Zyklusapps und Datenschutz: (Wie) geht das?

Datenschutz ist ein riesengroßes Thema, gerade wenn es um sensible und intime Daten geht. Denn damit lässt sich nicht nur gezielt Werbung schalten sondern auch ziemlich grober Unfug treiben – umso wichtiger unsere Zyklusdaten möglichst unter Verschluss zu halten. Aber wie? In diesem Artikel gebe ich Euch einen Überblick darüber wie Ihr Eure Daten unter Kontrolle behalten könnt und wie es die gängigsten Verhütungsapps mit dem Thema Datenschutz halten.
 

 
Vielleicht habt Ihr es in der Presse gelesen? Vor wenigen Wochen gab es folgende Schlagzeile auf netzpolitik.org:

Zyklus-Apps geben intime Daten an Facebook weiter

Das betraf vor allem die beiden Zyklusapps Maya und MIA. Auch das Wallstreet Journal hat Anfang des Jahres einen großen Datenskandal in den USA aufgedeckt – hier war unter anderem die überaus beliebte Zyklusapp Flo betroffen, die die Datenübermittlung an Facebook nach Veröffentlichung des Artikels dann eingestellt hat.
 
Hierzulande hat vor allem die Stiftung Warentest 2017 in einem umfangreichen Testbericht auf mögliche Datenlecks bei Zyklusapps aufmerksam gemacht: Demnach übertragen 9 von 23 getesteten Apps Daten, mit denen sich die Anwenderin verfolgen lässt, zum Beispiel die Smartphone-Geräteidentifikationsnummer.

So kann etwa Werbung gezielt geschaltet werden, die bei der Nutzerin fruchten soll

heißt es im Testbericht.
 
Dabei sind Schwangere besonders interessant für Werbetreibende, da sie enorme Kaufkraft besitzen. Aber auch simple App-Eintragungen wie zum Beispiel ob an einem Abend Alkohol getrunken oder ein Kondom verwendet wurde, können Firmen dazu nutzen, potenzielle Kunden in Kategorien zu clustern und ihnen dann entsprechende Angebote zu unterbreiten.
 
Darf nicht sein. Wie aber kann Frau sich dagegen wehren?
 

Zyklusapps und Datenschutz: Auf diese Punkte kommt es an

 
Hier habe ich vier Punkte zusammen gestellt, auf die es beim Thema Datenschutz und Zykusapps besonders ankommt. Auf jeden der vier Punkte gehe ich dann im Folgenden einzeln ein.
 

• Datenschutzerklärung

 

• Zugriffsrechte

 

• Nutzeraccount

 

• Geschäftsmodell

 

Zyklusaps und Datenschutz: Was steht in der Datenschutzerklärung?

 
Ersten Aufschluss über die Daten-Praxis eines App-Anbieters gibt seine Datenschutzerklärung oder Privacy Policy, wie sie im englischsprachigen Raum genannt wird. Die von Datenschützern kritisierte Zyklusapp Maya schreibt darin, dass sie Nutzerdaten durchaus mit anderen teilt:

We may share Your information with our sponsors, and/or business partners. Your Information could be shared so that you may receive newsletters, offers, information about new services, and other information, if applicable. The information collected from You and other users may be analysed in different manners.

Das ist schon ein ziemlicher Hammer.
 
Jede Frau, die keine solche Weitergabe und Verarbeitung ihrer Daten wünscht, sollte sich diese App definitiv nicht laden. Mal ganz abgesehen davon, dass Maya nicht zur sicheren Verhütung geeignet ist – im App Store wirbt sie hingegen mit dem Satz:

Den Regelzyklus überwachen ist einfach und lustig!

Ich weiß: Datenschutzerklärungen sind nicht besonders lässig zu lesen. Doch gerade bei kostenlosen Apps und/oder Apps aus dem außereuropäischen Raum, wo nicht die DSGVO gilt, lohnt es sich die Privatsphäre-Einstellungen nachzuprüfen, da die Nutzerinnen hier oft mit ihren Daten bezahlen. Wichtig ist auch die anonymisierte Speicherung von Daten auf einem zertifizierten Server (am besten im europäischen Inland). Am Ende des Artikels habe ich Euch eine Übersicht über die Datenschutzrichtlinien einiger beliebter Zyklusapps zusammen gestellt.
 

Zyklusapps und Datenschutz: Müssen Zugriffsrechte eingeräumt werden?

 
Sofort negativ auffallen sollte Nutzerinnen, wenn der Zyklusapp Zugriffsrechte auf Kontakte, E-Mails oder etwa auf den Facebook-Account eingeräumt werden sollen. Solche Zugriffe sind natürlich überhaupt nicht notwendig, um Eure fruchtbaren und unfruchtbaren Tage zu ermitteln. Daher solltet Ihr von der Installation direkt wieder Abstand nehmen, sollte eine Zyklusapp auffällige Zugriffsrechte verlangen.
 

Zyklusapps und Datenschutz: Muss ein Benutzeraccount angelegt werden, um die App zu nutzen?

 
Wenn Ihr vor Nutzung einer Zyklusapp zunächst einen Benutzeraccount anlegen müsst, werden die eingegebenen App-Daten nicht (nur) lokal auf dem Handy, sondern auf einem externen Server (manchmal Cloud genannt) gespeichert. Dieser Server sollte vertrauenswürdig und gegen Hacker-Angriffe geschützt sein. Auch wenn das bei seriösen Unternehmen der Fall ist, bleibt immer ein gewisses Restrisiko – so wie bei der Nutzung anderer Cloud-Dienste im Internet auch.
 

Zykusapps und Datenschutz: Womit finanziert sich die App?

 
Es gibt viele kostenlose Apps bei denen nicht ersichtlich ist wie sie sich (zukünftig) finanzieren. Auch wenn Anbieter kostenloser Apps erklären, aktuell keine Daten an Dritte weiterzugeben, muss das nicht für die Zukunft gelten. Hier wäre ich also vorsichtig und aufmerksam.
 
Andere Apps bieten Abo-Modelle (myNFP mobile), Premium Funktionen (Lady Cycle, Lily, Kindara) oder weitere Kauf-Produkte wie Thermometer an (Ovy), wodurch die Finanzierung gesichert sein sollte. Dann wiederum gibt es Apps, die an Hardware gekoppelt sind, zum Beispiel mySense und daysyView, wodurch ebenfalls die Finanzierung geklärt ist. Doch auch hier darf der Blick in die jeweilige Datenschutzerklärung natürlich nicht fehlen.
 

Zyklusapps und Datenschutz: myNFP mobile

 
Weil Ihr Euch nun sicherlich fragt, welche Apps denn „safe“ hinsichtlich des Datenschutzes sind, habe ich für einige gängige die Datenschutzrichtlinien gecheckt. Den Auftakt macht myNFP mobile:

myNFP verwendet keine Analytics-Software und teilt keine Daten mit Dritten […] Da myNFP ein kommerzielles Produkt ist für das Sie direkt bezahlen, können wir Datenschutz wirklich und ohne Interessenskonflikte umsetzen […]

Im Weiteren geht die Datenschutzerklärung auf das verpflichtende Anlegen eines Benutzeraccounts ein:

Der Account dient der Abrechnung und damit Sie problemlos zwischen iOS und Android wechseln oder die App auf mehreren Geräten gleichzeitig betreiben können.

Die myNFP mobile App speichert alle von der Nutzerin eingegebenen Zyklusdaten auf dem Gerät. Aber:

Bei aktiviertem Sync & Online-Backup speichert die App auch alle Daten im Hintergrund auf einem Server in einem deutschen ISO 27001-zertifizierten Rechenzentrum […] Die Speicherung dieser Daten erfolgt nur zu dem Zweck, damit Sie Ihre Daten über mehrere Geräte synchronisieren oder über die Webversion einsehen können und damit Sie diese im Fall eines Problems mit Ihrem Smartphone nicht verlieren.

Die Daten werden verschlüsselt übertragen und laut Datenschutzerklärung von myNFP selbst nicht analysiert oder ausgewertet.

 

Zyklusapps und Datenschutz: Lady Cycle

 
Leider ist die Datenschutzerklärung auf der Website von Lady Cycle nur auf Englisch zu finden:

Your data is not stored or synchronized automatically to a server or cloud service. By default, your data is solely stored locally on your phone.

Die Daten werden nur lokal auf dem Smartphone und nicht auf Servern gespeichert. Dadurch kann auch seitens des App-Anbieters keine Weitergabe an Dritte erfolgen.
 

Zyklusapps und Datenschutz: Lily

 

Deine Daten gehören Dir und bleiben Dein Eigentum. Wir werden uns Deine Daten nicht ansehen, noch werden wir diese mit jemandem teilen – nicht für Geld und gute Worte. Alle Deine Daten sind nur auf Deinem Gerät und in Back-ups, die Du eventuell (hoffentlich) gemacht hast. Es gibt keine Back-ups auf unseren Servern, noch haben wir die technischen Möglichkeiten auf Deine Daten aus der Ferne zuzugreifen.

Bei der ersten Verwendung der Lily App werden jedoch ein paar Daten zu analytischen Zwecken gesammelt:

Zu absolut keiner Zeit beinhalten diese Informationen persönliche oder identifizierbare Daten. Wir haben zudem keine Möglichkeit diese Daten eindeutig einer Benutzerin oder einem Gerät zuzuweisen.

Welche Informationen hier genau gesammelt werden, kann in den Datenschutzbestimmungen von Lily nachgelesen werden.
 

Zyklusapps und Datenschutz: Kindara

 
Bei der US-amerikanischen App Kindara wird etwas großzügiger mit der Datenspeicherung als bei Lily verfahren:

Information that Kindara may collect includes: name, date of birth, e-mail address, fertility-related data and other family planning and health-related information you provide. You may consider some of this information to be sensitive so you should choose carefully regarding whether and if you will use the Service.

Es wird hier offengelegt, welche Daten gesammelt werden (Name, E-Mail, Geburtsdatum, Zyklus- und Gesundheitsdaten) und darauf hingewiesen, dass es sich um sensible Daten handelt, sodass man es sich vorab gut überlegen sollte den Service von Kindara zu nutzen oder nicht. Sehr fair, finde ich.
 
Weiterhin gilt:

We may also share anonymous Personal Information with third-party researchers.

Um Zyklen noch besser zu verstehen und zu analysieren, nutzt Kindara externe „Researcher“. Diese erhalten zwar nur anonymisierte Nutzerdaten, aber auch dessen sollten sich Nutzerinnen bewusst sein. In der Privacy Policy ist außerdem von Facebook als „Vendor“ die Rede, der

may observe your activities, preferences, and transactional data (such as your IP address and browser type) as well as content you have viewed during your use of the Service. We may use this data for any purpose unless we tell you otherwise in connection with a particular Service.

Hm, auch wenn ich nicht ganz verstehe was damit gemeint ist stößt es mir ein wenig sauer auf, vor allem nach dem Datenskandal mit Facebook.
 
Vielleicht ist Euch ohnehin aufgefallen, dass ich in letzter Zeit Abstand von Kindara genommen habe? Grund: Der Wink ist (auf unbestimmte Zeit) nicht mehr lieferbar. Ich bin außerdem eh so begeistert vom mySense, dass ich Kindara nicht mehr nutze und in meiner Tools-Liste nicht mehr explizit empfehle.
 

Zyklusapps und Datenschutz: mySense

 
Apropos, wie geht der deutsche Konkurrent mySense mit Zyklusdaten um?

Deine Daten werden in einer Cloud auf Servern in Deutschland gespeichert. Unser Partner Hetzner ist nach DIN ISO/IEC 27001:2013 zertifiziert, was ein adäquates Sicherheitsmanagement, die Sicherheit der Daten, die Vertraulichkeit der Informationen und die Verfügbarkeit der IT-Systeme nachweist.

Diese kurze Info bekommt man bereits in der mySense App. Auf der Website von cyclotest sind dann noch weitere Details nachzulesen, zum Beispiel welche Art von Daten sowohl lokal in der App als auch auf den Servern gespeichert werden. Es handelt sich dabei eigentlich um alle Daten, die in der App erfasst werden – das sollte Nutzerinnen bewusst sein.
 
Die Anlegung eines Benutzeraccounts und somit Speicherung von Zyklsdaten auf einem externen Server erfolgt aus dem Grund eines möglichen Smartphone-Wechsels: nur so können die „alten“ Daten in der App auf einem neuen Gerät erscheinen.
 
Außerdem gibt es meiner Meinung nach noch eine Besonderheit:

Die App kann über GPS/Wi-Fi Deinen Standort ermitteln, wenn Du bei der Installation der App dieser Freigabe in den Einstellungen Deines Betriebssystems zugestimmt hast.

Die Freigabe kann aber jederzeit auf dem Smartphone direkt deaktiviert/aktiviert werden.
 

Zyklusapps und Datenschutz: Ovy

 
Ovy handhabt es ähnlich wie mySense, denn auch hier wird ein Account angelegt und auch hier werden personenbezogene und alle weiteren Daten, die in die App eingegeben werden, auf Servern gespeichert.
 
Weiterhin ist in der Datenschutzrichtlinie zu finden:

Ovy nutzt deine anonymisierten Daten ggf. für die Forschung im Bereich Frauenheilkunde, wobei Ovy garantiert, dass derartige Forschungsdaten nicht mit deiner Person in Verbindung gebracht werden können.

Ähnlich also wie bei Kindara. Aber:

Wir geben deine personenbezogenen Daten nicht an Dritte weiter, soweit nicht ausdrücklich in diesen Datenschutzrichtlinien vorgesehen. Insbesondere betreiben wir selbstverständlich keinen Adresshandel.

Wichtiger letzter Satz! Insgesamt finde ich die Datenschutzerklärung von Ovy übrigens besonders angenehm und einfach zu lesen, weil sie gut strukturiert und verständlich verfasst ist.
 

Zyklsuapps und Datenschutz: daysyView

 
Eine Besonderheit ist die Art und Weise, wie daysy Daten in ihrer App speichert:

Bei der ersten Synchronisierung der App “DaysyView“ mit dem Endgerät “Daysy” werden die in dieser App beschriebenen personenbezogenen Daten auf das Gerät heruntergeladen. Diese personenbezogenen Daten des Nutzers werden jeweils dann gelöscht, wenn der Nutzer sein “Daysy” Endgerät erneut mit der App verbindet. Sämtliche vorhandenen Daten in der App werden zu diesem Zeitpunkt vollständig aus der App gelöscht. Die Speicherung erfolgt also stets temporär bis zur nächsten Synchronisierung mit dem “Daysy”-Endgerät. Die App speichert berechnete Daten bis zum nächsten Herunterladen zwischen.

Hier handelt es sich also laut Datenschutzerklärung lediglich um eine Zwischenspeicherung und ein Überschreiben alter Daten mit neuen, sobald zwischen daysy und App synchronisiert wird.
 
Dennoch ist auch bei daysy bzw. daysyView ein Server zwischen geschaltet:

Die synchronisierten Rohdaten werden bei jeder Synchronisierung zwischen Daysy und der App an den Server zur Verarbeitung, Verifizierung und Speicherung über eine verschlüsselte HTTPS-Verbindung hochgeladen. Neben den Rohdaten und einem Zeitstempel werden auch die Registrierungs-ID und die Seriennummer des Nutzers gespeichert.

Zyklusapps und Datenschutz: Mein Fazit

 
Ich glaube man bzw. Frau kommt heutzutage kaum am Thema Datenspeicherung vorbei, wenn sie moderne Tools wie Zyklusapps und Zykluscomputer nutzen möchte. Am besten wäre natürlich, wenn Zyklusapps keinerlei sensible Daten extern speichern und alle Daten bei der Nutzerin allein verbleiben würden. Dann jedoch bestünde ein Problem bei einem Smartphone-Wechsel: alle bisher gesammelten Daten gingen in der App verloren. Will halt auch niemand.
 
Daher ist es unter diesen Umständen nur logisch, Daten abzuspeichern. Das Anlegen eines Benutzeraccounts erfolgt nicht ohne Grund – dessen sollte sich jede Nutzerin bewusst sein. Und natürlich auch über das (wenn auch geringe) Risiko eines Hacker-Angriffs. Doch dieses Risiko besteht im Prinzip überall, wo wir im Internet Daten preisgeben, Clouds nutzen, kommunizieren.
 
Mit der Speicherung von Zyklusdaten kann ich daher meinen Frieden schließen – nicht aber mit einer Weitergabe an Dritte. Hier gilt für mich eine absolute No-Tolerance-Policy.
 
Ich würde Euch dringend empfehlen, Euch vor der Verwendung einer Zyklusapp die jeweilige Datenschutzerklärung durchzulesen. Diese findet Ihr zum Beispiel im Apple App Store in den Informationen zur jeweiligen App unter dem Link „Datenschutzrichtlinie“.
 
 
 

Hast Du noch Fragen zum Thema Zyklusapps und Datenschutz? Stell sie gern unten in den Kommentaren oder lies weiter: