Startseite Allgemeines Zyklus-Apps im Datenschutz-Check: Wenn intime Gesundheitsdaten bei Werbekonzernen landen
Allgemeines

Zyklus-Apps im Datenschutz-Check: Wenn intime Gesundheitsdaten bei Werbekonzernen landen

pasja1000 (CC0), Pixabay
Teilen

 

Menstruations-Apps speichern Angaben zu Schwangerschaft, Verhütung, Stimmung und Beschwerden. Eine Untersuchung der Mozilla Foundation zeigt: Einige Anbieter schützen diese Informationen konsequent, andere übermitteln Daten an Analyse- und Werbedienste.

Zyklus-Apps versprechen Hilfe bei der Planung des Alltags, bei Kinderwunsch oder Verhütung. Dafür erfassen sie besonders sensible Angaben: Beginn und Dauer der Periode, Schwangerschaftsstatus, verwendete Verhütungsmittel, Stimmungsschwankungen, Alkoholkonsum oder körperliche Beschwerden.

Eine aktuelle Untersuchung der Mozilla Foundation zeigt jedoch, dass Nutzerinnen nicht bei allen Anwendungen davon ausgehen können, dass diese Informationen ausschließlich auf ihrem Smartphone oder beim jeweiligen Anbieter verbleiben. Untersucht wurden die Apps Flo, Clue, Stardust, Spot On, Period Calendar und Euki.

Einige der geprüften Anwendungen verfügen dem Bericht zufolge über vergleichsweise starke Datenschutzmaßnahmen. Andere übermitteln Nutzungs- oder Gesundheitsinformationen an externe Analyseunternehmen und große Technologiekonzerne wie Google, Meta, Microsoft oder TikTok.

Nicht jede solche Datenübertragung ist automatisch rechtswidrig. Problematisch ist jedoch, dass Nutzerinnen häufig kaum erkennen können, wer welche Informationen erhält, wie lange sie gespeichert werden und wofür sie später verwendet werden.

Schwangerschaft, Verhütung und Beschwerden übermittelt

Besonders kritisch bewerteten die Prüfer die App Stardust. Sie verbindet die Zyklusbeobachtung mit astrologischen Angeboten und wirbt mit weitreichenden Datenschutzversprechen.

Nach den Untersuchungen von Mozilla übermittelt die Anwendung detaillierte reproduktive Gesundheitsinformationen an das Datenmanagement-Unternehmen RudderStack. Dazu sollen Angaben über Schwangerschaften, Verhütungsmethoden, Stimmungen, Alkoholkonsum und konkrete Beschwerden wie Brustspannen oder Magenkrämpfe gehören.

RudderStack werde in der Datenschutzerklärung der App nicht ausdrücklich genannt, heißt es in der Untersuchung.

Stardust erklärte dazu, der Dienst werde lediglich als technische Datenleitung genutzt, um Informationen in die eigenen Analysesysteme zu übertragen. Die Daten ließen nach Angaben des Unternehmens keinen direkten Rückschluss auf Namen oder Kontaktinformationen zu. RudderStack dürfe sie vertraglich weder verkaufen noch für eigene Zwecke verwenden und speichere sie nicht langfristig.

Auch pseudonymisierte oder vermeintlich anonyme Informationen sind jedoch nicht grundsätzlich risikofrei. Werden Daten mit Gerätekennungen, Werbeprofilen, Standortinformationen oder anderen Datenbanken kombiniert, kann eine Zuordnung unter Umständen wieder möglich werden.

Je mehr Unternehmen Zugriff auf sensible Informationen erhalten, desto größer wird außerdem die Zahl möglicher Angriffspunkte für Datenlecks, Hackerangriffe oder behördliche Auskunftsersuchen.

Gesundheitsangebot führt auf weniger geschützte Webseite

Bei der App Spot On ist die Situation komplizierter. Die von der US-Organisation Planned Parenthood entwickelte Anwendung selbst übermittelt Mozilla zufolge keine Gesundheitsdaten an andere Unternehmen und versucht auch nicht, ihre Nutzerinnen innerhalb der App zu verfolgen.

Bestimmte Funktionen öffnen jedoch die Webseite der Organisation im Browser. Dazu gehören ein KI-Chatbot und eine Suchfunktion für medizinische Einrichtungen.

Auf dieser Internetseite können externe Analysedienste erkennen, nach welcher medizinischen Versorgung Nutzer suchen. Übermittelt werden könnten demnach beispielsweise Informationen darüber, ob jemand nach einem HIV-Test oder geschlechtsangleichender Gesundheitsversorgung sucht.

Aus Sicht der Datenschutzexperten ließe sich diese Übermittlung technisch vergleichsweise leicht begrenzen. Planned Parenthood äußerte sich laut Bericht nicht zu den Vorwürfen.

Der Fall zeigt ein häufiges Problem digitaler Gesundheitsangebote: Eine App kann selbst datenschutzfreundlich gestaltet sein, während verknüpfte Webseiten, Chatbots oder Analysesysteme deutlich mehr Informationen weitergeben.

Schon die Nutzung einer Zyklus-App kann sensibel sein

Nicht alle untersuchten Anwendungen teilen konkrete Gesundheitsangaben. Einige senden jedoch Gerätekennungen und allgemeine Nutzungsdaten an Werbe- und Analysedienste.

Solche Daten können zeigen, dass eine bestimmte Person eine App zur reproduktiven Gesundheit verwendet. Auch diese Information kann sensibel sein – insbesondere wenn sie mit weiteren digitalen Spuren verknüpft wird.

Period Calendar übermittelte laut Mozilla Geräteinformationen und Identifikationsnummern an Google und das Werbeunternehmen InMobi. Eine Möglichkeit, diese Übertragung abzuschalten, sei nicht erkennbar gewesen.

Stardust sende vergleichbare Daten an Meta und den Analysedienst AppsFlyer. Nutzer könnten dies zumindest teilweise über die Datenschutzeinstellungen ihres Smartphones unterbinden. Beim Aufruf der Planned-Parenthood-Webseite über Spot On würden ähnliche Informationen unter anderem mit Google, Microsoft, TikTok und Pinterest geteilt.

Die Anbieter betonen, dass keine Gesundheitsinformationen zu Werbezwecken übermittelt würden. Solche Dienste würden vielmehr zur Messung und Optimierung von Werbekampagnen eingesetzt.

Für Nutzerinnen bleibt dennoch die Frage, ob sie möchten, dass Werbekonzerne überhaupt erfahren, dass sie eine Menstruations- oder Gesundheits-App verwenden.

Warum die Daten in den USA besonders heikel sind

Die Debatte hat in den Vereinigten Staaten eine zusätzliche politische und rechtliche Dimension. Seit der Oberste Gerichtshof 2022 den landesweiten Schutz des Rechts auf Schwangerschaftsabbruch aufgehoben hat, unterscheiden sich die Gesetze der Bundesstaaten erheblich.

Datenschützer befürchten, dass digitale Informationen über Schwangerschaften, Zyklusverläufe, Aufenthaltsorte oder Internetsuchen in Ermittlungsverfahren verwendet werden könnten.

Polizeibehörden haben bereits in anderen Fällen Daten von Technologieunternehmen angefordert und zur Strafverfolgung eingesetzt. Menstruations-Apps sind dabei nur ein Teil eines größeren digitalen Überwachungsbildes. Auch Standortdaten, Suchanfragen, Nachrichten, Käufe und Kontakte können zusammengenommen weitreichende Rückschlüsse auf das Privatleben ermöglichen.

In Europa gelten mit der Datenschutz-Grundverordnung strengere Regeln. Gesundheitsdaten zählen zu den besonders geschützten personenbezogenen Informationen. Dennoch schützt auch europäisches Recht nicht automatisch vor Datenpannen, unklaren Einwilligungen oder einer unnötig umfangreichen Speicherung.

Eine App speichert alles nur auf dem Gerät

Als besonders datenschutzfreundlich bewertete Mozilla die App Euki. Sie speichert Gesundheitsinformationen ausschließlich auf dem Smartphone und überträgt sie nicht auf die Server des Unternehmens.

Für die Nutzung ist kein Konto erforderlich. Nutzerinnen können deshalb anonym bleiben. Zusätzlich verfügt die App über eine Tarnfunktion: Erhält eine andere Person Zugriff auf das Smartphone, kann die Anwendung harmlose Scheininformationen anzeigen.

Mozilla bezeichnete Euki deshalb als einzige untersuchte Anwendung, die ohne wesentliche Vorbehalte empfohlen werden könne.

Die lokale Speicherung hat allerdings auch Nachteile. Bei Verlust oder Beschädigung des Geräts können Daten verloren gehen, sofern keine sichere Sicherungskopie besteht.

Aus Datenschutzsicht bleibt sie dennoch eine besonders wirksame Lösung: Informationen, die nie an einen Server übertragen werden, können dort weder gestohlen noch aufgrund einer behördlichen Anfrage herausgegeben werden.

Flo und Clue schneiden vergleichsweise gut ab

Auch Flo und Clue erhielten eine grundsätzlich positive Bewertung. Nach den technischen Untersuchungen teilen beide Anbieter keine konkreten Gesundheitsinformationen mit Dritten.

Sie informieren Werbe- und Analysepartner allerdings darüber, dass die jeweilige App verwendet wird. Diese Übertragungen können Nutzer nach Angaben der Untersuchung über die Datenschutzeinstellungen deaktivieren.

Kritisiert wurde, dass beide Apps umfangreiche Gesundheitsdaten sammeln und auf eigenen Servern speichern. Dadurch entstehen Risiken durch mögliche Sicherheitslücken oder rechtliche Auskunftsersuchen.

Die Unternehmen verteidigen die Cloud-Speicherung als notwendigen Bestandteil ihrer Dienste. Flo bietet zusätzlich einen anonymen Modus an, bei dem Identität und Gesundheitsdaten getrennt aufbewahrt werden sollen.

Clue und Flo haben ihren Sitz in Europa. US-amerikanische Behörden könnten daher nicht so einfach auf die Informationen zugreifen wie bei einem Unternehmen mit Sitz in den Vereinigten Staaten. Ein vollständiger Schutz vor internationalen rechtlichen Anfragen ergibt sich daraus jedoch nicht.

Frühere Datenschutzprobleme bleiben relevant

Bei der Auswahl einer Gesundheits-App sollte nicht nur die aktuelle Datenschutzerklärung betrachtet werden. Auch das frühere Verhalten eines Unternehmens kann Hinweise darauf geben, wie ernst es den Schutz sensibler Informationen nimmt.

Flo schloss 2021 ein Verfahren mit der amerikanischen Handelsaufsicht FTC ab. Der Vorwurf lautete, das Unternehmen habe trotz gegenteiliger Versprechen sensible Nutzerdaten mit Meta, Google und weiteren Diensten geteilt.

Flo erklärte, die beanstandeten Praktiken seien bereits vor Jahren beendet worden. Das Unternehmen räumte im Rahmen der Einigung kein Fehlverhalten ein und betont, inzwischen strengere Standards als viele Wettbewerber anzuwenden. Mozilla stellte ebenfalls deutliche Verbesserungen fest.

Auch bei anderen Anbietern gab es in der Vergangenheit Kritik. Eine Untersuchung aus dem Jahr 2022 fand Datensätze mit Gerätekennungen von Nutzern mehrerer Zyklus-Apps, die zum Verkauf angeboten wurden. Clue erklärte, diese Informationen hätten aus dem allgemeinen mobilen Werbeökosystem und nicht aus der eigenen App gestammt.

Stardust hatte zeitweise den Eindruck erweckt, besonders sichere Ende-zu-Ende-Verschlüsselung einzusetzen. Entsprechende Hinweise verschwanden später von der Webseite, nachdem Journalisten Nachfragen gestellt hatten.

So lässt sich das eigene Risiko verringern

Vor der Installation sollten Nutzerinnen prüfen, ob die App ein Konto verlangt, Daten in einer Cloud speichert und Werbe- oder Analysedienste einbindet. Eine lange Datenschutzerklärung allein ist kein Qualitätsmerkmal. Entscheidend ist, welche Wahlmöglichkeiten tatsächlich angeboten werden.

Besonders wichtig sind folgende Fragen:

Werden Gesundheitsinformationen ausschließlich auf dem Gerät gespeichert oder auf Unternehmensserver übertragen?

Kann die App ohne Namen, E-Mail-Adresse und Telefonnummer genutzt werden?

Lassen sich Werbung, Tracking und Analyse vollständig deaktivieren?

Werden Gerätekennungen oder Nutzungsinformationen an Google, Meta, TikTok oder andere Unternehmen übertragen?

Gibt es einen anonymen Modus oder eine Möglichkeit, sämtliche Daten dauerhaft zu löschen?

Nutzerinnen sollten außerdem die Datenschutz- und Werbeeinstellungen ihres Smartphones kontrollieren. App-Berechtigungen für Standort, Kontakte, Mikrofon oder Fotos sollten nur erteilt werden, wenn sie für die eigentliche Funktion erforderlich sind.

Wer maximale Vertraulichkeit benötigt, sollte eine Anwendung wählen, die Daten ausschließlich lokal speichert und kein Benutzerkonto voraussetzt.

Intime Daten brauchen einen höheren Schutzstandard

Zyklus-Apps können hilfreich sein. Sie ermöglichen es, Beschwerden zu dokumentieren, Regelmäßigkeiten zu erkennen oder Informationen für einen Arztbesuch vorzubereiten.

Gerade weil sie so persönliche Einblicke erhalten, müssen für sie besonders hohe Datenschutzstandards gelten. Ein allgemeiner Hinweis auf Analysezwecke reicht nicht aus, wenn Nutzerinnen nicht nachvollziehen können, welche Unternehmen ihre Angaben tatsächlich erhalten.

Der Mozilla-Vergleich zeigt, dass datenschutzfreundliche Anwendungen technisch möglich sind. Unternehmen müssen sensible Gesundheitsdaten weder mit Werbenetzwerken verbinden noch dauerhaft auf eigenen Servern speichern.

Für Nutzerinnen bleibt dennoch eine unbequeme Grundregel: Je intimer die Informationen sind, desto genauer sollte geprüft werden, wem sie anvertraut werden – und ob eine App wirklich mehr wissen muss als der eigene Körper.

Kommentar hinterlassen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kategorien

Ähnliche Beiträge
Allgemeines

Komentar eines Strafrechtlers

Nach dem bisher öffentlich Bekannten halte ich zwölf Jahre Haft für vertretbar...

Allgemeines

Trump verteidigt Rechenzentren und kritisiert New Yorks Baustopp

US-Präsident Donald Trump hat sich nachdrücklich für den Ausbau großer Rechenzentren ausgesprochen...

Allgemeines

Florida plant erstmals seit 62 Jahren zwei Hinrichtungen an einem Tag

Der US-Bundesstaat Florida will am 28. Juli 2026 erstmals seit mehr als...

Allgemeines

EU-Agrarhilfen in Griechenland: Vier Abgeordnete unter Anklage

Die Europäische Staatsanwaltschaft wirft insgesamt 22 Beschuldigten eine Beteiligung an mutmaßlichem Subventionsbetrug...