Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine Prüfung des Arzt- und Impftermin-Services Doctolib eingeleitet. Durch Medienberichte war sie darauf aufmerksam geworden, dass die Doctolib-App Gesundheitsdaten mit Facebook und weiteren Werbedienstleistern geteilt haben soll.
Nach einer ersten vorläufigen Prüfung geht die Datenschutzbeauftragte davon aus, dass ein Datenschutzverstoß zumindest nicht ausgeschlossen werden könne, so ein Sprecher gegenüber netzpolitik.org. Die Behörde wird im Rahmen der Prüfung nicht nur die Verantwortlichen bei Doctolib um eine Stellungnahme bitten, sondern auch mit der französischen Datenschutzaufsichtsbehörde CNIL Kontakt aufnehmen. Doctolib hat auch eine Niederlassung in Frankreich.
Aufgedeckt hat die Übertragung der Gesundheitsdaten eine Recherche von mobilsicher.de. Dabei kam heraus, dass sowohl Sucheingaben aus der App wie auch die Angabe, ob jemand privat oder gesetzlich versichert ist, an Facebook und die Werbeplattform Outbrain übertragen wurden.
Keine Antworten von Doctolib
Doctolib hat die Praxis der Datenweitergabe kurz nach der Anfrage von mobilsicher.de beendet. Angeblich dienten die fraglichen Cookies nur dazu, den Erfolg von Marketing-Kampagnen zu messen, teilte Doctolib gegenüber mobilsicher.de mit.
Wir haben bei Doctolib am vergangenen Dienstagmittag selbst nachgehakt und gefragt, warum dafür die Übermittlung des Versichertenstatus und der Suchanfrage nötig gewesen sein sollen. Auch wollten wir wissen, was auf Seiten von Outbrain und Facebook mit den Daten passierte, wie viele Nutzer:innen von der Datenübermittlung betroffen waren und ob Doctolib ausschließen könne, dass Facebook und Outbrain die übermittelten Daten weiterverarbeitet haben.
Auf all diese Fragen haben wir trotz mehrfacher Rückfragen bis heute keine Antwort von Doctolib erhalten. Der Fall ist unabhängig von einem Bericht auf Zeit Online, der herausfand, dass durch eine Sicherheitslücke Dritte auf Terminbuchungen zugreifen konnten. Doctolib bestreitet das. Dem Bericht zufolge gab es ein großes Leck, bis zu 150 Millionen Datensätze sollen zeitweise frei zugänglich gewesen sein.
Filtermechanismen bei Facebook
Nach Veröffentlichung des Artikels hatte Facebook netzpolitik.org unaufgefordert ein Statement zugeschickt, dass die Übermittlung von Gesundheitsdaten an den Konzern bestätigt. „Wir sind mit Doctolib in Kontakt, um die korrekte Implementierung unserer Tools in Zukunft sicherzustellen“, so ein Facebook-Sprecher.
Im Statement heißt es weiter, dass Nutzer:innen der Business-Tools keine persönlichen Gesundheitsdaten mit Facebook teilen dürften. Sollten Unternehmen irrtümlich diese Daten an Facebook übermitteln, seien die Filtermechanismen bei Facebook so gestaltet, dass sie gesundheitsbezogene Informationen erkennen könnten und die erkannten Daten entfernen, bevor diese in Facebooks Anzeigensystemen gespeichert werden.
Netzpolitik.org kann die angesprochenen Filtermechanismen sowie die Erkennung und Entfernung von gesundheitsbezogenen Informationen durch Facebook nicht unabhängig überprüfen. Auch dem Landesdatenschutzbeauftragten in Hamburg liegen zu den Filtermechanismen bei Facebook keine Erkenntnisse vor. Bisher habe die Behörde auch noch keine Eingaben oder Beschwerden zum Thema erreicht, so ein Pressesprecher des Hamburger Datenschutzbeauftragten gegenüber netzpolitik.org.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires