Gericht urteilt: Meta griff in der Flo-App ohne Einwilligung auf Gesundheitsdaten von Frauen zu

 (malwarebytes.com)
1 Punkte von GN⁺ 2025-08-15 | 1 Kommentare | Auf WhatsApp teilen
  • Ein Gericht hat entschieden, dass Meta in der Menstruations- und Gesundheits-Tracking-App Flo Health ohne Einwilligung der Nutzerinnen sensible Daten gesammelt hat
  • Flo Health erfasste äußerst persönliche Daten wie Menstruationszyklen, Stimmung und Informationen zum Sexualleben der Nutzerinnen und teilte sie von 2016 bis 2019 mit mehreren Dritten, darunter Facebook und Google
  • Flo Health versprach den Nutzerinnen Datenschutz und keine Weitergabe von Daten, tatsächlich konnten Dritte diese Daten jedoch frei für andere Zwecke verwenden
  • Daraufhin ordnete die US-Handelsaufsicht FTC gegen Flo Health eine Untersuchung und Verbesserungen der Richtlinien an; Flo Health und Google haben sich bereits geeinigt, Meta hingegen lehnte einen Vergleich bis zuletzt ab
  • Im Zusammenhang mit der aktuellen Debatte um Abtreibungsrechte in den USA rücken die Privatsphäre-Risiken bei Gesundheitsdaten von Frauen noch stärker in den Fokus

Überblick über den Fall der unbefugten Datensammlung von Meta über die Flo-Health-App

  • Eine US-Jury hat festgestellt, dass Meta über die Frauen-Gesundheits-App Flo Health sensible Informationen zur reproduktiven Gesundheit ohne Einwilligung der Nutzerinnen gesammelt hat
  • Flo Health wurde 2015 in Belarus gegründet und ist eine App, die zur Erfassung von Menstruation, Gesundheitszustand und anderen sehr detaillierten und persönlichen Daten entwickelt wurde; weltweit nutzen sie mehr als 150 Millionen Menschen

Wie Flo Health Daten sammelte und weitergab

  • Nutzerinnen von Flo Health beantworten regelmäßig äußerst intime Fragen zu Menstruationsterminen, Stimmungsschwankungen, Verhütungsmethoden, Zufriedenheit mit dem Sexualleben und Familienplanung
  • Die App versprach ausdrücklich, von Nutzerinnen eingegebene Daten nicht nach außen weiterzugeben und nur in für die Bereitstellung des Dienstes erforderlichen Fällen einige Daten an relevante Unternehmen zu übermitteln
  • Tatsächlich stellte Flo Health diese personenbezogenen Daten zwischen 2016 und 2019 Facebook (heute Meta), Google, AppsFlyer, Flurry und anderen in großem Umfang zur Verfügung
    • Bei jedem Start der App wurde ein Zugriffsprotokoll erstellt, und sämtliche Nutzungsaktivitäten innerhalb der App wurden aufgezeichnet und nach außen übermittelt
    • Dritte konnten diese Informationen auch für andere Zwecke als die Bereitstellung des Dienstes verwenden

Richtlinien und Vertrauensproblem bei Flo Health

  • Flo Health versprach den Nutzerinnen Vertrauen und Schutz der Privatsphäre, in der Praxis gab es jedoch keinerlei Beschränkungen oder Richtlinien für die Datennutzung durch Dritte
  • Laut den Nutzungsbedingungen der App durften externe Partner einen Teil der Daten von Flo-Health-Nutzerinnen frei verwenden
  • Noch 2020 erklärte Flo Health gegenüber seinen 150 Millionen Nutzerinnen und Nutzern, der „Schutz personenbezogener Daten habe höchste Priorität“, und schuf so Vertrauen

Rechtliche Verantwortung und Maßnahmen der FTC

  • Die tatsächliche Nutzerin Erica Frasco reichte 2021 gegen Flo Health und verbundene Unternehmen, insbesondere Meta, eine Sammelklage ein
    • Zentrale Streitpunkte sind Verletzung der Privatsphäre, Vertragsbruch, ungerechtfertigte Bereicherung und Verstöße gegen Gesetze zu medizinischen Informationen
    • Gefordert werden Schadensersatz und die Abschöpfung unrechtmäßig erzielter Gewinne
  • Flo Health und Google haben sich bereits mit der Klägerseite geeinigt, Meta focht den Fall jedoch bis zuletzt vor Gericht aus
  • Die Jury stellte fest, dass Meta Gespräche über ein elektronisches Gerät abhörte oder aufzeichnete und ohne Einwilligung der Nutzerinnen handelte

Gesellschaftlicher Hintergrund und Bedeutung des Falls

  • Die US-Handelsaufsicht FTC erließ gegen Flo Health Anordnungen wie eine externe Prüfung der Richtlinien und ein Verbot des Missbrauchs personenbezogener Daten
  • Seit der US Supreme Court 2022 das Recht auf Abtreibung aufgehoben hat, ist die Privatsphäre von Gesundheitsdaten von Frauen zu einem noch wichtigeren Thema geworden
  • Meta geriet zusätzlich in die Kritik, nachdem das Unternehmen 2022 im Rahmen polizeilicher Ermittlungen Daten zu Nachrichten über eine Abtreibung zwischen einer Frau und ihren beiden Töchtern bereitgestellt hatte
  • Laut einem Bericht von Propublica teilen auch Online-Apotheken sensible Informationen mit Google und anderen, wodurch das Risiko besteht, dass diese als rechtliche Beweismittel genutzt werden

Fazit und Sicherheitswarnung

  • Viele Nutzerinnen vertrauten Flo Health, doch nachdem die tatsächliche Datenverarbeitung bekannt wurde, ging dieses Vertrauen weiter verloren
  • Der Fall mahnt nicht nur zu Vorsicht bei der Nutzung solcher Apps, sondern lenkt die Aufmerksamkeit auf Fragen der Privatsphäre persönlicher Gesundheitsdaten insgesamt und der Vertrauenswürdigkeit von Technologie
  • Technologie bietet zwar Komfort, kann bei Missbrauch von Daten jedoch konkrete Risiken für Nutzerinnen und Nutzer verursachen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-08-15
Hacker-News-Kommentare

  • Ich mag Facebook als Unternehmen nicht besonders, aber ich halte dieses Urteil für falsch. Wenn man den Inhalt der Klageschrift liest, bedeutete der Teil mit „mithilfe elektronischer Geräte abgehört oder aufgezeichnet“ in Wirklichkeit, dass „Flo benutzerdefinierte Events über das Facebook SDK gesendet hat“. Dass Flo solche Informationen an Facebook geschickt hat, ist zu kritisieren, aber zu urteilen, Facebook habe „vorsätzlich abgehört“, ergibt überhaupt keinen Sinn. So wie ich das sehe, hat Flo Menstruationsdaten aus eigenem Antrieb und ohne Aufforderung an Facebook gesendet, und Facebook hatte sogar eine Richtlinie, die die Übermittlung sensibler Informationen über das SDK untersagte. Facebook zu verklagen, ist nach dieser Logik so, als würde man Google verklagen, weil ein Arzt Patientendaten in Google Drive gespeichert hat

    • Zugehörige Klageunterlagen

    • Facebook-SDK-Richtlinie Seite 6, erste Zeile

    • Ausgehend von [1] ist es nur natürlich, dass anfangs keine Behauptungen gegen Facebook enthalten waren, weil Flo zunächst der einzige Beklagte war. In der geänderten Klageschrift (3) wurden jedoch neue Vorwürfe gegen Facebook aufgenommen. Laut der geänderten Klageschrift setzte Facebook dieses Verhalten bis 2021 fort, obwohl der Sachverhalt 2019 öffentlich wurde, und selbst nachdem Flo durch die FTC zum Aufhören gezwungen wurde und auch noch eine Untersuchung des Kongresses begonnen hatte, habe Facebook die bereits unrechtmäßig erhobenen Daten weder überprüft noch vernichtet. Außerdem ist zu erwarten, dass im Zuge der Beweisaufnahme konkretere Belege dazu aufgetaucht sind, welche Daten Facebook kannte und in welchem Ausmaß

    • Das ist nur ein Teil der Geschichte. Wäre es dabei geblieben, dass Facebook die von Flo gesendeten Daten nur speicherte oder ausschließlich für Flo nutzte, sähe die Lage anders aus. Das Problem ist, dass Facebook diese Gesundheitsdaten für Werbezwecke genutzt und nicht einmal selbst geprüft hat, ob es sie rechtmäßig verwenden durfte. Es hatte die Pflicht, das zu prüfen, und weil Facebook dieses Verfahren nicht durchlaufen hat, kam es zu dem Schuldspruch

    • Dass Flo solche Daten an Facebook geschickt hat, war eindeutig falsch. Deshalb hat Flo sich in dem Verfahren auch verglichen. Facebook hat diese Informationen nach Erhalt jedoch nicht einfach nur abgelegt oder ignoriert, sondern sie mit anderen eigenen Signalen kombiniert und genutzt. Genau dieser Punkt war ein zentraler Bestandteil der Klage gegen Facebook

    • Ich denke, es gibt eine Verantwortung, zu prüfen, ob Daten rechtmäßig sind. So wie man keine gestohlenen Waren kaufen soll, muss auch Meta darauf achten, keine Partnerschaften mit Kriminellen einzugehen. Flo trägt die größte Schuld, aber auch Meta muss zeigen, dass es ausreichend Sorgfalt walten ließ. Sich einfach auf die Nutzungsbedingungen zu berufen, reicht nicht aus; wichtig ist, dass die Nutzer den Inhalt auch tatsächlich verstehen

    • In solchen Fällen ist eine Entscheidung durch einen Richter viel besser als ein Geschworenenverfahren. Technische Details wie SDKs, Datenaustausch oder APIs sind für normale Geschworene schwer richtig zu verstehen. In technisch anspruchsvollen Verfahren kommt es dagegen oft vor, dass Richter sich aktiv in Engineering-Wissen einarbeiten und tiefgehende Diskussionen führen

  • Jedes Mal, wenn man Facebook vor Gericht gegenübersteht, denke ich an das Bild einer winzigen Maus, die sich mit einem Eisbären anlegt. Oder an Goblin gegen Drachen, Fliege gegen Elefanten. Diese Großunternehmen sind fast eher Monster, die sich der Kontrolle des Rechts entziehen. Wirklichen Stress haben sie praktisch nur dann, wenn sie Marktanteile zu verlieren drohen oder in einer bestimmten Region blockiert werden könnten

    • Das kann missverstanden werden, aber in Wahrheit stehen diese Konzerne nicht außerhalb des Rechts, sondern innerhalb davon. Denn mit ihrem Geld und ihrem Einfluss können sie die Grenzen des Rechts selbst nach ihrem Geschmack verschieben. So laut auch gefordert wird, wie das Recht angewandt werden sollte: Solange sie die Kosten tragen können, fällt es noch in den Bereich des „Legalen“.

    • Was mich am meisten deprimiert, ist, dass fast alle Menschen, die ich kenne, sich über solche Datenschutzprobleme Sorgen machen und trotzdem weiter ihre Meta-Konten behalten. Wenn sie es für sich selbst in Ordnung finden, ist das natürlich ihre Sache. Dass Menschen inkonsequent sind, ist nichts Ungewöhnliches. Aber diese seltsame Haltung, bei den eigenen Überzeugungen streng zu sein und gegenüber anderen zugleich erstaunlich unflexibel zu urteilen, ist wirklich merkwürdig. Ich mag Menschen, aber manchmal sind sie schwer zu verstehen

    • Letztlich würde schon eine dreistellige Geldstrafe pro Geschädigtem enormen Druck auf Facebook ausüben

    • Alle geben nur Facebook die Schuld, aber Gesetzgeber oder Gerichte scheinen kaum kritisiert zu werden. Wenn es wegen solcher Dinge tatsächlich Strafen in Milliardenhöhe gäbe und der Staat Facebook so weit in Bargeld umwandeln müsste, dass Server, Stühle und Projektoren in den Büros versteigert würden, dann würden andere Unternehmen ihr rechtswidriges Verhalten sehr schnell einstellen und sich anders verhalten

  • Es scheint, als hätten nicht viele den Artikel richtig gelesen. Tatsächlich hat die Flo-App den eigentlichen Fehler begangen. Die App-Entwickler haben Nutzerdaten ohne Einschränkung an Meta gesendet. Unabhängig davon, was im Urteil steht, liegt der wahre Fehler bei Flo

    • Flo hat Unrecht begangen, indem sensible Informationen in eine Online-Datenbank hochgeladen wurden. Meta hat ebenfalls Unrecht begangen, indem es die Infrastruktur für diese Datenbanken mit personenbezogenen Daten bereitgestellt hat. Beides war moralisch verwerflich

    • Wenn Meta die Informationen ohne Einschränkung entgegengenommen hat, hatte Meta natürlich auch Zugriff darauf. Wenn keine Berechtigung zur Datennutzung bestand, wäre es normal, von Meta zu verlangen, zuerst eine ausdrückliche Erlaubnis einzuholen. Problematisch ist gerade die Realität, dass Meta ohne vorherige Einwilligung zugreift

  • Als ich vor fünf Jahren das iOS-App-Ökosystem untersucht habe, habe ich mir angesehen, wie kostenlose Apps potenziell Geld verdienen. Ein Entwickler brachte eine kostenlose App zur Erfassung von Gesundheitsdaten von Kindern heraus und hatte ganz klar die Vorstellung, dass genau diese Daten den eigentlichen Wert der App ausmachen. Er war überzeugt, dass die künftige Profitabilität der App letztlich im Verkauf der Daten liegt. Seitdem bin ich zu der Überzeugung gekommen, dass ich nie wieder Apps nutzen werde, die meine persönlichen Daten, insbesondere Gesundheitsdaten, speichern, und dass man möglichst alle App-Berechtigungen deaktivieren sollte

    • Ich verstehe wirklich nicht, warum Menschen ihre persönlichen oder Gesundheitsdaten an solche psychopathischen Unternehmen weitergeben. Schon die Vorstellung, warum man Apps oder Wearables zum Erfassen von Gesundheitsdaten überhaupt nutzen sollte, ist beunruhigend. Wenn man das frühere Verhalten dieser Unternehmen betrachtet, muss man davon ausgehen, dass sie jedes Detail aufzeichnen, auf ewig speichern und weiterverkaufen werden

  • Die Schlussfolgerung ist, am besten gar keine Apps zu benutzen. In 95 % der Fälle ist der Nutzen den dafür geforderten Eingriff in die Privatsphäre nicht wert

    • Mozilla hat Vergleichsmaterial zu Menstruations-Tracking-Apps veröffentlicht. Einige davon bemühen sich, die Privatsphäre der Nutzer zu schützen

    • Wenn Software wirklich eine Internetverbindung braucht, dann sollte der Entwickler zuerst begründen müssen, warum das nötig und gerechtfertigt ist

    • Ich kenne mich damit nicht gut aus, aber ich frage mich, ob sich das Problem nicht schon lösen ließe, wenn man einfach nur Berechtigungen wie den Standortzugriff deaktiviert

    • Leider ist das die Realität

    • Das stimmt. Nutzer springen immer wieder auf dasselbe Marketing mit „Neue kostenlose Funktionen!“ an. Dadurch funktioniert dieses invasive Geschäftsmodell immer wieder aufs Neue

  • Eine empfehlenswerte App für Frauen ist Drip.

    • Offizielle Drip-Website

    • Sie wirkt am sichersten

    • Eigentlich denke ich, dass man so etwas am besten selbst hostet und selbst verwaltet. Das sind Daten, die ich niemandem anvertrauen möchte. Zur Einordnung: Ich habe keinen Sex mit Männern, aber trotzdem beschäftigt mich das

  • Meine Frau benutzt Flo. Jedes Mal, wenn sie die App öffnet und Informationen eingibt, denke ich aus technischer Sicht, dass das ziemlich riskant ist. Gerade weil solche Apps wirklich sensible Informationen verarbeiten, wird mir noch stärker bewusst, wie wichtig es ist, auch technisch nicht versierten Menschen Informationssicherheit näherzubringen

  • Deshalb halte ich mich an die Regel, auf meinem Handy fast keine Apps zu installieren oder nur das absolute Minimum zu nutzen. Natürlich können auch Websites oder Web-Apps auf ähnliche Weise Informationen weitergeben, aber es gibt mir grundsätzlich ein gewisses Gefühl der Sicherheit, wenn ich den Systemzugriff reduziere. Wenn ich mir persönlich anschaue, was LinkedIn sich im Lauf der Zeit alles geleistet hat, wundert es mich, dass die App überhaupt noch im App Store verfügbar ist

  • Es ist schwer, Datenschutzmeldungen zu finden, in die Meta nicht verwickelt ist

    • Ich denke, Google, Microsoft und Amazon freuen sich über diese Lage ebenso

  • Am Ende wird sich erst etwas ändern, wenn Führungskräfte auf VP-Ebene im Gefängnis landen. Realistisch gesehen ist das natürlich fast ausgeschlossen