Zyklus-Apps wissen, wann Sie menstruieren, wann Sie Eisprung haben, wann Sie Sex haben, welche Symptome Sie zeigen und ob Sie möglicherweise schwanger sind. Das sind einige der intimsten Daten, die eine App auf Ihrem Smartphone erfassen kann. Trotzdem laden die meisten Menschen eine Zyklus-App herunter, erteilen Berechtigungen und lesen nie eine einzige Zeile der Datenschutzerklärung. Nach 2022 hat sich das bei Millionen von Frauen geändert — bei nicht genug von ihnen.

Der Weckruf nach Roe v. Wade

Als der Oberste Gerichtshof der USA im Juni 2022 Roe v. Wade aufhob, wurden die Datenschutzpraktiken von Zyklus-Apps über Nacht zur Top-Nachricht. Die Sorge war simpel: Wenn Daten eines Trackers auf den Servern eines Unternehmens liegen, könnten Strafverfolgungsbehörden sie unter Umständen per Beschluss anfordern. Eine ausgebliebene Periode, eine plötzliche Lücke in den Einträgen, eine Notiz zu Schwangerschaftssymptomen — diese Informationen könnten theoretisch in Bundesstaaten mit eingeschränktem Schwangerschaftsabbruch als Beweis dienen.

Das war nicht hypothetisch. 2023 wurden in Nebraska eine Mutter und ihre Tochter unter anderem auf Basis von Facebook-Nachrichten angeklagt. Das Verfahren betraf zwar soziale Medien und keine Gesundheits-App, zeigte aber, dass digitale gesundheitsnahe Daten bereits von Staatsanwälten angefordert wurden. Datenschutzforschende der Electronic Frontier Foundation und der Mozilla Foundation veröffentlichten Warnungen zur Verwundbarkeit von Zyklus-App-Daten.

Die Folge war eine Welle von Deinstallationen. Millionen von Nutzerinnen entfernten Flo, den weltweit beliebtesten Tracker, trotz aller Datenschutzversicherungen des Unternehmens. Aber das Löschen der App löst das Kernproblem nicht. Die Frage ist nicht, ob eine bestimmte App vertrauenswürdig ist — sondern ob die Architektur der App Vertrauen überflüssig macht.

Welche Daten Zyklus-Apps typischerweise erheben

Die meisten Zyklus-Apps erfassen weit mehr als Ihre Zyklusdaten. Das fragt eine typische App ab:

• Menstruationsdaten — Beginn, Ende, Stärke der Blutung
• Eisprung- und Fruchtbarkeitsdaten — Ovulationstest-Ergebnisse, Basaltemperatur, Beobachtungen zum Zervixschleim
• Sexuelle Aktivität — ob Geschlechtsverkehr stattfand, ob verhütet wurde
• Symptome — Krämpfe, Kopfschmerzen, Blähungen, Brustspannen, Stimmungsschwankungen
• Stimmung und psychische Gesundheit — Angst, Depression, Reizbarkeit
• Schwangerschaftsbezogene Daten — Schwangerschaftstests, Fehlgeburt, Schwangerschaftsabbruch
• Account-Informationen — E-Mail, Name, Alter, Standort

Zusammengenommen ist das ein außerordentlich detailliertes Bild der reproduktiven Gesundheit und des Sexualverhaltens einer Person. Die Frage ist: Wo geht das alles hin?

Der Unterschied zwischen „Wir verkaufen Ihre Daten nicht" und „Wir haben Ihre Daten nicht"

Diese Unterscheidung ist das Wichtigste, das Sie zum App-Datenschutz wissen sollten, und gilt weit über Zyklus-Apps hinaus.

„Wir verkaufen Ihre Daten nicht" bedeutet, dass das Unternehmen Ihre Daten auf seinen Servern speichert, aber verspricht, sie nicht an Dritte zu verkaufen. Das ist eine Richtlinienentscheidung, die sich jederzeit ändern kann. Sie schützt auch nicht vor Datenpannen, behördlichen Anordnungen oder Übernahmen (wenn ein Unternehmen gekauft wird, gehören die Datenbestände zum Deal).

„Wir haben Ihre Daten nicht" bedeutet, dass die App alles lokal auf Ihrem Gerät speichert. Es gibt keine Server. Es gibt nichts, was angeordnet, gehackt oder verkauft werden könnte. Selbst wenn das Unternehmen Ihre Daten herausgeben wollte, könnte es das nicht — es besitzt sie schlicht nicht.

Das ist der Unterschied zwischen einer Richtlinien-Garantie und einer architektonischen Garantie. Richtlinien können sich ändern. Eine Architektur kann nicht rückwirkend verändert werden, um Daten freizugeben, die nie erfasst wurden.

Lokale Speicherung vs. Cloud: was es technisch bedeutet

Wenn eine App Daten „auf dem Gerät" speichert, liegen Ihre Informationen in einer lokalen Datenbankdatei auf Ihrem iPhone oder Android-Smartphone. Auf iOS sind diese Daten durch die Hardware-Verschlüsselung des Geräts geschützt — wenn Ihr Gerät mit Code oder Face ID gesperrt ist, ist die Datenbankdatei im Ruhezustand verschlüsselt. Ohne Entsperrung kann sie niemand lesen.

Wenn eine App Daten „in der Cloud" speichert, werden Ihre Informationen über das Internet an die Server des Unternehmens übertragen (oder, häufiger, an Amazon Web Services, Google Cloud oder Microsoft Azure). Das Unternehmen kann diese Daten einsehen. Seine Mitarbeitenden möglicherweise auch. Strafverfolgungsbehörden können sie mit Durchsuchungsbeschluss anfordern. Hacker können sie ins Visier nehmen.

Manche Apps bieten ein Hybridmodell: lokale Speicherung mit optionaler Cloud-Synchronisation zur Sicherung oder für mehrere Geräte. Das ist privater als Nur-Cloud, aber in dem Moment, in dem Ihre Daten einen Server berühren, ist die architektonische Garantie weg.

Warnsignale in Datenschutzerklärungen

Wenn Sie die Datenschutzerklärung einer Zyklus-App lesen (und das sollten Sie), achten Sie auf diese Warnzeichen:

• „Wir geben anonymisierte Daten an Partner weiter" — Studien haben wiederholt gezeigt, dass anonymisierte Gesundheitsdaten oft re-identifiziert werden können, insbesondere in Verbindung mit anderen Datensätzen. Eine Nature-Communications-Studie von 2019 fand heraus, dass 99,98 % der Amerikaner in jedem Datensatz allein anhand 15 demografischer Merkmale re-identifizierbar wären.
• „Wir nutzen Analytics von Drittanbietern" — Das bedeutet, Ihre Nutzungsdaten (und potenziell Gesundheitsdaten) fließen durch Dienste wie Google Analytics, Facebook SDK oder Amplitude. Diese Unternehmen bauen Werbeprofile auf.
• „Wir können Informationen offenlegen, um rechtliche Pflichten zu erfüllen" — Jedes Unternehmen muss Gesetzen folgen. Die entscheidende Frage ist, ob die Daten überhaupt vorhanden sind, die offengelegt werden könnten.
• Erfordert ein Konto oder eine E-Mail-Adresse — Wenn die App Ihre E-Mail-Adresse braucht, bevor Sie tracken können, werden Ihre Daten mit ziemlicher Sicherheit auf Servern gespeichert.
• Schwammige Aussagen zur Datenaufbewahrung — Wenn die Richtlinie nicht sagt, wie lange Ihre Daten gespeichert werden oder wie man sie endgültig löscht, gehen Sie davon aus, dass sie unbegrenzt aufbewahrt werden.

Worauf Sie bei einer privaten Zyklus-App achten sollten

Wenn Datenschutz Priorität hat (und das sollte er angesichts der Daten), achten Sie auf diese Merkmale:

• Kein Konto erforderlich. Sie sollten die App öffnen und sofort tracken können, ohne E-Mail, Name oder andere identifizierende Angaben.
• Keine Cloud-Speicherung. Alle Daten sollten lokal auf Ihrem Gerät bleiben. Prüfen Sie, ob die App im Flugmodus funktioniert — wenn ja, ist das ein gutes Zeichen.
• Keine Drittanbieter-Analytics-SDKs. Sehen Sie sich das App-Datenschutz-Label im App Store an (scrollen Sie auf der App-Seite zum Abschnitt „App-Datenschutz"). Achten Sie auf „Keine Daten erfasst" oder „Daten nicht mit Ihnen verknüpft".
• Offenheit über die Architektur. Die besten Apps erklären wie sie Daten schützen, nicht nur dass sie es tun.
• Datenexport. Sie sollten Ihre Daten in einem Standardformat exportieren können, damit Sie nicht festsitzen.

Cyla ist ein Beispiel für diesen lokalen Ansatz — sämtliche Zyklusdaten werden lokal auf dem Smartphone gespeichert, ohne Konto, ohne Cloud, ohne Analytics. Aber unabhängig davon, welche App Sie wählen: Die Architektur zählt mehr als der Markenname.

So prüfen Sie das Datenschutz-Label jeder App

Apple hat die App-Datenschutz-Labels (oft „Nutrition Labels" genannt) im Dezember 2020 eingeführt. Sie sind nicht perfekt — sie sind Selbstauskünfte der Entwickler —, aber als erste Filterung sehr nützlich.

So prüfen Sie sie:

• Öffnen Sie den App Store und suchen Sie die App
• Scrollen Sie zum Abschnitt „App-Datenschutz"
• Schauen Sie sich an, was unter „Mit Ihnen verknüpfte Daten" und „Daten, die zum Tracking verwendet werden" aufgelistet ist
• Der Goldstandard ist „Keine Daten erfasst" — das bedeutet, der Entwickler erklärt, dass die App überhaupt keine Daten erhebt

Zum Vergleich: Das App-Datenschutz-Label von Flo führt Gesundheits- und Fitnessdaten, Kontaktinfos, Kennungen, Nutzungsdaten und Diagnosedaten als „mit Ihnen verknüpft" auf. Eine reine On-Device-App sollte deutlich weniger Kategorien zeigen — oder gar keine.

Über Zyklus-Apps hinaus

Die Prinzipien in diesem Artikel gelten für jede Gesundheits-App auf Ihrem Smartphone — Schlaftracker, Stimmungstagebücher, Fruchtbarkeitsmonitore, Medikamentenerinnerungen. Jede App, die sensible Gesundheitsdaten verarbeitet, sollte nach denselben Kriterien bewertet werden: Hat das Unternehmen Ihre Daten oder nicht?

Die grundlegende Frage lautet nicht „Vertraue ich diesem Unternehmen?", sondern „Erfordert die Architektur dieser App überhaupt Vertrauen?" Wenn die Antwort nein ist — wenn Ihre Daten Ihr Gerät physisch nicht verlassen können — hört Datenschutz auf, ein Versprechen zu sein, und wird zu einer Tatsache.