In einer neuen Beschwerde der Federal Trade Commission wird behauptet, dass eine beliebte App zur Fruchtbarkeitsverfolgung vertrauliche Gesundheitsinformationen von Benutzern ohne deren Zustimmung an Drittwerbetreibende weitergegeben habe.
Die Untersuchung der FTC zu Premom, einer von Easy Healthcare entwickelten App zur Fruchtbarkeitsverfolgung, mit der Benutzer Eisprung, Perioden und andere Gesundheitsinformationen verfolgen können, ergab, dass das Unternehmen seit 2018 identifizierbare Gesundheits- und Standortinformationen mit Google und dem Marketingunternehmen AppsFlyer geteilt hat.
Premom sammelte und teilte Daten von „Hunderttausenden“ Nutzern, darunter Details zu ihrer sexuellen und reproduktiven Gesundheit, ihrem Eltern- und Schwangerschaftsstatus sowie andere Informationen über den körperlichen Gesundheitszustand und den Status einer Person. Die App teilte auch die Standortdaten der Benutzer sowie eindeutige Werbe- und Gerätekennungen mit, die von anderen Werbetreibenden verwendet werden könnten, um Benutzer im Internet und in anderen Apps zu verfolgen.
Letztlich sei es Dritten möglich gewesen, Fruchtbarkeits- und Schwangerschaftsdaten „einer bestimmten Person“ zuzuordnen, so die FTC seine Beschwerde.
Die FTC erklärte, dass diese Weitergabe von Daten an Dritte wiederholt gegen die Datenschutzrichtlinien von Easy Healthcare verstoße, die versprachen, nur „nicht identifizierbare Daten“ an Dritte weiterzugeben, was einen Verstoß gegen die Health Breach Notification Rule der FTC darstelle.
Easy Healthcare hat angeblich auch die sensiblen identifizierbaren Daten der Benutzer an zwei in China ansässige Unternehmen für mobile Analysen weitergegeben, die für „Verdacht auf Datenschutzpraktiken„, heißt es in einer Erklärung des Generalstaatsanwalts von Connecticut, William Tong. Nach Angaben der FTC wurden zwischen 2018 und 2020 Daten einschließlich IMEI-Nummern – Zahlenfolgen, die an einzelne Geräte gebunden sind – und präzise Geolokalisierungsdaten an die Analyseunternehmen Jiguang und Umeng übermittelt.
Die FTC behauptet, dass das Unternehmen dies in dem Wissen getan habe, dass Jiguang und Umeng diese Daten für ihre eigenen Geschäftszwecke verwenden oder die Daten an weitere Dritte weitergeben könnten, und sagt, dass Easy Healthcare die Weitergabe dieser Daten erst eingestellt habe, als Google den App-Hersteller benachrichtigt habe im Jahr 2020 dass die Datenübertragung an Umeng gegen die Google Play Store-Richtlinien verstößt.
„Premom hat seine Versprechen gebrochen und die Privatsphäre der Verbraucher gefährdet“, sagte Samuel Levine, Direktor des Bureau of Consumer Protection der FTC. „Wir werden die Health Breach Notification Rule energisch durchsetzen, um die Gesundheitsdaten der Verbraucher vor Missbrauch zu schützen. Unternehmen, die diese Informationen sammeln, sollten sich darüber im Klaren sein, dass die FTC keine Verletzungen der Privatsphäre im Gesundheitsbereich toleriert.“
Im Rahmen eines vom Justizministerium eingereichten Vergleichsvorschlags hat Easy Healthcare zugestimmt, eine zivilrechtliche Strafe in Höhe von 100.000 US-Dollar für den Verstoß gegen die Health Breach Notification Rule der FTC zu zahlen. Sie hat außerdem zugestimmt, insgesamt 100.000 US-Dollar an die Bundesstaaten Connecticut und Oregon sowie den District of Columbia zu zahlen, der die Ermittlungen der FTC unterstützte.
Im Rahmen der Anordnung hat Easy Healthcare außerdem zugestimmt, keine personenbezogenen Gesundheitsdaten mehr zu Werbezwecken an Dritte weiterzugeben, und ist verpflichtet, die Löschung der Daten durch Dritte zu verlangen (wobei die Unternehmen jedoch nicht gesetzlich dazu verpflichtet sind). Easy Healthcare hat sich außerdem bereit erklärt, neue Sicherheits- und Datenschutzprogramme zu implementieren und den Behörden regelmäßige Datenschutz- und Sicherheitsüberprüfungen anzubieten.
Easy Healthcare antwortete nicht auf die Bitte von Tech um einen Kommentar. Allerdings in einem Stellungnahme Auf seiner Website sagte Premom, dass die Vereinbarung mit der FTC „kein Eingeständnis irgendeines Fehlverhaltens“ darstelle.
Dies ist das zweite Mal, dass die FTC eine Durchsetzungsklage gegen ein Unternehmen wegen Verstoßes gegen die Health Breach Notification Rule einleitet. Im Februar dieses Jahres einigte sich die Behörde mit der Online-Apotheke GoodRx darauf, dass das Unternehmen den Nutzern nicht offengelegt hatte, dass es personenbezogene Gesundheitsinformationen an Facebook, Google und andere Dritte weitergegeben hatte.