Die EU-Kommission hat ein Gesetz vorgestellt, mit dem sich die Mitgliedstaaten in Sachen Cloud und KI-Entwicklung von US-amerikanischen Anbietern unabhängiger machen sollen. Doch das Gesetz bleibt zurückhaltend und lässt vieles offen, kritisieren Fachleute.

„Über Geld spricht man nicht“ heißt es hierzulande gerne. Außer mit dem Finanzamt natürlich. In der Steuerverwaltung landen Informationen über Einkünfte, in der Sozialverwaltung landen Informationen über Phasen von Arbeitslosigkeit oder Wohngeld-Auszahlungen, in der Gesundheitsverwaltung landen Informationen über Krankheitsverläufe. Sensible Informationen, die viel über unser Leben verraten.

Und was macht die öffentliche Verwaltung damit? Sie schiebt die Daten zunehmend in die Cloud. Die gehört meistens Microsoft, Google, Amazon oder Oracle. Ob direkt oder über einen Subunternehmer – Verwaltungen greifen meist auf Dienste US-amerikanischer Cloud-Anbieter zurück.

Sind die Daten in einer solchen Public Cloud sicher? Und sollten Behörden in Sachen digitale öffentliche Infrastruktur auf US-Big-Tech setzen? Diese Fragen sind drängender geworden, seitdem bekannt wurde, welchen Einfluss US-Präsident Donald Trump hier ausübt und ausüben kann.

Die „geopolitische Lage“ heißt Trump

Diese „geopolitische Lage“ sei dringlich, so die Vizepräsidentin und EU-Kommissarin Henna Virkkunen bei der gestrigen Pressekonferenz zum neuen Tech Sovereignty Package. Es umfasst den Chips Act 2.0, die Open-Source-Strategie der EU und den Fahrplan für Digitalisierung und KI im Energiesektor.

Welchen Zugriff die US-Regierung künftig auf europäische öffentliche Informationen haben kann, will die Kommission mithilfe des Cloud and AI Development Acts (CADA) regulieren; das vierte Element im Packet. Doch gerade CADA scheint ein sehr zaghaftes Instrument der EU für mehr Unabhängigkeit von US-Big-Tech zu werden. Denn für einen großen Teil staatlicher Daten schließt die Kommission US-Cloud-Anbieter nicht vom europäischen Markt aus.

Nach ihrer Rechnung könnten gut 99 Prozent, mindestens aber 70 Prozent, staatlicher Daten der EU-Mitgliedsländer auf Clouds von US-Anbietern landen. Diese Zahlen beruhen auf einer Schätzung der Kommission zur Risikobewertung staatlicher Daten. EU-Mitgliedstaaten sollen nach einem vorgegebenen Stufensystem die Risiken bei der Beschaffung von Cloud-Diensten prüfen.

Zugriff auf Daten durch US-Regierung

Auf der anderen Seite des Atlantiks stehen dem Pakt Gesetze wie der Foreign Intelligence Surveillance Act (FISA), der Patriot Act und der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) gegenüber. Laut CLOUD Act sind Tech-Unternehmen mit Sitz in den USA wie Microsoft oder Google dazu verpflichtet, unter bestimmten Voraussetzungen Daten gegenüber US-Behörden offenzulegen.

Dazu zählen auch Daten aus der EU. Das ist unabhängig davon, ob die Daten eines US-Unternehmens auf einem Rechenzentrum innerhalb der EU gespeichert sind, so ein juristisches Gutachten der Universität Köln im Auftrag des Bundesinnenministeriums. Bestätigt hat das aber auch der Chefjustiziar von Microsoft Frankreich, Anton Carniaux. Vor gut einem Jahr erklärte er dem französischen Senat: Wenn französische Behörden Microsoft nutzen, kann die US-Regierung diese Daten einsehen. Dafür müssen die Behörden nicht einmal ausdrücklich zugestimmt haben.

Trump kann sogar öffentliche Angestellte und Beamt:innen daran hindern, ihrer Arbeit nachzugehen. Das zeigen die Fälle von Richter:innen und einem Chefankläger am Internationalen Strafgerichtshof. Trump veranlasste, dass sie Dienste von Microsoft, Paypal und Co. nicht mehr nutzen können; auch auf ihre Accounts und darin enthaltene Daten können sie nicht mehr zugreifen.

Womit hält die EU dagegen?

Anhand von vier Sicherheitsstufen, den sogenannten „Union Assurance Levels“, sollen EU-Mitgliedstaaten nun die Cloud-Dienste auf den Prüfstand stellen, die sie nutzen: Welches Risiko wäre gegeben, wenn Daten an Nicht-EU-Staaten abfließen? Oder wenn ein Dienst ausfallen würde? Für diese Risikobewertung sollen die Länder ein Jahr Zeit haben, dann müssen sie ihre Ergebnisse veröffentlichen.

Demnach müssen Cloud-Anbieter für ihre Dienste je nach Stufe bestimmte Kriterien erfüllen. Stufe 1 benötigt ein niedriges Maß an Souveränität, Stufe 4 ein hohes. Bei Daten, die weniger sensibel sind, reiche die Sicherheitsstufe 1 aus. Demnach müssten Behörden lediglich sicherstellen, diese Daten in europäischen Rechenzentren zu speichern statt in beispielsweise US-amerikanischen. Öffentliche Auftraggeber in den EU-Mitgliedstaaten sollen nur Cloud-Dienste beschaffen, die mindestens Stufe 1 erfüllen. Hier ändert sich für die großen Cloud-Anbieter aus den USA wie Amazon und Google nichts. Denn sie haben die dazu erforderlichen Niederlassungen in der EU und betreiben hier bereits eigene Rechenzentren.

Auch mit der zweiten Sicherheitsstufe würde sich für sie nichts ändern, das erklärte ein hochrangiger EU-Beamter. Die Kommission hat dabei das Risiko eines Kill Switch im Blick. Damit ist gemeint, dass Betreiber aus der Ferne das IT-System abschalten könnten. Der jeweilige Cloud-Anbieter muss bei Stufe 2 ausschließen, dass Nicht-EU-Länder wie die USA oder China den Kill Switch umlegen könnten.

Cloud-Anbieter aus den USA ausschließen?

Stufe 3 soll erfordern, dass sich Cloud-Anbieter innerhalb der EU befinden und von dort aus kontrolliert werden. Daneben sollen sie Mitarbeitende mit europäischer Staatsangehörigkeit beschäftigen. Einflussnahme durch Drittstaaten soll damit reduziert werden. Virkkunen erklärte auf der Pressekonferenz, dass es US-Cloud-Anbieter schwer haben würden, Stufe 3 zu erreichen.

Doch es gibt ein Schlupfloch: Nach Artikel 18 hat die Kommission die Möglichkeit „von den Anforderungen auf Stufe 3 abzuweichen und Drittstaaten für Cloud-Anbieter anzuerkennen“, so Dennis-Kenji Kipker, Research Director und Gründer des Frankfurter Cyberintelligence Institute, gegenüber netzpolitik.org. Dazu dienen sogenannte Angemessenheitsbeschlüsse im Gesetz. Solche Beschlüsse beim Thema Datenschutz haben in der Vergangenheit gezeigt, dass die Kommission die USA trotz erheblicher Bedenken als vertrauenswürdigen Partner ansieht.

Die höchste Stufe soll nicht nur besonders für sicherheitssensible Bereiche gelten, sondern biete laut Kommission auch maximale Souveränität: EU-Länder sollen ihren gesamten Technologie-Stack von der Hardware bis zur Software vollständig kontrollieren. Das würde Nicht-EU-Anbieter ausschließen. Demnach dürften Cloud-Anbieter in dieser Stufe keiner Einflussnahme aus einem Drittland unterliegen.

Mitgliedstaaten entscheiden

Es bleibe „den Mitgliedstaaten vorbehalten“, wie sie bewerten, was „souveränitäts- und sicherheitskritisch“ ist. Die Kommission gibt also nicht vor, wie die EU-Länder das Stufensystem umsetzen sollen. Sie empfiehlt etwa die Bereiche Justiz, Polizei und Grenzschutz der Stufe 2 zuzuordnen. Das kritisiert die Grünenpolitikerin Alexandra Geese. „Wer akzeptiert, dass eine außereuropäische Regierung im Ernstfall Einfluss auf den Betrieb kritischer digitaler Infrastrukturen von Justiz, Polizei, nationale Sicherheit und Grenzschutz nehmen oder deren Verfügbarkeit gefährden kann, schafft institutionalisierte Abhängigkeit.“

Der Stufe 4 ordnet die Kommission den Bereich Verteidigung zu. Das würde nur etwa ein Prozent staatlicher Daten betreffen. Der Großteil von 70 Prozent sei weniger schutzbedürftig und falle damit unter Stufe 1, während 20 Prozent unter Stufe 2 und neun Prozent unter Stufe 3 fielen.

Inwieweit EU-Länder jedoch US-Cloud-Anbieter meiden und wie „das Ergebnis der Bewertung und Einordnung des Sicherheitsniveaus“ ausfällt, hänge wesentlich von ihrem „Risiko-Sicherheitskontext“ ab, so Kipker. Die Kommission spricht hier kein Vergabeverbot aus. Die Länder entschieden also selbst, ob „in einem besonders sensiblen Anwendungsfall die Wahl eines hohen Sicherheitsniveaus einen außereuropäischen Anbieter faktisch ausschließt“.

Die Kommission gibt auch nicht vor, wie die EU-Länder ihre Behörden von einem Cloud-Anbieter wie Amazon oder Microsoft zu einem europäischen Anbieter migrieren. Immerhin hätte CADA nach Inkrafttreten „unmittelbare Geltung und Anwendungsvorrang, und die Kommission könnte Verstöße über das Vertragsverletzungsverfahren nach AEUV durchsetzen“, erklärt Kipker.

Das Gesetzespaket geht nun an das europäische Parlament und die Mitgliedstaaten. Gerade von letzteren hängt ab, ob sich die Cloud-Landschaft für die Behördenarbeit in der EU tatsächlich verändert.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In einem „Entlastungsgesetz“ der Thüringer Brombeerkoalition versteckt sich die Abwicklung staatlicher Transparenzpflichten. Zivilgesellschaftliche Organisationen fordern stattdessen eine Verbesserung des bestehenden Transparenzgesetzes und mehr Digitalisierung in der Verwaltung.

Die Thüringer Regierungskoalition (CDU, SPD, BSW) will im Namen der Modernisierung ein sogenanntes „Entlastungsgesetz“ verabschieden und damit nach eigenen Angaben die Bürokratie abbauen. Die Maßnahmen haben demnach das „Ziel, Abläufe zu vereinfachen und Ressourcen zu schonen“.

Das sieht Arne Semsrott, Transparenz-Experte und Chefredakteur von FragDenStaat, anders. Gegenüber netzpolitik.org äußert dieser: „Die längst überfällige Veröffentlichungspflicht für Kommunen auf den letzten Metern noch zu streichen, passt zur peinlichen Digitalisierungs- und Demokratieverweigerung von CDU und SPD. Dass der BSW daran mitwirkt, ist auch kein Wunder.“

Die Open Knowledge Foundation (OKF), Wikimedia und der Hackspace Jena kritisieren das Gesetzesvorhaben ausführlich in ihren parlamentarischen Stellungnahmen. Der Stellungnahme des Hackspace schließt sich der Chaos Computer Club (CCC) an. Sie alle kommen zu ähnlichen Ergebnissen: Das geplante Entlastungsgesetz baut Transparenz gegenüber den Bürger:innen und Presse ab – und verfehlt sein Modernisierungsziel. Bisherige Fortschritte würden mit dem Gesetz zunichtegemacht. Auch das ausgewiesene Ziel der Landesregierung, die Effizienz zu erhöhen, werde verfehlt. Nicht trotz, sondern aufgrund des Rückbaus.

Transparenzpflicht soll Kann-Bestimmung werden

Die Organisationen sehen im Entlastungsvorhaben vor allem einen Rückbau des Thüringer Transparenzgesetzes (ThürTG) aus dem Jahr 2019. Thüringer Behörden stellen aufgrund des Gesetzes amtliche Informationen unaufgefordert auf dem Thüringer Transparenzportal (TTP) zur öffentlichen Verfügung. Diese Veröffentlichungspflichten sollen nun „zusammengekürzt werden – getarnt als ‚Bürokratieentlastung'“, moniert der CCC.

Die Vorschriften des Transparenzgesetzes sollen in „Kann-Bestimmungen“ umgewandelt werden, die auf Freiwilligkeit setzen und damit zu weniger Transparenz führen, heißt es dazu in der Stellungnahme des Hackspace Jena. „Der geplante § 6 Abs. 3 S. 1 ThürTG schafft die bisherige Transparenzpflicht de facto ab. Die Informationen aus dem gekürzten Katalog können eingestellt werden. Damit ist zu erwarten, dass die ohnehin sehr dürftigen Informationen im TTP noch weniger werden.“

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Timo Melzer kritisiert die Änderungen in der Anhörung zum Gesetzesvorhaben. Sein Amt spreche sich deutlich gegen eine Umwandlung von Soll- in Kann-Bestimmungen aus. Dies diene „nicht dem Zweck des Thüringer Transparenzgesetzes, der die Förderung der demokratischen Meinungs- und Willensbildung sowie die Ermöglichung der Kontrolle staatlichen Handelns verfolgt“. Beides sei in der heutigen Zeit „wichtiger denn je, auch gerade im Hinblick auf Fake News“, so Melzer. Ohne eine verbindliche Veröffentlichungspflicht würde zudem die Qualität und Quantität der Informationen im TTP erheblich reduziert werden.

Frustrierendes Transparenzportal

Melzer sagt, dass durch die Änderung sogar ein höherer Verwaltungsaufwand möglich sei. Er ist davon überzeugt, dass die Attraktivität des TTP durch konsequente Digitalisierung gesteigert werden kann. Die tatsächliche Nutzung der Plattform ließe sich demnach erhöhen, wenn die Nutzbarkeit der Webseite verbessert werde. Beispielsweise durch ein verbessertes IT-Design und KI-Unterstützung auf dem Portal.

Der Hackspace Jena kritisiert in diesem Zusammenhang die ohnehin dürftige Bilanz des staatlichen Portals im Vergleich mit anderen Bundesländern: Seit Inkrafttreten des Transparenzgesetzes Im Jahr 2020 seien insgesamt nur 907 Dokumente eingestellt worden. Gleichzeitig habe Hamburg insgesamt 170.000 Dokumente veröffentlicht. In Rheinland-Pfalz seien es 31.000 Dokumente.

Der Hackspace kritisiert auch die technische Umsetzung des Portals selbst: Aus Sicht der Psychologie und Kognitionsforschung führten lange Ladezeiten bereits ab 5 Sekunden zu einem Gefühl von Verunsicherung und Vertrauensverlust bei den Nutzenden. Ab 15 Sekunden sei es Frustration. Nutzende würden eine Webseite unter solchen Umständen wieder verlassen – und beim TTP läge die vollständige Ladezeit zwischen 20 und 47 Sekunden. Netzpolitik.org hat die langen Ladezeiten in einer Stichprobe ebenso nachvollziehen können.

De facto Rückabwicklung zum Informationsfreiheitsgesetz

„Letztlich entwickelt sich das Transparenzgesetz zurück und ist damit im Kern nur noch ein Informationsfreiheitsgesetz“, so der Hackspace Jena in der Stellungnahme. Berichtspflichten an den Landtag entfielen. Beispielsweise für Gutachten, Stellungnahmen von Verbänden und für Kabinettsvorlagen würden Ausnahmen geschaffen. Es würden damit genau jene Dokumente herausgelöst, die für informierte gesellschaftliche Teilhabe zentral seien.

„Ein Ziel eines Transparenzgesetzes sollte es sein, den Bürgerinnen und Bürgern Informationen auch während des normsetzenden Verfahrens zur Verfügung zu stellen“, so Hackspace Jena. Die Ausnahmen sorgten nun dafür, dass Dokumente „erst nach Abschluss des Verfahrens und auf Antrag zur Verfügung stehen“. Damit werde die Möglichkeit eingeschränkt, das Verfahren überhaupt noch beeinflussen zu können.

Informationsfreiheitsgesetze regeln den voraussetzungslosen Zugang zu amtlichen Informationen. Doch unter dieser Maßgabe bleibt Transparenz auf die Eigeninitiative von Bürger:innen und Journalist:innen angewiesen – die Informationen müssen extra angefragt werden. Transparenzgesetze verfolgen demgegenüber das Ziel, die Behörden zu einer unaufgeforderten Veröffentlichung zu verpflichten.

Laut der Stellungnahme der OKF, Betreiberin der Plattform FragDenStaat, werde nun aus der Pflicht, digitale Dokumente vorzulegen, ein Ermessen, dies zu verweigern. Auch die Rechte des Landesbeauftragten für den Datenschutz und die Informationsfreiheit würden de facto abgeschwächt.

Abbau von Transparenz führt zu Ineffizienz

Die Thüringer Landesregierung begründet das „Entlastungsgesetz“ mit zwei Hauptargumenten: Die Transparenzpflicht würde Personalressourcen binden. Ein prominent genanntes Beispiel ist dabei der Aufwand durch Schwärzungen. Zudem werde das Portal ohnehin kaum genutzt, während kommerzielle Suchmaschinen in der Regel schnellere Ergebnisse lieferten. Beide Argumente seien laut den Stellungnahmen ungültig – und zwar unter Berufung auf den Evaluationsbericht, den die Landesregierung selbst beim Deutschen Forschungsinstitut für öffentliche Verwaltung in Auftrag gegeben hat.

Laut der OKF kam das Institut in dem rund 200 Seiten starken Bericht zu dem Ergebnis, dass es am Vollzug der Regelungen mangele – nicht, dass der Verwaltungsaufwand ein Problem darstelle. Vielmehr gäbe es „‚deutliche Vollzugsdefizite‘ beim Einstellen von Informationen, die auch auf unklare Formulierungen in den §§ 5 und 6 ThürTG zurückzuführen seien“.

„Anstelle einer Abschwächung der Transparenz empfiehlt die Evaluation eine Schärfung der Definitionen sowie die Verfolgung des in anderen Bundesländern gängigen ‚Access for one – Access for all‘-Ansatzes, bei dem individuell beantragte Informationen automatisch auch ins Transparenzportal überführt werden“, so die OKF. Es könne zudem keine Lösung sein, die Bereitstellung staatlicher Informationen an Privatkonzerne zu übertragen – zumal bei Suchmaschinen ohnehin nur gelistet werden könne, was vorher auch veröffentlicht wurde.

Regierungskoalition ignoriert Evaluationsbericht

Auch der Hackspace Jena quittiert der Landesregierung insgesamt: „Bei dem vorliegenden Entwurf ist nicht zu erkennen, dass diese Vorschläge umgesetzt worden oder dass diese Erkenntnisse irgendwie in den Entwurf eingeflossen sind.“

Dem Aufwand von Schwärzungen ließe sich durch eine konsequente Digitalisierung der Verwaltung ebenfalls begegnen, so die Stellungnahme von Wikimedia, und zwar automatisiert, „technisch wirksam und ohne weiteres Zutun“ indem personenbezogene Sachverhalte in Dokumenten maschinenlesbar codiert werden. Es sei demnach die IT-Infrastruktur zu modernisieren, die gleichsam die Voraussetzung für weitere Modernisierungsvorhaben sei.

„Die geplanten Änderungen des Thüringer Transparenzgesetzes gehen an der ausweislichen Zielstellung des Thüringer Entlastungsgesetzes vorbei“, kritisiert Wikimedia ferner. Wenn die Handlungsfähigkeit und Effizienz der Verwaltung durch das ThürTG beeinträchtigt werde, sei dies lediglich ein Indikator für mangelnde Verwaltungsdigitalisierung. Die automatisierte Veröffentlichung von Dokumenten schaffe nicht nur Transparenz, sondern auch eine Grundlage für viele weitere alltägliche Behördenabläufe – intern oder im Austausch mit den Bürger:innen.

Probleme bei personellen Ressourcen ausgerechnet durch den Abbau von Transparenzvorschriften lösen zu wollen, sei deshalb kontraproduktiv, so Wikimedia. Grundlegende Ursachen würden dadurch nicht angegangen, sondern lediglich die „sichtbaren Konsequenzen abgeschafft“. Dies mache es in der Zukunft umso schwerer, Effizienzprobleme zu erkennen.

Gemeinde- und Städtebund begründet mit Personalmangel

Dr. Carsten Rieder, geschäftsführendes Vorstandsmitglied des Gemeinde- und Städtebundes Thüringen, argumentiert in der Anhörung zum Gesetzesvorhaben dennoch mit einer Mehrbelastung für die Kommunen. Transparenz werde prinzipiell unterstützt, aber durch die Pflichten entstünden personelle Mehrbelastungen im Verwaltungsalltag. Zudem gäbe es Berichte von Einzelfällen, in denen Verwaltungseinheiten mit Anfragen überhäuft würden. Die Transparenzgesetze könnten demnach „ansatzweise missbräuchlich“ genutzt werden, um „Verwaltungen lahmzulegen“.

Melzer sieht auch in dieser Hinsicht das Potenzial bei technischen Lösungen, die Missbrauch verhindern können. Nach seinem Kenntnisstand würden Mitarbeitende der Kommunen das TTP zudem selbst nutzen, um sich einen schnellen Informationsüberblick zu verschaffen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Was früher noch händisch im Kalender gezählt wurde, machen viele mittlerweile mit einer App: den Zyklus tracken. Doch viele bekannte Apps geben die intimen Daten zu Werbezwecken weiter. Deswegen hat netzpolitik.org besonders datensparsame Zyklus-Apps zusammengetragen.

In welchem Rhythmus man menstruiert, unterscheidet sich von Person zu Person. Das manuell immer wieder nachzuzählen und im Blick zu behalten, kann sehr nervig sein. Um so praktischer, dass es mittlerweile viele Apps gibt, die einem helfen den eigenen Zyklus, das heißt zum Beispiel die Menstruation, den Eisprung und die fruchtbare Phase, zu tracken. Allerdings setzten viele der bekannteren Zyklus-Apps nicht so stark auf Privatsphäre.

Mehrere Untersuchungen, zum Beispiel von Privacy International oder der Mozilla Foundation, konnten nachweisen, dass diese Apps persönliche Daten speichern und an Werbetreibende und Datenhändler verkaufen. Momentan läuft ein Gerichtsprozess gegen die bekannteste App Flo in den USA, weil deren Betreiber von 2016 bis 2019 Nutzer*innendaten an Google und Meta weitergegeben haben sollen.

Daten zu Schwangerschaft sind besonders wertvoll

Der Zugriff auf intime Gesundheitsdaten ist für viele kommerzielle Zyklus-Tracking-Apps die Grundlage ihres Geschäftsmodells. Viele dieser Apps fragen auch deutlich mehr Parameter ab als nur solche zum Zyklus, zum Beispiel genutzte Verhütungsmittel, Alkoholkonsum oder Feiergewohnheiten.

Daten über den Zyklus, besonders über eine bestehende Schwangerschaft, werden von der Branche als wertvoller eingestuft als andere. Es gibt einige Studien, die Korrelationen zwischen Schwangerschaftshormonen und dem Kaufverhalten untersuchen und Zusammenhänge zu einer Art Nestbautrieb aufstellen. Die Marketingbranche würde seit der Mitte des 20. Jahrhunderts werdende Eltern als immer lukrativeren Markt einstufen und mit Werbung anvisieren, so Lara Freidenfelds in ihrem Buch zum Mythos der perfekten Schwangerschaft.

Außerdem warnt Privacy International vor der Gefahr von Zyklus-Apps in einer „post-Roe-Welt“. Nachdem Abtreibungsrechte in den Vereinigten Staaten gekippt wurden, gäbe es Grund zur Sorge, dass Daten von Zyklus-Apps als Beweise in der Kriminalisierung von Schwangerschaftsabbrüchen genutzt werden könnten.

Deswegen ist es um so wichtiger, seine Daten vor der Weitergabe zu schützen. Dazu gibt es einige Zyklus-Apps, die großen Wert auf die Privatsphäre der Nutzer*innen legen. Diese stellen wir hier vor:

Drip

Drip ist eine Open-Source-App von feministischen Coder*innen aus Berlin. Das bedeutet, dass der Quellcode der App für alle zugänglich und einsehbar ist.

• Welche Features bietet Drip?
  Mit der App lassen sich die einzelnen Phasen des Zyklus verfolgen und tägliche Symptome eintragen. Zusätzlich ermöglicht Drip das Tracken des Zyklus mit der sympto-thermalen Methode. Dabei wird zum Beispiel die fruchtbare Phase nicht allein über das Abzählen der Tage bestimmt, sondern auch Werte wie die Körpertemperatur fließen in die Berechnungen ein. Nicht alle Zyklus-Apps haben diese Funktion.
  Drip erstellt Vorhersagen für die nächste Menstruation und zeigt Diagramme für eine zyklusübergreifende Übersicht. Dabei sind die Rechenmethoden transparent einsehbar. Man kann Benachrichtigungen einstellen und den Zugriff auf die App mit einem eigenen Passwort schützen.
• Welche Rolle hat Privatsphäre?
  Drip ist eine besonders tracking-arme App. In ihrer Datenschutzerklärung heißt es: „Drip respektiert und feiert deine Privatsphäre“. Es würden keine Nutzungsdaten oder persönliche Daten gesammelt werden und es gäbe keine Werbung. Die App speichere alle Daten lokal auf dem Handy. Keine anderen Apps sollen auf diese Daten zugreifen können. Mit Ausnahme der Benachrichtigen nutzt Drip keine anderen Handyfunktionen. Eine Anmeldung in der App mit der E-Mail-Adresse sei auch nicht nötig. Für mehr Transparenz kann man den Code der App einsehen.
  Eine der Entwicklerinnen von Drip berichtete 2022 auf netzpolitik.org bereits von der App. Die Coder*innen würden keine kommerziellen Interessen verfolgen, sondern auf „Transparenz und Teilhabe“ setzen.
• Wie funktioniert der Umstieg auf Drip?
  Drip bietet eine detaillierte Anleitung zum Umstieg auf ihre App. Weil viele Apps unterschiedliche Formate nutzen, ihre Daten zu speichern, ist es meist schwierig, die Daten zu exportieren. Drip empfiehlt, sie manuell zu überschreiben. Dafür stellen die Macher*innen eine Dateivorlage zur Verfügung, in die man die relevanten Daten eintragen kann, etwa zum Eisprung oder der Periode. Das kann eine Weile dauern. Die ausgefüllte Datei kann man anschließend über die Einstellungen in die App importieren.
  Für den Umstieg von den weit verbreiteten Apps Flo und Clue empfiehlt Drip sogenannte „Converter“, die andere Menschen programmiert haben und über Plattformen wie GitHub zur Verfügung stellen. Damit werden die Daten aus den alten Apps so umgestellt, dass sie für Drip lesbar sind.

Drip ist verfügbar im Google PlayStore, im App Store und bei F-Droid.

Euki

Euki ist eine App der Women help Women Foundation, die sich als internationale gemeinnützige Organisation für reproduktive Rechte und den Zugang zu sicheren Abreibungen einsetzt.

• Welche Features bietet Euki?
  In der App können Nutzer*innen ihre Symptome eintragen. Es werden Vorhersagen für die nächste Menstruation gemacht. Dazu errechnet Euki den Durchschnitt einiger Werte wie der Zykluslänge oder der Menstruationslänge. Außerdem kann man in der Kalenderfunktion Termine eintragen sowie Erinnerungen einstellen, wann man Medikamente nehmen muss. Die Körpertemperatur könne noch nicht mit Euki getrackt werden, so Euki in seinen FAQs.
  Dafür bietet Euki weitere Gesundheitsangebote, wie medizinische Informationen zu Verhütungsmitteln.
• Welche Rolle hat Privatsphäre?
  Die Analyse der Mozilla Foundation hat die App als sicher eingestuft. Euki selbst verpflichtet sich der Privatsphäre. Auf der Website heißt es: „Wir glauben Privatsphäre ist ein Grundrecht, kein kostenpflichtiges Feature.“
  Alle Daten, die in der App eingegeben werden, würden lokal auf dem Gerät anstatt in einer Cloud gespeichert. Beim Löschen der App würden auch alle eingegebenen Daten gelöscht, so Euki. Auch Cookies und Nutzeraktivität tracke Euki nicht. In der Datenschutzerklärung heißt es: „Die App sammelt keine persönlich identifizierbaren Informationen oder anonyme Informationen automatisch“.
  Eine Anmeldung in der App mit der E-Mail-Adresse sei auch nicht nötig. Für einen zusätzlichen Schutz der Daten lasse sich eine PIN einrichten. Im Falle einer Handydurchsuchung lasse sich die PIN „0000“ eingeben, um in der App falsche Daten anzeigen zu lassen.
• Wie funktioniert der Umstieg auf Euki?
  Gegenüber netzpolitik.org erklärt Euki, dass es bis jetzt keine automatisierte Möglichkeit gäbe, von anderen Zyklus-Apps auf Euki zu wechseln. Man müsse alles manuell übertragen. Euki arbeite gerade an einer Funktion für den Datenimport.

Euki ist im Google PlayStore und App Store verfügbar.

Periodical

Periodical ist eine quelloffene Zyklus-App von Softwareentwickler Arno Welzel.

• Welche Features bietet Periodical?
  Periodical sei für die Bestimmung der fruchtbaren Tage gedacht, so die Beschreibung im Google PlayStore. Dies berechnet die App mit der Knaus-Onigo-Rechenmethode. Wer den Zyklus trackt, um eine Schwangerschaft zu vermeiden, solle lieber Apps nutzen, die mit der basalen Körpertemperatur arbeiten, da dies genauer sei.
  Man kann Symptome täglich eintragen, die in einem Listenformat einsehbar sind. Backups können auf eine externe Speicherkarte gespeichert werden.
• Welche Rolle hat Privatsphäre?
  Nach Angaben im Google PlayStore sammle Periodical keine Nutzer*innendaten und gebe die Daten nicht an Dritte weiter. Für mehr Transparenz kann man den Code der App einsehen.
• Wie funktioniert der Umstieg auf Periodical?
  Bei einem Wechsel zu Periodical müssen Daten manuell übertragen werden. Auf Anfrage von netzpolitik.org bestätigt Arno Welzel, dass es keine andere Möglichkeit gäbe umzusteigen.

Periodical ist verfügbar im Google PlayStore und bei F-Droid.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.