Ihre Zustimmung wird von Unternehmen oft ignoriert, angenommen oder Ihnen aufgezwungen, während sie die wahren Bedingungen in Datenschutzrichtlinien vergraben, von denen sie wissen, dass sie niemand lesen wird. Das ist wirklich ärgerlich. Und unheimlich. Und es ist der Grund dafür, dass wir hier sind.
„Wahrscheinlich gehen Sie davon aus, dass Apps, die sehr sensible Informationen handhaben – über Ihren Zyklus und Ihre Angststörung – sorgfältig mit Ihrer Zustimmung umgehen würden … Nachdem wir uns die Datenschutzrichtlinien von 65 Apps für Mental Health und reproduktive Gesundheit genau angesehen haben, wissen wir, dass das überwiegend nicht der Fall ist.“
Misha Rykov, Forschender @ *Datenschutz nicht inbegriffen
Dass Apps mit Gesundheitsdaten so leichtfertig umgehen, ist nicht nur unheimlich, sondern bedrohlich. Wir haben einige der angewendeten Tricks, die wir vorgefunden haben, zusammengefasst und erklären, wie Sie diese selbst identifizieren können. Außerdem erklären wir, was Sie tun können, um besser zu verstehen, was genau Sie „zustimmen“.
Wie es aussieht: Hier wird direkt ein Fragebogen zu persönlichen Themen angezeigt, bevor Sie überhaupt die Gelegenheit hatten, zu verstehen, wie diese Informationen geschützt werden (oder auch nicht).
Wenn Sie auf einer Seite landen, auf der zuerst ein Fragebogen oder ein Chatbot erscheint, ohne dass Ihnen eine Datenschutzrichtlinie gezeigt wurde oder Sie dieser zugestimmt haben, könnten Sie davon ausgehen, dass die Informationen (nur) dazu verwendet werden, Ihnen das passende Produkt oder die passende Dienstleistung anzubieten. Dabei ist es nicht ganz einwandfrei, diese Antworten zu sammeln, ohne dass Sie wissen, wie sie gespeichert und genutzt werden. Besonders schlimm wird es, wenn diese Informationen zu einem Zweck weitergegeben werden, dem Sie nicht zugestimmt hätten, hätten Sie die Wahl gehabt.
Im Fall von Talkspace lautet die Datenschutzrichtlinie wie folgt: „Rückschlüsse auf Ihre Interessen werden aus Ihren Antworten auf Fragebögen [wie dem obigen] gezogen, die Sie vor Ihrer Anmeldung ausgefüllt haben“ und werden als Informationsquelle für gezielte Werbung angeführt.
Talkspace ist nicht die einzige Mental-Health-App, die sehr persönliche Fragen stellt, bevor sie ihre Datenschutzrichtlinie preisgibt – Betterhelp, Happify und Youper machen es genau so.
Wie es aussieht: Datenschutzrichtlinien, die folgenden Wortlaut enthalten:
„Wir geben Ihre persönlichen Daten im Allgemeinen nicht ohne Ihre ausdrückliche Zustimmung an Dritte weiter, außer in Fällen, in denen dies gesetzlich zulässig oder erforderlich ist.“
„Wir können personenbezogene Daten über Sie aus anderen Quellen erhalten, wenn Sie zustimmen oder wenn dies nach geltendem Recht zulässig ist.“
„Außer“ und „oder“ sind zwei Wörter, die auf ein Versprechen folgend nicht wünschenswert sind. Es ist nämlich so, dass, wie wir später näher erläutern werden, Datenschutzgesetze nicht im Detail auf Zustimmung eingehen und allgemein vieles zulassen. Wenn also eine App schreibt „wir machen das nicht, außer es ist nach geltendem Recht zulässig“, sagt sie damit nicht viel.
Sogar uns fällt es schwer, zu verstehen, was gemeint ist. Aber wo Zweifel sind, gibt es Sorgen, denn diese kleinen Schlupflöcher ermöglichen, wie in diesen zwei Beispielen, das Teilen mit und Sammeln aus „anderen Quellen“ Ihrer personenbezogenen Daten.
Wir finden das beunruhigend, weil das Zusammenfügen, Teilen, Kaufen oder Verkaufen Ihrer Daten oft nicht zu Ihrem Vorteil geschieht. Manchmal werden die Daten genutzt, um Ihnen wirklich sehr personalisierte Anzeigen zu zeigen. Aber im schlimmsten Fall passiert damit viel, na ja, Schlimmeres. Abhängig davon, wo Sie leben, können Ihre sexuelle Orientierung, eine Schwangerschaft oder andere private Gesundheitsdaten geteilt werden und Ihre Freiheit oder sogar Ihr Leben bedrohen.
Wie es aussieht: Datenschutzrichtlinien, die folgenden Wortlaut enthalten:
„Indem Sie sich anmelden oder die Applikation nutzen, erklären Sie sich mit diesen Bedingungen, den Datenschutzrichtlinien einschließlich aller zusätzlichen Richtlinien und zukünftigen Änderungen einverstanden.“
Bei diesem Modell für Zustimmung gilt: Sie nutzen unsere App, also stimmen Sie unseren Regeln zu (vielleicht wissen Sie das, vielleicht (wahrscheinlich) nicht). Dabei ist es nicht einfach, zu erkennen, wenn eine App es so handhabt, weil nicht jede es offenlegt. Wie auch Maya Period, Fertility, Ovulation, & Pregnancy gehen viele Apps davon aus, dass Nutzer*innen die Datenschutzrichtlinie gelesen und ihr zugestimmt haben und damit auch deren Inhalt Ihre „Zustimmung“ geben.
In den Datenschutzbestimmungen von WebMD Pregnancy werden Sie aufgefordert, diese sorgfältig zu lesen, bevor Sie ihre Apps installieren oder ihre Dienste nutzen, was sogar den Besuch der Website einschließt. Aber um das in der Datenschutzerklärung zu lesen, müssten Sie schon die Website besuchen. Wir sind zwar pingelig, aber wir sind der Meinung, dass die Verbraucher*innen wissen sollten, wozu sie ihre Zustimmung geben, bevor die Unternehmen davon ausgehen können, dass sie zugestimmt haben.
Die „implizite“ Zustimmung, wie sie gewöhnlich genannt wird, ist manchmal in Ordnung. Sie ist sinnvoller, wenn Sie gut informiert sind und wahrscheinlich sowieso zustimmen würden. Wenn Sie in einen Laden gehen, über dessen Eingang ein Schild mit der Aufschrift „Lächeln, Sie werden gefilmt“ hängt, stimmen Sie durch Ihr Eintreten implizit zu, dass Sie gefilmt werden. Überwachung ist uncool, aber wenigstens wissen Sie es dann, bevor Sie hineingehen.
Dass Apps für reproduktive Gesundheit denselben Ansatz verfolgen, ist aber nicht fair. Das „Schild über der Tür“, das Sie warnt, bevor Sie die App herunterladen, ist oft tief in der Datenschutzrichtlinie vergraben. Und auch, wenn Sie der Meinung sind, dass es keine Privatangelegenheit ist, wie Sie sich in einem öffentlichen Laden verhalten, würden Sie die Informationen, die diese Apps sammeln, wie Ihren Geburtstag, Gesundheitsdaten, Gewicht oder Details über Ihr Sexleben, nicht derselben Kategorie zuordnen.
… Und trotzdem gehen beide oben genannten Apps davon aus, Ihre Zustimmung zu haben, und sammeln Ihre personenbezogenen Daten nicht nur, sondern teilen diese dann mit „Geschäftspartnern“ oder zu Werbezwecken. Iiiih. Finden wir nicht so selbstverständlich.
In diesem Fall haben Sie theoretisch die Möglichkeit abzulehnen – allerdings geht das nicht so einfach. Und wenn wir ehrlich sind, ist das Lesen von kompliziertem Kleingedruckten und das Auseinandersetzen mit verborgenen Einstellungen eine ziemlich hohe Hürde … sogar, wenn man keine psychisch bedingten Gesundheitsprobleme hat. Dass Unternehmen genau das zu ihrem Vorteil nutzen, scheint deshalb nicht fair. Trotzdem tun sie genau das und nutzen das App-Design, um Sie zur Wahl einer Option zu bewegen, die dem Unternehmen lieber ist, und so etwas „zuzustimmen“, das Sie normalerweise ablehnen würden.
Verstößt das nicht manchmal gegen das Gesetz?
Meistens nicht. Manchmal ja. Das hängt davon ab, wo Sie leben. Die allgemeine Datenschutz-Grundverordnung (DSGVO) der EU hat eine sehr strenge Haltung in Bezug auf die Zustimmung zur Datenverarbeitung und was das im Einzelnen bedeutet. Die Einwilligung muss eine „bestätigende Handlung“ sein, die „frei gegeben“ und „informiert“ ist. Und das sind nur einige Anforderungen. Diese Definition von Zustimmung ist wirklich sinnvoll.
Aber auch Europäer*innen sind damit noch lange nicht auf dem Trockenen. „Zustimmung“ ist nur einer von sechs Gründen für die Datenverarbeitung gemäß DSGVO. Unternehmen können also versuchen, die Nutzung Ihrer Daten mit einem anderen „legitimen Grund“ zu begründen als Ihrer Zustimmung. Meta versuchte, dies zu tun, und gab an, dass Nutzer*innen wollen, dass ihre Daten für personalisierte Anzeigen genutzt werden und dass jede*r Nutzer*in von Facebook, Instagram und WhatsApp dem durch das Anmelden auf diesen Diensten zustimmt. Hmmm.
Die meisten anderen Länder, darunter auch die Vereinigten Staaten, haben entweder kein bundesweite geltendes Gesetz zum Schutz personenbezogener Daten oder sind in Bezug auf die Einwilligung etwas unklar. In den USA ist der Health Insurance Portability and Accountability Act (HIPAA) für den Schutz von Gesundheitsdaten zuständig, während andere Arten des Datenschutzes je nach Bundesstaat variieren. Aber selbst die stärksten dieser Gesetze, wie das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher (CCPA), lassen Raum für undurchsichtige Arten der Zustimmung. Das Gleiche gilt für das kanadische Gesetz zum Schutz persönlicher Informationen und elektronischer Dokumente (PIPEDA).
Und wann ist eine Zustimmung gesetzlich geschützt? Apps können immer noch leicht unter den Tisch fallen.
„Man erwartet, dass es sich wie bei der Sicherheit von Ketchup im Supermarkt verhält – dass eine App, wenn sie auf dem Markt ist, ein Minimum an sicheren Datenpraktiken erfüllt. Aber so funktioniert es nicht. Die Datenschutzbehörden sind bürokratisch und langsam, während es enorm viele digitale Produkte gibt. Da können sie nicht mithalten.“
Misha Rykov, Forschender @ *Datenschutz nicht inbegriffen
Das bedeutet, dass der „Schutz“, den das Gesetz bietet, oft zu spät kommt, als Strafe oder Bußgeld, nachdem Ihre privaten Informationen bereits offengelegt wurden. So wie zu Beginn dieses Jahres:
- Die Mental-Health-App Cerebral gab zu, gegen HIPAA verstoßen zu haben, indem sie die privaten Gesundheitsdaten von über 3,1 Millionen ihrer Anwender*innen an Social-Media-Sites wie Facebook und TikTok weitergab.
- BetterHelp bekam Ärger mit der US-amerikanischen Federal Trade Commission (FTC), weil das Unternehmen Gesundheitsdaten – einschließlich Informationen über psychische Probleme – an Unternehmen wie Facebook und Snapchat weitergegeben hatte, von denen es eigentlich versprochen hatte, sie für sich zu behalten. BetterHelp erklärte, dass der Vergleich (der eine Zahlung von 7,8 Mio. USD umfasste) kein Eingeständnis eines Fehlverhaltens sei und dass das Verhalten, für das es bestraft wurde, in der Branche üblich sei.
Was können Sie tun?
Niemand sollte für Wohlbefinden mit seiner Privatsphäre bezahlen müssen. Und es sollte nicht an Ihnen liegen, Ihre Daten vor Unternehmen zu schützen, die eine komplett neue Bedeutung für das Wort „Einwilligung“ entwickelt zu haben scheinen. Aber bis diese ziemlich häufigen Praktiken aufgegeben werden, gibt es Schritte, die Sie unternehmen können, um sich und Ihre Gemeinschaft besser zu schützen.
Für weitere detaillierte Tipps zum Thema Datenschutz können Sie unsere Bewertungen der einzelnen Mental-Health- und Reproductive-Health-Apps lesen.
Unterstützen Sie unsere Arbeit
Wir können diese wissenschaftliche Untersuchung (zu einem großen Teil) dank Spenden von datenschutzfreundlichen Menschen wie Ihnen durchführen und veröffentlichen. Viele unserer Unterstützer spenden 35 bis 50 Euro. Können Sie uns heute helfen, die gruseligen Datenschutzpraktiken von Unternehmen ans Licht zu bringen?
Möchten Sie noch mehr tun? Werden Sie noch heute monatlicher Spender, um uns nachhaltig zu finanzieren, damit wir das ganze Jahr über für bessere Technologie kämpfen können!
Misha Rykov
Misha Rykov, ursprünglich aus Kiew und aktuell in Berlin ansässig, arbeitete für Big Tech und Sicherheits-Consulting, bevor er sich Mozillas Initiative für mehr Datenschutz anschloss. Misha begeistert sich für investigatives Storytelling und verabscheut unübersichtliche Datenschutzrichtlinien.
Zoë MacDonald
Zoë MacDonald ist eine Writerin und Digitalstrategin und lebt in Toronto, Kanada. Bevor ihre Leidenschaft für digitale Rechte sie zu Mozilla und *Datenschutz nicht inbegriffen führte, schrieb sie über Cybersicherheit und E-Commerce. Wenn Sie nicht gerade bei der Arbeit über Datenschutz abnerdet, beäugt sie zu Hause Smart-Geräte misstrauisch.
Jen Caltrider
Als ich eher unorganisiert an meinem Master in Künstlicher Intelligenz arbeitete, wurde mir schnell klar, dass ich viel besser Geschichten erzählen kann, als Code zu schreiben. Diese Entdeckung bescherte mit eine Karriere als Journalistin, in der ich für CNN über die Tech-Branche berichtete. Ich wollte schon immer bewirken, dass die Welt nach mir ein etwas besserer Ort ist, als die, in der ich aufgewachsen bin. Deshalb habe ich Mozillas *Datenschutz nicht inbegriffen-Initiative ins Leben gerufen und geleitet – für besseren Datenschutz für alle.