ArzttermineDoctolib-App teilte sensible Gesundheitsdaten mit Facebook

Laut einem Medienbericht hat der in Deutschland vielfach genutzte Arzt- und Impfterminvergabedienst Doctolib sensible Suchanfragen seiner Nutzer:innen mit Facebook und der Werbeplattform Outbrain geteilt. Konkrete Nachfragen von netzpolitik.org lässt Doctolib bislang unbeantwortet. Dafür meldet sich jetzt Facebook.

Ein Doktor mit Stethoskop und Smartphone
Gesundheitsdaten sind besonders sensibel. (Symbolbild) – Gemeinfrei-ähnlich freigegeben durch unsplash.com National Cancer Institute

Neuer Ärger für den Arzt-Terminvergabe-Dienst Doctolib. Durch eine Recherche von mobilsicher.de kam heraus, dass die App des Dienstleisters noch bis vor Kurzem sensible Gesundheitsdaten mit Facebook und dem Werbedienstleister Outbrain teilte.

Mobilsicher.de testete am 18. Juni die Android-Version 3.2.26 der Doctolib-App, die seit Ende Mai in Googles Play-Store zum Download bereit stand, und klickte bei der üblichen Datenschutzabfrage auf „Erlauben“. Ab diesem Moment sendete die App regelmäßige Anfragen an die Server von Facebook und der Werbeplattform Outbrain.

Den weiteren Testablauf beschreibt mobilsicher.de so:

Im Test haben wir uns dann bei Doctolib eingeloggt, nach einem Urologen gesucht und als Buchungsgrund  „Beratungsgespräch Vasektomie Sterilisation Mann“ angegeben. Weiterhin haben wir einen Arzt ausgewählt, einen Termin angefragt und als Versicherungsstatus „privat versichert“ angegeben.

Nun sandte Doctolib laut dem Bericht in einem Link verpackt folgende Informationen:

  • eine marketerID von Outbrain
  • dass der Link von doctolib.de kommt
  • das Suchwort Urologie
  • unter „insuranceSector=private“ ist vermerkt, dass man sich als privat versichert ausgegeben hatte
  • die gewünschte Behandlung: „motiveKey=Vorgespräch Vasektomie/Sterilisation Mann“.

Die Anfrage an Facebook enthielt laut mobilsicher.de die identischen Informationen, nur mit der anfangs vergebenen Facebook-ID. Dazu erhielten die beiden Dienste auch die IP-Adresse der Nutzer:innen. Die Suchanfrage wurde dann jeweils in einem Cookie auf dem Rechner der Nutzer:innen gespeichert.

Das Spiel ließ sich offenbar mit verschiedenen anderen Begriffen wiederholen, zum Beispiel mit „Mädchensprechstunde“ und „Frauenarzt“ und vielen mehr. Da es sich um eine Web-App handele, welche die Inhalte einer Website als App darstellt, dürfte das Verhalten auf der Webseite und in der iOS-App identisch sein, so der Bericht.

Mit der Recherche konfrontiert, reagierte Doctolib laut Mobilsicher.de schnell. Mittlerweile würden die Informationen nicht mehr weitergegeben und nicht mehr gespeichert. Im aktuellen Test binde Doctolib mobilsicher.de zufolge keinerlei Tracking-Cookies mehr ein und baue auch keine Internetverbindung zu Unternehmen auf, die in den Bereichen Tracking oder Werbung aktiv sind. Auch habe man bei Facebook und Outbrain die Löschung der erfassten Daten veranlasst, berichtet Mobilsicher.de.

Doctolib mauert bei kritischen Nachfragen

Angeblich dienten die beiden Cookies nur dazu, den Erfolg von Marketing-Kampagnen zu messen, teilte Doctolib mobilsicher.de mit.

Wir haben bei Doctolib am Dienstagmittag selbst nachgehakt und gefragt, warum dafür die Übermittlung des Versichertenstatus und der Suchanfrage nötig gewesen sein sollen. Auch wollten wir wissen, was auf Seiten von Outbrain und Facebook mit den Daten passierte, wieviele Nutzer:innen von der Datenübermittlung betroffen waren und ob Doctolib ausschließen könne, dass Facebook und Outbrain die übermittelten Daten weiterverarbeitet haben. 

Auf all diese Fragen haben wir trotz mehrfacher Rückfragen bislang keine Antwort von Doctolib erhalten. 

Die Firma hatte vor Kurzem erst einen BigBrotherAward wegen fragwürdiger Datenschutzpraktiken erhalten. Kritik gab es auch am Einsatz von Doctolib für die Planung der Covid-Impfungen, weil die Software nicht auf diesen Use-Case ausgelegt war.

Update 19:15 Uhr: 

Nach Veröffentlichung des Artikels hat Facebook netzpolitik.org unaufgefordert ein Statement zugeschickt. In diesem heißt es: Nutzer:innen der Business-Tools dürften keine persönlichen Gesundheitsdaten mit Facebook teilen. Sollten Unternehmen irrtümlich diese Daten mit Facebook teilen, seien die Filtermechanismen des Unternehmens so gestaltet, dass sie gesundheitsbezogene Informationen erkennen könnten und die erkannten Daten entfernen, bevor diese in Facebooks Anzeigensystemen gespeichert werden. Ein Facebook-Sprecher sagte weiter: „Wir sind mit Doctolib in Kontakt, um die korrekte Implementierung unserer Tools in Zukunft sicherzustellen.“

Netzpolitik.org kann die angesprochenen Filtermechanismen sowie die Erkennung und Entfernung von gesundheitsbezogenen Informationen durch Facebook nicht unabhängig überprüfen. Von Doctolib haben wir weiterhin nichts gehört.

Update 24. Juni 2021, 17:00 Uhr:

Dem Landesdatenschutzbeauftragten in Hamburg liegen zu den Filtermechanismen bei Facebook keine Erkenntnisse vor. Bisher habe die Behörde auch noch keine Eingaben oder Beschwerden zum Thema erreicht, so ein Pressesprecher gegenüber netzpolitik.org.

Eine Antwort kam auch von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnbDI). Die Behörde ist durch Medienberichte darauf aufmerksam geworden, dass die App des Anbieters Doctolib sensitive Gesundheitsdaten mit Facebook und weiteren Werbedienstleistern geteilt haben soll. Nach einer ersten vorläufigen Prüfung geht die BlnBDI davon aus, dass ein Datenschutzverstoß zumindest nicht ausgeschlossen werden könne.

Die Aufsichtsbehörde habe daher eine Prüfung eingeleitet und wird den Verantwortlichen um Stellungnahme bitten. Im Rahmen dieser Prüfung wird die BlnBDI zudem in Kontakt mit der französischen Datenschutzaufsichtsbehörde CNIL treten, da der Verantwortliche auch eine Niederlassung in Frankreich hat.

Von Doctolib selbst gibt es weiterhin keine Antwort.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Man macht es bis es auffällt,
    dann hört man auf. Der Schaden ist entstanden und niemand wird bestraft und die Firmen wie Outbrain müssen die Daten auch nicht löschen. Aber wen interessiert es: wir haben ja nichts zu verbergen

  2. Wenn Unternehmen derart illegale Einnahmequellen erschließen, heißt das intern immer „Innovation“ oder „Business Hack“. Wenn sie dabei erwischt werden, wird daraus dann immer ein „Irrtum“ oder „Fehler“.

  3. Als Ergänzung:

    Eine gestern (23.6.21) veröffentlichte Recherche von ZEIT online berichtet, dass Doctolib nicht nur Daten an Facebook, sondern auch an Google weitergegeben hat oder noch immer weitergibt. Zudem seien bei Doctolib Bestandsdaten aus den Patientenakten gespeichert, die bis in die 1990er-Jahre zurückgehen. Darüber hinaus seien bei einer schon älteren Sicherheitslücke erheblich mehr Daten abrufbar gewesen, als Doctolib öffentlich zugebe. ZEIT online spricht unter Berufung auf den CCC von rund 150 Millionen Terminvereinbarungen.

    https://www.zeit.de/digital/datenschutz/2021-06/doctolib-online-buchung-arzttermin-impftermin-datenschutz-sicherheitsluecke-patientendaten/komplettansicht

  4. Und das ist nicht illegal?

    Wie wird jetzt sichergestellt, dass weder Facebook noch Google noch sonstwer diese Daten nutzen?

  5. Hallo Netzpolitik.
    Das Doctolib-Problem wird vermutlich noch länger Thema sein. Könntet ihr vllt. einen Musterbrief entwickeln, mit dem ich unter Verweis auf entsprende gesetzliche Regelungen meinen Arzt dazu auffordere meine (Gesundheits-)Daten aus dem System des Arztea sowie von Doctolib, zu löschen. Am besten, dass der Arzt auch Doctolib zur Löschung meiner Daten auffordern muss, etc. (Danach muss man natürlich einen anderen Arzt wählen.)
    Also, so ein Musterbrief ala ‚Kündigungsschreiben von der Verbraucherzentrale‘ (nur besser) wäre echt super von euch.
    Danke

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.