datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Doctolib-App: Gesundheitsdaten an Facebook und Outbrain übermittelt

  • Von Jana O.
  • Veröffentlichungsdatum: 28. Juni 2021
Geschätzte Lesedauer: 3 Minuten

Die Doctolib-App soll die Terminvereinbarung mit Ärzten vereinfachen und in das digitale Zeitalter holen. Und auch der Berliner Senat verlässt sich bei der Vergabe von Impfterminen in den Corona-Impfzentren auf die Terminvergabeplattform. Eine Recherche des Netzwerks mobilsicher.de brachte nun ans Licht: Doctolib hat sensible Gesundheitsdaten und Suchbegriffe von Nutzern an Facebook und die Werbefirma Outbrain übermittelt. Eine Recherche von ZEIT ONLINE zeigte, dass wohl auch an Google entsprechende Informationen flossen. Die Berliner Datenschutzbeauftragte, Maja Smoltczyk, kündigte eine Prüfung der Vorgänge an.

Welche Gesundheitsdaten hat die Doctolib-App übermittelt?

Datenschutz-Fiasko bei Doctolib: Wie viele Patientendaten wurden an Facebook und Co übermittelt?
Datenschutz-Fiasko bei Doctolib: Wie viele Patientendaten wurden an Facebook und Co übermittelt?

Am 18.06.2021 testete das Portal mobilsicher.de die Android-Version 3.2.26 der App von Doctolib – die Version stand seit dem 27.05. im Play-Store zur Verfügung. Die Tester stellten fest: Die Erlaubnisfreigabe bei den Datenschutzhinweisen ermöglichte am Ende, dass via Tracking-Cookies regelmäßig Infos über die Aktivitäten der App-Nutzer an Facebook und Outbrain übermittelt wurden. Das Team hat den Umfang dieser Datenübertragung anhand unterschiedlicher Such- und Terminanfragen geprüft, z. B.:

„Im Test haben wir uns dann bei Doctolib eingeloggt, nach einem Urologen gesucht und als Buchungsgrund ‚Beratungsgespräch Vasektomie Sterilisation Mann‘ angegeben. Weiterhin haben wir einen Arzt ausgewählt, einen Termin angefragt und als Versicherungsstatus ‚privat versichert‘ angegeben.“

(Test-Bericht von mobilsicher.de)

Nach Bestätigung wurden im Anfrage-Link verpackt die folgenden Informationen weitergeleitet:

  • marketerID von Outbrain bzw. Facebook-ID
  • eingegebenes Suchwort
  • Versicherungsstatus
  • Behandlungswunsch
  • IP-Adresse des Nutzers

Da die Doctolib-App die Inhalte der bestehenden Webseite darstellt, sei davon auszugehen, dass entsprechende Daten auch bei der Nutzung der iOS-App oder der Webseite selbst an Facebook und Outbrain übermittelt wurden. Wie viele Doctolib-Nutzer am Ende von dem Datenleck betroffen sind, ist aktuell unbekannt.

Nachdem sich mobilsicher.de umgehend an Doctolib wandte, um auf diese datenschutzrechtlich bedenklichen Vorgänge aufmerksam zu machen, hat der Anbieter die betroffenen Tracking-Cookies offenbar ausgebaut und Facebook und Outbrain zur Löschung der Daten aufgefordert. Nach Auskunft von Facebook seien die Gesundheitsdaten dort jedoch automatisch von den Servern gelöscht worden. Ein Algorithmus könne (versehentlich) übermittelte gesundheitsbezogene Daten erkennen und automatisch entfernen.

Doctolib steht im Umgang mit den Gesundheitsdaten seiner Nutzer bereits länger in der Kritik.
Doctolib steht im Umgang mit den Gesundheitsdaten seiner Nutzer bereits länger in der Kritik.

Nicht das erste Mal stehen datenschutzrechtliche Aspekte bei Doctolib in der Kritik. Nach einer Recherche von ZEIT ONLINE sollen bis Mitte 2020 Terminangaben für Dritte frei im Netz einzusehen gewesen sein. Bis zu 150 Millionen Datensätze seien hiervon betroffen gewesen. Doctoblib bestreitet jedoch eine Sicherheitslücke diesen Ausmaßes. Das Portal erhielt sogar für seine teils undurchsichtigen Datenschutzpraktiken den unrühmlichen Big Brother Award 2021 im Bereich „Gesundheit“.

Berliner Datenschutzbeauftragte prüft die Weitergabe von Patientendaten durch Doctolib

Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten und sind als solche auch besonders geschützt. Sowohl die Verarbeitung als auch Weitergabe sind an strenge Datenschutzvorgaben gebunden. Durch die mediale Berichterstattung aufmerksam geworden hat sich deshalb nun auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) eingeschaltet. Eine genaue Prüfung des Vorgangs sei veranlasst worden, da nach einer ersten Einschätzung ein Datenschutzverstoß seitens Doctolib zumindest nicht auszuschließen sei. Es bleibt also abzuwarten, ob und in welchem Ausmaß die „Datenschutzpanne“ für Doctolib Konsequenzen haben wird.

Kurz & knapp zusammengefasst

In der Doctolib-App kamen Tracking-Cookies zur Anwendung, die Such- und Terminanfragen von Nutzern an Facebook, Outbrain und wohl auch Google weiterleiteten. Vermutlich waren die Webseite und die iOS-App in gleichem Maße betroffen. Wie viele bei Doctolib eingegebene Gesundheitsdaten von Nutzern auf diesem Wege weitergeleitet wurden, ist derzeit unklar. Da die Berliner Datenschutzbeauftragte einen Datenschutzverstoß im Umgang mit besonders schützenswerten Gesundheitsdaten nicht ausschließen kann, soll es nun eine eingehende Prüfung geben.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (44 Bewertungen, Durchschnitt: 3,84 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

Jana
Jana O.

Nach ihrem Studium der Ger­manis­tik, Philosophie und Englischen Literatur­wissenschaften an der Uni Greifswald fand Jana ihren Weg in unser Team. Seit 2015 unterstützt sie die Redaktion von datenschutz.org und verfasst Ratgeber zu verschiedenen Themen wie z. B. Passwortschutz und Cookie-Richtlinien.

Bildnachweise

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.