Livity LogoLivity
Back to blog
gesundheitsdaten datenschutzfitness trackerdatenschutzHIPAAon-deviceapple watch

Dein Fitness-Tracker weiß alles über dich. Wer noch?

2021 entdeckte ein Sicherheitsforscher eine ungesicherte Datenbank mit 61 Millionen Fitness-Tracker-Datensätzen von Apple- und Fitbit-Nutzern — Namen, Geburtsdaten, Gewicht, Größe und Standortdaten, alles im Klartext ohne Passwortschutz.

Person schaut auf Gesundheitsdaten am Smartphone, während Daten in die Cloud fließen

Die Datenbank gehörte GetHealth, einem Drittanbieter, von dem die meisten dieser Nutzer noch nie gehört hatten. Ihre Daten wurden von einem Dienst gesammelt, aggregiert und gespeichert, der in den Geschäftsbedingungen der Apps versteckt war, denen sie vertrauten.

Das war kein Einzelfall. So funktioniert die Fitness-Tracker-Branche.

Was dein Fitness-Tracker wirklich sammelt

Moderne Fitness-Tracker und Gesundheits-Apps erfassen durchschnittlich 12 verschiedene Datentypen — mehr als ein Drittel aller Kategorien, die Apple in seinen App-Store-Datenschutzlabels definiert. Hier ist, was typischerweise aufgezeichnet wird:

  • Herzfrequenz — kontinuierliche 24/7-Überwachung, einschließlich Ruhe-, Aktivitäts- und Schlaf-Herzfrequenz
  • Schlafmuster — wann du einschläfst, wie lange du schläfst, welche Schlafphasen du durchläufst
  • GPS-Standort — deine Trainingsrouten, wo du läufst, gehst und Rad fährst
  • Körperdaten — Gewicht, Größe, Körperzusammensetzung, Blutsauerstoffwerte
  • Menstruationszyklusdaten — Periodendaten, Symptome, Fruchtbarkeitsfenster
  • Stress und Erholung — HRV-basierte Stresswerte, Erholungsbereitschaft
  • Rohe Sensordaten — Beschleunigungsmesser- und Gyroskop-Aufzeichnungen, die Bewegungsmuster über den ganzen Tag hinweg offenlegen

Eine Surfshark-Studie fand heraus, dass Fitbit bis zu 24 verschiedene Datentypen erfasst — mehr als jede andere Fitness-App. Strava nutzt 21 Datentypen für Zwecke, die über die grundlegende App-Funktionalität hinausgehen.

Zusammen ergeben diese Daten ein außerordentlich detailliertes Bild deines Alltags: wo du hingehst, wann du schläfst, wie gestresst du bist, dein körperlicher Zustand und deine reproduktive Gesundheit.

Die HIPAA-Lücke: Warum deine Daten nicht geschützt sind

Hier ist der Teil, den die meisten nicht kennen: Deine Fitness-Tracker-Daten sind mit ziemlicher Sicherheit nicht durch Datenschutzgesetze für Gesundheitsdaten geschützt.

HIPAA — das Gesetz, von dem Amerikaner annehmen, es schütze alle Gesundheitsdaten — gilt nur für „abgedeckte Einrichtungen": Krankenhäuser, Krankenversicherungen, Clearingstellen im Gesundheitswesen und deren Geschäftspartner. Consumer-Tech-Unternehmen wie Fitbit, Garmin, Oura, WHOOP und Strava sind keine abgedeckten Einrichtungen.

Das bedeutet, sie können legal:

  • Deine Gesundheitsdaten mit Werbepartnern teilen
  • Aggregierte (und manchmal individuelle) Daten an Datenhändler verkaufen
  • Deine Daten bei einer Übernahme an neue Eigentümer übertragen
  • Daten über Partnerschaften an Versicherer oder Arbeitgeber weitergeben

Und viele von ihnen tun das. Eine Studie der Duke University ergab, dass 79 % der beliebten Gesundheits- und Fitness-Apps Nutzerdaten mit Dritten teilen. Nur 28 % der Nutzer wussten, dass dies geschah.

Die Kluft zwischen dem, was die Menschen erwarten, und dem, was tatsächlich passiert, ist enorm. Du würdest nie akzeptieren, dass ein Arzt deine Krankenakte an einen Werbetreibenden weitergibt — aber dein Fitness-Tracker macht möglicherweise etwas funktional Ähnliches.

Die Bilanz der Datenpannen

Die Bilanz der Fitness- und Health-Tech-Branche in Sachen Datensicherheit ist düster:

Große Vorfälle

GetHealth (2021) — 61 Millionen Fitness-Tracker-Datensätze (von Apple- und Fitbit-Nutzern) in einer ungesicherten Datenbank offengelegt. Kein Passwort, keine Verschlüsselung, Klartext.

UnitedHealth / Change Healthcare (2024) — 190 Millionen Gesundheitsdatensätze gestohlen — der größte digitale Diebstahl von US-Krankenakten. Der Angreifer verschaffte sich Zugang mit gestohlenen Zugangsdaten ohne Multi-Faktor-Authentifizierung. UnitedHealth zahlte 22 Millionen Dollar Lösegeld.

MyFitnessPal (2018) — 150 Millionen Nutzerkonten gehackt, wobei Benutzernamen, E-Mail-Adressen und Passwörter offengelegt wurden.

Garmin (2020) — Die russische Hackergruppe Evil Corp setzte die WastedLocker-Ransomware ein und legte alle Online-Dienste von Garmin tagelang lahm. Garmin zahlte Berichten zufolge 10 Millionen Dollar Lösegeld über einen Vermittler.

Peloton (2021) — Eine API-Schwachstelle legte die persönlichen Daten von etwa 3 Millionen Nutzern offen, darunter vollständige Namen, E-Mails, Alter und Trainingsstatistiken. Peloton brauchte über 90 Tage, um das Problem nach der Meldung zu beheben.

Das Strava-Militärproblem

Stravas Datenschutz-Pannen sind vielleicht das eindrücklichste Beispiel dafür, was schiefgehen kann. 2018 enthüllte Stravas Global Heatmap — erstellt aus den Trainingsdaten der Nutzer — unbeabsichtigt die Standorte geheimer US-amerikanischer und alliierter Militärstützpunkte in Syrien, Afghanistan und Dschibuti. Soldaten hatten ihre Laufrunden auf der Basis aufgezeichnet, ohne zu bemerken, dass ihre Routen veröffentlicht wurden.

Das Problem setzte sich fort. 2022 platzierte eine israelische NGO gefälschte Strava-Segmente in sechs streng geheimen Militäranlagen und identifizierte über 100 Personen, darunter Mossad-Mitarbeiter. 2025 verrieten französische U-Boot-Besatzungsmitglieder Patrouillenpositions durch Strava-Workouts. Im März 2026 enthüllte ein Matrose auf dem französischen Flugzeugträger Charles de Gaulle die Position des Schiffs, indem er einen Lauf an Deck aufzeichnete.

Standortdaten von Fitness-Trackern haben reale Sicherheitskonsequenzen.

📱 Livity speichert all deine Gesundheitsdaten auf deinem Gerät — nichts wird auf externe Server hochgeladen. Jetzt kostenlos testen →

Wer kauft deine Gesundheitsdaten — und warum?

Wenn Fitness-Unternehmen deine Daten mit „Dritten" teilen, wer sind diese Dritten?

Werbetreibende

Eine Untersuchung von 2023 ergab, dass 78 % der Fitness-Apps Daten mit Meta und Google teilten, selbst wenn Nutzer ihre Konten auf „privat" eingestellt hatten. Diese Daten speisen zielgerichtete Werbung. Hast du kürzlich nach Laufschuhen gesucht? Deine Fitness-App hat Meta möglicherweise schon verraten, dass du läufst, bevor du es jemandem erzählt hast.

Versicherungsunternehmen

Krankenversicherer haben begonnen, Wearable-Daten zur Anpassung von Prämien zu nutzen. Einige bieten Rabatte für das Erreichen von Schrittzielen an — was positiv klingt, bis man das Gegenteil bedenkt: Daten, die geringe Aktivität, schlechten Schlaf oder hohen Stress zeigen, könnten letztendlich dazu verwendet werden, Prämien zu erhöhen. Es gibt kein Gesetz, das dies für Daten verhindert, die außerhalb HIPAA-abgedeckter Kanäle erhoben wurden.

Ein Bericht der Kaiser Family Foundation ergab, dass 21 % der Arbeitgeber mit Krankenversicherungsangebot bereits Daten von Wearables ihrer Mitarbeiter sammelten.

Datenhändler

Deine Fitnessdaten können in die Hände von Datenhändlern gelangen, die sie aggregieren und weiterverkaufen. Im Gegensatz zu Krankenakten haben Fitness-Tracker-Daten keinen spezifischen Rechtsschutz gegen den Weiterverkauf. Sobald sie die App verlassen, ist es nahezu unmöglich nachzuverfolgen, wohin sie gehen.

Neue Unternehmenseigentümer

Als Google Fitbit 2019 für 2,1 Milliarden Dollar übernahm, erhielt es Zugang zu den Gesundheitsdaten von 28 Millionen aktiven Nutzern. Google versprach, Fitbit-Daten nicht für Werbung zu nutzen. Aber der Präzedenzfall ist besorgniserregend: Als Google 2014 Nest übernahm, hielt es die Daten zunächst getrennt, verknüpfte sie aber innerhalb eines Jahres mit dem breiteren Google-Ökosystem.

Oura Rings Partnerschaft 2024 mit Palantir für eine „bevölkerungsweite Analyse von Risiko und Bereitschaft" — ausgerichtet auf das US-Verteidigungsministerium — löste Gegenreaktionen von Nutzern aus, die sich nicht dafür angemeldet hatten, zu militärischen Gesundheitsanalysen beizutragen.

On-Device vs. Cloud: Warum die Architektur entscheidend ist

Schild-Symbol mit Gesundheitsdaten-Symbolen, das On-Device-Datenschutz darstellt

Die grundlegende Datenschutzfrage lautet: Wo befinden sich deine Gesundheitsdaten und wer kann darauf zugreifen?

Die meisten Fitness-Tracker folgen einem Cloud-first-Modell. Deine Uhr oder dein Armband erfasst Rohdaten der Sensoren, sendet sie an dein Handy, das sie auf die Server des Unternehmens hochlädt. Die Insights, die du in der App siehst, wurden auf deren Infrastruktur berechnet, mit deinen Daten, zu deren Bedingungen.

Dieses Modell schafft mehrere Schwachstellen:

  • Daten während der Übertragung können abgefangen werden (Bluetooth-Sniffing, ungesichertes WLAN)
  • Cloud-Server können fehlkonfiguriert oder gehackt werden (GetHealth, UnitedHealth)
  • Serverseitige Daten können von Mitarbeitern, Subunternehmern oder Strafverfolgungsbehörden eingesehen werden
  • Nutzungsbedingungen können sich ändern und die Datennutzung erweitern, nachdem du deine Daten bereits geteilt hast

Die Alternative ist On-Device-Verarbeitung. Apple hat die Machbarkeit dieses Ansatzes mit Apple Health demonstriert: Alle Gesundheitsmetriken — Trends, Highlights, Zyklusvorhersagen, Ruheherzfrequenz-Analysen — werden auf deinem iPhone oder deiner Apple Watch berechnet. Über iCloud synchronisierte Daten nutzen Ende-zu-Ende-Verschlüsselung, die selbst Apple nicht entschlüsseln kann.

Die Zahlen belegen das. Forschung zu Edge-AI in Wearables zeigt, dass On-Device-Verarbeitung die Datenübertragung um 97,4 % reduziert — von 4,2 GB roher Sensordaten täglich auf nur 217 Kilobyte verarbeiteter Insights. Die Rohdaten verlassen nie dein Handgelenk.

Das ist nicht nur ein Datenschutz-Feature. Es ist eine grundlegend andere Architektur. Daten, die dein Gerät nie verlassen, können nicht:

  • Bei einem Servereinbruch offengelegt werden
  • An Datenhändler verkauft werden
  • An Werbetreibende weitergegeben werden
  • Ohne physischen Zugriff auf dein Gerät per Gerichtsbeschluss angefordert werden
  • An einen neuen Unternehmenseigentümer übertragen werden

Welche Gesetze holen auf?

Die regulatorische Landschaft entwickelt sich weiter, aber langsam:

FTC Health Breach Notification Rule (aktualisiert 2024) — Deckt jetzt ausdrücklich Fitness-Tracker, Gesundheits-Apps und vernetzte Geräte ab. Unternehmen müssen Nutzer innerhalb von 60 Tagen nach einer Datenpanne benachrichtigen, die 500 oder mehr Personen betrifft.

Washington My Health My Data Act (2024) — Das erste US-Staatsgesetz, das Gesundheitsdaten außerhalb von HIPAA spezifisch schützt. Erfordert eine Opt-in-Einwilligung vor der Weitergabe von Gesundheitsdaten und eine separate unterschriebene Genehmigung vor dem Verkauf.

Illinois BIPA — Das Biometric Information Privacy Act wurde genutzt, um Fitness-Unternehmen wegen der Erfassung biometrischer Daten ohne Einwilligung zu verklagen. Allein 2025 wurden über 107 BIPA-Sammelklagen eingereicht, mit Strafen von bis zu 5.000 Dollar pro vorsätzlichem Verstoß.

WHOOP, Fitbit und Oura waren alle bereits mit rechtlichen Schritten unter diesen Regelwerken konfrontiert. Aber es gibt immer noch kein umfassendes Bundesgesetz, das die Gesundheitsdaten von Verbrauchern durch Fitness-Tracker in den USA schützt.

Bis sich das ändert, ist dein bester Schutz, Werkzeuge zu wählen, die deine Daten gar nicht erst sammeln.

So schützt du deine Gesundheitsdaten

Wenn du einen Fitness-Tracker nutzt, kannst du sofort Folgendes tun:

  1. Prüfe das Datenschutzlabel — Lies vor dem Download jeder Gesundheits-App das Datenschutzlabel im App Store. Achte auf „Keine Daten erfasst" oder „Daten nicht mit dir verknüpft". Steht dort „Daten für Tracking verwendet", überleg es dir zweimal.

  2. Überprüfe deine Berechtigungen — Gehe zu Einstellungen → Datenschutz → Gesundheit auf deinem iPhone. Sieh nach, welche Apps Zugriff auf deine Gesundheitsdaten haben, und entziehe den Zugriff für Apps, die du nicht mehr nutzt.

  3. Deaktiviere Standort für Workouts — Wenn du kein GPS-Tracking brauchst, schalte es aus. Standortdaten sind die sensibelste Art von Fitnessdaten (frag die französische Marine).

  4. Nutze On-Device-Tools — Wähle Apps, die Daten lokal verarbeiten, statt sie auf Cloud-Server hochzuladen. Die Architektur von Apple Health ist der Goldstandard.

  5. Lies die Nutzungsbedingungen — Achte besonders auf Abschnitte über „Datenweitergabe", „Drittpartner" und „Datenaufbewahrung". Wenn sich ein Unternehmen das Recht vorbehält, deine Gesundheitsdaten mit ungenannten Partnern zu teilen, ist das ein Warnsignal.

  6. Überlege, was du eintauschst — Eine „kostenlose" Fitness-App, die deine Gesundheitsdaten monetarisiert, ist nicht wirklich kostenlos. Du bezahlst mit den intimsten Daten, die du erzeugst.

FAQ

Werden Fitness-Tracker-Daten durch HIPAA geschützt?

Nein, in den meisten Fällen nicht. HIPAA gilt nur für Gesundheitsdienstleister, Krankenversicherungen und deren Geschäftspartner. Consumer-Fitness-Unternehmen wie Fitbit, Garmin, Oura und WHOOP sind keine HIPAA-abgedeckten Einrichtungen. Deine Fitness-Tracker-Daten haben weniger Rechtsschutz als deine Krankenakten.

Können Versicherungsunternehmen meine Fitness-Tracker-Daten nutzen?

Ja. Einige Versicherer bieten bereits Programme an, bei denen Wearable-Daten die Prämien beeinflussen — üblicherweise als Rabatte für gesundes Verhalten verpackt. Es gibt derzeit kein Bundesgesetz, das Versicherer daran hindert, außerhalb von HIPAA erhobene Fitnessdaten zur Tarifanpassung zu nutzen.

Was passiert mit meinen Gesundheitsdaten, wenn ein Fitness-Unternehmen übernommen wird?

Deine Daten werden in der Regel unter den bestehenden Nutzungsbedingungen an den neuen Eigentümer übertragen. Googles Übernahme von Fitbit gab Google beispielsweise Zugang zu den Gesundheitsdaten von 28 Millionen Nutzern. Obwohl Unternehmen bei Übernahmen oft Datenschutzversprechen abgeben, sind diese Zusagen in der Regel langfristig nicht rechtlich bindend.

Welche Fitness-Tracker speichern Daten auf dem Gerät?

Apple Health verarbeitet alle Gesundheitsdaten auf dem Gerät und nutzt Ende-zu-Ende-Verschlüsselung für die iCloud-Synchronisierung. Livity verfolgt denselben Ansatz — alle Gesundheitsmetriken werden auf deinem iPhone mit Apple-Health-Daten berechnet, und nichts wird auf externe Server hochgeladen. Die meisten anderen großen Plattformen (Fitbit, Garmin Connect, WHOOP, Oura) setzen auf Cloud-Verarbeitung.

Können Fitness-Tracker-Daten vor Gericht verwendet werden?

Ja. Fitness-Tracker-Daten wurden als Beweismittel in Strafsachen, Versicherungsstreitigkeiten und bei Personenschadensansprüchen verwendet. 2023 wurden die Fitbit-Daten eines Mordverdächtigen genutzt, um seinen Standort und seine Aktivität zum Tatzeitpunkt nachzuweisen. Auf Unternehmensservern gespeicherte Daten können per Vorladung angefordert werden.

Fang an zu tracken, ohne deine Privatsphäre aufzugeben

Deine Gesundheitsdaten gehören zu den persönlichsten Informationen, die du erzeugst. Wo sie gespeichert werden und wer darauf zugreifen kann, ist wichtig.

Livity trackt deinen Schlaf, HRV, Erholung, Stress und Fitnessalter komplett auf deinem Gerät — keine Cloud-Server, keine Datenhändler, keine Weitergabe an Dritte. Deine Gesundheitsdaten bleiben auf deinem iPhone, wo sie hingehören. Kostenlos im App Store ausprobieren.

Bereit, Ihre
Gesundheit zu optimieren?

Schließen Sie sich Tausenden von Nutzern an, die ihr Wohlbefinden bereits mit Livity verbessert haben. Laden Sie jetzt herunter und beginnen Sie Ihre Reise zu einem gesünderen Leben.

App herunterladen
Sicher und privat
Back to blog