Menstruations-Tracking-App Flo hat Nutzerdaten nachweislich an Meta verkauft

 (femtechdesigndesk.substack.com)
2 Punkte von GN⁺ 2026-04-29 | 2 Kommentare | Auf WhatsApp teilen
  • Flo, das Informationen zu Menstruations-Tracking und Schwangerschaft verarbeitet, warb mit Privatsphäre-Schutz, wurde jedoch dafür verantwortlich gemacht, Daten zu Menstruationszyklen, Eisprung und Schwangerschaft kommerziell mit Dritten wie Meta zu teilen
  • Der Abfluss sensibler Informationen geschah nicht durch einen externen Einbruch, sondern durch interne Produktgestaltung und Datenschutzentscheidungen, und die Übermittlung an Meta stand im Widerspruch zu den öffentlich gemachten Datenschutzversprechen
  • Die Struktur von Startbildschirm und Aufzeichnungen wurde so verändert, dass die Eingabe von Symptomen und die Anzeige von Ratschlägen stark zunahmen, was eher Werbung und Monetarisierung begünstigte als simples Zyklus-Tracking
  • In der Wellness-App-Struktur außerhalb von HIPAA wurden Einwilligung und Schutzstandards leicht unklar, und App-Anbieter hatten großen Spielraum, Umfang von Datenteilung und -verkauf weit zu fassen
  • In einem Markt für reproduktive Gesundheits-Apps mit Millionen Nutzerinnen wurde die Wahl von Tools, die weniger Daten sammeln, wichtiger, und Datenerhebung, die ohne Einwilligung den Verkauf für Werbung priorisierte, kann sogar das Vertrauen in daraus abgeleitete Informationen erschüttern

Datenteilung und rechtliche Bewertung

  • Flo erklärte, die Privatsphäre der Nutzerinnen zu schützen, wurde jedoch im Zusammenhang mit dem Verkauf sensibler Gesundheitsdaten an Meta verantwortlich gemacht
  • Im Geschworenenurteil zu Frasco v. Flo wurde festgehalten, dass die Flo-App Informationen zu Menstruationszyklen, Eisprung und Schwangerschaft kommerziell an Dritte wie Meta, Google und Flurry weitergab
  • Meta wurde eine Verantwortung dafür zugeschrieben, sensible reproduktive Gesundheitsdaten gesammelt und zum eigenen Vorteil genutzt zu haben
  • In der Klage waren 13 Millionen Flo-Nutzerinnen als Klägerinnen erfasst, und in den USA sowie Kanada laufen seit 2021 entsprechende Verfahren

Kein Hack, sondern Produktdesign

  • Drittplattformen sind nicht in die App eingedrungen; vielmehr wurden sensible Informationen durch interne Datenschutzentscheidungen bei Flo direkt weitergegeben
  • In die App waren heimliche „eavesdropping“ tools eingebaut, und Informationen wie Menstruationszyklus, Eisprung und der Versuch, schwanger zu werden, wurden an Meta übermittelt
  • Diese Übertragungen standen im Widerspruch zu Aussagen in der Datenschutzerklärung, dass dies nicht geschehe
  • Eine zur Monetarisierung dienende track-and-sell-Datenteilung kam der tatsächlichen Funktionsweise näher

Produkt-UX und Monetarisierungsrichtung

  • Pinkwashedes Femtech-Design kann unethische Produktentscheidungen verschleiern
  • Der Flo-Startbildschirm wurde durch Updates komplexer und überladener, und Symptomprotokollierung und die Anzeige von Ratschlägen nahmen so stark zu, dass sie das eigentliche Zyklus-Tracking beinahe überdeckten
  • Symptomkategorien wurden prominent platziert, und die Gestaltung fiel dadurch auf, dass sie mehr Eingaben zu negativen körperlichen Zuständen förderte
  • Im Kontext des Flo-Meta-Verfahrens ließ sich diese Gestaltung leicht mit Werbung für Produkte zur Symptomlinderung verknüpfen und bot mehr Spielraum zur Monetarisierung als ein einfacher Menstruationskalender
  • Im Zusammenspiel mit Plattformen, gegen die jüngst ein Urteil zu persönlichen Schäden ergangen ist, wirkt ein solches werbezentriertes Design noch unangenehmer

Grauzone außerhalb von HIPAA

  • Wegen der Lücke zwischen HIPAA und Wellness-Apps werden Einwilligung und Datenschutz bei nichtklinischer Gesundheits-Tracking-Software äußerst unklar
  • Flo änderte zwischen 2016 und 2019, dem Zeitraum der rechtlichen Streitfragen, seine Datenschutzerklärung 13-mal, konnte die Einwilligung der Nutzerinnen jedoch nicht tatsächlich klarer machen
  • Viele heutige Angebote im Bereich reproductive health tech sind nicht direkt an klinische Dienste oder die Kommunikation mit medizinischem Fachpersonal angebunden und fallen dadurch leicht außerhalb geltender Gesetze zum Schutz von Gesundheitsinformationen
  • Dadurch können App-Anbieter Richtlinien für Datenteilung, -verkauf und Meldungen an Behörden weitgehend selbst festlegen, und auch die Einwilligungsmechanik im Produkt hängt stark von internen Entscheidungen ab
  • In einer solchen Struktur können trotz hochsensibler Daten weiterhin schwache Einwilligungsmuster auf den Markt kommen

Verantwortliche und organisatorische Probleme

  • Der Fall ähnelte eher einer Struktur, in der interne Rollen aus Rechtsabteilung, Design, Engineering und Vertrieb zusammenwirkten und Nutzerinnen zugunsten des Profits opferten, als einem externen Angriff
  • Es ist schwer, die genaue Personalstärke und die unmittelbar Verantwortlichen bei Flo zwischen 2016 und 2019 festzulegen, doch der damalige Betrieb wird als vergleichsweise kleine Organisation beschrieben
  • Diese kleine Zahl an Mitarbeitenden entschied über Erhebung, Speicherung und Weitergabe sensibler Gesundheitsdaten von Millionen Nutzerinnen weltweit sowie über die Kommunikation der entsprechenden Richtlinien

Verbraucherwahl und Grenzen der Erhebung von Gesundheitsdaten

  • Gesetzliche Regulierung hält mit Technologie nur langsam Schritt, und gerade bei der Ausweitung der Erfassung von Frauengesundheitsdaten wird diese Lücke noch deutlicher
  • Das Ziel, die Datenlücke bei Frauengesundheit zu verringern, ist berechtigt, doch wie viel Vertrauen privaten Unternehmen außerhalb klinischer Kontrolle entgegengebracht werden kann, bleibt fraglich
  • Wenn dazu noch KI-gestützte Gesundheitstipps auf Basis generativer Modelle kommen, können in App-Strukturen, die Schutzpflichten gegenüber Nutzerinnen umgehen, auch Datenqualität und Verlässlichkeit der generierten Ergebnisse ins Wanken geraten
  • Wenn Daten durch eine Erhebungsmethode gesammelt wurden, die ohne ausdrückliche Einwilligung den Verkauf an Drittwerbung priorisierte, sind auch daraus abgeleitete Ergebnisse schwer vertrauenswürdig
  • Mehr als ein Drittel der Frauen in den USA nutzt Menstruations-Tracking-Apps, und auch in der EU wurde eine ähnliche Nutzungsrate reported; inzwischen gibt es Hunderte Zyklus-Tracking-Apps sowie Tracker in anderen Gesundheits-Apps und Wearables als breite Auswahl

Hin zu Tools, die weniger sammeln

  • Anders als Flo, das früher eine seltene Option auf dem Markt war, gibt es heute deutlich mehr Möglichkeiten, Apps mit weniger Funktionen und minimaler Datensammlung zu wählen
  • WildAI fragt keine Details wie Masturbationshäufigkeit ab und schafft damit auch keinen Raum dafür, dass solche Informationen an große Technologieunternehmen gelangen
  • Detaillierte sexuelle Selbstprotokolle zu führen, sollte besonders im post-Dobbs-Umfeld und unter lockeren Standards digitaler Privatsphäre erneut darauf geprüft werden, ob der gesundheitliche Nutzen das Risiko wirklich aufwiegt
  • Zusammen mit Datenschutzbedenken selbst bei Geräten für Erwachsene wirken einfachere Werkzeuge ohne Konnektivität mitunter wie die bessere Wahl

Verwandte Beiträge

2 Kommentare

 
unsure4000 2026-04-30

In letzter Zeit wirkte Meta irgendwie etwas weniger widerlich, aber das lädt meinen Zorn auf Meta gleich wieder auf.
Etwas anderes Thema, aber in letzter Zeit hieß es ja auch, die OS-Lockdowns seien von Meta mitlobbyiert worden ... Schon von der Gründungsgeschichte an bis zu jedem einzelnen Schritt scheint man ethisches Bewusstsein wirklich komplett verkauft zu haben.
 
GN⁺ 2026-04-29
Hacker-News-Kommentare

  • Wenn die App Standortdaten an Entführungskartelle verkaufen könnte, um auch nur 5 Cent mehr zu verdienen, hätte sie das vermutlich getan.
    Ich glaube praktisch nicht, dass es Apps gibt, denen Privatsphäre oder die Interessen der Nutzer wirklich am Herzen liegen.

    • Genau das versuche ich auch immer zu sagen, seit ich im Bereich privacy products arbeite.
      Wenn Daten auf den Servern anderer liegen, sollte man davon ausgehen, dass sie dort irgendwann auf irgendeine Weise genutzt werden.
      Aus Unternehmenssicht liegen da in einer sqlite-DB buchstäblich Goldbarren, und dann zu sagen: „Diese Query sollten wir lieber nicht ausführen“ ergibt geschäftlich einfach keinen Sinn.
    • Solche Ausnahmen gibt es schon.
      Mit FOSS ist das möglich.
    • Ich denke schon, dass Apple viele Privacy-Kontrollen für Nutzer eingebaut hat.
      Deshalb wirkt es zumindest so, als würden sich einige Apps darum kümmern.
    • Am Ende hören sie mit so etwas erst auf, wenn das Risiko, erwischt zu werden, und das Strafmaß im Fall einer Entdeckung größer sind als der Gewinn.
      Wenn Behörden, die Datenschutzgesetze wie die DSGVO durchsetzen sollen, ihre Arbeit ordentlich machen würden, wären App-Hersteller viel vorsichtiger damit, was sie einbauen und wohin sie Daten schicken.
      Aber weil diese Stellen sich kaum nützlich bewegen, ist es inzwischen meiner Meinung nach so zur Praxis geworden, dass man den meisten großen Apps 20 Millionen Dollar Strafe aufbrummen könnte und es im Großen und Ganzen gerechtfertigt wäre.

  • Ich habe kein Setup für Geräte, auf denen ich solche Apps nutzen würde, aber ich frage mich, warum das unbedingt eine servicezentrierte App sein muss.
    Ich sehe nicht, welche serverseitige Funktion zum Tracking von Gesundheitsdaten wirklich nötig wäre.

    • Der Teil, für den ein Server gebraucht wird, ist die Überwachung.
      Mit GrapheneOS kann man den Internetzugang pro App ein- und ausschalten.
    • Ich kenne diese App nicht gut, aber als Service sind durchaus nette Funktionen möglich, etwa Synchronisierung zwischen Geräten oder das Teilen von Daten mit vertrauten Personen.
    • Wahrscheinlich wegen des besseren Geschäftsmodells.
      Daten an den Server senden, Werbung in der App anzeigen und demografische Daten weiterverkaufen bringt viel mehr Geld ein, als nur einen Kaufpreis für die Installation zu verlangen.
      In diesem Bereich gibt es mit ziemlicher Sicherheit auch günstigere Apps, die keinen Server brauchen und keine Daten wie bei einem Anruf zu Meta schicken, aber die sind vermutlich schlechter im Marketing.
      Nach meiner Startup-Erfahrung sieht es stark danach aus, dass dieser Entwickler vermutlich entweder Install-Tracking für Marketingkampagnen machen wollte oder Funktionen aus einer Meta-Bibliothek brauchte und die Nebenwirkungen entweder nicht kannte oder ignoriert hat.
    • Meine Partnerin nutzt Flo, um das es in diesem Artikel geht, und ich habe auch einen Account erstellt, damit sie Daten mit mir teilen kann.
      Wenn man gewollt hätte, wäre vermutlich P2P-Synchronisierung mit lokaler Verschlüsselung oder selbst über einen Server hinweg E2E möglich gewesen.
      Dass es bis heute kein E2E gibt, überrascht mich etwas, aber eigentlich auch wieder nicht.
    • Wenn dieses kaputte mobile OS-Ökosystem nicht wäre, gäbe es längst eine vernünftige App.
      Stattdessen reden die Leute ständig von der „modernen“ Sicherheit von Betriebssystemen.
      Dabei wird ignoriert, dass genau solche Datenlecks fast schon das schlimmste Beispiel für ein Sicherheitsproblem sind.

  • Ist das nicht etwas, das wir schon seit Jahren wissen?
    Die Privacy-Verstöße von Zyklus-Tracking-Apps sind mindestens bis 2021 ausführlich dokumentiert worden, auch im Zusammenhang mit Meta.
    Meta ‘eavesdropping’ on Flo exposes how period apps are a data… | TBIJ

  • Ehrlich gesagt bin ich inzwischen fast an dem Punkt, dass es mir egal ist.
    In Toronto hat sich gezeigt, dass man das Innere der Eigentumswohnung nebenan 24 Stunden am Tag filmen und live ins Internet streamen kann, ohne dass die Bewohner es merken, und dass das faktisch niemand durchsetzt.
    Deshalb bin ich inzwischen ein privacy nihilist und gehe grundsätzlich davon aus, dass Informationen über jeden immer missbraucht werden.
    Ich finde, andere sollten das ebenfalls so sehen.

    • Ich kenne das kanadische Recht nicht gut, aber in den USA ist es ähnlich.
      Wenn man sich an einem öffentlichen Ort befindet oder von einem öffentlichen Ort aus gesehen werden kann, gibt es keine berechtigte Erwartung auf Privatsphäre.
      So funktionieren auch Paparazzi.
    • Resignation ist keine gute Reaktion.
      Anderen ebenfalls zu sagen, sie sollten abstumpfen, ist noch viel schlechter.

  • drip source
    Gibt es seit 2019, letztes Update vor 2 Monaten.
    Unterstützt iOS und Android und ist mit React Native gebaut.

    Mensinator source
    Gibt es seit 2024, letztes Update vor 2 Wochen.
    Für Android, auf Kotlin-Basis.

    Menstrudel source
    Gibt es seit 2015, letztes Update vor 3 Wochen.
    Unterstützt iOS und Android und basiert auf Dart.

    Tyd source
    Gibt es seit 2023, letztes Update vor 2 Jahren.
    Für iOS, auf Swift-Basis.

    Und jemand hat auch noch die nicht öffentliche Alternative https://www.my28x.com/ erwähnt, die ORCHA 92 % erhalten hat.

    Was ich am meisten sehen möchte, ist ein standardisiertes Datenformat.
    Man sollte seine Daten problemlos in eine andere App mitnehmen können, damit der Wechsel einfach bleibt, auch wenn eine App unethisch ist oder ein OSS-Projekt, das man mochte, keine Updates mehr bekommt.
    Viele Apps bieten Exportfunktionen an, daher wäre ein Converter schön, der beliebte proprietäre Apps mit einer gemeinsamen Datenstruktur verbindet.

    • Ah, ich habe mich eben verschrieben.
      Menstrude war nicht seit 2015 da, sondern seit 2025.

  • Meta interessiert sich nur für Werbeumsatz, also haben sie vermutlich untersucht oder längst herausgefunden, wie der Zyklus von Frauen mit Kaufmustern zusammenhängt.

    • Die Annahme, dass Meta sich nur für Werbeumsatz interessiert, teile ich nicht.
      Die würden sich vermutlich jede Art von Umsatz holen, wenn sie könnten.
      Dieselben Daten könnten sie auch an Palantir oder an ein Gesundheitsministerium unter RFK Jr. weiterverkaufen.
      Wenn jemand ein paar Perioden aussetzt und dann plötzlich wieder eine bekommt, lässt sich leicht ein Szenario vorstellen, in dem das als illegale Abtreibung ausgelegt wird und sogar in einem SWAT-Einsatz endet.
    • Klingt fast wie ein Scherz.
      Solche Zusammenhänge gibt es schon auf sehr trivialem Niveau überall.
      Das offensichtlichste Beispiel: Wenn die Periode ausbleibt, kann das Schwangerschaft oder Menopause bedeuten, und dann hören wahrscheinlich auch bestimmte Käufe von Hygieneartikeln für Frauen auf.
    • Das ist eine sehr alte Geschichte.
      https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

  • Bei Privacyguides gibt es Empfehlungen für private Gesundheits-Apps.
    https://www.privacyguides.org/en/health-and-wellness/#menstrual-cycle-tracking

  • Wenn man daran denkt, dass Informationen wie der Zeitpunkt des letzten Orgasmus beim Team von Mark Zuckerberg landen, ist das wirklich grauenhaft.
    So wie ich das als Nichtfachmann lese, wurde hier eine App an die standardmäßige ad-tech surveillance pipeline angeschlossen und Konzepte wie Zyklusaufzeichnungen der Nutzerin oder der Wechsel in einen Schwangerschaftsmodus an Metas Targeting-Plattform gesendet, um die Werbeeinnahmen zu steigern.

    Jetzt möchte ich mir ehrlich gesagt auch ansehen, wer genau das Flo-Management war und aus welchen Branchenhintergründen Vorstand und C-Level kamen.
    Ich weiß, dass Korrelation nicht Kausalität ist, aber mich interessiert, welche Hintergründe zu solchen Privacy-Verstößen führen.

    Nach meiner voreingenommenen und begrenzten, KI-gestützten Recherche lief dieser Verstoß von Juni 2016 bis Februar 2019, und das Unternehmen scheint im Wesentlichen als abonnementsbasierte Consumer-App mit Gesundheitsbezug entworfen worden zu sein, die auf einen unregulierten Markt außerhalb von HIPAA zielte.

    Die Investoren hatten offenbar eine Vorliebe für consumer subscription apps mit werbebasierten Growth-Loops,
    und das Geschäftsmodell bestand darin, eine kostenlose oder freemium App über bezahlte Zukäufe auf den Werbeplattformen von Meta, Google und TikTok wachsen zu lassen.
    Um die Werbeausgaben zu optimieren, mussten Conversion-Events wieder an diese Plattformen zurückgesendet werden,
    und diese SDKs waren standardmäßig darauf ausgelegt, möglichst viele Daten abzusaugen.

    Während des Verstoßzeitraums scheint es zudem keine C-Level-Führungskraft für Privacy/Data Protection gegeben zu haben.

  • Ich verstehe nicht, warum Leute glauben, dass nicht HIPAA-konforme Apps Datenschutz auf dem Niveau medizinischer Daten gewährleisten würden.
    Dass Flo das Vertrauen der Nutzer gebrochen hat, stimmt zwar, aber dieses Vertrauen scheint von Anfang an falsch platziert gewesen zu sein.

    • Die Leute sind es gewohnt, in stark regulierten Märkten zu leben.
      Wenn man im Supermarkt einen Kopfsalat kauft, fragt man nicht extra, unter welchem Regulierungsrahmen dieser verkauft wird.
      Man vertraut einfach darauf, dass Lebensmittel aus dem Laden die gesellschaftlichen Standards erfüllen.
      Selbst wenn man rohes Fleisch bei Amazon bestellt, geht man davon aus, dass gewisse Standards gelten.
      Das Problem ist, dass Wellness-Apps Produkte sind, die absichtlich außerhalb des Regulierungsrahmens existieren, den die Leute dabei im Kopf haben.
    • Viele Leute wissen gar nicht, was HIPAA ist.
      Für uns technikaffine Menschen wirkt das naiv, aber wenn eine medizinisch wirkende App in einem kuratierten App Store steht, nehmen viele ganz natürlich an, dass damit auch Gesundheitsdaten sicher seien.
    • Die Leute wollen einfach nur Dinge protokollieren und schauen deshalb weder in die AGB noch darauf, ob etwas HIPAA-konform ist.
      Dass solche Apps verbreitet sind, liegt an Sichtbarkeit im App Store, Empfehlungen und Mundpropaganda, nicht an regulatorischen Details.
    • Viele denken vermutlich einfach: Apple und Google sagen, meine Daten sind sicher, also wird die App auch sicher sein; was auch immer HIPAA ist.

  • Ich habe keine Menstruation und bin daher nicht die geeignetste Person dafür, aber eine solide FOSS-Alternative zu Flo scheint mir wirklich nötig zu sein.
    Wenn es bei GNU mehr Frauen gegeben hätte, gäbe es sie vielleicht schon.

    • Hier ist eine kurze Zusammenfassung der derzeit vorhandenen FOSS-Optionen.
      https://news.ycombinator.com/item?id=47936103
    • Vergleichbare FOSS-Apps wie Drip gibt es schon seit Langem auf F-Droid.
    • https://www.my28x.com/
      Ich habe kürzlich einen Vortrag dieser Gründerin gehört; es ist kostenlos und lokal ausgerichtet, aber anscheinend nicht OSS.
      Die ORCHA-Bewertung ist hoch, aber ich möchte erst noch sehen, ob dieses Geschäftsmodell langfristig so bestehen bleibt.
    • https://news.ycombinator.com/item?id=47934116
    • Wie oft müssen wir eigentlich noch sehen, dass Big Tech Privatsphäre nicht respektiert?
      Es fühlt sich inzwischen fast schon komisch an.
      Big Tech verfolgt jetzt sogar den Zyklus von Frauen? Natürlich tun sie das.
      Wenn allein das nicht schon abstoßend genug ist, um ernsthaft nach Alternativen zu suchen, weiß ich nicht, was sonst der Auslöser sein soll.