Samsung stellt die Nutzer seiner Health-App vor eine unbequeme Wahl. Entweder sie geben ihre Gesundheitsdaten für das KI-Training frei, oder die App trennt die Synchronisation und löscht die gespeicherten Daten. Ein juristisch heikler Schritt, der weit über einen einzelnen Hersteller hinausweist.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenSamsung Health empfängt seine Nutzer seit Mitte Juli mit einem neuen Einwilligungsfenster. Die Überschrift klingt technisch, die Folge hat es in sich: Ohne Zustimmung zur „Nutzung von Gesundheitsdaten für KI-Training und -Modellierung“ verschwinden die synchronisierten Daten vom Server.
Das Wichtigste in Kürze
- Samsung Health verlangt die Zustimmung zur Nutzung von Gesundheitsdaten für KI-Training und -Modellierung, ausdrücklich samt menschlicher Prüfung.
- Beim Widerruf lassen sich die Daten nicht mehr mit dem Samsung-Konto synchronisieren, und die bereits gespeicherten Daten werden gelöscht.
- Betroffen sind sensible Angaben wie Schlaf, Menstruationszyklus, Medikation und ärztliche Befunde.
- Unter der DSGVO zählen Gesundheitsdaten zur besonderen Kategorie und verlangen eine getrennte, ausdrückliche Einwilligung.
Warum verschwinden die Daten beim Widerruf?

Samsung koppelt die Cloud-Synchronisation an die Einwilligung ins KI-Training. Fällt die Zustimmung weg, entfällt aus Sicht des Herstellers die Grundlage für die Speicherung, und die synchronisierten Gesundheitsdaten werden vom Server entfernt.
Der Hersteller Samsung bündelt in der neuen Einwilligung zwei Vorgänge, die wenig miteinander zu tun haben: die Speicherung im Samsung-Konto und die Nutzung der Daten für das Training eigener KI-Modelle.[1] Ohne diese Trennung hängt die gesamte Cloud-Funktion an der Zustimmung zur KI.
Die Einwilligung schließt zudem eine menschliche Prüfung ein, an der externe Dienstleister beteiligt sein können. Aus einer stillen Cloud-Sicherung wird so die Weitergabe intimer Werte an Dritte.
Beim Widerruf stoppt die App die Synchronisation und löscht die Daten vom Server, sofern keine gesetzliche Aufbewahrungspflicht besteht. Das Muster dahinter: Der Dienst wird zur Währung, mit der die Nutzer für ihre Datenhoheit bezahlen.
Einwilligung oder Datenverlust: Hält das vor der DSGVO stand?
Rechtlich ist das zweifelhaft. Die DSGVO verlangt eine freiwillige Einwilligung. Wird ein Dienst faktisch an die Zustimmung zum KI-Training gebunden, spricht viel gegen diese Freiwilligkeit, zumal Gesundheitsdaten als besondere Kategorie eine ausdrückliche, getrennte Einwilligung verlangen.
Zwei Hürden stehen im Weg. Artikel 9 der DSGVO stuft Gesundheitsdaten als besondere Kategorie ein und verlangt eine ausdrückliche Einwilligung, die sich nicht aus einem allgemeinen „Akzeptieren“ ableiten lässt.
Hinzu kommt die Freiwilligkeit nach Artikel 7. Ein Widerruf muss ohne Nachteil möglich bleiben, und die Löschung der Daten als Preis des Neins steht dazu in offenem Widerspruch.
Neu ist das Problem nicht. LinkedIn hat 2024 sein KI-Training per Voreinstellung aktiviert und die EU nach dem Eingreifen der Aufsichtsbehörden ausgenommen.
Metas Modell „Bezahlen oder Zustimmen“ gilt dem Europäischen Datenschutzausschuss für große Plattformen als grundsätzlich unzulässig. Auch Meta musste sein KI-Bildmodell Muse Image zurückziehen, als öffentliche Profile ungefragt zur Trainingsvorlage wurden.
Eine Einwilligung, die man nur um den Preis der eigenen Daten ablehnen kann, ist keine echte Wahl. Genau an dieser Freiwilligkeit entscheidet sich, ob das Modell vor der DSGVO Bestand hat.
— Markus Seyfferth, Chefredakteur Dr. Web
Für europäische Nutzer verschärft die geplante KI-Verordnung den Rahmen. Bußgelder nach der DSGVO reichen bis zu vier Prozent des weltweiten Jahresumsatzes, und die Aufsichtsbehörden prüfen Kopplungsmodelle inzwischen genauer.
Was die neue KI-Klausel verlangt und was beim Widerruf passiert
Menschliche Prüfung inklusive: Auch externe Dienstleister können die freigegebenen Gesundheitsdaten einsehen.
Was sollten Unternehmen jetzt beachten?
Einwilligungen für KI-Training nie an die Kernfunktion eines Dienstes koppeln. Für Gesundheits- und andere Sonderkategoriedaten braucht es eine getrennte, ausdrückliche Zustimmung, die sich ohne Nachteil widerrufen lässt.
Der Fall taugt als Lehrstück, auch fernab von Wearables. Jede Firma mit einer App oder einem Kundenkonto sollte Einwilligung und Kernfunktion sauber trennen, sonst kippt die Freiwilligkeit.
Für Sonderkategoriedaten gilt das doppelt. Eine getrennte, granulare Abfrage ist hier Pflicht, nicht Komfort. Der Widerruf muss ohne Datenverlust möglich bleiben, die Rechtsgrundlage sauber dokumentiert sein. Der Trend zu mehr Kontrolle ist deutlich, von der Debatte um die Chatkontrolle bis zu den DSA-Verfahren gegen Meta.
Konkret heißt das: Bestehende Consent-Dialoge daraufhin prüfen, ob ein Nein wirklich folgenlos bleibt. Bleibt es das nicht, gehört das Modell überarbeitet, bevor eine Aufsichtsbehörde es tut.
Quelle
[1] Samsung: „Consumer Health Data Privacy Statement“ ↩
Mehr Newshunger?
- Meta stoppt Muse Image nach zwei Tagen: Wenn das öffentliche Profil zur KI-Vorlage wird
- KI-Verordnung: Hochrisiko verschoben, Bußgeld bleibt
- EU-Kommission: Instagram und Facebook verstoßen mit süchtig machendem Design gegen den DSA
- Chatkontrolle bis 2028: Warum 314 Gegenstimmen im EU-Parlament nicht reichten
- Endlos-Scrollen vor dem Aus: Kalifornien will süchtig machende Feeds für Jugendliche verbieten