Seit nun mehr einem halben Jahr macht Facebook mit Negativschlagzeilen auf sich aufmerksam – in erster Linie durch die neuen Richtlinien für WhatsApp und die Weitergabe von Daten an das soziale Netzwerk. Nun zeigt sich die Datenkrake erneut – dieses Mal mit der Sammelei von Patientendaten.
Denn die Digitalisierung macht auch im medizinischen Bereich weiter Fortschritte – nicht zuletzt durch die Pandemie. Vor allem die Plattform Doctolib ist in Deutschland mittlerweile viel genutzt, auch im Zuge der Überlastung von Haus- und Fachärzten aufgrund der hohen Nachfrage der Corona-Impfung. Über Doctolib können Patienten Termine bei ihren gewünschten Ärzten buchen. Doch die Berliner Plattform gerät nun massiv in Kritik. Denn: Doctolib gibt Patientendaten an Facebook und auch Outbrain weiter.
→ Datenschutz Tipps: So behältst du deine Daten stets im Blick
„Nach Hodenkrebs gesucht? Dann hat Facebook auch davon erfahren.“
Egal welche Krankheit du hast oder aus welchem Grund du welchen Arzt besuchst. Das sollte nur deine Angelegenheit sein. Doctolib sieht das anders und schreibt Datenschutz eher klein als groß. Die Webseite mobilsicher.de, ein vom Bundesjustizministerium gefördertes Projekt von iRights e.V. und des Instituts für Technik und Journalismus, hat in einer Analyse herausgefunden, dass Doctolib Details über aktive Nutzer weitergibt.
Der Knackpunkt an der Sache: Die Datenschutzerklärung, die zu Beginn auf Doctolib angezeigt wird. Stimmst du dieser zu, sendet die Plattform regelmäßig Daten an Facebook und die Werbe-Webplattform Outbrain weiter. Laut Mobilsicher.de gibt Doctolib sämtliche getätigte Angaben mit der Identifikationsnummer (ID) und IP-Adresse an den Server von Outbrain weiter. Die gleichen Details bekommt auch Facebook – nur, dass das soziale Netzwerk eine eigene ID verwendet. Dementsprechend sind die Daten auch nicht anonymisiert, sondern lassen Rückschlüsse auf den Nutzer zu. Nähere Informationen zu konkret gebuchten Terminen nahmen die Cookies allerdings nicht auf.
Doctolib gibt Daten weiter: So gingen die Experten vor
Möchtest du über Doctolib einen Termin buchen, musst du nicht nur deinen Namen, Mail-Adresse und Co. eingeben, sondern auch, ob du privat oder gesetzlich versichert bist sowie den Grund für den Arztbesuch. So ging auch mobilsicher.de im Rahmen der Tests vor. Die Experten nutzen dafür nicht die Web-Version der Plattform, sondern die Android-App in der Version 3.2.26. Allerdings gehen die Experten davon aus, dass sich die Datenweitergabe auch in der iOS-App sowie der Webversion gleich verhält.
Über die Anwendungen suchten sie nach Urologen und gaben als Grund „Beratungsgespräch Vasektomie Sterilisation Mann“ an. Weiterhin gab mobilsicher.de an, privat versichert zu sein. Für den Besuch wählte man außerdem einen konkreten Arzt aus sowie einen entsprechenden Termin. In der darauffolgenden Cookie-Auswertung traten alle Suchanfragen auf.
→ Cookies löschen & deaktivieren: So bleiben deine Internet-Nutzerdaten geheim
Doctolib wehrt sich
Das Berliner Unternehmen hinter Doctolib wehrte sich prompt gegen die Vorwürfe der Experten und verweist auf die aktive Zustimmung der Datenschutzrichtlinien. Dennoch sei es für Nutzer nicht ersichtlich, welche Daten die Plattform an wen weitergibt, kritisiert mobilsicher.de.
Aber: Die kritisierten Cookies entfernte Doctolib kurzum von der Plattform trotzdem. Außerdem veranlasste man laut eigener Aussage, dass man die vermittelten Daten bei Facebook und Outbrain lösche. „Wir hätten das besser erklären können – aber dann wäre es auch komplexer geworden. Wir haben uns daher entschieden, die Kampagnenmessung über die beiden Drittanbieter ganz einzustellen“, verteidigt Dr. Ilias Tsimpoulis von Doctolib das Vorgehen gegenüber mobilsicher.de.
Schon Anfang des Monats geriet Doctolib insofern in die Kritik, da der Verein Civilcourage der Plattform den Negativpreis „Big-Brother-Award“ verlieh. In der Begründung hieß es, dass Doctolib die Vertraulichkeitspflichten verletze und Patientendaten für kommerzielle Zwecke missbrauche. Und das auch von Patienten, die über die Plattform keine Termine vereinbaren und noch nicht mal einen Account angelegt haben.
Facebook meldet sich ebenfalls zu Wort
Auch Facebook meldet sich zu Wort und betont, dass persönliche Gesundheitsdaten nicht über Business-Tools geteilt werden dürfen. Ein Facebook-Sprecher sagt gegenüber inside digital: „Sollten Unternehmen irrtümlich diese Daten mit uns teilen, sind unsere Filtermechanismen so gestaltet, dass sie gesundheitsbezogene Informationen erkennen können und die erkannten Daten entfernen, bevor diese in unseren Anzeigensystemen gespeichert werden. Wir sind mit Doctolib in Kontakt, um die korrekte Implementierung unserer Tools in Zukunft sicherzustellen.“
Ach du heilige Sch…. Ausgerechnet an Facebook. Und dann reagiert Doctolib empört auf die Meldung wie folgt, dass die Nutzer den Bedinungen ja zugestimmt hätten. F*ck off Doctolib, hab den Dienst seit Jahren gerne benutzt, da mein Hausarzt seit Anfang an dabei war. Aber lösche das Konto heute.
Ausgerechnet Facebook… Jede andere Datenkrake aus den USA oder China wäre mir lieber gewesen, als das Zuckerberg-Imperium.