Neuer Ärger für den Arzt-Terminvergabe-Dienst Doctolib. Durch eine Recherche von mobilsicher.de kam heraus, dass die App des Dienstleisters noch bis vor Kurzem sensible Gesundheitsdaten mit Facebook und dem Werbedienstleister Outbrain teilte.
Mobilsicher.de testete am 18. Juni die Android-Version 3.2.26 der Doctolib-App, die seit Ende Mai in Googles Play-Store zum Download bereit stand, und klickte bei der üblichen Datenschutzabfrage auf „Erlauben“. Ab diesem Moment sendete die App regelmäßige Anfragen an die Server von Facebook und der Werbeplattform Outbrain.
Den weiteren Testablauf beschreibt mobilsicher.de so:
Im Test haben wir uns dann bei Doctolib eingeloggt, nach einem Urologen gesucht und als Buchungsgrund „Beratungsgespräch Vasektomie Sterilisation Mann“ angegeben. Weiterhin haben wir einen Arzt ausgewählt, einen Termin angefragt und als Versicherungsstatus „privat versichert“ angegeben.
Nun sandte Doctolib laut dem Bericht in einem Link verpackt folgende Informationen:
- eine marketerID von Outbrain
- dass der Link von doctolib.de kommt
- das Suchwort Urologie
- unter „insuranceSector=private“ ist vermerkt, dass man sich als privat versichert ausgegeben hatte
- die gewünschte Behandlung: „motiveKey=Vorgespräch Vasektomie/Sterilisation Mann„.
Die Anfrage an Facebook enthielt laut mobilsicher.de die identischen Informationen, nur mit der anfangs vergebenen Facebook-ID. Dazu erhielten die beiden Dienste auch die IP-Adresse der Nutzer:innen. Die Suchanfrage wurde dann jeweils in einem Cookie auf dem Rechner der Nutzer:innen gespeichert.
Das Spiel ließ sich offenbar mit verschiedenen anderen Begriffen wiederholen, zum Beispiel mit „Mädchensprechstunde“ und „Frauenarzt“ und vielen mehr. Da es sich um eine Web-App handele, welche die Inhalte einer Website als App darstellt, dürfte das Verhalten auf der Webseite und in der iOS-App identisch sein, so der Bericht.
Mit der Recherche konfrontiert, reagierte Doctolib laut Mobilsicher.de schnell. Mittlerweile würden die Informationen nicht mehr weitergegeben und nicht mehr gespeichert. Im aktuellen Test binde Doctolib mobilsicher.de zufolge keinerlei Tracking-Cookies mehr ein und baue auch keine Internetverbindung zu Unternehmen auf, die in den Bereichen Tracking oder Werbung aktiv sind. Auch habe man bei Facebook und Outbrain die Löschung der erfassten Daten veranlasst, berichtet Mobilsicher.de.
Doctolib mauert bei kritischen Nachfragen
Angeblich dienten die beiden Cookies nur dazu, den Erfolg von Marketing-Kampagnen zu messen, teilte Doctolib mobilsicher.de mit.
Wir haben bei Doctolib am Dienstagmittag selbst nachgehakt und gefragt, warum dafür die Übermittlung des Versichertenstatus und der Suchanfrage nötig gewesen sein sollen. Auch wollten wir wissen, was auf Seiten von Outbrain und Facebook mit den Daten passierte, wieviele Nutzer:innen von der Datenübermittlung betroffen waren und ob Doctolib ausschließen könne, dass Facebook und Outbrain die übermittelten Daten weiterverarbeitet haben.
Auf all diese Fragen haben wir trotz mehrfacher Rückfragen bislang keine Antwort von Doctolib erhalten.
Die Firma hatte vor Kurzem erst einen BigBrotherAward wegen fragwürdiger Datenschutzpraktiken erhalten. Kritik gab es auch am Einsatz von Doctolib für die Planung der Covid-Impfungen, weil die Software nicht auf diesen Use-Case ausgelegt war.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires