Als Gründerin und Chefredakteurin von Alienboard beschäftige ich mich täglich mit der Frage, wie viel von uns in digitalen Produkten tatsächlich privat bleibt — und welche Firmen diese Daten weiterverkaufen oder monetarisieren. Smartwatches sammeln eine Fülle sensibler Gesundheitsdaten: Herzfrequenz, Schlafmuster, Blutsauerstoff, Aktivitätsprofile und manchmal sogar EKG‑Aufzeichnungen. Hier beschreibe ich drei einfache, aber wirksame Forschungswege, mit denen du selbst herausfinden kannst, ob dein Smartwatch‑Hersteller Gesundheitsdaten verkauft — plus die rechtlichen Hebel, die du nutzen kannst, wenn du etwas Verdächtiges entdeckst.

Warum es wichtig ist, selbst zu recherchieren

Viele Nutzer verlassen sich auf Marketingversprechen wie „Sicher & privat“ oder „Ihre Daten bleiben bei uns“. Doch die Realität ist komplex: Manche Hersteller nutzen Gesundheitsdaten ausschließlich zur Produktverbesserung, andere ermöglichen Drittparteien Zugriff für Forschung, Werbung oder Produktpartnerschaften. Gesundheitsdaten gehören zu den sensibelsten Kategorien — deshalb ist es für mich nicht genug, den AGB nur einmal zu überfliegen. Ein paar konkrete Schritte bringen viel Klarheit.

Forschungsweg 1: Datenschutzerklärung, AGB und Entwicklerdokumentation systematisch prüfen

Das klingt banal, ist aber oft sehr aufschlussreich. Ich empfehle, nicht nur die Haupt‑Datenschutzerklärung zu lesen, sondern gezielt nach folgenden Punkten zu suchen und sie zu dokumentieren:

  • Welche Datenkategorien werden genannt (z. B. Herzfrequenz, EKG, Standort)?
  • Mit welchen Zwecken werden die Daten verarbeitet (Produktverbesserung, Forschung, Werbung)?
  • Wer sind die Drittparteien — werden Kategorien genannt (z. B. „Partnerunternehmen“, „Forschungseinrichtungen“) oder konkrete Namen?
  • Gibt es Hinweise auf internationale Übermittlungen (z. B. USA) und verwendete Rechtsgrundlagen (Einwilligung, berechtigte Interessen)?

    • Bei vielen Herstellern stehen diese Informationen nicht auf der Produktseite, sondern in separaten Developer‑ oder API‑Dokumentationen. Wenn eine Smartwatch per App mit einer Cloud synchronisiert wird, lohnt sich auch ein Blick in die API‑Dokumente der App‑Entwickler: Dort findest du oft, welche Daten genau übertragen werden und welche Partner‑Integrationen existieren (z. B. Fitnessplattformen, Forschungsplattformen wie Human API, Validic oder Datenbroker).

    Forschungsweg 2: Netzwerkverkehr analysieren (praktisch und direkt)

    Die beste Methode, um tatsächlich zu sehen, welche Daten vom Gerät oder der App verschickt werden, ist die Analyse des Netzwerkverkehrs. Du brauchst kein tiefergehendes IT‑Studium — mit ein paar Tools und Vorsicht kannst du aussagekräftige Ergebnisse erzielen.

  • Tools: Einfache Proxy‑Tools wie mitmproxy, Fiddler oder Charles Proxy; für Mobilgeräte kannst du dein Smartphone über WLAN an einen Laptop binden.
  • Was ich prüfe: Ziel‑Domains, übertragene Endpunkte, Payload‑Inhalte (JSON, XML). Besonders aufschlussreich sind Endpunkte mit Begriffen wie „health“, „vitals“, „analytics“ oder Namen von Drittanbietern.
  • Verschlüsselung erkennen: Viele Hersteller verwenden TLS/HTTPS. Das ist gut. Wenn jedoch Daten im Klartext oder leicht dekodierbar übertragen werden, ist das ein roter Flag.

    • Wichtig: Respektiere geltende Gesetze und die Nutzungsbedingungen. Ich teste nur eigene Geräte und Daten oder mit ausdrücklicher Zustimmung der Betroffenen.

    Forschungsweg 3: App‑Metadaten, SDKs und Drittanbieter‑Integrationen aufspüren

    Viele Hersteller integrieren Drittanbieter‑SDKs (Software Development Kits) für Analyse, Crash‑Reporting oder Werbenetzwerke. Diese SDKs können theoretisch Zugriff auf Daten bekommen. Ich gehe dabei in zwei Schritten vor:

  • App‑Analyse im App‑Store: In den App‑Store‑Beschreibungen und Versionshinweisen werden oft Datenschutzrichtlinien und Datenkategorien genannt. Apple listet seit iOS‑Updates sogar Datennutzungskategorien im App‑Store an — sehr nützlich.
  • Technische Analyse: Mithilfe von Tools wie APK Analyzer (Android) oder dem Blick in iOS‑Bundle‑Inhalte (wenn möglich) identifiziere ich eingebundene SDK‑Namen (z. B. Google Firebase, Mixpanel, Amplitude, Branch, Adjust). Danach recherchiere ich, ob diese Anbieter Gesundheitsdaten verarbeiten oder weitergeben.

    • Wenn du beispielsweise ein SDK wie „Human API“ oder „Validic“ entdeckst, ist das ein klares Signal, dass Gesundheitsdaten für Forschung oder Drittpartenintegration vorgesehen sein können. Ebenso alarmierend finde ich, wenn Marketing‑ oder Ad‑SDKs in Gesundheitsapps auftauchen — das erhöht das Risiko einer Monetarisierung.

    Rechtliche Hebel, die du nutzen kannst

    Wenn deine Recherchen ergeben, dass Gesundheitsdaten verkauft oder unklar weitergegeben werden, gibt es mehrere rechtliche Schritte, die du ergreifen kannst. Ich habe die wichtigsten Hebel so zusammengefasst, dass du sofort damit arbeiten kannst.

    HebelWas du tun kannstPraktischer Tipp
    Datenauskunft (Art. 15 DSGVO)Anfrage beim Verantwortlichen, welche Daten verarbeitet werden und an wen sie weitergegeben wurden.Formuliere kurz und konkret: „Ich bitte um Auskunft über die Verarbeitung meiner Gesundheitsdaten seit [Datum].“ Frist: 1 Monat.
    Widerspruch & Löschung (Art. 17 + 21 DSGVO)Widersprich der Verarbeitung zu Zwecken wie Direktwerbung oder Profiling und fordere Löschung bei unzulässiger Verarbeitung.Wenn die Verarbeitung auf Einwilligung basiert, kannst du die Einwilligung jederzeit widerrufen.
    Meldung bei der AufsichtsbehördeBei schwerwiegenden Verstößen (z. B. Verkauf sensibler Gesundheitsdaten ohne Rechtsgrundlage) Beschwerde bei der zuständigen Datenschutzbehörde einreichen.Dokumentiere alle Nachweise deiner Recherche (Screenshots, Netzwerk‑Logs, Zitate aus Datenschutztexten).
    Verbraucherschutz & MedienÖffentlichkeit schafft Druck: Meldung an Verbraucherzentralen, Presse oder Plattformen wie „haveibeenpwned“/Investigativjournalismus.Ich habe mehrfach erlebt, dass öffentliche Recherchen Unternehmen zu Stellungnahmen zwingen.

    Wie man Beweise sinnvoll sichert

    Ohne gute Dokumentation sind rechtliche Schritte schwer durchzusetzen. Ich sichere Beweise wie folgt:

  • Screenshots von Datenschutzerklärungen mit Datum und URL.
  • Exportierte Netzwerk‑Logs (im JSON‑Format) und Zusammenfassungen der wichtigsten Endpunkte.
  • Notizen zu SDK‑Namen und App‑Versionen, inklusive App‑Store‑Links.

    • Diese Dokumente helfen nicht nur bei einer Beschwerde, sondern sind auch nützlich für Journalisten oder Datenschutzorganisationen, die eine Missstandsanalyse durchführen.

    Praktische Hinweise für den Alltag

    Bis du Klarheit hast, kannst du einige pragmatische Maßnahmen ergreifen:

  • Deaktiviere Cloud‑Backups oder Synchronisation sensibler Daten, sofern möglich.
  • Verwende geräteinterne Funktionen (z. B. Health‑Daten lokal speichern) statt Drittanbieter‑Integrationen.
  • Nutze alternative Anbieter mit transparenten Richtlinien — manche Hersteller (z. B. Apple) haben in puncto Datenschutz prinzipiell robustere Standards; andere wie Fitbit/Google oder kleinere OEMs können unterschiedlich agieren.

    • Ich finde es wichtig, nicht in Panik zu geraten, sondern faktenbasiert vorzugehen: Sammle Beweise, nutze die rechtlichen Hebel, und teile Erkenntnisse — so schützt du nicht nur dich, sondern trägst zu besserer Transparenz in der Branche bei.