Zyklus-Apps im Test: Intimer Einblick mit Mängeln

Berlin taz | Apps, mit denen sich der Menstruationszyklus tracken, mutmaßlich fruchtbare Tage oder der Eisprung bestimmen lassen, weisen häufig deutliche Defizite beim Datenschutz auf. Das ist das Ergebnis einer aktuellen Untersuchung der Stiftung Warentest.

Die Informationen, die Zyklus-Apps erheben, zählen zu den Gesundheitsdaten, die besonders sensibel und laut der Datenschutzgrundverordnung der EU auch besonders schützenswert sind. Neben den bereits erwähnten Informationen können Nutzende unter anderem auch körperliche oder psychische Beschwerden eingeben und verwendete Verhütungsmittel hinterlegen.

Aus den Daten lassen sich beispielsweise Informationen über vergangene oder bestehende Schwangerschaften und deren Ausgang auslesen. Besonders in den USA sind diese Apps daher in den Fokus geraten: Ihre Daten können auch Auskunft über Schwangerschaftsabbrüche geben. Das kann gerade in Bundesstaaten mit restriktiver Gesetzgebung kompromittierend sein, wenn Strafverfolgungsbehörden sich Zugriff auf das Smartphone oder die Server der Anbieter verschaffen.

Die Stiftung Warentest hat aktuell 12 Apps für Android-Telefone untersucht und 9 in ihrer Version für Apples iOS. Einige der Apps sind kostenfrei, andere kosten bis zu 80 Euro im Jahr. Getestet wurde zum einen die Funktionalität – also ob die Apps zuverlässig die mutmaßlich fruchtbaren und unfruchtbaren Tage erkennen. Schon dabei fiel ein Teil der Programme durch. Darunter etwa solche, die mit starren Abständen arbeiten – als hätte die Nutzende genau alle 28 Tage ihre Menstruation.

Schweigsame Anbieter

Zum anderen war der Schutz persönlicher Daten Teil des Tests. Auch hier ist das Ergebnis durchwachsen: 3 der Apps erreichten beim Punkt Datenschutz nur die Note „Mangelhaft“. Häufige Defizite: Die Apps erlaubten zu einfach erratbare Passwörter und zu viele Anmeldeversuche, manche fragen Informationen ab, die für das Zyklus-Tracking nicht unbedingt notwendig sind, zum Beispiel nach dem Fitness-Ziel oder zu Änderungswünschen im Hinblick auf das Sexualleben.

Gemeinsam mit der Verbraucherzentrale Bundesverband (vzbv) untersuchte die Stiftung Warentest auch, ob die App-Anbieter ihren Auskunftspflichten nachkommen. Denn die Datenschutz-Grundverordnung verpflichtet Dienste-Anbieter dazu, Nut­ze­r:in­nen auf Anfrage Auskunft über die gespeicherten Daten zu geben. Dafür wurden Auskunftsersuchen an die 6 Anbieter gesandt, deren Apps persönliche Daten verarbeiten. Laut vzbv haben diese den Großteil der an sie gerichteten Anfragen nicht vollständig beantwortet.

„Gerade bei diesen intimen Themen müssen sich Verbraucherinnen darauf verlassen können, dass ihr Recht auf Auskunft ernst genommen und transparent beantwortet wird. Vage oder ausbleibende Antworten der Anbieter sind für Verbraucherinnen nicht tragbar“, kritisiert Sandra Krüger, Expertin für digitale Gesundheitsangebote beim vzbv.

Es ist nicht das erste Mal, dass Zyklus-Apps bei einer Untersuchung in Sachen Datenschutz schlecht abschneiden. Im vergangenen Jahr untersuchte die Mozilla-Stiftung jeweils 10 Schwangerschafts- und Perioden-Apps und 5 Fitness-Tracker, die ebenfalls Zyklusdaten erheben. Das Ergebnis: Nur 7 der 25 Angebote gingen korrekt mit den erhobenen Daten um. Die anderen sammelten etwa unnötige Daten, verwendeten sie für Zwecke wie personalisierte Werbung und würden diese teilweise sogar an Dritte weitergeben.

In dem aktuellen Test gab es immerhin im Punkt Datenschutz auch einen Testsieger: die Open-Source-App Drip, die es aber in der Gesamtwertung nur auf ein „Ausreichend“ brachte. Auch die Bürgerrechtsorganisation Digitalcourage führt Drip in ihrer Liste der empfehlenswerten Anwendungen. Es braucht keine Anmeldung und der Anbieter gibt keine Daten weiter. Die Mozilla-Stiftung empfiehlt außerdem die App Euki, die bei der Stiftung Warentest nicht im Testfeld war. Euki wird entwickelt von der NGO Women Help Women, die sich für reproduktive Rechte einsetzt.

Schlusslichter in Sachen Datenschutz waren im aktuellen Test die Anbieter Premom, Menstruationskalender und Femometer. Ihre Android-Apps erhielten in diesem Punkt ein „Mangelhaft“. Sie erhoben also zu viele Daten, schützten die App nicht ausreichend vor unbefugtem Zugriff und patzten bei der Beantwortung von Auskunftsersuchen. Auf Anfragen der taz reagierten die Anbieter bis Redaktionsschluss nicht.

Dabei war die Stiftung Warentest beim Thema Datenschutz nicht einmal in die Breite gegangen: Ob und welche Tracker von Drittfirmen die Anbieter beispielsweise in ihre Apps einbauen, war nicht Teil der Untersuchung. Dabei kommt sogar eine Datenweitergabe vor: So geriet etwa 2019 die Zyklus-App Flo in die Kritik, als das Wall Street Journal enthüllte, dass der Anbieter Gesundheitsdaten an Facebook weitergab.