Im aktuellen Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit berichtet die Aufsichtsbehörde über Untersuchungen, die das Ärzteportal Doctolib betreffen. Es habe der Behörde zufolge zwei Hinweise gegeben, die Anlass zur Untersuchung des Unternehmens gaben. Der Chef von Doctolibs deutschen Tochtergesellschaft wies nun jedwede Kritik zurück. Was Anlass und Gegenstand der Untersuchung war, haben wir uns in diesem Beitrag einmal genauer angesehen.
Der Inhalt im Überblick
Arzt- und Therapietermine online suchen & buchen
Das Knie ist dick, der Rücken schmerzt und außerdem: War dieses Muttermal schon immer so groß? In solchen Fällen ist es besser einen Facharzt zu kontaktieren. Wer dann zum Hörer greift, um einen zeitnahen Termin zu vereinbaren, wird in den meisten Fällen einen prüfenden Blick in den Kalender werfen müssen: Und in der Tat, es ist gerade einmal Juni, der früheste freie Facharzttermin aber erst Ende November…
So oder so ähnlich dürfte es vielen Leserinnen und Lesern schon einmal ergangen sein. Oftmals bleibt einem nicht viel anderes übrig, als die lange Wartezeit zu akzeptieren oder den lieben langen Tag eine Arztpraxis nach der anderen anzurufen. Wie praktisch, dass es da etwas im Internet gibt!
Doctolib: Im Dienste Ihrer Gesundheit
So wirbt das französische Unternehmen auf seiner deutschsprachigen Website, die durch das Tochterunternehmen mit Sitz in Berlin betrieben wird. Trotz der mehr als vier Millionen Nutzerinnen und Nutzer in Deutschland pro Monat sagt dieses Unternehmen nicht unbedingt gleich jedem etwas. Was also ist Doctolib und warum wurde das Unternehmen von der Berliner Aufsichtsbehörde untersucht?
Doctolib ist ein E-Health-Anbieter, genauer gesagt können Patientinnen und Patienten über das Terminvermittlungsportal online selbst Termine bei Arzt- und Therapiepraxen buchen. Über die Webseite des Unternehmens oder der eigenen Handy-App können Patientinnen und Patienten gewünschte Arztpraxen ganz einfach über die Suchleiste in einem definierten Umkreis finden oder sogar gleich Videosprechstunden online vereinbaren. Die Eingaben einer groben Fachrichtung und einer Ortsangabe genügen, um sich von den rund 300.000 registrierten Arzt- und Therapiepraxen solche anzeigen zu lassen, die bspw. zeitnah noch einen freien Termin haben. Das alles ist für Patientinnen und Patienten kostenlos.
Ganz schön praktisch! Das dachte sich auch die Berliner Senatsverwaltung. Im November 2020, mitten in der Corona-Krise, beauftragte die Verwaltung Doctolib mit der Koordination von Impfterminen für berliner Bürgerinnen und Bürger.
Besuchsgrund: Besonders sensibel
Schnell und recht einfach lässt sich so über das Portal der nächste freie Termin beim Facharzt buchen. Benötigt wird dafür lediglich ein Nutzer-Account bei Doctolib. Eine Terminbuchung als Gast ist nicht möglich. Nun gut, das Nutzerkonto ist schnell eingerichtet. Es wird lediglich nach der eigenen E-Mail-Adresse, dem Geburtsdatum und der Telefonnummer gefragt, Letztere, um per SMS eine Terminerinnerung zu erhalten.
Nachdem also die Kontoeinrichtung abgeschlossen ist, bedarf es nur noch der Angaben, wie man versichert ist und welchen Besuchsgrund man hat.
- Besuchsgrund: Neupatient Hüfte/Knie/Sprunggelenk.
Es gibt verschiedene Kategorien der Besuchsgründe, aus denen man wählen muss. Diese sind von Facharzt zu Facharzt verschieden. Den Reiter „Besuchsgrund“ einfach überspringen funktioniert aber nicht. Bei dieser Information handelt es sich um eine Pflichtangabe, die für die jeweilige Terminbuchung benötigt wird. Irgendwie auch verständlich: Die Arztpraxen benötigen diese Angaben, um ggf. Vorbereitungen zu treffen oder verschiedene Terminslots anbieten zu können. So bedarf es bspw. bei einer einfachen Blutabnahme keine Behandlung durch den praktizierenden Arzt/ die praktizierende Ärztin, sodass in der Regel ein deutlich zeitnäherer Terminslot zur Verfügung steht als zur erstmaligen und umfangreichen Untersuchung eines schmerzenden Knies.
Die Angabe des Besuchsgrundes „Neupatient Hüfte/Knie/Sprunggelenk“ ist getätigt, der Termin kann nun gebucht werden. Diese Angabe fällt auch nicht schwer, sie ist nicht unangenehm und wird bei den wenigsten Personen Schamgefühl auslösen. Anders könnte es vielleicht aussehen, wenn man Arztpraxen anderer Fachrichtungen sucht, ein medizinisches Problem hat, über das man nicht so gerne spricht.
- Behandelnder Facharzt: Urologe.
- Besuchsgrund: Inkontinenzberatung.
Ärzte sind Berufsgeheimnisträger und kommen täglich mit besonders sensiblen Daten ihrer Patientinnen und Patienten in Berührung. Gesundheitsdaten zählen zu den besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO. An ihre rechtmäßige Verarbeitung sind deutlich höhere Hürden gestellt als bei einfachen personenbezogenen Daten. Gibt man einen zwingend erforderlichen Besuchsgrund bei Doctolib ein, lässt sich in diesem Moment auf den körperlichen oder geistigen Gesundheitszustand des Nutzers schließen. Ein Glück, dass dies nur die ausgewählte Arztpraxis erfährt.
Zwei Hinweise auf eine Datenweitergabe bei Doctolib
„Durch die Sicherheitsforscher:innen wurde festgestellt, dass Daten u. a. an ein US-amerikanisches Unternehmen und damit in einen unsicheren Drittstaat übermittelt wurden.“
So lautet der Vorwurf im aktuellen Jahresbericht der Berliner Beauftragten für Datenschutz und Informationsfreiheit aus dem Jahr 2021 (Kapitel 6.6 des Berichts). Anlass für die Untersuchung durch die Aufsichtsbehörde waren dem Bericht zufolge zwei Hinweise.
Einer dieser Hinweise könnte der im Sommer 2021 stattgefundene Test von „mobilsicher.de“ gewesen sein. Daraus hat sich ergeben, dass die Doctolib App sensible Informationen mit den beiden US-amerikanischen Unternehmen Facebook und Outbrain teilte. In dem Augenblick, wo der Nutzer der App den Datenschutz-Disclaimer mit „Erlauben“ schloss, sendete die App regelmäßig sogenannte GET-Requests an Facebook- und Outbrain-Server. In den Cookies wurden neben der eigenen IP-Adresse auch Informationen über Suchanfragen mitgeteilt. Suchte man in der App also einen Urologen und gab als Besuchsgrund „Beratungsgespräch Vasektomie Sterilisation Mann“ an, wurde diese Information Facebook und Outbrain mitgeteilt. Auch die Informationen, ob man gesetzlich oder privat versichert ist, seien den Plattformen mitgeteilt worden.
Doctolib reagierte unmittelbar nach Bekanntwerden dieser Panne, entfernte die verantwortlichen Cookies und veranlasste bei Facebook und Outbrain, dass die bis dahin übermittelten Gesundheitsdaten der Nutzer umgehend gelöscht werden sollten. Facebook bestätigte im Anschluss des Tests, dass es durch die fehlerhafte Implementierung eines Tools zur unbeabsichtigten Weitergabe von Gesundheitsdaten durch Doctolib kam. Diese seien aber durch einen Filter aussortiert und gar nicht erst durch Facebook weiterverarbeitet worden. Auch die Werbeplattform Outbrain bestätigte nach Angaben von Doctolib die Löschung der übermittelten Gesundheitsdaten der Nutzer.
Ein Datenschutzverstoß könne laut der Berliner Aufsichtsbehörde damit aber nicht ausgeschlossen werden.
Big Brother Award 2021
Nicht nur für diese Panne, sondern auch für zahlreiche weiterer Kritikpunkte erhielt das Unternehmen Doctolib im vergangenen Jahr den Big Brother Award in der Kategorie „Gesundheit“. Der Negativpreisverleihung liegt ein Gutachten zugrunde, das sich nicht nur mit den von Doctolib genutzten Cookies auseinandersetzt. Gerade die Herangehensweise für die Implementierung des Systems von Doctolib in interessierte Arztpraxen wird kritisiert. So soll nach bekundetem Interesse ein Mitarbeiter/eine Mitarbeiterin des Unternehmens Doctolib Zugriff auf die gesamten Arztinformationssysteme und den darin gespeicherten Patientenstammdatensatz erhalten. Zwar könne sich eine Arztpraxis grundsätzlich eines Auftragsverarbeiters bedienen.
„Aber dieses Vertrauensverhältnis [zwischen Arzt und Patient:innen] wird spätestens dann in strafbarer Weise verletzt, wenn sich Doctolib aus dem Arztsystem Daten von Patient:innen beschafft, die keine Termine vereinbaren und nicht einmal ein Konto bei Doctolib haben, und wenn die Betroffenen über diese Datenweitergabe nicht informiert werden.“
Zweite Rüge: Impfterminvergabe
Neben einem möglichen Datentransfer an die beiden US-amerikanischen Unternehmen steht auch die Impfterminvergabe zum Ende des Jahres 2020 im Fokus der Untersuchung durch die Berliner Aufsichtsbehörde. Im November 2020 beauftragte die Berliner Senatsverwaltung das Unternehmen Doctolib mit der Koordination der Terminvergabe für Impfungen gegen Corona in Berlin. Doctolib habe dabei als Auftragsverarbeiter tätig werden sollen. Die Beauftragung eines Privatunternehmens mit der Wahrnehmung dieser wichtigen Aufgabe sei dem Bericht zufolge nicht zu kritisieren (Punkt 1.3.1 des Berichts). Wohl aber die beiden Tatsachen, dass zum einen der Beauftragung kein Auftragsverarbeitungsvertrag zugrunde lag und zum anderen Doctolib seine Grenzen als Auftragsverarbeiter auch nicht einhielt.
Berliner Bürgerinnen und Bürger, die während der anlaufenden Impfkampagne online einen Impftermin in einem der Berliner Impfzentren buchen wollten, kamen mangels anderweitiger Lösungen in diesem Bundesland nicht um die Nutzung von Doctolib herum. Für die Nutzung aber mussten sie zwingend ein Nutzerkonto bei Doctolib erstellen. Es entstand somit ein eigenes Vertragsverhältnis zwischen dem Unternehmen und seinen Nutzern.
Auftragsverarbeiter wird zum Verantwortlichen
Genau dieses selbstständige Vertragsverhältnis zwischen Nutzern und Doctolib geriet nun in den Fokus der Aufsichtsbehörde. Im Jahresbericht heißt es dazu:
„Die Datenverarbeitung des Unternehmens im Zusammenhang mit der Erstellung des Nutzungskontos erfolgt also zum Zweck der Durchführung des zwischen ihm und den jeweiligen Nutzer:innen geschlossenen Vertrags. Dadurch verlässt das Unternehmen seine Rolle als Auftragsverarbeiter für die zuständige Senatsverwaltung und wird selbst als datenschutzrechtlich Verantwortlicher tätig.“
Ein frühzeitiger Hinweis durch die Berliner Aufsichtsbehörde an die Senatsverwaltung sei dem Bericht zufolge erfolgt. Im Bericht heißt es außerdem scharf formuliert:
„Es ist für uns unverständlich, dass die zuständige Senatsverwaltung unsere wiederholten Hinweise zur Art und Weise der Einbindung des Unternehmens als Auftragsverarbeiter für die Terminbuchung in den Impfzentren bisher ignoriert hat.“
Nun habe dem Bericht zufolge die Senatsverwaltung dafür Sorge getragen, dass die Nutzerkonten, die lediglich für die Impfterminvergabe erstellt worden sind, aufgrund der Zweckerfüllung durch Doctolib auch gelöscht werden.
Die Senatsverwaltung hingegen sieht die Verantwortung bei den Nutzerinnen und Nutzern, ihr eigenes Konto zu löschen, wenn sie es nicht mehr benötigten. Bei Abstimmung mit dem Anbieter Doctolib sei die Berliner Datenschutzbeauftragte auch beteiligt gewesen. Jegliche Kritik, die aus dem Jahresbericht erfolgte, wies man zurück.
Zurückweisung aller Kritik
Auch der Chef der deutschen Tochtergesellschaft Doctolib GmbH, Nikolay Kolev, wies nun jegliche Kritik der Berliner Beauftragten für Datenschutz und Informationsfreiheit zurück. Gegenüber der Deutschen Presse-Agentur sagte er, dass das Unternehmen die Daten „auf hochsicheren Servern gespeichert“ habe. Diese befänden sich in Deutschland und Frankreich, sodass ein Datentransfer in die USA nicht stattfände. Wie es zum Vorwurf im Jahresbericht der Aufsichtsbehörde kommen konnte, könne man sich im Unternehmen nicht erklären.
Einen direkten Zugriff auf die Patientendaten habe Doctolib außerdem auch nicht. Diese seien verschlüsselt.
Online-Termine oder doch die altbewährte Methode?
Sind wir ehrlich: Die Idee hinter Doctolib und einer via Onlineportal zentralisierten Terminvergabe von Ärzten ist grundsätzlich effizient und daher sehr zu begrüßen. Das Suchen nach freien Facharztterminen in der näheren Umgebung ermöglicht einem die schnellere Einleitung einer anstehenden Behandlung. Außerdem mag die digitale Terminbuchung für den ein oder anderen auch persönliche Vorteile mit sich bringen. Wer beispielsweise aus Hemmungen oder Scham über seinen oder ihren Besuchsgrund nur schwer zum Telefonhörer greifen kann, kann diese Schwelle über eine Online-Terminvergabe besser überwinden. Ein Klick fällt so manchem leichter als ein Telefonat.
Aber dieses fehlende Störgefühl dabei hat auch seine Tücken, gerade wenn es um besonders sensible Gesundheitsdaten geht, die wir grundsätzlich nur ungern oder zumindest einem ganz bestimmten Personenkreis preisgeben.
Es bleibt nun abzuwarten, ob und wie die Untersuchungen durch die Berliner Aufsichtsbehörde konkretisiert werden. Ob man sich letztlich für die Arztterminbuchung eines Onlineportals bedient oder doch lieber zum verstaubten Telefonhörer greift, muss dabei jeder für sich selbst abwägen.
Ich bin Hausarzt in Frankfurt am Main und war letztes Jahr Kunde von doctolib, mit dem Wissen um die Datenlecks in der Vergangenheit bei doctolib, habe ich von Anfang an Bauchschmerzen gehabt. Was mich dennoch überzeugt hat, ist der Umgang der Firma nach Bekanntwerden. In beiden Fällen wurden die Lücken im System zeitnah geschlossen. Sicherheit wird bei doctolib im wahrsten Sinne des Wortes groß geschrieben. Auf fast allen Webseiten der Firma wird für die Sicherheit geworben. Besonders betont wird immer wieder die DSGVO Konformität. Die Frage, die ich mir als Kunde stellen musste, reicht mir das als Arzt an Datenschutz aus, was der Gesetzgeber an Sicherheit fordert? Und fängt nicht Datenschutz schon beim Design einer solchen Plattform an, oder macht es Sinn ein funktionierendes System zu entwickeln und im Nachhinein die Sicherheitslücken zu schließen? Nein, mir reicht das im medizinischen Bereich nicht.
Obwohl ich schon seit Monaten kein Kunde hat erst heute eine Patientin eine Terminerinnerung erhalten, ein Termin der nie vereinbart wurde. Die Daten werden also nicht ordentlich bereinigt, wenn man den Vertrag mit doctolib kündigt. Ist das etwa datenschutzkonform?
Was mich zur Kündigung des Vertrages bewegt hat, war die Tatsache, dass ich einen Patienten zum Telefontermin angerufen habe. Gemeldet hat sich nicht der Patient, sondern eine Frau aus der Nähe vom n Berlin, die mit meiner Praxis nichts zu tun hat. Ein Zahlendreher möchte man meinen, aber ich hatte auch die E-Mail-Adresse der Frau. Als Patient kann ich mir also nicht sicher sein wem doctolib meine Daten zur Verfügung stellt. Zur Verteidigung von doctolib muss man sagen, dass die Firma es selbst nicht weiß, denn bis heute gibt es keine Erklärung für den Vorfall. Zur Ermittlung des Problems hat die Firma doctolib meine Zugangsdaten mit Benutzernamen und Passwort angefordert. Laut dem Datenschutzbeauftragten des Landes Hessen (telefonische Auskunft auf eine schriftliche Anfrage) ist dieses Vorgehen in Ordnung bzw. Konform mit den Bestimmungen der Firma doctolib. Schon wieder Bauchschmerzen, den lehrt man nicht jeder Oma, jedem Opa, jedem Kind: Gib mir deine Passworte Preis!
Für mich reicht die allseits beschreibe Sicherheit der Firma nicht aus, deshalb habe ich den Vertrag wieder gekündigt.