arrow_back Blog
product

Warum wir keinen Standort erfassen: Unser Datenschutzversprechen

By I'm Okay Team ·

Die meisten Familiensicherheits-Apps verfolgen den Standort ihrer Nutzerinnen und Nutzer. Wir nicht.

Das ist eine bewusste Entscheidung, die fast alles andere an der Funktionsweise von I’m Okay prägt. Wir werden ständig darauf angesprochen – von Nutzerinnen und Nutzern, von Rezensenten, von potenziellen Käufern. Deshalb möchten wir hier ausführlich antworten.

Das Versprechen

I’m Okay erfasst zwei Dinge:

  1. Die E-Mail-Adressen der Kontakte, die Sie ausdrücklich hinzufügen (damit wir diese benachrichtigen können, falls Sie einen Check-in verpassen)
  2. Zeitstempel Ihrer Check-ins

Das ist die vollständige Liste. Bewusst nicht enthalten: irgendetwas über Sie als Person. I’m Okay erfordert keine Registrierung – keine E-Mail, kein Passwort, kein Konto. Die App identifiziert Sie mit einer anonymen, gerätespezifischen Kennung. Wir kennen weder Ihren Namen noch Ihre E-Mail-Adresse. Wir können Ihre Check-ins nicht aus eigener Initiative mit einer realen Identität verknüpfen.

Wir erfassen nicht:

  • Ihren Standort – zu keinem Zeitpunkt
  • Ihre Gesundheitsdaten
  • Beschleunigungssensor-, Gyroskop- oder sonstige Sensordaten Ihres Smartphones
  • Ihre Kontakte, abgesehen von den 1–3 Personen, die Sie ausdrücklich hinzufügen
  • Ihren Browserverlauf oder Ihre App-Nutzung
  • Ihre Fotos, Ihr Mikrofon oder Ihre Kamera
  • Jegliche „Verhaltensanalysen” oder „Nutzungsmuster”

Sollte eine Funktion erfordern, dass wir etwas aus dieser Liste erfassen müssen, werden wir sie nicht entwickeln.

Warum das wichtig ist

Es gibt drei Gründe, warum wir uns für die Nichterfassung von Daten entschieden haben – ungefähr in der Reihenfolge, in der sie uns beim Design begegnet sind.

1. Überwachung verändert die Beziehung

Eine tägliche Check-in-App bewegt sich in einem emotional sensiblen Raum: zwischen einem älteren Elternteil und einem erwachsenen Kind. Der eigentliche Zweck der App besteht darin, die Sorgen auf beiden Seiten zu lindern – die Sorge der Eltern, ihre Selbstständigkeit zu verlieren, und die Sorge der Kinder, nicht zu wissen, ob es ihnen gut geht.

Sobald die App mehr als das Nötigste erfasst, verschiebt sich dieses emotionale Gleichgewicht. Die Eltern fühlen sich beobachtet. Die Kinder haben mehr Daten, die sie ständig zu interpretieren versuchen. Statt Erleichterung zu bringen, wird die App zu einer neuen Quelle der Unruhe.

Eine Check-in-App sollte die Beziehung erleichtern, nicht unter Dauerkontrolle stellen. Das ist nur möglich, wenn die App so gut wie keine Daten erfasst.

2. Daten, die man nicht hat, können nicht missbraucht werden

Jedes Byte an Daten, das ein Unternehmen erfasst, ist eine potenzielle Haftung für die Zukunft. Datenpannen passieren. Übernahmen passieren. Vorladungen passieren. Interne Fehler passieren.

Eine Studie von IBM und Ponemon aus dem Jahr 2022 ergab, dass ein Datenschutzverstoß im Durchschnitt 4,35 Millionen US-Dollar kostet – und diese Zahl steigt weiter. Die Kosten für das Unternehmen sind dabei nur ein Maßstab. Für betroffene Nutzerinnen und Nutzer kann die Offenlegung von Bewegungsdaten, Gesundheitsdaten und Alltagsroutinen erheblichen Schaden anrichten.

Die einfachste Schutzmaßnahme lautet: gar nicht erst erfassen. Was wir nicht haben, können wir nicht verlieren. Was wir nicht haben, kann nicht per Vorladung herausverlangt werden. Was wir nicht haben, werden wir nicht versucht sein, zu monetarisieren.

3. Wir wollen kein Geschäftsmodell, das auf Daten angewiesen ist

Sobald ein Unternehmen Nutzerdaten in großem Umfang erfasst, entsteht ein enormer Druck, diese zu monetarisieren. Selbst Unternehmen, die mit guten Absichten gestartet sind, geraten oft auf diesen Weg. Standortdaten sind besonders wertvoll – für Werbetreibende, Einzelhändler und Datenhändler.

In diesem Geschäft wollen wir nicht tätig sein. Wir möchten ein fokussiertes Produkt mit einem nachhaltigen Abonnementmodell sein: Nutzerinnen und Nutzer, die erweiterte Funktionen wünschen, können über den App Store zu einem günstigen Monatspreis abonnieren (aktuelle Preise im App Store). Wir bieten einen nützlichen Dienst, betreiben keine Überwachungsinfrastruktur und schulden keinen Werbetreibenden irgendetwas.

Das ist nur möglich, wenn wir die entsprechenden Daten von Anfang an nicht erfassen.

Was wir durch den Verzicht auf Standortverfassung aufgeben

Der Kompromiss ist real. Ohne Standortdaten kann I’m Okay nicht:

  • Ihnen sagen, ob Ihr Elternteil zu Hause oder unterwegs ist
  • erkennen, ob jemand einen ungewohnten Bereich verlassen hat
  • bestätigen, ob der Arzttermin wahrgenommen wurde
  • Sie benachrichtigen, wenn jemand seit einer Stunde in einem Krankenhaus ist

Wenn Sie diese Funktionen wirklich benötigen, gibt es Life360 und ähnliche Apps, die das gut abdecken. Wir möchten nicht dasselbe sein.

Was I’m Okay stattdessen tut, ist die einfachste Version der Frage zu beantworten: „Geht es meinen Eltern heute gut?” – mittels eines täglichen Tippens als Ja/Nein-Signal. Das ist eine viel bescheidenere Frage als „Wo befinden sich meine Eltern gerade?”, aber es stellt sich heraus, dass genau das die Frage ist, die die meisten Familien beantwortet haben möchten.

Was ist mit Sturzerkennung und ähnlichen Funktionen?

Wir wurden gebeten, Sturzerkennung, Schlafverfolgung, Herzfrequenzüberwachung und andere sensorbasierte Funktionen hinzuzufügen. Wir haben all diese Anfragen abgelehnt.

Die Gründe:

  • Sturzerkennung erfordert Beschleunigungssensordaten, was kontinuierliche Hintergrundverarbeitung bedeutet und zu Fehlalarmen führen kann, die das Vertrauen in das gesamte System untergraben.
  • Schlafverfolgung setzt voraus, dass das Gerät nachts getragen wird – ein Schritt, den die meisten selbstständigen Seniorinnen und Senioren nicht konsequent unternehmen werden.
  • Herzfrequenzüberwachung dupliziert, was eine Apple Watch leistet – für diejenigen, die das möchten –, und bietet auf einem Smartphone, auf dem die Herzfrequenz ohnehin nicht zuverlässig gemessen werden kann, keinerlei Mehrwert.

Diese Funktionen klingen gut im Marketing und halten in der Praxis selten, was sie versprechen. Sie erfordern außerdem mehr Datenerfassung, mehr Akkuverbrauch, mehr Sensoren – genau das, was wir vermeiden möchten.

Wer Sturzerkennung wünscht, ist mit der Apple Watch hervorragend bedient. Wer Schlafverfolgung möchte, findet entsprechende dedizierte Apps. I’m Okay konzentriert sich auf das, was es gut kann: den täglichen Check-in.

Was ist mit Analysen? Müssen Sie nicht wissen, wie Menschen die App nutzen?

Ein wenig schon. Wir nutzen minimale, von Apple bereitgestellte Analysedaten (anonym, aggregiert, mit Opt-out-Möglichkeit), um Dinge wie Absturzraten und die Unterstützung von Betriebssystemversionen zu verstehen. Wir verwenden in der App weder Google Analytics, Mixpanel, Amplitude, das Facebook SDK noch andere Drittanbieter-Analysetools.

Die Marketing-Website (diese Seite) verwendet Google Analytics 4 zur Messung des Traffics, da wir verstehen müssen, welche Inhalte nützlich sind. Wir haben es so konfiguriert, dass keine IP-Adressen oder identifizierenden Daten über standardmäßig aggregierte Metriken hinaus erfasst werden.

Das ist das absolute Minimum für den Betrieb. Wir betrachten es als notwendigen Kompromiss – derzeit nützlich, langfristig ein Kandidat zur Abschaffung.

Unsere „Just in Case”-Funktion ist das Gegenteil von Überwachung

Wenn Sie die Just in Case-Funktion von I’m Okay genutzt haben, fragen Sie sich vielleicht, wie sie zu unserem Datenschutzansatz passt.

Just in Case ermöglicht es Ihnen, eine private Nachricht zu verfassen, die nur dann an Ihren Vertrauenskontakt gesendet wird, wenn Sie über einen längeren Zeitraum keinen Check-in durchführen (2, 3 oder 5 versäumte Tage – Ihre Wahl). Es handelt sich um eine optionale, selbst verfasste Nachricht – wie ein versiegelter Brief, der sich nur unter einer bestimmten Bedingung öffnet.

Das ist das Gegenteil von Überwachung:

  • Die Nachricht gehört Ihnen, wurde von Ihnen verfasst und wird von uns nie gelesen.
  • Sie ist im Ruhezustand verschlüsselt.
  • Die Auslösebedingung wird von Ihnen festgelegt.
  • Sie werden benachrichtigt, bevor eine Nachricht gesendet wird (damit Sie abbrechen können, falls Sie sich beispielsweise im Urlaub befinden).

Diese Art von Funktion ist nur möglich, weil wir keine Hintergrundüberwachung betreiben – es gibt keinen Widerspruch, weil wir damit gar nicht erst begonnen haben.

Wie wir mit den Daten umgehen, die wir tatsächlich haben

Die beiden Dinge, die wir speichern (E-Mail-Adressen von Kontakten, Check-in-Zeitstempel), sind:

  • Verschlüsselt bei der Übertragung (HTTPS für alle API-Aufrufe)
  • Verschlüsselt im Ruhezustand (Verschlüsselung auf Datenbankebene in unserem Backend)
  • Niemals verkauft oder weitergegeben an Dritte, für keinerlei Zwecke
  • Auf Anfrage gelöscht innerhalb von 30 Tagen nach einer Datenlöschanfrage (kein Konto zu schließen, da es gar keines gibt)
  • Nicht für Werbezwecke genutzt (wir schalten keine Werbung)

Die Daten werden auf Cloud-Infrastruktur verarbeitet (in diesem Fall AWS), was bedeutet, dass unser Hosting-Anbieter theoretisch Zugang hat – wie bei jedem modernen Webdienst. Das ist nicht ideal, aber ein pragmatischer Kompromiss. Die Datenmenge ist so gering, dass selbst bei einem vollständigen Datenbankabfluss der tatsächliche Schaden auf Spam an die E-Mail-Adressen Ihrer Kontakte beschränkt wäre.

Was wir damit bewirken möchten

Wir sind ein kleines Produkt. Wir erwarten nicht, den Markt für Familiensicherheits-Apps im Alleingang zu verändern. Aber wir möchten anderen Entwicklerinnen und Entwicklern in diesem Bereich etwas zeigen:

Es ist möglich, ein nützliches Familiensicherheitsprodukt zu entwickeln, ohne Standort-, Gesundheits- oder Verhaltensdaten zu erfassen. Es lässt sich mit einem kleinen Abonnement finanzieren. Es kann ohne ein von Risikokapital gestütztes Überwachungsgeschäftsmodell entwickelt werden.

Unabhängig davon, ob andere Unternehmen diesem Weg folgen – dies ist das Produkt, das wir selbst nutzen möchten, und von dem wir hoffen, dass es auch unsere eigenen Eltern nutzen würden.

Häufig gestellte Fragen

Können Sie beweisen, dass Sie keine Standortdaten erfassen? Nicht im absoluten Sinne – dafür müssten Sie unseren Quellcode und unsere Infrastruktur prüfen. Aber Sie können es selbst überprüfen: I’m Okay fragt nicht nach der iOS-Standortberechtigung. iOS selbst stellt sicher, dass eine App ohne das entsprechende Berechtigungs-Popup nicht auf den Standort zugreifen kann. Wenn wir die Standortverfassung starten wollten, müssten wir in einem sichtbaren Dialog auf Betriebssystemebene um Erlaubnis bitten. Daher gilt zumindest: Solange Sie diesen Dialog nicht sehen, können Sie sicher sein, dass keine Standortdaten übermittelt werden.

Was passiert, wenn Sie eine Vorladung erhalten? Wir würden einer gültigen rechtlichen Anforderung nachkommen, wie es jedes in den USA ansässige Unternehmen muss. Aber was wir herausgeben können, beschränkt sich auf die Daten, die wir haben: E-Mail-Adressen und Check-in-Zeitstempel. Wir verfügen über keinen Standortverlauf, keine Kontaktliste (abgesehen von den 1–3 Personen, die Sie ausdrücklich hinzugefügt haben) und keine Nachrichteninhalte (die Just in Case-Nachricht ist verschlüsselt und wird von uns nicht im Klartext gespeichert).

Werden Sie jemals Tracking-Funktionen hinzufügen? Nein. Die Ablehnung von Tracking ist in unseren Nutzungsbedingungen festgelegt, und wir würden es als wesentliche Änderung des Produkts betrachten, sollten wir jemals davon abweichen wollen. Sollten Sie jemals sehen, dass I’m Okay Standort-, Gesundheits- oder Verhaltensüberwachung einführt, sollten Sie es als ein anderes Produkt betrachten.

Was passiert im Fall einer Übernahme? Das Bekenntnis zur Datensparsamkeit müsste bestehen bleiben. Wir haben dies als unverzichtbaren Bestandteil des Produkts verankert – nicht als Marketingversprechen. Da wir diese Daten ohnehin nicht haben, hätte ein Käufer selbst dann nichts zu monetarisieren, wenn er es wollte.

Möchten die meisten Nutzerinnen und Nutzer nicht mehr Funktionen? Manche schon. Wir haben akzeptiert, dass I’m Okay nicht für alle geeignet ist. Es gibt einen echten Markt für überwachungsintensive Familien-Apps, und dieser ist gut finanziert. Wir richten uns an ein deutlich kleineres, aber durchaus vorhandenes Publikum – Nutzerinnen, Nutzer und Familien, die genau das Gegenteil suchen.

Wir sind der Überzeugung, dass Datenschutz keine Funktion ist, die man nachträglich ergänzt. Er ist eine grundlegende Bedingung, die alles andere prägt. I’m Okay zeigt, wie eine tägliche Check-in-App aussieht, wenn Datenschutz von Anfang an an erster Stelle steht.

Wenn Ihnen das zusagt, probieren Sie es gerne aus – kostenlos für 1 Kontakt, ohne GPS, ohne Überwachung.

#privacy#design philosophy#data minimalism

Related articles