Wir suchen Verstärkung! Hier geht es zu unseren offenen Stellen.

Marktcheck: Auskunftsrecht bei Zyklus-Apps

Stand:
Die Datenschutzgrundverordnung (DSGVO) regelt, dass Sie ihre personenbezogenen Daten bei Unternehmen abfragen können. Eine Untersuchung des vzbv in Kooperation mit der Stiftung Warentest zu Zyklus-Apps zeigt: Der Großteil der Anfragen wurde nicht vollständig gemäß der DSGVO beantwortet.
Ein Kalender mit Menstruationszyklus, ein Symbol für Datenschutz und ein Handy mit einem Symbol für eine abgeschickte Anfrage.

Das Wichtigste in Kürze:

  • Verbraucher:innen haben ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Nutzen Sie unseren interaktiven Musterbrief, wenn Sie Auskunft über personenbezogene Daten erhalten möchten.
  • Anbieter antworten inhaltlich größtenteils nur unzureichend auf Auskunftsersuchen von Verbraucher:innen.
  • Melden Sie Probleme (z. B. ausbleibende oder ungenügende Antworten) bei den zuständigen Datenschutzbehörden.
On

Mit Hilfe von Zyklus-Apps können Nutzer:innen ihren Monatszyklus dokumentieren. Dabei werden sensible Daten verarbeitet, zum Beispiel über die Dauer der Menstruation und mögliche damit einhergehende körperliche oder seelische Beschwerden. Auch Nutzer:innen von Zyklus-Apps haben das Recht zu erfahren, wie ihre personenbezogenen Daten vom App-Anbieter verarbeitet werden.

Wie aber reagieren die Anbieter von Zyklus-Apps, wenn sie ein solches Auskunftsbegehren von einer Nutzerin erhalten? Das haben Stiftung Warentest und Verbraucherzentrale Bundesverband (vzbv) getestet. Die Ergebnisse zeigen: Der Großteil der Anfragen (insgesamt 15 von 17) wurden nicht vollständig gemäß der DSGVO beantwortet.

Was ist das Auskunftsrecht?

Verbraucher:innen haben ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten gegenüber dem Verantwortlichen der Datenverarbeitung. Das wird ihnen in Artikel 15 der DSGVO garantiert. Es ermöglicht Verbraucher:innen zu erfahren, ob und welche eigenen personenbezogenen Daten beim Unternehmen vorliegen und wie diese verarbeitet werden.

Unternehmen müssen demnach in präziser, transparenter, verständlicher Sprache und leicht zugänglicher Form auf Auskunftsersuchen von Verbraucher:innen antworten. So sollen sie Anfragende über die Datenverarbeitung informieren. Damit sind Informationen gemeint wie:

  • welche personenbezogenen Daten werden zu welchem Zweck verarbeitet,
  • für welche Speicherdauer oder an welche Empfänger die Daten gehen,
  • welche Rechte Verbraucher:innen darüber hinaus noch haben.

Die Inanspruchnahme des Auskunftsrechts ist grundsätzlich kostenlos und kann Betroffenen als erster Hinweis dienen, ob die Ausübung weiterer Rechte notwendig ist. Dazu zählen etwa das Recht auf Löschung oder Berichtigung von Daten und das Recht auf Einschränkung der Verarbeitung (Sperrung der Daten).

Das Auskunftsrecht geht über die Auskunft sogenannter Stammdaten wie etwa Name, Adresse und Geburtsdatum hinaus. Unternehmen müssen ebenfalls die mit Verbraucher:innen geführte Kommunikation und interne Vermerke teilen, soweit diese personenbezogene Daten enthalten. Auch mögliche Empfänger der personenbezogenen Daten müssen in der Auskunft namentlich genannt werden. Zusätzlich haben Sie als Nutzer:in  das Recht auf eine Kopie der Daten.

Möchten Sie mehr über Ihre Daten, Ihre Rechte und die DSGVO lesen? Dann lesen Sie unseren Artikel zum Thema und die dort angegebenen weiteren Seiten.

Wie erhalten Sie Auskunft?

Sie können Ihr Auskunftsrecht mit einem formlosen Antrag und ohne Begründung gegenüber dem datenverarbeitenden Unternehmen geltend machen. Grundsätzlich gibt es keine Vorgabe, wie die Auskunftsanfrage formuliert sein muss. Wir empfehlen aber, dass Sie die Auskunft schriftlich anfordern. Hilfreich ist es, wenn Sie genau beschreiben, worüber Sie Auskunft wünschen.

Nutzen Sie unsere interaktive Musterbriefvorlage, wenn Sie Auskunft über personenbezogene Daten erhalten möchten. Diese können Sie an Ihre Wünsche und Fragen anpassen.

Unternehmen müssen sicherstellen, dass die Antwort auf eine Auskunftsanfrage zu Ihren personenbezogenen Daten nicht an unbefugte Dritte herausgegeben wird. Aus diesem Grund müssen Sie identifiziert werden können. Bei dieser Identifizierung können Sie zum Beispiel mithelfen, indem Sie Ihre Auskunftsanfrage von dem E-Mail-Account stellen, das bei dem Unternehmen bereits registriert ist oder Sie nennen andere identifizierende Merkmale (wie den Namen Ihres Accounts oder die Vertrags-ID), die das Unternehmen bereits von Ihnen kennt.

Hat das Unternehmen legitime Zweifel an Ihrer Identität, kann es Informationen zur Bestätigung Ihrer Identität verlangen. In seltenen Fällen kann ein Unternehmen daher die Kopie Ihres Personaldokuments verlangen. Sie sollten solch ein Dokument um nicht notwendige Details schwärzen, insbesondere die Ausweisnummer und das Foto.

Auskunftsrecht bei Zyklus-Apps

Bedeutung von Zyklus Apps

Zyklus-Apps sind digitale Gesundheitsangebote, mit denen Nutzer:innen eine Vielzahl von sensiblen Gesundheitsdaten zum weiblichen Zyklus dokumentieren können. Die Apps berechnen anhand der eingetragenen Daten das fruchtbare Fenster sowie das voraussichtliche Einsetzen der nächsten Regelblutung. Auch versprechen sie Unterstützung bei Kinderwunsch oder Verhütung.

Laut einer Onlinebefragung im Auftrag des vzbv sind die Apps unter Frauen beliebt: 39 Prozent aller befragten Internetnutzerinnen zwischen 18 und 55 Jahren gaben an, innerhalb der vergangenen zwölf Monaten eine Zyklus-App genutzt zu haben. Damit werden Zyklus-Apps eher genutzt als Ernährungs- (33 Prozent) oder Achtsamkeits-Apps (21 Prozent).

Möchten Sie die Ergebnisse der Befragung zur Nutzung und Bewertung von Zyklus-Apps im Detail lesen? Sie finden den Ergebnisbericht beim vzbv.

Ergebnisse des Marktchecks

In Zusammenarbeit mit der Stiftung Warentest untersuchte der vzbv wie ausgewählte Anbieter von Zyklus-Apps, als Verantwortliche der Datenverarbeitung, auf das Auskunftsrecht nach Art. 15 DSGVO reagieren. Dafür wurden jeweils drei Auskunftsersuchen an zwölf Anbieter von Zyklus-Apps gestellt.

Fünf Anfragen (verteilt auf drei Anbieter) wurden nicht beantwortet. Und in 14 Fällen (verteilt auf sechs Anbieter) wurden laut den Anbietern keine personenbezogenen Daten verarbeitet, da die eingegebenen Daten lokal auf dem Gerät der Nutzer:innen bleiben. Insgesamt ergaben sich somit 17 Anfragen (verteilt auf sechs Anbieter), bei denen personenbezogene Daten verarbeitet wurden.

Es zeigte sich jedoch, dass diese Anbieter inhaltlich größtenteils nur unzureichend auf Auskunftsersuchen von Verbraucher:innen antworteten. So haben sie den Großteil der an sie gerichteten Anfragen nicht vollständig gemäß Artikel 15 DSGVO beantwortet. Beispielsweise fehlten in 14 Auskünften die Angaben zur Speicherdauer und in ebenso vielen wurden die Verarbeitungszwecke nicht oder nur unzureichend benannt. Auch die Angaben zu den Datenkategorien waren in 9 Auskünften gar nicht aufgeführt. Außerdem nannte keiner der sechs Anbieter in allen drei Anfragen vollständig die Betroffenenrechte.

Die Bewertung der Auskunftsanfragen des vzbv floss im Prüfpunkt "Antworten auf Auskunftsersuchen" in die Gesamtbewertung des Produkttests von Zyklus-Apps der Stiftung Warentest (liegt hinter Paywall bzw. Bezahlsperre) ein.

Methode und Forderungen

Im Zeitraum zwischen April und Juli 2023 wurden zwölf Anbietern von Zyklus-Apps drei unterschiedliche, umgangssprachlich formulierte Auskunftsersuchen zugesandt – zuvor wurden authentische Testdaten in die Apps eingetragen.

Im Rahmen einer qualitativen Inhaltsanalyse sollte anschließend herausgefunden werden, wie Anbieter von Zyklus-Apps auf die Auskunftsersuche reagieren und in welchem Umfang sie dem Auskunftsrecht gemäß der DSGVO nachkommen.

Der vzbv fordert von Zyklus-App-Anbietern, dass sie:

  • auch formlose Anfragen als Auskunftsersuche nach Art. 15 DSGVO erkennen und gemäß dem Recht auf Auskunft beantworten,
  • klare und transparente Informationen für die betroffene Person bereitstellen,
  • die Betroffenenrechte der DSGVO bei der Beantwortung nennen,
  • ihre Datenschutzerklärungen (DSE) auf dem aktuellen Stand der Datenverarbeitung halten.

Die Untersuchung ist im Rahmen des Projektes "Verbraucherschutz bei digitalen Gesundheitsangeboten" entstanden. Ziel des vom Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV) geförderten Projektes ist es, digitale Gesundheitsangebote zu untersuchen und Verbraucher:innen auf damit verbundene Probleme aufmerksam zu machen. Dafür sammelt der vzbv Probleme, Beschwerden oder Hinweise zu unseriösen Angeboten oder dubiosen Anbietern im Zusammenhang mit digitalen Gesundheitsangeboten.

Haben Sie eine Beschwerde oder einen Hinweis zu einem Unternehmen oder einem Produkt?
Dann nutzen Sie unser kostenloses Kontaktformular.

Tipps zur Ausübung des Auskunftsrechts

Möchten Sie von Ihrem Auskunftsrecht Gebrauch machen, dann helfen Ihnen die folgenden Tipps:

  • Nutzen Sie den interaktiven Musterbrief der Verbraucherzentrale.
    Anbieter haben laut DSGVO einen Monat Zeit Ihnen zu antworten. Die Frist kann nur unter bestimmten Bedingungen (hohe Komplexität und Anzahl von Anfragen) verlängert werden.
  • Bekommen Sie keine oder nur eine ungenügende Antwort auf Ihr Auskunftsersuchen?
    Dann kann zunächst ein erneutes Nachfragen (mit Fristsetzung) beim Anbieter hilfreich sein, ggf. direkt beim Datenschutzbeauftragten des Unternehmens. Um die Kontaktdaten des Datenschutzbeauftragten herauszufinden, schauen Sie am besten in die Datenschutzerklärung.
  • Möchten Sie eine Kopie Ihrer Daten vom Anbieter erhalten? Darauf sollten Sie explizit im Auskunftsersuchen hinweisen.
  • Melden Sie Probleme (z. B. ausbleibende oder ungenügende Antworten) bei den zuständigen Datenschutzbehörden. Der Kontaktfinder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kann Ihnen helfen, die richtige Aufsichtsbehörde zu finden.

Auskunft über personenbezogene Daten: interaktive Briefvorlage

Unsere interaktive Briefvorlage hilft Ihnen zu erfahren, ob und welche Daten ein Unternehmen von Ihnen gespeichert hat.
Augenpartie und Nase einer Frau, darüber 0 und 1 in Zahlensträngen

Ihre Daten, Ihre Rechte: die Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 ist EU-weit die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Wie Sie als Verbraucher von ihr profitieren, lesen Sie hier.
Hausfront mit mehreren Balkonen mit Steckersolarmodulen

Neue Gesetze und Normen für Steckersolar: Was gilt heute, was gilt (noch) nicht?

Für Balkonkraftwerke gelten zahlreiche Vorgaben, die politisch oder technisch definiert sind. Was ist heute erlaubt und was nicht? Verschaffen Sie sich einen Überblick über Änderungen und Vereinfachungen.
Logos der Apps Facebook und Instagram auf einem Smartphone

Abo für Facebook und Instagram: Neue Klage gegen Meta

Geld bezahlen oder personalisierte Werbung sehen: Vor diese Wahl stellen Facebook und Instagram ihre Mitglieder seit November 2023. Die Verbraucherzentrale NRW klagt jetzt in einem zweiten Verfahren gegen den Betreiberkonzern Meta. Ein erstes Verfahren war bereits erfolgreich.
Düstere Schwarz-Weiß-Aufnahme eines Mannes, der vor einem Laptop sitzt

Betrug: Phishing-Mails und falsche SMS von Ministerien und Behörden

Aktuelle Entwicklungen machen sich Kriminelle schnell zu Nutze. So auch zu den Themen Inflation, Energiekrise und nationale Sicherheit. Der Betrug kommt per SMS, E-Mail oder auf falschen Internetseiten. In diesem Artikel warnen wir vor verschiedenen aktuellen Betrugsmaschen.