuten und wie du deine Rechte durchsetzen kannst.

Was gilt als 'Gesundheitsdatum' gemäß DSGVO?

Kategorie 'besonderer' Daten (Art. 9): Die Verarbeitung ist grundsätzlich verboten, außer bei ausdrücklichen Ausnahmen. Für Smartwatches gibt es zwei relevante Ausnahmen: ausdrückliche Einwilligung (Art. 9.2.a) und Zwecke der Gesundheitsversorgung, Arbeitsmedizin oder öffentlichen Gesundheit (9.2.h-i). Praktisch alle Verbraucherhersteller stützen sich auf die ausdrückliche Einwilligung, die du beim ersten Start durch die Annahme der Nutzungsbedingungen erteilst.

Herzfrequenz: Gesundheitsdatum.
Menstruationszyklus (Apple Watch Cycle Tracking, Withings Cycle usw.): sensibles Gesundheitsdatum.
Schlaf nach Phasen (REM, Tiefschlaf, Leichtschlaf, Wach): Gesundheitsdatum.
EKG: medizinisches Gesundheitsdatum.
SpO₂: Gesundheitsdatum.
Tägliche Schritte: Grenzfall. Einige Datenschutzbehörden stufen sie als Gesundheitsdaten ein, wenn sie mit einer identifizierbaren Person verknüpft sind; andere als normale personenbezogene Daten.
GPS-Trainingsaufzeichnungen: personenbezogene Daten (keine Gesundheitsdaten per se), aber ein lokalisiertes Profil, das Wohnort, Arbeitsplatz und Gewohnheiten offenbaren kann.

Wo landen deine Daten physisch?

Die Datenschutzrichtlinie jeder Marke gibt an, in welchen Ländern die Server betrieben werden. Übersicht basierend auf den öffentlichen Richtlinien von 2026:

Marke	Primäre EU-Datenserver	Transfers außerhalb der EU
Apple	Irland + Dänemark	USA für Analytics-Verarbeitung (SCC)
Google (Fitbit/Pixel)	Belgien + Niederlande + Finnland	USA (DPF + SCC)
Samsung	Niederlande + Deutschland	Südkorea für Backups; USA für Health Cloud (SCC)
Garmin	Niederlande + USA	USA als Standard (SCC + DPF)
Polar	Finnland	Beschränkt auf Analytics-Verarbeitung
Withings	Frankreich	Begrenzt
Oura	Irland	USA für Verarbeitung (SCC)
Xiaomi	Deutschland	Singapur + China (mit SCC; mit DSGVO-Interpretationsvorbehalten)
Huawei	Niederlande + Deutschland	China (komplexe Situation, AGB lesen)

Deine Rechte in der Praxis

Auskunftsrecht (Art. 15)

Du kannst von jedem Verantwortlichen eine Kopie aller Daten anfordern, die er über dich gespeichert hat. Die Frist beträgt 30 Tage (verlängerbar auf 90 in komplexen Fällen). Kostenlos. Der Datensatz muss verständlich sein (keine unlesbaren Binär-Dumps).

Apple: über privacy.apple.com (einschließlich Health-iCloud-Daten).
Google/Fitbit: über takeout.google.com.
Samsung: über privacy.samsung.com/de/privacy-rights.
Garmin: über Konto-Dashboard → Privacy → 'Export data'.
Polar: über flow.polar.com → Profileinstellungen.
Withings: über account.withings.com → privacy.
Oura: über cloud.ouraring.com → settings → export.
Xiaomi: über privacy.mi.com.
Für alle anderen: E-Mail an privacy@[marke].com (sie sind verpflichtet, einen Kanal bereitzustellen).

Recht auf Datenübertragbarkeit (Art. 20)

Gilt spezifisch für Daten, die du bereitgestellt hast (freiwillig oder durch Nutzung des Dienstes). Vom Verantwortlichen abgeleitete oder aggregierte Daten können ausgeschlossen sein. Im Format 'strukturiert, gängig und maschinenlesbar', in der Regel CSV oder JSON. Dies ist die Rechtsgrundlage, die den Wechsel von Ökosystem ohne Datenverlust ermöglicht.

Recht auf Löschung (Art. 17)

Nach dem Schließen des Kontos müssen die Daten gelöscht werden. Fast alle Marken führen operative Backups für 30 bis 180 Tage nach der Löschung (dies muss deklariert werden). Für anonymisierte und aggregierte Daten zu Forschungs- oder Verbesserungszwecken ist die Löschung möglicherweise nicht verpflichtend.

Widerspruchsrecht (Art. 21)

Bei Verarbeitungen auf Basis berechtigter Interessen (Marketing-Profiling, nicht wesentliche aggregierte Analytics) kannst du jederzeit Widerspruch einlegen. Der Verantwortliche muss die Verarbeitung einstellen oder ein überwiegendes Interesse nachweisen. Dies ist fast immer die Rechtsgrundlage für Programme zur 'anonymen Datenfreigabe zur Serviceverbesserung'.

Warnsignale in Datenschutzrichtlinien

Wenn du die Datenschutzrichtlinie einer Wearable-Marke vor dem Kauf liest, suche nach diesen Schlüsselbegriffen. Sie sind Indikatoren für mehr oder weniger aggressive Praktiken.

'Wir geben Daten an Forschungspartner weiter' → granulare Opt-in-Einwilligung? Ja = ok. Gebündelt in 'Alle akzeptieren' = Warnsignal.
'Aggregierte und anonymisierte Daten' → Anonymisierung ist über mehrere Datensätze hinweg reversibel. Wenn möglich, opt-out.
'Zur Verbesserung unserer Dienste und der unserer Partner' → 'Partner' ist eine verdächtige Unschärfe.
'Werbepersonalisierung' → für Gesundheitsdaten verboten (Apple, Google/Fitbit erklären ausdrücklich, dass sie das aufgrund regulatorischer Verpflichtungen nicht tun). Wenn du diese Klausel für Gesundheitsdaten findest, wechsle die Marke.
Server in China ohne DSGVO-Erwähnung → für die Nutzung in Europa fast immer ein rechtliches Problem.

Zusammenfassung

Herzfrequenz, Schlaf, Menstruationszyklus und SpO₂ sind 'besondere' Gesundheitsdaten gemäß DSGVO Art. 9: Die Einwilligung muss ausdrücklich und granular sein, kein generisches 'Alle akzeptieren'.
Fast keine große Marke hat Server in Europa: Apple, Google/Fitbit, Garmin und Samsung übermitteln Daten in die USA über SCC- oder DPF-Mechanismen. Huawei und Xiaomi übermitteln nach Asien mit schwächeren Garantien.
Du hast drei praktische Rechte, die du sofort ausüben kannst: Auskunft (Datenkopie innerhalb von 30 Tagen, kostenlos), Portabilität (CSV/JSON-Format zum Wechseln des Ökosystems) und Löschung (durch Schließen des Kontos).
Warnsignal in Datenschutzrichtlinien: 'Weitergabe an Forschungspartner' in einem einzigen gebündelten Einverständnis, oder 'Werbepersonalisierung' für Gesundheitsdaten.
Health Connect ist das datenschutzfreundlichste verfügbare Android-Setup: Daten bleiben auf dem Gerät, jede App fordert eine Genehmigung pro Datentyp an.

Häufig gestellte Fragen

Kann ich eine Marke verklagen, wenn sie gegen die DSGVO verstößt?+

In Europa ist der Standardweg eine Beschwerde bei der nationalen Datenschutzbehörde (Deutschland: BfDI, www.bfdi.bund.de). Kostenlos; die Behörde kann eine Untersuchung einleiten und Bußgelder verhängen. Direkte Zivilklage ist möglich, aber kostspielig; sie lohnt sich, wenn du einen konkreten und bezifferbaren Schaden erlitten hast (z. B. Datenpanne mit Identitätsdiebstahl).

Ist Health Connect sicher für Gesundheitsdaten?+

Strukturell ja, es ist das datenschutzfreundlichste Setup auf Android. Die Daten verbleiben auf dem Telefon, jede App muss eine ausdrückliche Genehmigung pro Datentyp einholen, und Zugriffe werden protokolliert. Es bleibt wichtig zu prüfen, welche Apps du autorisierst: Sobald eine App Daten aus Health Connect ausliest, kann sie diese anderswo hochladen (wie bei Coaching-Apps, die Daten in ihre eigene Cloud senden).

Ist die FitMesh Sync App DSGVO-konform?+

Ja. Explizite Datenschutzrichtlinie, Backend auf Supabase Frankfurt (EU), granulare In-App-Einwilligung, One-Click-Datenlöschung aus den Einstellungen, keine Weitergabe an Dritte für Ad-Tech, keine aufdringlichen Analytics-Tracker. Privacy-by-Design-Architektur.

Haftungsausschluss

FitMesh Sync ist ein unabhängiges Produkt. Apple, Google, Fitbit, Samsung, Garmin, Polar, Withings, Oura, Xiaomi, Huawei sind Marken der jeweiligen Eigentümer. Dieser Artikel impliziert keine Zugehörigkeit oder Sponsoring.

Gesundheitshinweis

Die Informationen in diesem Artikel dienen ausschließlich zu Informationszwecken und ersetzen nicht den Rat Ihres Arztes, Apothekers oder eines anderen Gesundheitsfachmanns. FitMesh Sync ist eine Fitness- und Wellness-App, kein Medizinprodukt, und stellt keine Diagnosen und behandelt keine Erkrankungen. Bei Symptomen, gesundheitlichen Fragen oder Therapieentscheidungen wenden Sie sich bitte immer an Ihren Arzt.

Geschrieben von

Matteo Pizzi

Founder & Solo Dev, FitMesh Sync · Fosforonero

Italienischer Softwareentwickler. Ich habe FitMesh Sync entwickelt, um die Lücke zwischen meinem Smartwatch und einem echten persönlichen Dashboard zu schließen. Datenschutz zuerst, indie, EU-Server.

Mehr über das Projekt

Weiterlesen

Anleitung