Language
Laut FTC hat Premom die hochsensiblen reproduktiven Gesundheitsdaten der Benutzer weitergegeben: Kann es noch persönlicher werden?
HeimHeim > Nachricht > Laut FTC hat Premom die hochsensiblen reproduktiven Gesundheitsdaten der Benutzer weitergegeben: Kann es noch persönlicher werden?
NEUESTEN NACHRICHTEN

Laut FTC hat Premom die hochsensiblen reproduktiven Gesundheitsdaten der Benutzer weitergegeben: Kann es noch persönlicher werden?

Nov 26, 2023

Intime Fakten über Eisprung, Fruchtbarkeit und andere Probleme der sexuellen und reproduktiven Gesundheit sind so persönlich, wie persönliche Informationen nur sein können. Die FTC behauptet, dass Easy Healthcare Corporation – das Unternehmen hinter der Premom Ovulation Tracker-App – seine Datenschutzversprechen gebrochen hat, indem es sensible Gesundheitsdaten der Benutzer an Google und AppsFlyer weitergegeben und andere persönliche Informationen an zwei Firmen in China weitergegeben hat. Die Beschwerde, in der behauptet wird, dass Easy Healthcare gegen das FTC-Gesetz und die Health Breach Notification Rule verstoßen hat, ist die jüngste Klage gegen ein Unternehmen wegen des rücksichtslosen Umgangs mit sensiblen Verbraucherdaten.

Die Beklagte Easy Healthcare entwickelte und vertrieb die Premom-App, mit der Benutzer Informationen über ihren Menstruationszyklus, reproduktive Gesundheitszustände und andere fruchtbarkeitsbezogene Daten hochladen konnten. Das Unternehmen verkaufte auch Ovulationsteststreifen, die Benutzer fotografieren und hochladen konnten, um den Zeitpunkt ihres Eisprungs vorherzusagen. Basierend auf der Beschreibung des Unternehmens, dass es sich um „die einzige Fruchtbarkeits-Tracker- und Eisprung-App handelt, die eine Schwangerschaftsgarantie bietet, um Frauen mit Kinderwunsch (TTC) dabei zu helfen, ihre Babyträume wahr werden zu lassen“, haben Hunderttausende Benutzer die Premom-App heruntergeladen.

Der Beklagte ermutigte Benutzer außerdem, Premom mit Apps oder Produkten von Drittanbietern zu verbinden, damit Premom noch mehr Gesundheitsinformationen importieren konnte. Infolgedessen sammelte Premom umfangreiche sensible Daten von Verbrauchern – zum Beispiel das Datum ihres Menstruationszyklus, Ergebnisse von Hormontests und sogar den Beginn und das Ende ihrer Schwangerschaft.

Der Beschwerde zufolge hat die Beklagte den Verbrauchern mehrfach Datenschutzzusicherungen gemacht. Beispielsweise hat der Beklagte in einer Datenschutzerklärung vom 7. Juli 2020 Folgendes zugesagt:

WIR VERSPRECHEN, DASS WIR IHR GENAUES ALTER ODER IHRE GESUNDHEITSDATEN NIEMALS OHNE IHRE ZUSTIMMUNG ODER IHR WISSEN AN DRITTE TEILEN.

(Nur um es klarzustellen: Das Großbuchstabenformat war die Wahl von Easy Healthcare, nicht unsere.) In einer Datenschutzrichtlinie aus dem Jahr 2021 heißt es: „Premom nutzt AppsFlyer, eine mobile Marketingplattform mit Sitz in den Vereinigten Staaten, um nicht gesundheitsbezogene personenbezogene Daten zu verarbeiten.“ und dass „Dienste Dritter über die Dienste keinen Zugriff auf Ihre Gesundheitsinformationen haben, es sei denn, Sie teilen diese Informationen direkt mit ihnen.“ Würden Menschen all diese hochsensiblen Informationen weitergeben, wenn sie wüssten, dass die Datenschutzzusicherungen des Angeklagten falsch sind? Das glauben wir nicht.

Das hat der Beklagte also versprochen, aber die FTC sagt, Easy Healthcare habe gegen seine eigenen Datenschutzverpflichtungen verstoßen. Laut der Klage hat das Unternehmen Software-Entwicklungskits (SDKs) von externen Marketing- und Analysefirmen in die Premom-App eingebaut, ohne die starke Diskrepanz zwischen den Datenschutzversprechen, die der Beklagte den Benutzern gemacht hat, und der Funktionsweise der SDKs in der App zu berücksichtigen die Szenen, um persönliche Informationen der Benutzer weiterzugeben. Für Einzelheiten sollten Sie die Beschwerde lesen, aber die FTC sagt, dass das Unternehmen seine Versprechen gebrochen hat, indem es SDKs auf eine Art und Weise verwendet hat, bei der diese sensiblen Daten an Dritte weitergegeben wurden.

Betrachten Sie es aus der Perspektive des Verbrauchers. Dabei handelte es sich um Informationen, die so persönlich waren, dass manche Menschen sie vielleicht nicht an ihre Nächsten weitergegeben haben – und doch dreht sich der Angeklagte um und übergibt sie an Google und AppsFlyer? Wirklich?

Die FTC sagt, dass der Verrat des Angeklagten an seinen Datenschutzversprechen damit noch nicht endete. Der Beschwerde zufolge integrierte Easy Healthcare auch SDKs von Umeng, einem chinesischen Anbieter von mobilen App-Analysen im Besitz von Alibaba, und Jiguang, einem chinesischen Anbieter von mobilen Entwicklern und Analysen. Über ihre SDKs übergab die Premom-App andere sensible Daten an diese Unternehmen – zum Beispiel die Social-Media-Kontoinformationen der Benutzer und ihren genauen Standort. Laut der Beschwerde hat Easy Healthcare dies getan, obwohl es den Verbrauchern zwischen 2017 und 2020 mitgeteilt hatte, dass es „nicht identifizierbare Informationen zum Zweck der Nachverfolgung von Analysen der Nutzung [seiner] Anwendung“ gesammelt habe. Durch die Nutzung von Drittanbieterdiensten durch Easy Healthcare können Daten laut FTC auf eine reale Person zurückgeführt werden – was die Behauptung des Beklagten über „nicht identifizierbare Informationen“ schlichtweg falsch macht.

Der vorgeschlagene Vergleich verbietet der Beklagten grundsätzlich die Weitergabe personenbezogener Gesundheitsdaten der Nutzer an Dritte zu Werbezwecken. Möchte das Unternehmen Gesundheitsdaten für andere Zwecke weitergeben, muss es die ausdrückliche Zustimmung der Nutzer einholen. Zusätzlich zu einer zivilrechtlichen Strafe in Höhe von 100.000 US-Dollar für den Verstoß gegen die Health Breach Notification Rule verlangt die Anordnung unter anderem, dass der Beklagte die Löschung der von ihm an Dritte weitergegebenen Daten beantragt, sich direkt an die Benutzer wendet, um sie über die Vorwürfe der FTC zu informieren, und diese umsetzt ein umfassendes Datenschutz- und Datensicherheitsprogramm, das einer unabhängigen Compliance-Bewertung unterliegt. Im Rahmen einer entsprechenden Klage hat sich Easy Healthcare außerdem bereit erklärt, insgesamt 100.000 US-Dollar an Connecticut, den District of Columbia und Oregon wegen Verstößen gegen die Gesetze ihrer jeweiligen Bundesstaaten zu zahlen.

Der vorgeschlagene Vergleich sendet einige starke Signale an alle im Informationsökosystem.

Die FTC könnte den Schutz der Privatsphäre der Verbraucher nicht ernster nehmen. Haben Sie einen Anstieg der Durchsetzungsmaßnahmen gegen Unternehmen festgestellt, die die Privatsphäre der Verbraucher durch unfaires oder irreführendes Verhalten verletzen? Gut. Das ist eine Botschaft, die die FTC an App-Entwickler, die Werbetechnologiebranche und jeden senden möchte, der versucht, die Privatsphäre der Verbraucher gewinnbringend auszunutzen.

Führen Sie eine Auffrischung der Benachrichtigungsregeln für Gesundheitsverstöße durch. Dies ist der zweite Fall der FTC innerhalb weniger Monate, in dem ein Verstoß gegen die Health Breach Notification Rule behauptet wird. Die Regel verlangt, dass betroffene Unternehmen Benutzer, die FTC und in einigen Fällen die Medien benachrichtigen, wenn es zu einem unbefugten Erwerb ungesicherter individuell identifizierbarer Gesundheitsinformationen kommt. Lesen Sie „Einhaltung der FTC-Benachrichtigungsregel bei Gesundheitsverstößen“, um zu sehen, wie die Praktiken Ihres Unternehmens abschneiden.

Legen Sie den Standard für nicht rücksetzbare Gerätekennungen fest. Dies ist der erste Fall der FTC, in dem ausdrücklich behauptet wird, dass nicht rücksetzbare Gerätekennungen (z. B. International Mobile Equipment Identity-Nummern) identifizierbare Informationen und daher äußerst sensibler Natur seien. Die Erfassung und Weitergabe dieser und anderer Kennungen mobiler Geräte durch Premom ermöglichte es Dritten, die Datenschutzkontrollen der Betriebssysteme zu umgehen, Einzelpersonen zu verfolgen, auf die Identität einzelner Benutzer zu schließen und diesen Benutzer letztendlich einer Fruchtbarkeits-App zuzuordnen.

Bedenken Sie die Auswirkungen einer laxen Datensicherheit. In der Beschwerde werden mehrere Gründe aufgeführt, in denen Easy Healthcare keine angemessenen Datenschutz- und Datensicherheitsmaßnahmen ergriffen hat, darunter auch das Versäumnis, die Risiken der SDKs von Drittanbietern einzuschätzen, die das Unternehmen in Premom integriert hat. Eine besondere Sorge besteht in diesem Fall darin, dass Verbraucher geschädigt werden, wenn ihre sensiblen Informationen zusammen mit einem Entschlüsselungsschlüssel an Dritte gesendet werden, wodurch die Daten möglicherweise abgefangen werden.

Stichworte: