Sammelklage gegen Menstruations-App wegen Datenschacher
Die Menstruations- und Empfängnis-App Flo soll Facebook, Google und anderen intime Gesundheitsdaten verraten. Amerikanische Userinnen fordern nun Schadenersatz.
(Bild: Daniel AJ Sokolov)
Die bei Menstruierenden beliebte App Flo soll Datenkonzernen Gesundheitsdaten verraten haben – entgegen Flos eigener Werbeaussagen und Datenschutzbedingungen. Gegenüber der US-Handelsbehörde FTC ist Flo Anfang des Jahres mit einem gerichtlichen Vergleich ohne Strafe und ohne Schuldeingeständnis davongekommen. Doch nun verklagen sieben Betroffene Flo und die Datenempfänger Google, Facebook, AppsFlyer und Flurry in Kalifornien. Die Betreiberfirma Flo Health stellt die Vorwürfe in Abrede.
Flo berechnet Menstruations- und Eisprungtermine. Die App hatte versprochen, alle eingegebenen Daten zu schützen. Tatsächlich soll Flo aber sensible Daten an Facebook, Google, AppsFlyer, Fabric (heute Teil Googles) und Flurry weitergegeben haben – weil die App-Entwickler Software dieser Firmen eingebaut hatten (SDK). Die Verträge zwischen Flo und den Datenempfängern zeigen keine Einschränkungen hinsichtlich der weiteren Verwendung der intimen Daten.
Im Zuge der Registrierung stellt Flo neuen Usern mehr als 30 intime Fragen zu ihrem Sexualleben samt Selbstbefriedigung und Orgasmen, intimen Beziehungen, Verhütungsmethoden, Regelbeschwerden, Krankheiten und anderem mehr. Während der laufenden Benutzung sammelt Flo weitere Daten, darunter Angaben zu sexuellem Verlangen, Scheidenausfluss, Stimmungslage, sexueller Aktivität, Schwangerschaften und so weiter.
Custom App Events verrieten intime Details
Laut der Klage speichert Flo jede Interaktion mit der App. Grundlegende Funktionen wie das Öffnen und Schließen der App würden als sogenannte Standard App Events vermerkt, Eingaben zu den intimen Fragen als Custom App Events registriert. Laut Feststellungen der FTC und Vorwürfen in der neuen Klage wurden Custom App Events zumindest seit 2016 an Facebook, Fabric und Flurry verraten, für einige Monate ab 2018 auch an AppsFlyer und Google. Schluss war erst nach Medienberichten im Februar 2019.
Die Klägerinnen monieren, dass Flo den Custom App Events verräterische Namen gegeben hat. Beispielsweise soll unter dem Namen R_PREGNANCY_WEEK_CHOSEN das Datum der erfolgten Empfängnis vermerkt und verraten worden sein. Daraus könnten die Werbehändler unmittelbar schließen, dass eine Schwangerschaft eingetreten ist, was für Werbetreibende besonders wertvoll ist. Wird das Datum wieder gelöscht, ist das ein Hinweis auf vorzeitige Beendigung der Schwangerschaft. In jenem Teil der App, der eine Empfängnis unterstützen soll, können automatische Hinweise auf die bevorstehende Periode aktiviert werden: Dieses Custom App Event heißt P_ACCEPT_PUSHES_PERIOD.
Tatsächlich wären auch weniger eindeutige Bezeichnungen wie "Custom Event 1" und "Custom Event 2" kein echter Datenschutz. Es wäre Datenkonzernen ein Leichtes, die App auszuprobieren, um zu sehen, welche Eventbezeichnungen zu welchen Eingaben gehören. Laut Klage kommunizierte die App sogar dann mit Facebook und Flurry, wenn die App gar nicht aufgerufen wurde.
Darüber hinaus soll Flo unveränderbare Geräte-Identifikationsnummern, Werbe-IDs, Informationen zu Hard- und Software der Geräte, WLAN-Namen und MAC-Adressen und dergleichen mehr erhoben und weitergereicht haben. Die Klägerinnen stützen sich auch auf eine Untersuchung des Bundesstaates New York, wonach Flo bei jeder Statusänderung ("Normal", "Regel", "Eisprung", "Schwanger") Facebook benachrichtigt hat.
Die juristischen Vorwürfe
Weil Flo keine Einwilligung zu solchen Datenweitergaben eingeholt hat und sogar Geheimhaltung versprochen hat, erhebt die Klage zahlreiche Vorwürfe gegen Flo Health: Eindringen in die Privatsphäre, Vertragsbruch, ungerechtfertigte Bereicherung, Verstoß gegen das US-Datensicherheitsgesetz Stored Communications Act, sowie Verstöße gegen kalifornische Gesetze zum Schutz medizinischer Daten, für lautere Geschäftsführung und ein strafrechtliches Hackingverbot.
Facebook, Flurry, Google werden ungerechtfertigte Bereicherung, illegales Abhören, Verstoß sowie Beihilfe zum Verstoß gegen das kalifornische Gesetz für lautere Geschäftsführung, strafrechtlicher Verstoß gegen Kaliforniens Datenschutzgesetz und Hackingverbot. AppsFlyer ist nur von einem Teil dieser Vorwürfe erfasst.
Die Klägerinnen fordern Verfügungen gegen die Beklagten sowie Schadenersatz, Strafschadenersatz, Abschöpfung ungerechtfertigter Bereicherungen und Ersatz ihrer Verfahrenskosten. Sie haben einen Prozess vor Geschworenen sowie die Zulassung als Sammelklage beantragt. Das Verfahren heißt Erica Frasco et al v Flo Health, Google, Facebook, AppsFlyer et Flurry und wurde am 2. September am US-Bundesbezirksgericht für das nördliche Kalifornien unter dem Az. 3:21-cv-00757 eröffnet.
(ds)