Datenschutz bleibt ein Problem bei mehreren Gesundheits-Apps für Frauen

Mit Millionen von Nutzerinnen weltweit wird erwartet, dass der Markt für Gesundheits-Apps für Frauen bis 2031 die 18-Milliarden-Dollar-Marke überschreitet. Dennoch gehören diese Apps zu den am wenigsten vertrauenswürdigen. Sie sammeln Daten über die Menstruationszyklen der Nutzerinnen, ihr Sexualleben und ihren Schwangerschaftsstatus sowie Informationen wie Telefonnummern und E-Mail-Adressen. In den letzten Jahren sind einige dieser Apps wegen Verstößen gegen den Datenschutz ins Visier der Kritiker geraten.

Einige problematische Praktiken halten nach wie vor an, berichteten Forscher im Mai auf der Konferenz für Humanfaktoren in Computersystemen in Honolulu.

Das Team untersuchte die Datenschutzrichtlinien und Datenverwaltungsfunktionen von 20 der beliebtesten Gesundheits-Apps für Frauen im US- und UK-Google Play Store. Dabei fanden sie Fälle von heimlicher Sammlung sensibler Nutzerdaten, Inkonsistenzen in den Datenschutzrichtlinien und datenschutzrelevanten App-Funktionen, fehlerhafte Datenlöschungsmechanismen und mehr.

Die Forscher stellten auch fest, dass Apps die Nutzerdaten oft mit deren Web-Suchanfragen oder Browserverhalten verknüpften, wodurch die Anonymität der Nutzer gefährdet wird. Einige Apps erforderten von einem Nutzer die Angabe, ob sie eine Fehlgeburt oder Abtreibung hatten, um eine Datenlöschfunktion nutzen zu können. Dies sei ein Beispiel für "Dark Patterns" (manipulative Benutzerführung), also die Manipulation eines Nutzers, um private Informationen preiszugeben, wie die Studienautoren betonen.

Die Mitautorin der Studie, Lisa Mekioussa Malki, eine Informatikforscherin am University College London, sprach mit Science News über die Datenschutz- und Sicherheitsimplikationen der Ergebnisse. Dieses Interview wurde in Bezug auf Länge und Klarheit bearbeitet.

SN: Gesundheits- und Fruchtbarkeits-Apps für Frauen haben Bedenken hinsichtlich des Datenschutzes aufgeworfen. Aber in Ihrer Studie weisen Sie darauf hin, dass die von diesen Apps gesammelten Daten auch physische Sicherheitsimplikationen haben könnten.

Malki: Es ist eine Sache, Datenschutz als Absicherung von Daten aus organisatorischer Sicht zu betrachten, aber ich denke, es muss noch einen Schritt weiter gehen. Wir müssen die Menschen berücksichtigen, die diese Apps nutzen, und welche Folgen ein Datenleck haben kann. Offensichtlich gibt es das Kernproblem der Kriminalisierung [der Abtreibung im post-Roe-Vereinigte-Staaten], aber es gibt auch viele andere Probleme, die sich aus dem Durchsickern von reproduktiven Gesundheitsdaten ergeben könnten.

Zum Beispiel könnte ein Durchsickern des Schwangerschaftsstatus einer Person ohne deren Zustimmung zu Diskriminierung am Arbeitsplatz führen. Es gab bereits frühere Untersuchungen, die Stalking und häusliche Gewalt thematisiert haben. In Gemeinschaften, in denen Abtreibung und Fragen rund um die Frauen- und reproduktive Gesundheit stigmatisiert sind, könnte die Weitergabe dieser Informationen zu realen konkreten Schäden für Menschen in ihren Gemeinschaften führen.

SN: Apps sagen oft: "Wir verkaufen Ihre Daten nicht." Aber die Informationen, die wir eingeben, sind immer noch Werbetreibenden und anderen zugänglich. Dies scheint es für die Nutzer sehr schwierig zu machen zu verstehen, was sie einwilligen, wenn sie die Apps benutzen.

Malki: Diese Apps sammeln viele verschiedene Datenpunkte von den Nutzern, und nur ein kleiner Teil davon wird direkt zur Verfügung gestellt. Offensichtlich sind da die Informationen, die ein Benutzer bei der Registrierung eingibt, einschließlich seiner Gesundheitsdaten. Es gibt einige gesetzliche Einschränkungen [je nach Standort] bezüglich der Weitergabe und Kommerzialisierung dieser Daten. Obwohl in einigen Apps die Datenschutzrichtlinie ausdrücklich besagt, dass Dinge wie das Schwangerschaftstrimester des Benutzers mit Drittanbieter-Werbetreibenden geteilt werden könnten.

Es gibt jedoch auch eine Menge Daten, die Apps vom Gerät des Benutzers sammeln: IP-Adresse und Informationen darüber, wie sie die App nutzen - also welche Artikel sie anklicken, welche Seiten sie aufrufen usw. Und daraus könnten tatsächlich ziemlich sensible Erkenntnisse über das Leben einer Person gewonnen werden. Laut Datenschutzrichtlinie sollen diese Daten insbesondere mit Analyseunternehmen geteilt werden.

Malki: Ein Hauptproblem, das wir identifiziert haben, war, dass viele Menschen, wenn sie einen erschreckenden Nachrichtenartikel [über Datenverletzungen] sahen, sofort die Apps löschten. Das schützt die Nutzerdaten nicht unbedingt, da die Entwickler oft Backups auf ihren eigenen Servern aufbewahren.

Mein Rat ist daher, entweder nach einer Daten- oder Kontolöschungsfunktion in der App zu suchen oder sogar die Entwickler direkt zu kontaktieren. Insbesondere wenn Sie in Europa leben, können Sie die Entwickler kontaktieren und auf Ihr Recht auf Vergessenwerden verweisen.

SN: Und was können Entwickler tun, um ethischere Apps zu entwickeln?

Malki: A lot of time, particularly when the app development team is quite small and perhaps limited in resources, data privacy is a compliance issue rather than a humanistic and user experience issue. So I think a shift in understanding is needed — who the users are, what potential risks they could be facing, what needs they have — and building that into the design process from the beginning.

We’ve developed this groundwork for understanding and identifying the characteristics of privacy policies. So what researchers and developers, even auditors and compliance people, can do in the future is use that framework to automate the analysis of a larger set of privacy policies on a large scale. Our codebook provides a framework for doing that.