Datenschutzorientierte Zyklustracker-App

Vor 2022 lasen die meisten US-Nutzerinnen die Datenschutzrichtlinien von Zyklustrackern nicht. Nach dem Dobbs-Urteil taten viele es, oft zum ersten Mal. Die Frage war nicht mehr abstrakt: Was speichert diese App wirklich, und was könnte mit diesen Daten passieren?

Das ist ein Produktleitfaden, kein Rechtsrat. Er listet auf, worauf beim Prüfen eines Zyklustracker zu achten ist. Er beschreibt nicht, was durch welches spezifische Rechtsverfahren geschützt ist oder nicht. Wenn Sie rechtliche Bedenken haben, sprechen Sie mit einem in Ihrem Wohnort zugelassenen Anwalt.

Mit diesem Rahmen an Ort und Stelle: Was Sie prüfen sollten.

Was sich im Diskurs verändert hat, nicht in der Mathematik

Die kryptografischen und Software-Praktiken im Folgenden existieren seit Jahren. Was sich nach Dobbs verändert hat, ist die Sichtbarkeit. Praktiken, die früher technische Details im Hintergrund waren, sind jetzt Verpflichtungen auf der Startseite der App. Apps, die Datenschutz ernst nehmen, sprechen offen darüber; Apps, die das nicht tun, werden oft schweigen.

Die sieben Kriterien in diesem Leitfaden sind das, was ein datenschutzbewusster Tracker in klarer Sprache bereit sein sollte anzugeben.

Sieben Kriterien zum Prüfen

Eine praktische Checkliste vor der Installation eines Zyklustracker. Die strengsten Apps erfüllen alle sieben.

• Envelope-Verschlüsselung AES-256-GCM. Jede Nutzerin hat einen eindeutigen Datenverschlüsselungsschlüssel (DEK), der von einem Hauptschlüssel in einem Schlüsselverwaltungsdienst umhüllt wird. Daten auf der Festplatte sind Chiffretext; ein Serverbruch legt Chiffretext offen, keine lesbaren Zyklusdaten.
• Das Recht auf Löschung vernichtet den Schlüssel. Wenn Sie Ihr Konto löschen, vernichtet der Anbieter die DEK, nicht nur den Datenbankdatensatz. Mit dem gelöschten Schlüssel ist der zugrundeliegende Chiffretext dauerhaft unlesbar, auch in jedem Backup, das ihn enthielt.
• 24-Stunden-Löschfenster. Der Anbieter verpflichtet sich schriftlich, die Löschung innerhalb von 24 Stunden nach der Anfrage abzuschließen, einschließlich Vektoreinbettungen, die von KI-Funktionen verwendet werden.
• Keine medizinischen Aussagen. Keine Familienplanungsprognosen, keine klinischen Aussagen jeglicher Art, kein "ROTER Tag"-Text. Ein Verbraucher-Tracker, der medizinische Rahmung vermeidet, hat eine viel engere regulatorische und Offenlegungsfläche.
• Keine Menstruationsinhalte in Push-Benachrichtigungen. Titel und Inhalte von Benachrichtigungen enthalten niemals Zyklus-, Menstruations- oder Familienplanungsinhalte. Die Vorschau auf dem Sperrbildschirm ist sicher.
• Jurisdiktionsbewusste Texte. US-Nutzerinnen sehen standardmäßig neutrale Terminologie ("Körpertag", "dies protokollieren"); die App geht nicht davon aus, dass die Nutzerin das Wort "Periode" angezeigt haben möchte.
• Explizite, separat erfasste Einwilligung. DSGVO-Artikel 9 schreibt dies seit Jahren vor; nach Dobbs begannen US-Nutzerinnen, dasselbe zu verlangen. Gebündelte oder implizite Einwilligung reicht nicht aus.

Warum die Verschlüsselungsdetails wirklich wichtig sind

Einige der obigen Kriterien klingen technisch. Sie sind wichtig, weil sie verändern, was wiederherstellbar ist.

Wenn ein Anbieter Zyklusdaten im Klartext speichert, kann jedes Backup, jedes Replikat und jede Analysepipeline sie lesen. Eine Löschanfrage kann den Datensatz löschen, aber die Daten können in Backups monatelang oder jahrelang weiterleben.

Wenn der Anbieter Envelope-Verschlüsselung mit nutzerindividuellen Schlüsseln verwendet, sind die Daten auf der Festplatte ohne die DEK der Nutzerin unlesbar. Wenn die DEK bei der Löschung vernichtet wird, ist der Chiffretext, der in Backups verbleibt, ebenfalls unlesbar, auch wenn ein Backup wiederhergestellt wird. Die Löschung ist mathematisch real, nicht nur in der Benutzeroberfläche sichtbar.

Das bedeutet nicht "nicht hackbar". Kryptografie hat Grenzen, und jeder Anbieter, der absolute Sicherheit behauptet, ist entweder falsch informiert oder lügt. Was starke Verschlüsselung mit ordnungsgemäßem Schlüsselmanagement bewirkt, ist ein klarer Fehlermodus: Die Daten sind unlesbar, solange die Schlüssel geschützt sind, und für immer unlesbar, sobald die Schlüssel vernichtet werden.

Was "keine Menstruationsinhalte in Push" wirklich bedeutet

Die Vorschau auf dem Sperrbildschirm ist eine stille Offenlegungsfläche. Apps, die "Deine Periode beginnt morgen" als Push-Benachrichtigungstext senden, haben Zyklusdaten für jeden sichtbar gemacht, der einen Blick auf das Telefon wirft.

Ein seriöser Tracker erzwingt die Abwesenheit von Menstruationsinhalten in Push-Benachrichtigungen in der CI-Pipeline. Soulwises Build-Pipeline scannt Push-Titel und -Texte gegen eine Liste verbotener Begriffe; jeder Build mit Menstruations- oder Familienplanungsinhalten in einer Push-Benachrichtigung schlägt vor der Auslieferung fehl. Die Nutzerin erhält tägliche Ritual-Prompts mit Formulierungen wie "Sanfter Start. Was steht heute auf dem Plan?" - keine Zyklusphase, kein Periodenhinweis, keine medizinische Rahmung.

Lokal-nur vs. verschlüsselte Cloud: Wählen Sie Ihren Kompromiss

Zwei legitime Architekturen, unterschiedliche Bedrohungsmodelle.

Lokal-nur-Tracker (Drip, Euki). Daten leben auf Ihrem Gerät. Es gibt keine Cloud-Kopie für Behördenanfragen, aber auch keine geräteübergreifende Synchronisierung und begrenzte KI-Funktionen. Backup ist Ihre Aufgabe; Gerätediebstahl und Betriebssystem-Backups (die auf OS-Ebene möglicherweise verschlüsselt sind oder nicht) ebenfalls.

Verschlüsselte Cloud-Tracker (Soulwise, Clue und andere). Daten synchronisieren geräteübergreifend und treiben KI-Funktionen an. Datenschutz hängt von den Verschlüsselungs- und Löschpraktiken des Anbieters ab. Das Bedrohungsmodell setzt einen kompetenten Anbieter und eine solide Schlüsselverwaltungspostur voraus.

Keiner ist universell "sicherer". Die richtige Antwort hängt davon ab, worüber Sie sich Sorgen machen. Lokal-nur ist die schwierigere Wahl für das Nutzungserlebnis und die einfachere für die Datenfläche. Verschlüsselte Cloud ist das Gegenteil.

Was wir bewusst nicht versprechen

Das ist eine Liste von Aussagen, bei denen Sie in jedem Marketing-Text misstrauisch sein sollten:

• "Nicht hackbar." Kein System ist nicht hackbar. Wer das behauptet, will Ihnen etwas verkaufen.
• "Ihre Daten sind vor Strafverfolgungsbehörden sicher." Das ist eine Rechtsaussage, keine technische. Die technische Aussage ist "Ihre Daten sind im Ruhezustand verschlüsselt und der Schlüssel wird bei der Löschung vernichtet." Die rechtlichen Konsequenzen eines spezifischen Verfahrens kann nur ein Anwalt beurteilen.
• "100 % sicher." Siehe oben. Sicherheit ist eine Eigenschaft von Bedrohungsmodellen, kein Absolutes.
• "Datenschutz garantiert." Datenschutz ist eine Praxis, keine Garantie.

Soulwises Datenschutzverpflichtungen sind konkret und überprüfbar. AES-256-GCM im Ruhezustand. Nutzerindividuelle DEK, umhüllt vom KMS-Hauptschlüssel. 24-Stunden-Löschung einschließlich Vektoreinbettungen. Keine Menstruationsinhalte in Push-Benachrichtigungen. Explizite Einwilligung gemäß DSGVO Artikel 9. Die Soulwise Datenschutzseite listet jede Verpflichtung mit dem zugrundeliegenden Spezifikationsverweis auf.

Warum das über den schlimmsten Fall hinaus wichtig ist

Die Post-Dobbs-Rahmung veranlasst Menschen, über Zyklustracker-Datenschutz in extremen Szenarien nachzudenken. Dieselben Kriterien sind in viel häufigeren Situationen wichtig: ein Telefon, das mit einer Mitbewohnerin geteilt wird, ein übergriffiger Partner, der das Gerät ausleiht, ein neugieriger Arbeitgeber, der eine Benachrichtigung sieht, ein Backup, das in einem familiären iCloud-Konto landet.

Starker standardmäßiger Datenschutz ist nicht nur für den schlimmsten Fall gedacht. Er ist für jeden Tag.

Die kurze Version: Der richtige Tracker ist der, dessen Datenschutzverpflichtungen spezifisch, überprüfbar und in klarer Sprache formuliert sind. Fragen Sie jede App nach den sieben obigen Kriterien. Wenn ein Anbieter nicht präzise antworten kann, ist das bereits die Antwort.