Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine Prüfung des Arzt- und Impftermin-Services Doctolib eingeleitet. Durch Medienberichte war sie darauf aufmerksam geworden, dass die Doctolib-App Gesundheitsdaten mit Facebook und weiteren Werbedienstleistern geteilt haben soll.
Nach einer ersten vorläufigen Prüfung geht die Datenschutzbeauftragte davon aus, dass ein Datenschutzverstoß zumindest nicht ausgeschlossen werden könne, so ein Sprecher gegenüber netzpolitik.org. Die Behörde wird im Rahmen der Prüfung nicht nur die Verantwortlichen bei Doctolib um eine Stellungnahme bitten, sondern auch mit der französischen Datenschutzaufsichtsbehörde CNIL Kontakt aufnehmen. Doctolib hat auch eine Niederlassung in Frankreich.
Aufgedeckt hat die Übertragung der Gesundheitsdaten eine Recherche von mobilsicher.de. Dabei kam heraus, dass sowohl Sucheingaben aus der App wie auch die Angabe, ob jemand privat oder gesetzlich versichert ist, an Facebook und die Werbeplattform Outbrain übertragen wurden.
Keine Antworten von Doctolib
Doctolib hat die Praxis der Datenweitergabe kurz nach der Anfrage von mobilsicher.de beendet. Angeblich dienten die fraglichen Cookies nur dazu, den Erfolg von Marketing-Kampagnen zu messen, teilte Doctolib gegenüber mobilsicher.de mit.
Wir haben bei Doctolib am vergangenen Dienstagmittag selbst nachgehakt und gefragt, warum dafür die Übermittlung des Versichertenstatus und der Suchanfrage nötig gewesen sein sollen. Auch wollten wir wissen, was auf Seiten von Outbrain und Facebook mit den Daten passierte, wie viele Nutzer:innen von der Datenübermittlung betroffen waren und ob Doctolib ausschließen könne, dass Facebook und Outbrain die übermittelten Daten weiterverarbeitet haben.
Auf all diese Fragen haben wir trotz mehrfacher Rückfragen bis heute keine Antwort von Doctolib erhalten. Der Fall ist unabhängig von einem Bericht auf Zeit Online, der herausfand, dass durch eine Sicherheitslücke Dritte auf Terminbuchungen zugreifen konnten. Doctolib bestreitet das. Dem Bericht zufolge gab es ein großes Leck, bis zu 150 Millionen Datensätze sollen zeitweise frei zugänglich gewesen sein.
Filtermechanismen bei Facebook
Nach Veröffentlichung des Artikels hatte Facebook netzpolitik.org unaufgefordert ein Statement zugeschickt, dass die Übermittlung von Gesundheitsdaten an den Konzern bestätigt. „Wir sind mit Doctolib in Kontakt, um die korrekte Implementierung unserer Tools in Zukunft sicherzustellen“, so ein Facebook-Sprecher.
Im Statement heißt es weiter, dass Nutzer:innen der Business-Tools keine persönlichen Gesundheitsdaten mit Facebook teilen dürften. Sollten Unternehmen irrtümlich diese Daten an Facebook übermitteln, seien die Filtermechanismen bei Facebook so gestaltet, dass sie gesundheitsbezogene Informationen erkennen könnten und die erkannten Daten entfernen, bevor diese in Facebooks Anzeigensystemen gespeichert werden.
Netzpolitik.org kann die angesprochenen Filtermechanismen sowie die Erkennung und Entfernung von gesundheitsbezogenen Informationen durch Facebook nicht unabhängig überprüfen. Auch dem Landesdatenschutzbeauftragten in Hamburg liegen zu den Filtermechanismen bei Facebook keine Erkenntnisse vor. Bisher habe die Behörde auch noch keine Eingaben oder Beschwerden zum Thema erreicht, so ein Pressesprecher des Hamburger Datenschutzbeauftragten gegenüber netzpolitik.org.
Update 15:07 Uhr:
Doctolib hat uns via Twitter eine Stellungnahme geschickt.
Update 16:45 Uhr:
Doctolib hat mittlerweile geantwortet. Auf die Frage, warum das Unternehmen beim Cookie auch den Versichertenstatus und die Suchanfrage übertragen habe, antwortet Doctolib, dass man einen „generischen Cookie“ verwendet habe. Auf die Frage, was mit den Daten bei Facebook und Outbrain passiert sei und ob Doctolib ausschließen könne, dass die Daten nicht weiterverarbeitet wurden, sagt Doctolib: „Facebook hat uns bestätigt, dass dank ihres automatischen internen Prozesses die Suchbegriffe unserer Nutzer:innen sofort gelöscht wurden. Auch Outbrain hat bestätigt, dass alle Daten gelöscht sind.“ Zu der Frage wieviele Nutzer:innen betroffen seien, sagt das Unternehmen, dass es derzeit keine Informationen darüber habe, wie viele User:innen vor der Löschung der Cookies ihren Consent zu Marketing-Cookies gegeben hätten.
Schade nur, dass in der „Stellungnahme“ praktisch auf keine der Fragen eingegangen wird.
Ich finde schon lange, dass Doctolib unangemessen datenkrakerisch tätig ist und war komplett verwundert, dass dieser Oktopus für das Impf-Handling in Berlin ausgewählt wurde. Es ist sehr bedauerlich, dass viele Arztpraxen scheinbar naiv sich diesem Terminservice anvertrauen bzw. ihren Patienten/innen dies zumuten. Wozu muss man z.B. die Handynummer angeben, wenn man doch schon sein e-mail-Adresse angegeben hat – nur um einen Termin bei seinem Arzt zu buchen? Eins von beiden sollte ausreichen. Ich versuche Doctolib aus dem Weg zu gehen und wechsle deshalb auch schon mal zu einem anderen Facharzt.
Stehe Doctolib auch kritisch gegenüber und kann es nicht nachvollziehen
, warum so viele Ärzte / Verantwortliche hier so nachlässig sind. Daher würde mich interessieren, wie die Prüfung des Berliner Beauftragten für Datenschutz und Informationsfreiheit ausgefallen ist.