DatenschutzViele Menstruations- und Schwangerschaftsapps erfassen sensible Daten

Ein Forschungsprojekt deckt auf, dass Menstruations- und Schwangerschaftsapps teils höchst sensible Daten sammeln und mit Dritten teilen. Mozilla nennt die Ergebnisse „düster“: Die Nutzerdaten gelangen etwa an Facebook und möglicherweise auch an US-Strafverfolgungsbehörden.

Roter Samt
Schwangerschaftsdaten sind für Werbetreibende besonders lukrativ. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com MontyLov

Wie stark die eigene Regelblutung ist, wann man zuletzt Sex hatte und ob dabei verhütet wurde: Das sind für viele Menschen intime Informationen. Doch wer Apps benutzt, um solche sensible Daten zu tracken, muss womöglich damit rechnen, dass sie an Dritte gelangen.

Ein Forschungsprojekt der Mozilla Foundation hat jüngst aufgedeckt, dass Perioden- und Schwangerschafts-Apps persönliche Daten speichern und an Werbetreibende und Datenhändler vermarkten. So gelangen die Daten der Nutzer:innen etwa an Facebook und möglicherweise sogar an US-Strafverfolgungsbehörden. Mozilla kritisiert, dass der Großteil der untersuchten Apps und Gadgets keinen ausreichenden Datenschutz biete. Projektleiterin Jen Caltrider teilt netzpolitik.org mit: „Unsere Ergebnisse waren düster.“ 

„Datenschutz nicht inbegriffen“

Mozilla hat mit seinem Projekt „* privacy not included“ – übersetzt: Datenschutz nicht inbegriffen – untersucht, inwiefern die Apps die sensiblen Gesundheitsdaten der Nutzer:innen schützen. Die Forscher:innen haben sich dafür die Datenschutzrichtlinien und öffentliche Informationen von zehn Menstruationsapps, zehn Schwangerschaftsapps und fünf Gesundheits-Gadgets angeschaut und diese auf Sicherheitsbedenken geprüft

Mit solchen Apps können Nutzer:innen ihre Blutung, Fruchtbarkeit und Schwangerschaft tracken und so ihre reproduktive Gesundheit im Überblick behalten. Die Anwendungen werten die angegebenen Daten aus und berechnen daraus etwa die fruchtbare Phase und wann die nächste Menstruation bevorsteht. Nutzer:innen können zusätzlich ihr Gewicht, Stimmung, Schmerzen und sexuelle Aktivität erfassen. Diese Parameter sollen den Nutzer:innen helfen, gesundheitliche Veränderungen zu beobachten.

Es mag also durchaus sinnvoll sein, solche Gesundheitsapps zu nutzen. Allerdings erheben die Anwendungen eben äußert sensible Daten, aus denen sich etwa schließen lässt, ob eine Person potenziell schwanger ist.

18 von 25 Apps bekommen Warn-Label

Die Forscher:innen haben deswegen untersucht, wer diese Daten einsehen kann. Ein Unternehmen schneidet in der Bewertung schlecht ab, wenn es die Nutzerdaten verkauft oder Daten sammelt, die gar nicht relevant sind. Wichtig sei auch, welche Kontrolle die Nutzer:innen über ihre Daten haben, indem sie diese etwa löschen können. Oder ob die Anwendung angibt, wie lange sie die Daten speichert.

Mozilla hat auch geprüft, inwiefern die App Daten schützt und dabei fünf Minimum-Standards festgelegt, die eingehalten werden sollen: Die App solle Daten verschlüsseln, automatische Sicherheitsupdates unterstützen, starke Passwörter einfordern, einen Umgang mit Sicherheitslücken geregelt haben und ihre Datenschutzbedingungen zur Verfügung stellen. Wenn eine Anwendung mehrere dieser Kriterien verletzt, erhält sie von Mozilla das Warn-Label. Schlussendlich hat Mozilla 18 von den 25 untersuchen Produkten mit einer Warnung versehen.

Die meisten Apps und Gadgets auf dem Markt seien darauf ausgelegt, unsere persönlichen Daten zu sammeln und weiterzugeben, so Caltrider. Sie betont: „Menschen, die sich um reproduktive Gesundheitsfürsorge bemühen, sollten von der großen Mehrheit dieser Apps keine Privatsphäre erwarten.“

Die Untersuchungen zeigen, dass viele Gesundheitsapps Daten sammeln, die erstmal nichts mit der Bestimmung des Zyklus oder der Schwangerschaft zu tun haben. Darunter fallen etwa die E-Mail-Adresse der Nutzer:innen, ihr Geburtsdatum, ihr Mobilfunkanbieter, die Geräte-ID, Standortdaten und Informationen, wie oft sie die App verwenden. Diese nicht gesundheitsbezogenen Daten teilen die Apps häufig mit Drittanbietern für Marketing- und Werbezwecke, darunter Google, Facebook und Twitter. In manchen Fällen speichern die Anwendungen sogar die persönlichen Daten, bevor die Nutzer:innen dem zugestimmt haben, so die Forscher:innen.

Werbemodell Schwangerschaft 

Mozilla zeigt auch auf, dass Gesundheitsapps teilweise höchst sensible Gesundheitsdaten mit Dritten teilen. Das gehe etwa aus den Datenschutzbestimmungen der Schwangerschaftsapps The Bump und Ovia Pregnancy hervor. Beide Apps übermitteln laut Datenschutzbestimmungen umfangreich Daten an Werbetreibende. Das Geschäft mit solchen Daten ist lukrativ: Der Datenwert von Schwangeren ist deutlich höher wie der von nicht Schwangeren. Schließlich kann die Werbeindustrie damit Neukund:innen für Babyprodukte anwerben.

Auch aus Daten von Menstruationsapps lässt sich schließen, ob eine Person schwanger ist oder nicht. Wir haben bereits darüber berichtet, wie die Zyklusapps Flo, Maya und MIA intime Daten an Facebook weitergaben. Mit integrierten App-Anwendungen können sie die Aktivitäten der Nutzer:innen direkt an Dritte übermitteln. Die App Flo wurde wegen ihres mangelnden Datenschutzes in der Vergangenheit besonders kritisiert. Im Juni vergangenen Jahres hat die US-amerikanische Wettbewerbsbehörde dem Unternehmen zusätzliche Pflichten auferlegt, da es sensible Nutzerdaten mit Facebook und Google geteilt hatte. 

Inzwischen muss Flo zuerst die Zustimmung der Nutzer:innen einholen, bevor es persönliche Gesundheitsdaten weitergibt. Allerdings erfasst und speichert es mit Zustimmung immer noch persönliche Daten, die nichts mit der reproduktiven Gesundheit zu tun haben – und teilt diese mit Dritten. Mozilla kritisiert außerdem mit Blick auf die aktuellen Datenschutzrichtlinien von Flo, das Unternehmen könne Daten von Datenhändlern kaufen, um ein umfassendes Profil über seine Nutzer:innen zu erstellen.

Menstruationsdaten in einer Post-Roe-Welt

Daten zur Menstruation und Schwangerschaft sind nicht nur wertvoll im Werbegeschäft, sie können auch auf eine Fehlgeburt oder Abtreibung hindeuten. Die Daten können in Ländern mit strengen Abtreibungsgesetzen somit als Beweislast für einen möglichen Schwangerschaftsabbruch dienen. Diese Bedenken teilt auch Mozilla. Die Entscheidung des US-amerikanischen Supreme Courts, Roe v. Wade zu kippen, sei der Anlass für das Forschungsprojekt gewesen, teilt Projektleiterin Caltrider mit.

Der Supreme Court hat im Juni diesen Jahres das bundesweite Recht auf Abtreibung aufgehoben, woraufhin jeder US-Bundesstaat eigene Abtreibungsgesetze geltend machen kann. Schon jetzt sind in zehn Bundesstaaten Abtreibungen ab dem Tag der Empfängnis verboten – und das teilweise ohne Ausnahmen bei Vergewaltigung oder Inzest. Weitere Abtreibungsverbote sollen folgen.

Mozilla warnt vor verräterischen Datenspuren aus Gesundheitsapps, die in die Hände von US-Strafverfolgungsbehörden gelangen könnten und auf eine potenzielle Abtreibung hindeuten. Caltrider führt an: 

 Solche Informationen könnten dazu genutzt werden, um eine Person, die eine Abtreibung wünscht, zu verfolgen, zu belästigen, zu verhaften und sogar strafrechtlich zu verfolgen.

Aus diesem Grund empfehle Mozilla den US-Amerikaner:innen, die diese Apps nutzen, sich über die Auswirkungen auf die Privatsphäre bewusst zu sein und darüber, wie sich mit den lokalen Abtreibungsgesetzen überschneiden könnten. 

So gibt die Menstruationsapp Flo in ihren Datenschutzrichtlinien etwa an, dass sie auf Anfragen von Strafverfolgungsbehörden hin personenbezogene Daten weitergeben werden. Dazu sind sie auch nach US-Gesetzen verpflichtet, Mozilla kritisiert jedoch, dass die App sich nicht ausdrücklich dazu bekennt, diese Daten etwa nur bei Anordnungen herauszugeben. Die deutsche App Clue sei unter diesem Gesichtspunkt hingegen sicherer. Die Forscher:innen argumentieren, das liege an den strengeren europäischen Datenschutzgesetzen. In einer E-Mail an Mozilla hat Clue selbst darauf hingewiesen, dass staatliche Behörden weniger leicht an ihre Nutzerdaten kommen würden. Clue schreibt:  

In dem theoretischen Szenario, dass ein deutsches Gericht versuchen würde, ein ausländisches Ersuchen durchzusetzen, würden wir uns einem solchen Versuch mit allen Mitteln widersetzen, die zum Schutz der Privatsphäre unserer Nutzer erforderlich sind.

Dennoch verpasst Mozilla der deutschen App ein Warn-Label. Grund dafür ist, dass Clue kein starkes Passwort voraussetze, um die sensiblen Daten zu sichern. 

Euki und drip: datenschutzfreundliche Alternativen

Die Gesundheitsapp Euki ist eine der wenigen Apps, die Mozilla als sicher einstuft. Mit Euki können Nutzer:innen nicht nur ihre Menstruation tracken, sie informiert auch über Sexualität, Abtreibung, Fehlgeburt, Verhütung, Geschlechtskrankheiten und mehr. Eine Sprecherin von Euki teilt netzpolitik.org mit: „Wir wollten, dass die App das gesamte Spektrum der reproduktiven Gesundheit abdeckt.“ Die App wird von der gemeinnützigen Organisation „Women Help Women“ betrieben, die sich für reproduktive Selbstbestimmung einsetzt – und damit auch für die Möglichkeit eines sicheren Schwangerschaftsabbruchs. 

Euki sammelt keine persönlichen Informationen über die Nutzer:innen und speichert alle relevanten Gesundheitsdaten allein auf dem Endgerät. So haben nur die Nutzenden selbst Zugriff auf ihre Daten. Euki bietet außerdem an, die Daten in regelmäßigen Abständen zu löschen, um die Privatsphäre zu erhöhen. Die App kann außerdem einen falschen Bildschirm mit gefälschten Daten anzeigen und so persönliche Informationen verstecken. Die Nutzer:innen müssen dazu das Passwort „0000“ eingeben.

Drip ist eine weitere datenschutzfreundliche App, die allerdings nicht in der Mozilla-Studie aufgelistet ist. Eine Gruppe feministischer Coder:innen aus Berlin hat die Menstruationsapp entwickelt. Ebenso wie Euki speichert drip Daten nur auf dem Endgerät und nicht in der Cloud. Die App verfolge keine kommerziellen Interessen, teilt Marie von drip netzpolitk.org mit. Sie führt an: „Weil uns Transparenz und Teilhabe so wichtig sind, haben wir drip von Anfang an mit Open-Source-Software gebaut.“ Die Entwickler:innen verfolgen dabei einen feministischen Anspruch. Schließlich spiegle sich das Recht auf Privatsphäre und Datenschutz auch im feministischen Thema der Selbstbestimmung wider.

„Schwangerschaftsregister“ in Polen

Nicht nur in den USA, sondern auch in Polen sorgen sich Pro-Choice-Aktivist:innen vor Datenspuren, die auf Abtreibungen hindeuten können. In Polen sind Schwangerschaftsabbrüche nur in Ausnahmefällen erlaubt und die Versorgungssituation für ungewollt Schwangere prekär. Nun will die polnische Regierung ab Oktober diesen Jahres Schwangerschaftsdaten in einem sogenannten Melderegister speichern lassen. 

Der polnische Gesundheitsminister Niedzielski hat vergangenen Juni eine Verordnung unterschrieben, die besagt, dass Daten zu Schwangerschaft nun auch zu Patientendaten gehören. Die Konsequenz: Ärzt:innen sollen bald verpflichtet sein, Informationen zu einer möglichen Schwangerschaft abfragen.

Oppositionelle und Pro-Choice-Aktivist:innen kritisieren diese Verordnung und bezeichnen die Datenspeicherung als „Schwangerschaftsregister“. Sie warnen davor, dass die Staatsanwaltschaft die Daten nutzen könnte, um gegen Menschen zu ermitteln, die nicht mehr schwanger sind – sei es wegen einer Fehlgeburt oder einer Abtreibung. 

Die polnische Familienministerin Marlena Maląg streitet das ab. Sie sagt gegenüber der Tagesschau: „Diese medizinische Dokumentation kennen nur die Ärzte, nur sie haben Zugriff auf diese sensiblen Daten.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

4 Ergänzungen

  1. Klar ist das alles so. Es war vorauszusehen. Aber man war vor ein paar Jahren ja der Spinner, wenn man bei solchen Datensammlungen auf das Missbrauchspotential hingewiesen hat und wurde teilweise auslacht. „Ach was, wer würde denn sooowas machen, du übertreibst, du liest zu viel Science-Fiction – hihi haha!“
    Die technische Entwicklung hat das Vorstellungsvermögen des durchschnittlichen Menschen in den letzten 15-20 Jahren weit überholt. Merkels „Neuland“-Zitat war da nur ein trauriger Beweis dafür.

  2. Hallo Mr. Tea.

    Auch heute noch ist man „der Spinner“.

    Ein anderes aktuelles Beispiel:

    Aktuell will O2 ab dem 5.9.2022 die IBAN, welche man für die Abrechnung seiner Telefonkosten angegeben hat, „pseudonymisiert“(= ist nicht sicher genug), für „werbliche“ Zwecke verarbeiten.
    Das Problem:
    Man muss aktiv widersprechen, wenn man das NICHT will.

    Nun stelle ich mir einen über 80jährigen Senior vor, der sowie kaum mit seinem Smartphoine umgehen kann: Der weder von Tracking und Internet überhaupt keinemn Durchblick hat.

    Würde der verstehen, dass er widersprechen muss?

    Weiteres Beispiel:
    „Personengebundene Daten“ auf handelsregister.de.

    Dazu:

    https://www.datenschutzverein.de/wp-content/uploads/2022/08/2022-08-Registerver%C3%B6ffentlichung.pdf

    Impressumsinhaber von „handelsregister.de“ ist ausgerechnet das Justizministerium NRW.

  3. Ein Punkt der häufig in diesen Debatten vergessen wird – die Direktkommunikation:

    Man muss solche sensiblen Informationen im Grunde nicht einmal mit einer App teilen, damit „die falschen“ bereits Zugriff erhalten. Es reicht im Grunde schon aus, wenn sich Menschen per Messenger-Dienst über ihre letzte Party-Nacht unterhalten. Wenn unsere Hochschulen bereits beginnen, das Chat-Verhalten zu analysieren ( siehe https://www.uni-wuerzburg.de/aktuelles/pressemitteilungen/single/news/whatsanalyzer-app-zum-analysieren-von-whatsapp-chats/ ) , dann kann man sich vorstellen, was die bekannten Messenger-Dienste mit Ihrer Technologie tun können. Apps steigern an sich nur die unmittelbare Datenqualität.

    An sich kann man gar keine digitale Kommunikation mehr datenschutzkonform durchführen. Das ist ja längst bekannt, dass gerade die Datenübermittlung in die Staaten aus gewissen Gründen gar nicht datenschutzkonform möglich ist ( https://rocketlegal.de/neuesprivacyshield/ ) Man hat in fast jeder App einen Google Analyser, Schriftarten oder ähnliches, die mitlesen und von Bid Data analysiert werden. Die Foss Versionen sind daher meist um mehr als die Hälfte kleiner als zum Beispiel die Play-Store Apps. Selbst bei Telegram werden Google-Ordner im Hintergrund angelegt.

  4. Ich wiederhole das gern. Folgende Konten löschen:
    Facebook, Twitter, Instragram, TickTock, LinkedIn, Google, Amazon
    Suche umstellen auf Qwant, Startpage,
    Smartphones ohne Google verwenden.

    Dann ist Schluß mit de Datenübermittlung. Aber es ist ja nur Werbung. Das war mal.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.