Clue Perioden Kalender

Die Macher der Clue Perioden Kalender-App möchten Sie wirklich wissen lassen, dass sie Datenschutz und Sicherheit ernst nehmen. Sie haben viele Blogposts darüber geschrieben, wie sie dies tun. Da gibt es zum Beispiel diesen von den Co-CEOs von Clue über den Datenschutz von Patienten, diesen über die Reaktion von Clue auf die Aufhebung des Urteils Roe vs. Wade in den USA, diesen über die Reise eines deiner Datenpunkte, diesen darüber, wie Clue angibt, Geld zu verdienen, und diesen über die wissenschaftliche Forschung bei Clue. Und natürlich gibt es auch eine Datenschutzerklärung, die zugegebenermaßen eine der am einfachsten zu lesenden Datenschutzerklärungen ist, die wir bei unserer Recherche gesehen haben.

Es ist immer schön zu sehen, wenn ein Unternehmen, das eine App herstellt, die so sensible Gesundheitsdaten sammelt, uns mitteilt, dass es den Datenschutz und die Sicherheit ernst nimmt, und zwar auf eine Art und Weise, die für alle seine Nutzer zugänglich ist. Wir wissen das zu schätzen. Dennoch haben wir einige Bedenken bezüglich des Datenschutzes und der Sicherheit von Clue. Aus unserer Sicht ist Clue sehr nahe daran, den Datenschutz gut zu handhaben. Leider scheint es so, als ob sie an einigen Stellen das Ziel verfehlen, was uns ein wenig besorgt macht.

Als erstes das Gute. Clue erklärt, dass sie Ihre Daten niemals verkaufen. Juhu! Und da Clue seinen Sitz in Deutschland hat und den strengeren europäischen Datenschutzgesetzen (DSGVO) unterliegt und die meisten Nutzerdaten dort gespeichert werden, bietet es den Nutzern einen besseren und stärkeren Datenschutz, wenn es darum geht, wie ihre Daten verwendet werden können und welche Rechte sie haben, um auf sie zuzugreifen und sie zu löschen. Wie in den zahlreichen Blogbeiträgen von Clue zu sehen ist, ist das Unternehmen sich darüber im Klaren, dass die Menschen in den USA nach dem Ende des Urteils Roe vs. Wade über den Schutz ihrer Daten zur reproduktiven Gesundheit besorgt sind.

Aber es gibt auch Bedenken. Erstens sammelt Clue eine ganze Reihe von Informationen. Dinge wie Name, Alter, E-Mail-Adresse (wenn Sie ein Konto erstellen), Geräte- und App-Nutzungsdaten wie Geräte-ID, IP-Adresse, Standort (allerdings nicht der genaue Standort) und sensible Gesundheitsdaten, die Sie in der App verfolgen möchten, wie z. B. Gewicht, Körpertemperatur, Dauer der Periode, sexuelle Aktivität, Verhütungsmethoden, Verlangen, Stimmung, Energieniveau und mehr. Clue sagt, dass sie deine persönlichen Profildaten getrennt von deinen Zyklusdaten speichern, was gut ist. Trotzdem ist das eine ganze Menge an Informationen, die die App über dich sammeln und speichern kann. Clue sagt, dass sie die Daten sicher speichern, aber wir müssen die Leute immer daran erinnern, dass nichts, was im Internet gespeichert wird, jemals zu 100 % sicher ist.

Es ist sehr zu begrüßen, dass Clue angibt, deine Daten nicht zu verkaufen. Allerdings werden einige Daten zu Werbe-, Marketing- und Forschungszwecken an Dritte weitergegeben. Clue sagt: „Wir teilen eine minimale Menge an Daten über unsere Nutzer mit Werbenetzwerken (aber wir teilen niemals die Menstruations- oder andere Gesundheitsdaten, die du in der App verfolgst)... Wenn du nicht damit einverstanden bist, dass Daten für die Werbeoptimierung geteilt werden, kannst du zu den Einstellungen gehen und deine Präferenzen ändern.“ Sie müssen sich also dagegen entscheiden, dass Ihre Daten für Werbezwecke freigegeben werden. Schade, dass es kein Opt-in ist, das wäre uns lieber. Und Clue stellt ganz klar fest, dass sie „keine der von Ihnen verfolgten Daten an Werbetreibende oder andere Dritte zu deren Verwendung weitergeben“. Das ist erfreulich.

Was die Weitergabe von Daten zu Forschungszwecken angeht, sagt Clue: „Wir geben Daten an sorgfältig überprüfte Forscher weiter, um Studien zur Frauengesundheit voranzutreiben. Zu diesem Zweck de-identifizieren wir Ihre persönlichen Daten, indem wir persönliche Identifikatoren entfernen oder hashen, so dass weder die Forscher noch Dritte sie mit Ihnen in Verbindung bringen können.“ Das ist im Allgemeinen in Ordnung. Wir möchten die Leute jedoch daran erinnern, dass es sich als ziemlich einfach erwiesen hat, solche Daten zu reidentifizieren, insbesondere wenn Standortdaten enthalten sind.

Was uns auffiel, was nicht in Ordnung ist, ist diese Aussage in der Datenschutzerklärung von Clue: „Durch die Nutzung der App erklären Sie sich damit einverstanden, dass Clue Cookies und Dienste von Drittanbietern verwendet und Ihre Nutzungsdaten unter einer eindeutigen Kennung sowie Ihr Geburtsdatum zu Zwecken der Nachverfolgung, Analyse und Verbesserung unserer Website und App sowie zu Werbezwecken, z. B. um Ihnen relevante Clue-Inhalte anzuzeigen, erfasst.“ Clue sagt, dass sie einen eindeutigen Identifikator und Ihr Geburtsdatum verwenden, um Sie für Dinge wie Werbung und Personalisierung zu verfolgen. Das sind Daten, die leicht dazu verwendet werden können, Sie zu identifizieren, was uns Sorgen macht. Und wir sind nicht allein. Im Jahr 2020 äußerte die Datenschutzorganisation Privacy International ebenfalls Bedenken über die Verwendung des Geburtsdatums als Tracker und die mögliche Weitergabe dieser Daten an Dritte.

Kürzlich berichtete Motherboard, dass sie in der Lage waren, Daten vom Datenbroker Narrative zu kaufen, die zur Identifizierung von Nutzern der Clue-App verwendet werden könnten. In dem Artikel heißt es: „Die Daten enthalten keine Informationen, die von der Clue-App selbst stammen, sondern eine Liste von Geräten, auf denen die App installiert ist, die wiederum zur Identifizierung von Nutzern verwendet werden könnte.“ Dieser Bericht hat so viel Besorgnis erregt, dass der US-Kongress eine Untersuchung über Datenmakler und Apps zur Überwachung des Zeitraums, einschließlich Clue, eingeleitet hat, um besser zu verstehen, welche Daten zum Kauf zur Verfügung stehen und wie die Privatsphäre der Verbraucher an dieser Front besser geschützt werden kann. Wir sind uns nicht sicher, ob Clue hier etwas falsch gemacht hat. Die Datenwirtschaft und das Daten-Tracking sind eine unübersichtliche und komplizierte Welt. Dennoch halten wir es für wichtig, dass potenzielle Nutzer von Clue darüber informiert werden. Wir haben uns mit einigen Fragen zum Kauf dieser Daten an Narrative gewandt, und sie haben uns mitgeteilt, dass „vor Mai 2022 einige Datenanbieter Datenprodukte über App-Installationen zur Verfolgung der Periode auf dem Narrative Data Streams Marketplace zum Kauf angeboten haben“, und dass „in Erwartung der erhöhten Aufmerksamkeit für die Gesundheit von Frauen und die Privatsphäre im Lichte der Entscheidung des Obersten Gerichtshofs, Roe v. Wade zu kippen, wir unsere Richtlinie aktualisiert haben, um alle App-Installationsdaten zu Schwangerschaft/Menstruation/anderer reproduktiver Gesundheit vom Marketplace zu entfernen, um einen möglichen Missbrauch der Daten zu verhindern.“ Wir hoffen also das Beste, was den Kauf dieser Art von Daten von Datenmaklern betrifft (aber wir empfehlen trotzdem, für das Schlimmste vorzusorgen).

Wie sieht es bei Clue aus, wenn es um die Weitergabe von Daten an Strafverfolgungsbehörden geht? Nun, hier sehen sie verdammt gut aus, soweit wir das beurteilen können. Das Unternehmen hat seinen Sitz in Deutschland. Sie unterliegen den strengeren DSGVO-Datenschutzgesetzen und legen großen Wert darauf, klar darzulegen, wie sie die von ihnen gespeicherten Daten vor möglichen Vorladungen oder Anfragen der US-Regierung schützen. Wir wissen das sehr zu schätzen. In einer E-Mail teilten sie uns mit: „Die Offenlegung sensibler Daten zur reproduktiven Gesundheit, um sie gegen die betroffene Person zu verwenden, würde den europäischen Datenschutzgrundsätzen zuwiderlaufen, die die Menschen vor staatlicher Überwachung schützen sollen. In dem theoretischen Szenario, dass ein deutsches Gericht versuchen würde, ein ausländisches Ersuchen durchzusetzen, würden wir uns einem solchen Versuch mit allen Mitteln widersetzen, die zum Schutz der Privatsphäre unserer Nutzer erforderlich sind.“ Das ist alles ausgezeichnet. Wir sollten jedoch erwähnen, dass die Datenschutzrichtlinie einen kleinen Vorbehalt enthält, wenn es heißt: „Was speziell die Vereinigten Staaten betrifft, so ist es unwahrscheinlich, dass die von uns und unseren Auftragsverarbeitern gespeicherten Informationen Gegenstand einer Anfrage einer Behörde in den USA sind, die sich auf solche Gesetze berufen würde, die einen Auftragsverarbeiter zur Herausgabe personenbezogener Daten zwingen könnten. Das Risiko einer solchen Offenlegung kann jedoch nicht ausgeschlossen werden.“

Das größte Problem, das wir bei Clue gefunden haben, ist wahrscheinlich die Sicherheit. Leider erfüllt Clue nicht unsere Mindestsicherheitsstandards, da sie kein starkes Passwort verlangen. Wir konnten uns bei der App mit dem sehr schwachen Passwort „1“ anmelden. Das ist schlecht. Als wir bei Clue nachfragten, teilte man uns dies mit: „Clue erfordert eine Authentifizierung, die ... mit einer E-Mail/Passwort-Kombination durchgeführt werden kann. Die Förderung einer noch stärkeren Passwortkomplexität wird in der nächsten Hauptversion, die für diesen Sommer geplant ist, angegangen werden.“ Zumindest wissen sie also, dass sie es besser machen müssen und scheinen Pläne zu haben, ihre Passwortanforderungen zu verbessern. Wir werden diesen Bericht aktualisieren, sobald wir bestätigt können, dass eine strengere Passwortanforderung eingeführt wurde.

Was ist das Schlimmste, was mit Clue passieren kann? Wie immer, hoffentlich nichts. Aber wie der Anbieter selbst in seinen Datenschutzrichtlinien erklärt: „Normalerweise ist die größte Bedrohung für die Sicherheit und den Schutz Ihrer Daten, dass jemand - wahrscheinlich jemand, den Sie kennen - ohne Ihre Zustimmung Zugriff auf eines Ihrer Geräte erhält.“ Wir hoffen sehr, dass niemand diese App verwendet oder kein sicheres Passwort festlegt, weil es nicht erforderlich ist, und dass ein wütender Ex-Partner auf das Telefon zugreift und erfährt, dass sie möglicherweise eine Fehlgeburt hatte. Wir hoffen natürlich, dass das nie passiert, aber das sind die Sorgen, mit denen wir uns jetzt auseinandersetzen müssen.