Verbraucherschützer: Betreiber von Zyklus-Apps schludern beim Datenschutz​

Über Zyklus-Apps werden in der Regel sensible persönliche Daten etwa zur Menstruation, körperlichen und seelischen Beschwerden oder zu einer geplanten Verhütung beziehungsweise einem Schwangerschaftswunsch erfasst. Der Bundesverband der Verbraucherzentralen und die Stiftung Warentest überprüften daher gemeinsam, wie zwölf ausgewählte Anbieter solcher mobilen Anwendungen mit dem in der Datenschutz-Grundverordnung (DSGVO) verbrieften Auskunftsrecht umgehen. Bei den Reaktionen der Angeschriebenen machten die Prüfer diverse Defizite aus.

Zwischen April und Juli 2023 stellte ein Institut der Warentester im Namen von drei App-Nutzerinnen umgangssprachlich formulierte Auskunftsersuchen an zwölf Betreiber ausgewählter Zyklus-Apps. In heise online vorliegenden Mails hieß es dabei etwa: "Ich würde gern von Ihnen wissen, welche Daten ihr über mich speichert? Wen könnte ich grundsätzlich zum Datenschutz bei euch fragen?" Erst in Folge-Mails erfolgte ein Verweis auf das Auskunftsrecht nach Artikel 15 DSGVO und die Bitte, einen betrieblichen Datenschutzbeauftragten zu benennen. Anbieter sind laut der Klausel verpflichtet, Nutzer individuell etwa über Verarbeitungszwecke, Datenkategorien und Speicherdauer zu informieren. Das kann ein erster Schritt sein, um danach weitere Betroffenenrechte auszuüben wie die Löschung oder Korrektur persönlicher Informationen.

Wie die Anbieter antworteten

Bei sechs der angeschriebenen Anbieter gaben sich die Prüfer mit der Antwort zufrieden, dass diese gar keine personenbezogenen Daten verarbeiteten. Offenbar bezog sich dies aber nur darauf, dass Werte von Nutzerinnen nicht auf Servern gespeichert oder an Dritte weitergegeben werden. Ohne Datenverarbeitung dürften die Apps gar nicht funktionieren. Die sechs übrig gebliebenen Betreiber haben der Untersuchung zufolge den Großteil der an sie gerichteten Anfragen – insgesamt 15 von 17 – nicht vollständig gemäß Artikel 15 DSGVO beantwortet. Beispielsweise hat keiner bei allen drei geschickten Anfragen vollständig die Betroffenenrechte durchdekliniert.

Besonders schlecht schneiden bei den Auskünften die US-Anbieter Flo, Premom und Femometer ab, die fast alle Fragen nicht zufriedenstellend beantworteten oder gar keine Angaben machten. Deutlich mehr der erforderlichen Angaben stellten etwa die deutschen Anbieter myNFP, Ovolution und Ovy bereit. Auch hier machten die Tester aber Abstriche, etwa auch bei der Speicherdauer oder teils den Verarbeitungszwecken.

Christian Maas von myNFP erklärte dazu gegenüber heise online, die Anfragen seien "tendenziell ungeschickt" gestellt worden. Selbst in dem zuletzt angeführten Artikel 15 stehe nicht, "dass man standardmäßig alles gleich mitschicken muss". Die Speicherdauer sei auch schon aus der Datenschutzerklärung erkennbar. Auf Nachfragen, was genau sie wissen sollten, hätten die Nutzerinnen nicht reagiert. Insgesamt erhalte seine Ein-Mann-Firma nur rund zehn Ersuchen pro Jahr – die meisten offenbar zu Test- und Forschungszwecken.

Reaktionen der Anbieter

Ähnlich äußerte sich Ovolution-Gründer Timo Schmuck: In den Antwort-Mails habe sein Unternehmen deutlich gemacht, wo die Datenschutzerklärung in der App und auf der Webseite zu finden sei, "und dass der Datenschutzverantwortliche dort benannt ist". Darin werde natürlich auch schon "die Frage nach den Rechten der Nutzer beantwortet". Dazu sei noch ein grundsätzlicher Hinweis gekommen, wie die Daten der App gespeichert und verarbeitet werden. Trotzdem habe das den Prüfern "an der Stelle anscheinend nicht ausgereicht".

Ovolution werde sich die geäußerte Kritik zu Herzen nehmen, auch wenn einige Punkte daraus "auf den ersten Blick nicht nachvollziehbar" seien. Gerade bei diesen intimen Themen müssten sich Verbraucherinnen darauf verlassen können, "dass ihr Recht auf Auskunft ernst genommen und transparent beantwortet wird", betont dagegen vzbv-Referentin Sandra Krüger. "Anbieter sollten sensibilisiert sein, auch formlose Auskunftsanfragen zu erkennen." Als Sieger gingen aus dem gesamten, nicht nur auf Datenschutzaspekte bezogenen Test mit der Note "befriedigend" myFNP, Lady Cycle und Ovolution hervor.

(mki)