Sensible Gesundheitsdaten: Was weiß Facebook über meine Diagnose?

Termin schnell und unkompliziert online buchen …

Schnell eine Videosprechstunde bei der Praxis des Vertrauens buchen oder jetzt schon einen Termin für die jährliche Vorsorge sichern: Das alles lässt sich über das Portal Doctolib mit wenigen Klicks online erledigen. Ärzt*innen können ihre Praxis im System eintragen und die Terminmanagement-Software für ihre Patient*innen nutzen. Patient*innen wiederum können neben der Praxis- und Terminsuche im eigenen Gesundheitsprofil auch Erinnerungen einrichten sowie medizinische Unterlagen bereits vorab an ihre Behandler*innen schicken. Das spart Zeit und Nerven, die man sonst in Telefonate, E-Mails und persönliche Besuche steckt. Die Digitalisierung kommt im Alltag an, finden viele und sind vom Service begeistert. Weil in Berlin viele Corona-Impftermine über die Plattform vergeben werden, stiegen sowohl die Zahlen der auf Doctolib vertretenen Praxen als auch der Nutzer*innen.

… auf Kosten des Datenschutzes?

Doch wo so sensible Daten wie die unserer persönlichen Gesundheit verarbeitet werden, da ist auch Kritik nicht weit. Das Berliner Tochterunternehmen Doctolib GmbH der französischen Doctolib SAS sah sich in den letzten Jahren häufiger kritisiert. Im Dezember 2020 wurde auf dem Chaos Communication Congress, einem internationalen Hacking-Treffen, das vom Chaos Computer Club organisiert wird, das Hacking von Metadaten auf Doctolib bekannt. Der Club hatte außerdem anonym einen riesigen Datensatz erhalten, in dem sich unter anderem Termine aus den 1990er Jahren befanden. Ein Sprecher des Clubs wies darauf hin, dass etwa Menschen, die regelmäßig Psychotherapie in Anspruch nähmen, von Erpresser*innen bedroht werden könnten.

Probleme gab es auch in Frankreich: Dort klagten Ärzteverbände gegen die Speicherung von Doctolib-Daten auf Servern von Amazon in den USA. Die sensiblen Daten seien dort nicht nach dem europäischen Datenschutzrecht gesichert. Allerdings vertrat das oberste Verwaltungsgerichts Frankreich im März 2021 die Ansicht, die Daten seien ausreichend geschützt.

In 2021 erhielt Doctolib vom Datenschutzverein Digitalcourage den Big Brother Award in der Kategorie Gesundheit – ein Negativpreis ähnlich wie der Goldene Windbeutel. Teilnehmende Praxen müssten laut den Verleiher*innen Doctolib Zugriff auf alle im Informationssystem der Praxis gespeicherten Stammdaten von Patient*innen erlauben. Dazu gehöre laut Digitalcourage auch ein regelmäßiger Abgleich zwischen den Terminen, die die Praxis selbst einspeist, und den durch Doctolib vermittelten Terminen. Hier würden Daten von Patient*innen übermittelt, die weder ein Konto auf der Plattform haben und auch nicht über die Übermittlung ihrer Daten informiert würden.

Noch mehr Kritik gab es nach einer Recherche des Portals mobilsicher.de: Ein Versuch ergab, dass die Doctolib-App Tracking-Cookies verwendete, um Anfragen an die Server von Facebook und der Werbeplattform Outbrain zu senden – angeblich nur, um Marketing-Erfolge zu messen, nicht für Werbung. In den Links wurden bei den Tests etwa Versicherungsstatus und gewünschte Behandlung festgehalten. Auf die Nachfrage von mobilsicher.de reagierte Doctolib rasch. Die Informationen würden inzwischen nicht mehr weitergegeben.

Bei sensiblen Daten gut abwägen

Heute ist es schwer, eine Plattform zu finden, die gänzlich unbelastet durch Skandale und Kritiken ist. Doch das heißt natürlich nicht, dass Nutzer*innen Verstöße gegen den Datenschutz im Austausch für einen zeitsparenden Service einfach hinnehmen müssen, nicht nur, aber insbesondere, wenn es um so sensible Daten geht wie in diesem Fall. Wägen Sie also stets gut ab, wo Sie sich anmelden, und informieren Sie sich etwa bei deutschen Datenschutzvereinen über aktuelle Kritiken und Empfehlungen. Auch Unternehmen können aus den Fehlern anderer lernen und sich so das Vertrauen Ihrer Kund*innen sichern.