Ratgeber · Recht & Datenschutz

Körperdaten und DSGVO: Was Art. 9 für Fitness-Apps und Online-Rechner bedeutet

Wer einen Online-Rechner für Körperfett benutzt, gibt sensible Daten ein: Gewicht, Körpermaße, Geschlecht, Alter. Diese Daten gehören nach Art. 9 DSGVO zur besonderen Kategorie personenbezogener Daten, für die strengere Regeln gelten als für normale Personendaten. Dieser Ratgeber zeigt, was Anbieter beachten müssen und welche Rechte Nutzer haben.

4 Min Lesezeit 865 Wörter 5 FAQs
Eike-Christian Ramcke
Eike-Christian RamckeGeschäftsführer · Verantwortlich gem. § 18 Abs. 2 MStV
Geprüft am

Die Datenschutz-Grundverordnung (DSGVO) unterscheidet zwischen normalen personenbezogenen Daten und sogenannten “besonderen Kategorien”. Letztere genießen einen verschärften Schutz, weil sie besonders sensible Aspekte des Lebens betreffen: Gesundheit, ethnische Herkunft, religiöse Überzeugungen, sexuelle Orientierung, biometrische Daten. Für die Verarbeitung dieser Daten gelten strengere Anforderungen als für normale Personendaten wie Name oder E-Mail-Adresse. Die wichtigste Frage für Anbieter von Körperfett-Rechnern und Fitness-Apps: Sind Körperdaten überhaupt von Art. 9 DSGVO erfasst?

Der Wortlaut von Art. 9 DSGVO

Art. 9 Abs. 1 DSGVO definiert besondere Kategorien personenbezogener Daten ausdrücklich:

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Untersagt mit Ausnahmen, die in Abs. 2 aufgelistet sind: ausdrückliche Einwilligung, Erforderlichkeit für arbeitsrechtliche Verpflichtungen, lebenswichtige Interessen, Tätigkeit politischer/religiöser/gewerkschaftlicher Organisationen, offensichtlich öffentlich gemachte Daten, Rechtsverfahren, öffentliches Interesse im Bereich der Gesundheit, archivarische/wissenschaftliche/historische Zwecke.

Sind Körpermaße Gesundheitsdaten?

Die juristische Antwort ist: kommt darauf an. Reine Mess-Werte wie Gewicht und Körpergröße sind in der Regel nicht “Gesundheitsdaten” im engen Sinn. Sie werden alltäglich gemessen (Personalausweis enthält Körpergröße, viele Versicherungen fragen Gewicht ab) und sagen für sich genommen wenig über den Gesundheitszustand aus.

Anders verhält es sich, sobald aus diesen Mess-Werten Aussagen über den Gesundheitszustand oder die Erkrankungs-Wahrscheinlichkeit abgeleitet werden. Ein Body-Mass-Index oder ein Körperfett-Anteil mit Klassifikation “übergewichtig”, “adipös” oder “athletisch” ist näher dran an einer Gesundheitseinschätzung als an einer reinen Mess-Information.

Die Datenschutzkonferenz (DSK), das Zusammenarbeits-Gremium der deutschen Datenschutz-Aufsichtsbehörden, hat 2019 in einem Beschluss zur Einordnung von Fitness-Tracking-Daten klargestellt: “Sobald Mess-Werte mit dem Ziel der gesundheitlichen Einschätzung oder Verbesserung verarbeitet werden, sind sie als Gesundheitsdaten im Sinn von Art. 9 DSGVO einzustufen.”

Für einen Körperfett-Rechner, der Werte berechnet und sie in gesundheits-relevante Kategorien einordnet (etwa “adipös” oder “Diabetes-Risiko”), gilt damit Art. 9.

Was das praktisch bedeutet

Bei Verarbeitung von Gesundheitsdaten gelten verschärfte Pflichten:

1. Ausdrückliche Einwilligung: Die normale Standard-Einwilligung für Cookies oder Newsletter reicht nicht. Bei Gesundheitsdaten muss die Einwilligung “ausdrücklich” sein (Art. 9 Abs. 2 lit. a DSGVO), also explizit auf den konkreten Verarbeitungs-Zweck bezogen. In der Praxis: Ein eigener Bestätigungs-Schritt vor der Berechnung, der den Nutzer klar darauf hinweist, dass Gesundheitsdaten verarbeitet werden.

2. Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Bei umfangreicher Verarbeitung von Gesundheitsdaten ist eine DSFA verpflichtend. Sie dokumentiert die Risiken und Schutzmaßnahmen. Für reine Online-Rechner ohne Speicherung in der Regel nicht nötig, für Apps mit Datenbank und Profil-Bildung Pflicht.

3. Technische und organisatorische Maßnahmen (TOM): Verschlüsselung, Pseudonymisierung, Zugriffs-Beschränkungen. Bei Gesundheitsdaten ist der Standard höher als bei normalen Personendaten.

4. Datenschutzbeauftragter: Pflicht bei Kerntätigkeit “umfangreiche Verarbeitung besonderer Kategorien” (Art. 37 Abs. 1 lit. c DSGVO). Für reine Calculator-Sites in der Regel nicht relevant, für Health-App-Anbieter oft Pflicht.

5. Meldepflicht bei Datenpannen (Art. 33 DSGVO): Innerhalb von 72 Stunden an die Aufsichtsbehörde, bei hohem Risiko zusätzlich an Betroffene.

Clientseitige Verarbeitung als Lösung

Der einfachste Weg, die Anforderungen von Art. 9 zu umgehen, ist die clientseitige Verarbeitung: Die Berechnung läuft komplett im Browser des Nutzers, ohne dass die eingegebenen Daten an einen Server gesendet werden.

koerperfettberechnen.de funktioniert nach diesem Prinzip. Die JavaScript-basierte Rechner-Logik läuft im Browser, die Eingaben (Gewicht, Maße, Geschlecht, Alter) verlassen den Browser nicht. Es findet damit keine Datenverarbeitung beim Anbieter statt, die Anforderungen von Art. 9 DSGVO greifen nicht.

Vorteile: Keine Einwilligung erforderlich, keine DSFA, keine TOM für die Berechnungs-Daten, niedriges Risiko-Profil. Nachteil: Keine Verlaufs-Speicherung über Sitzungen hinweg, weil die Daten nicht zentral gespeichert sind. Wer Verläufe verfolgen will, muss seine Werte manuell aufschreiben oder eine andere App nutzen, die mit Server-Speicherung arbeitet.

Was passiert bei Server-seitiger Verarbeitung

Sobald ein Anbieter die eingegebenen Daten an einen Server schickt, gespeichert, ausgewertet oder mit anderen Daten verknüpft, greift das volle Programm:

  • Ausdrückliche Einwilligung in einer eigenen Erklärung, nicht in den AGB versteckt
  • Klare Information über Zwecke und Verarbeitungs-Operationen
  • Verschlüsselung im Transit und at-rest
  • Pseudonymisierung wo möglich
  • Auftrags-Verarbeitungs-Verträge mit allen Hosting-Dienstleistern
  • Datenschutz-Folgenabschätzung bei hohem Risiko (bei Gesundheitsdaten praktisch immer)
  • Möglichkeit zur Daten-Löschung (Art. 17 DSGVO, “Recht auf Vergessenwerden”)
  • Möglichkeit zur Daten-Auskunft (Art. 15 DSGVO)
  • Möglichkeit zur Daten-Übertragung (Art. 20 DSGVO)

Für einen kleinen Anbieter ist das ein erheblicher rechtlicher und technischer Aufwand. Deshalb wählen viele Calculator-Tools bewusst die clientseitige Variante.

Was rechtlich zu beachten ist

Drei Empfehlungen für Anbieter von Online-Rechnern mit Gesundheitsbezug:

Erstens: Wenn möglich, clientseitig verarbeiten. Spart fast den gesamten DSGVO-Aufwand und ist für Nutzer transparenter.

Zweitens: Falls Server-seitig verarbeitet wird, ausdrückliche Einwilligung vor jeder Berechnung holen. Mit klarem Hinweis, dass Gesundheitsdaten verarbeitet werden, was damit passiert und wie lange sie gespeichert werden. Nicht in AGB versteckt, sondern als separater Bestätigungs-Schritt.

Drittens: Datenschutzerklärung muss die Verarbeitung klar dokumentieren, mit Rechtsgrundlage (üblicherweise Art. 9 Abs. 2 lit. a DSGVO bei Einwilligungen), Speicherdauer, Empfänger und Betroffenenrechten. Bei reinen Browser-Berechnungen reicht der Hinweis, dass keine Daten beim Anbieter verarbeitet werden.

Für Nutzer ist die wichtigste Regel: Achten Sie darauf, ob ein Online-Rechner Ihre Daten an Server sendet. Bei vielen modernen Tools steht das in der Datenschutzerklärung, oder Sie können in der Browser-Konsole prüfen, ob beim Klick auf “Berechnen” Netzwerk-Anfragen abgehen. Bei reinen JavaScript-Rechnern wie unserem bleibt alles im Browser.

FAQ

Häufige Fragen

Gehören Körperfett-Werte zu Gesundheitsdaten nach Art. 9 DSGVO?

Die Rechtsfrage ist nicht abschließend geklärt. Reine Körpermaße (Gewicht, Größe, Umfänge) sind in der Regel nicht Gesundheitsdaten im engeren Sinn. Sobald daraus aber Aussagen über Gesundheitszustand oder Erkrankungs-Risiken abgeleitet werden (Adipositas, Diabetes-Risiko), greift wahrscheinlich Art. 9. Die DSK (Datenschutzkonferenz der deutschen Aufsichtsbehörden) hat in einem Beschluss von 2019 klargestellt, dass Fitness-Tracking-Daten als Gesundheitsdaten gelten, wenn sie zur gesundheitlichen Einschätzung verwendet werden.

Brauche ich eine Einwilligung für die Nutzung eines Körperfett-Rechners?

Bei reiner Berechnung im Browser ohne Server-Speicherung (clientseitige Verarbeitung) gilt: keine Datenverarbeitung im DSGVO-Sinn beim Anbieter, weil die Daten den Browser nicht verlassen. Bei Server-seitiger Verarbeitung oder Speicherung der Eingaben braucht es eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. koerperfettberechnen.de speichert keine Eingaben, die Berechnung läuft komplett im Browser.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine DSFA nach Art. 35 DSGVO ist eine systematische Risikobewertung, die der Verantwortliche durchführen muss, wenn die Verarbeitung 'voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen' hat. Bei Health-Apps mit großer Datenbank und Profil-Bildung ist eine DSFA fast immer Pflicht. Bei einem reinen Online-Rechner mit clientseitiger Verarbeitung in der Regel nicht.

Welche Pflichten hat ein Anbieter von Fitness-Apps mit Gesundheitsbezug?

Bei Server-seitiger Verarbeitung: ausdrückliche Einwilligung in einer separaten Erklärung (nicht in AGB versteckt), klare Information über Zwecke und Verarbeitungs-Operationen, technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO (Verschlüsselung, Pseudonymisierung), Datenschutz-Folgenabschätzung bei hohem Risiko, Bestellung eines Datenschutzbeauftragten ab 20 regelmäßig damit beschäftigten Mitarbeitern.

Was passiert bei Datenpannen?

Nach Art. 33 DSGVO muss ein Anbieter eine Datenpanne innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden, sofern ein Risiko für die Betroffenen besteht. Bei Gesundheitsdaten ist das praktisch immer der Fall. Zusätzlich müssen die betroffenen Personen direkt informiert werden, wenn die Pannenfolgen 'voraussichtlich hohes Risiko' haben. Bußgelder können bis zu 4 Prozent des weltweiten Jahresumsatzes erreichen.

Anzeige

Quellen

Worauf dieser Ratgeber sich stützt

Anzeige
Anzeige
Anzeige
Anzeige