Zum Inhalt springen Zur Navigation springen
US-Abtreibungsverbot: Fehlender Datenschutz bei Zyklus-Apps

US-Abtreibungsverbot: Fehlender Datenschutz bei Zyklus-Apps

Artikel von Dr. Datenschutz·5. Juli 2022

Die aktuellen Entwicklungen in den USA bezüglich des Abtreibungsverbots haben das Licht auf Zyklus-Apps geworfen. Anhand der Downloadzahlen dieser Apps ist deutlich, dass sie bei Frauen* äußerst gefragt sind. Die Apps wurden in der Vergangenheit bereits datenschutzrechtlicher Kritik ausgesetzt. Doch nun ist die Gefahr aufgrund fehlenden Datenschutzes auf dem höchsten Level: Datenspuren können Frauen in den USA verraten.

Ein vertrauenswürdiger Gesundheitsbegleiter?

Zyklus-Apps bieten eine praktische Unterstützung, um den Menstruationszyklus besser zu kennen und gewisse wiederkehrende Symptome zu analysieren, eine Schwangerschaft zu planen oder zu verhindern. Es werden hierfür im Kalender der Zyklus-App Einträge gemacht. Die App gibt bestimmte Kategorien vor, doch es besteht auch die Möglichkeit unkategorisiert Einträge zu machen. Ein Gesundheitsbegleiter, dem man vertrauen kann! Aber ist das auch wirklich so? Aus medizinischer Sicht ist die Sinnhaftigkeit umstritten. Doch aus datenschutzrechtlicher Sicht sind die Apps viel interessanter.

Die Apps wird man auch unter den Bezeichnungen „Zyklus-, Menstruations-, Perioden-App, -Kalender oder – Tracker“ finden. Die Bezeichnungen „Kalender“ oder „App“ klingen erst mal relativ harmlos. Doch wenn das Wort „Tracking“ fällt, dann läuten schon einige Alarmglocken. Tatsächlich ist solchen Alarmglocken Aufmerksamkeit zu schenken, denn für den Datenschutz sieht nicht so blumig und rosarot aus, wie das Design dieser Apps mehrheitlich aufgesetzt ist.

So lala, wie es mit dem Datenschutz aussieht

Nun schön und gut, doch was für Informationen und personenbezogenen Daten kann man eigentlich konkret eintragen? Im Fokus stehen natürlich die besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO, die Gesundheitsdaten und ggf. auch Daten, die das Sexualleben umfassen.

Welche Daten sind betroffen?

Nehmen wir als Beispiel die App „Clue“. Für Clue kann man sich registrieren oder auch ohne Account nutzen. Es gibt eine kostenlose und eine kostenpflichtige Version. Wobei „kostenlos“ nicht direkt „kostenlos“ bedeutet, denn bezahlt wird mit Daten. Im nächsten Schritt macht man Angaben zur Größe und zum Gewicht oder zur Verhütungsmethode, anschließend kann das Datensammeln losgehen! Zunächst kommt es drauf an, was die jeweilige App für Möglichkeiten bietet. Bei Clue kann man beispielsweise Einträge zu folgenden Tracking-Kategorien machen:

  • Menstruation: Blutung, Hygieneartikel.
  • Körper: Haare, Haut, Heißhunger, Schmerzen, Körpertemperatur, Stuhlgang, Verdauung.
  • Vitalität: Stimmung, Schlaf, mentaler Zustand, Energie, Sozialleben, Motivation.
  • Aktivitäten: Sport, Meditation, Party, Termine, sexuelle Aktivität.
  • Medizinisch: Medikamente, Leiden, Verhütungsmethode, Tests.

Wenn man vor Augen hält, dass all diese Kategorien während des Zyklus eine Relevanz haben, dann ist das eine extrem große Menge an Daten, die individualisiert und genau auf eine einzige Frau zurückzuführen sind.

Wenn für die Verarbeitung eine einschlägige Rechtsgrundlage besteht, ist es völlig in Ordnung sensible Daten zu verarbeiten. Doch lediglich mit einer legitimen Rechtsgrundlage sind die Anforderungen der DSGVO nicht erfüllt. Wem gehören die eingetragenen Daten und was wird damit gemacht? Es wäre zu naiv zu denken, dass die Daten ausschließlich den Nutzerinnen gehören.

Nicht schon wieder Facebook…

Datenschutz und Meta („Facebook“) sind unzertrennlich, die wird man fast schon als „best friends“ bezeichnen. Und auch bei den Zyklus-Apps grüßt uns Mark Zuckerberg. Wenn es um kostbare Daten geht, dann greifen die Datenkraken zu. Denn Daten, die aus Zyklus-Apps stammen, sind äußerst interessant für Unternehmen. Die britische NGO Privacy International hat im Dezember 2020 eine Studie veröffentlich, in der sie fünf beliebte Apps getestet und anschließend ein Auskunftsersuchen an die Verantwortlichen gesendet haben. Das Ergebnis war nicht so erfreulich. Es ist kein Geheimnis, dass die Daten an Dritte verkauft wurden. Beispielsweise wurden standardmäßig Daten an Meta übermittelt, wenn die App-Entwickler die Codebausteine von Meta verwendet hatten (sog. SDK: Software Development Kits). In diesem Fall wurden wortwörtlich alle Einträge in der App „Maya“ des indischen Unternehmens Plackal Tech an Meta weitergegeben. Irgendwann wird Meta nicht mehr als „Dritter“ gelten, sondern als Hauptrolle, da das Unternehmen aus jeder kleinsten Ecke Datenschützer angrinst.

Und was haben Unternehmen von intimen Daten?

Das ist ganz eindeutig, denn für die Werbebranche sind Daten Goldwert: Je mehr Daten über eine Person vorhanden sind, desto passender wird die Werbung anhand gezielter Anzeigen eingeschaltet. Schwangere gelten in der Branche als lukrativste Zielgruppe, da bei ihnen eine größere Kaufbereitschaft vorhanden ist als bei allen anderen Zielgruppen. Demzufolge sind die Marketingdaten von Schwangeren mehr wert als die Daten anderer Personen. Daher bilden Zyklus-Apps die beste Basis dafür an Daten von Schwangeren ranzukommen.

Aktuelle Situation in den USA

Am 24. Juni 2022 kippte die Mehrheit im Supreme Court das bislang geltende Grundsatzurteil „Roe v. Wade“ aus dem Jahr 1973. Neben der politischen Diskussion und der gesellschaftlichen Empörung hat der Datenschutz auch keine guten Karten.

Warnung vor Zyklus-Apps! Doch kein treuer Begleiter…

Aktivistinnen warnten schon einige Monate vor dem Urteil, als die ersten Signale des Abtreibungsverbots thematisiert wurden. Am Tag des Urteils war der Aufruf im Netz:

„Löscht heute eure Zyklus-Apps.“

Mit dem Abtreibungsverbot und der Zyklus-Apps geht nämlich die Befürchtung einher, dass die in den Apps gespeicherten Daten in Zukunft von US-Strafverfolgungsbehörden gegen Frauen verwendet werden könnten, die sich für eine Abtreibung entscheiden.

Damit verbunden sind auch große Sorgen um den Datenschutz von Frauen vorhanden. Denn eine weitere Befürchtung ist, dass die in den Apps erfassten Daten künftig als Beweismittel in Strafverfahren dienen könnten.

Neben den Zyklus-Apps könnten beispielsweise auch Sucherverläufe, E-Mails oder SMS weitere Datenquellen sein. Des Weiteren könnten anhand von Standortdaten nachgewiesen werden, dass eine Abtreibungsklinik aufgesucht wurde. Google kündigte an, solche Standortdaten von Nutzern in den USA künftig zu löschen. Auch das Verschreiben von Medikamenten, das Buchen eines Beratungs- oder Arzttermins all das hinterlässt im digitalen Zeitalter Spuren, die Frauen verraten könnten.

Tipps für die Nutzung von Zyklus-Apps

Es ist nun leider so, dass die Interessen von Unternehmen und betroffenen Personen oftmals kollidieren. Wenn Unternehmen die Daten ihrer Kunden vorbildlich schützen würden, dann müssten sie auf vieles verzichten: Profite, Marketing und Werbung. Innerhalb der USA ist noch die Besonderheit vorhanden, dass das Interesse von Strafverfolgungsbehörden besteht. Ob innerhalb oder außerhalb der US-Grenzen: Es wird viel darüber berichtet, welche Apps datenschutzrechtlich „gut“ oder „schlecht“ sind. Hier ist darauf zu achten, wie die Apps in den Berichten getestet werden. Was in den AGB oder Datenschutzerklärungen niedergeschrieben ist, muss nicht immer mit den Tatsachen übereinstimmen. Besser ist es daher, wenn ein Techniker an dem Test beteiligt war. Auch wenn die Verantwortung des Datenschutzes bei den App-Betreibern liegt, können Nutzerinnen Folgendes zusätzlich tun:

App-Auswahl

Auch wenn es sich nicht nach einem Tipp anhört, der Spaß machen wird, sollten die AGB und Datenschutzerklärungen gelesen (mindestens jedoch überflogen) werden. Als Prüffragen kann man sich beispielsweise merken:

  • „Wo ist der Unternehmenssitz?“ Grundsätzlich gilt ein EU-Standort sicherer als Standorte in Drittländer.
  • „Wo werden die Daten gespeichert?“ Lokal auf dem Geräte ist zu bevorzugen als eine Speicherung bei dem Anbieter.
  • „Welche Daten werden an Drittanbieter weitergegeben und aus welchem Grund?“ In der Regel werden es Werbeanbieter sein, damit die Nutzerinnen gezielte Werbung erhalten.

App-Nutzung

Wenn die Nutzung auch ohne Registrierung möglich ist, dann sollten sich Nutzerinnen nicht registrieren. Denn in der Regel werden in solchen Fällen die Daten lokal auf dem Gerät gespeichert. Andernfalls können die Daten in einer Cloud und auf den Servern des Anbieters gespeichert werden und gelangen von der eigenen Sphäre in die des Anbieters und ggf. in die der Cloud-Anbieter.

Betroffenenrechte

Die DSGVO räumt betroffenen Personen viele Rechte ein. Die Wahrung dieser Rechte ist für alle Verantwortlichen verpflichtend und muss grundsätzlich innerhalb eines Monats erfolgen.

Durch das Berufen auf die oben genannten Rechte können betroffene Personen durch Eigeninitiative im gewissen Rahmen Einfluss auf die Datenverarbeitung nehmen. Mit einem Auskunftsersuchen kann beispielsweise eingesehen werden, welche Daten gespeichert oder an Dritte weitergegeben wurden. Anhand eines Löschbegehrens kann veranlasst werden, dass der App-Betreiber die Daten löscht. Die Rechte stehen jeder betroffenen Person zu – und diese in Anspruch zu nehmen, liegt in der eigenen Hand.

Aufruf zur Löschung oder zur sicheren Nutzung?

Die Zyklus-Apps als „vertrauenswürdigen Gesundheitsbegleiter“ zu bezeichnen, ist viel mehr Marketing als Wahrheit. Für die eine oder andere Nutzerin wird sich die App als praktisch und nützlich erweisen, auch wenn Ärzte daran zweifeln. Den hundertprozentigen Support von Datenschützern werden die App-Betreiber jedoch nicht so leicht bekommen. Es werden Unmengen an sensiblen Daten gesammelt, wobei es fragwürdig ist, ob alle Daten auch wirklich für den Zweck der App erforderlich sind. Denn je mehr Tracking-Kategorien angeboten werden, desto höher ist die Wahrscheinlichkeit, dass Nutzerinnen diese Daten eintragen. Damit verbunden erhöht sich auch die Gefahr, dass Dritte ein Interesse an dieser Datensammlung haben und versuchen, legal oder illegal auf diese zuzugreifen. Aus Skandalen der Vergangenheit sollte gelernt sein, dem Datenschutz mehr Bedeutung zu schenken. Die aktuellen Entscheidung in den USA bezüglich des Abtreibungsverbots zeigt erneut, dass sich die Risiken einer Datenverarbeitung schlagartig ändern können. Daten ausreichend zu schützen, liegt in der Verantwortung der App-Betreiber. Besserungen sind an der einen oder anderen Stelle vorhanden, doch bis das Datenschutzniveau dieser Apps überzeugend ist, müssen sich Frauen auch digital schützen.

* Aus Gründen der einfachen Lesbarkeit wurde in diesem Beitrag lediglich die Bezeichnung „Frauen“ verwendet. Damit sind jedoch gleichermaßen alle Menschen gemeint, die menstruieren bzw. die Zyklus-Apps nutzen, aber sich mit dem weiblichen Geschlecht nicht identifizieren.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Vielen Dank. Das ist ein Paradebeispiel dafür, wie Datenschutz unter dem Aspekt des gesellschaftlichen Kontext zu betrachten ist. Es ist auch ein wunderbares Beispiel dafür, wie man der Stammtischparole „Ich habe eh nichts zu befürchten“ den Wind aus den Segeln nimmt. Von einem Tag auf den nächsten wird man von einem freien Bürger zum Straftäter.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.