Seit 2018 dürfen Ärzte in Deutschland telemedizinische Leistungen erbringen. Hierzu gehören auch Videosprechstunden, welche mithilfe von Telemedizin- und Arzttermin-Portalen erfolgen. Der Bundesverband der Verbraucherzentralen hat den Datenschutz einiger Portal-Anbieter untersucht und in einer Analyse veröffentlicht.
Der Inhalt im Überblick
Verbraucherschutz bei digitalen Gesundheitsangeboten
Das Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV) möchte Verbraucher u.a. über Herausforderungen im Zusammenhang mit neuen digitalen Angeboten informieren. Zu diesem Zweck fördert das Ministerium das Projekt „Verbraucherschutz bei digitalen Gesundheitsangeboten“. Dieses soll den Gesundheitsmarkt aus Verbrauchersicht analysieren sowie möglichen politischen, kollektivrechtlichen oder auch gesetzgeberischen Handlungsbedarf im Gesundheitssektor aufzeigen. Träger des Projekts ist der Verbraucherzentrale Bundesverband e.V. (vzbv). Dies ist der Dachverband der 16 deutschen Verbraucherzentralen und weiterer verbraucherpolitischer Verbände. Anfang Februar 2023 hat der vzbv im Rahmen des Projekts die Analyse „Datenschutz bei Videosprechstunden“ veröffentlicht.
Wie wurde geprüft?
In der Analyse wurden neun Telemedizin-Plattformen und Arzttermin-Portale untersucht, die auch Videosprechstunden anbieten. Dabei orientieren sich die Prüfkategorien an der Datenschutz-Grundverordnung (DSGVO):
- Auffindbarkeit, Sprache und Aktualität der Datenschutzerklärung
- Informationen über Verantwortlichen und Datenschutzbeauftragten
- Benennung der Zwecke und Rechtsgrundlagen der Datenverarbeitung
- Ausdrückliche Einwilligung in die Verarbeitung von Gesundheitsdaten
- Empfänger und Dritte in der Datenschutzerklärung
- Widerruf der Datenverarbeitung
- Gastzugang zur Videosprechstunde
- Betroffenenrechte
- Datenübermittlung außerhalb der EU
- Speicherdauer
Die Prüfung erfolgte auf der Grundlage frei zugänglicher Informationen auf den Webseiten der Anbieter oder in der jeweiligen App. Eine Teilnahme an einer Videosprechstunde erfolgte nicht.
Datenschutzlücken bei Telemedizin-Portalen vorhanden
Der vzbv kommt zu dem Ergebnis, dass die untersuchten Portale Datenschutzlücken aufweisen und Datenschutzstandards von diesen nicht eingehalten werden.
Ausdrückliche Einwilligung in die Verarbeitung von Gesundheitsdaten
So mangelt es, aus Sicht des vzbv, bei einigen der untersuchten Portale an einer wirksamen, ausdrücklichen Einwilligung zur Verarbeitung von Gesundheitsdaten nach Art. 9 Absatz 2 lit. a) DSGVO. Die Erklärungen waren z.T. unspezifisch formuliert, es wurde nicht auf die Verarbeitung von Gesundheitsdaten oder auf die Risiken der Verarbeitung hingewiesen oder die Möglichkeit zum Widerruf der zuvor erteilten Einwilligung wurde nicht transparent genannt.
Denn bereits bei der Angabe von Beschwerden, der gezielten Arztsuche oder beim Ausfüllen eines Anamnesebogens werden Gesundheitsdaten preisgegeben. Diese stellen eine besondere Kategorie personenbezogener Daten nach Art. 9 Abs. 1 DSGVO dar. Die Verarbeitung von Gesundheitsdaten ist daher grundsätzlich untersagt. Sie kann aber nach den Ausnahmetatbeständen von Art. 9 Abs. 2 DSGVO erfolgen, z.B. wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt. An deren Ausgestaltung werden erhöhte Anforderungen gestellt. So muss die Person
- in die Verarbeitung bestimmter personenbezogener Daten für einen oder mehrere festgelegte Zwecke einwilligen,
- darüber informiert werden, was mit ihren Daten passiert und
- was die Risiken der Verarbeitung sind.
Außerdem muss der Charakter der Daten (hier Gesundheitsdaten) benannt werden.
Analyse von Datenempfängern – Tracking Anbieter
Acht der geprüften neun Portale haben Tracking-Anbieter eingebunden, die das Verhalten der Nutzer insbesondere für Marketingzwecke, Social Media oder Nutzungsanalysen verfolgen und auswerten können. In den Datenschutzerklärungen der Anbieter heißt es, dass in diesem Zusammenhang keine Gesundheitsdaten an die Tracking-Anbieter übermittelt werden. Dennoch spricht sich der vzbv dafür aus, Tracking-Anbieter nur dann einzusetzen, wenn dies unbedingt erforderlich ist. Denn die Portale haben einen direkten Bezug zu den Gesundheitsdaten ihrer Nutzer und Rückschlüsse aus den bei der Nutzung anfallenden, sensiblen (Meta-)Daten können nicht ausgeschlossen werden.
Bei dieser Einschätzung hatte der vzbv zwei beunruhigende Beispiele für Werbetracking im Hinterkopf: In einem Fall wurde in der Vergangenheit Internetnutzern mit geringem Selbstvertrauen Werbung für Schönheits- oder Diätprodukte angezeigt. In einem anderen Fall wurde spielsüchtigen Internetnutzern Werbung für Glücksspiele angezeigt.
Zukünftig könnte ein solches Risiko aber eingedämmt und ein erhöhter Verbraucherschutz erwartet werden: Nach der EU-Verordnung Digital Services Act (DSA) dürfen Anbieter von Online-Plattformen ab Februar 2024 keine Werbung anzeigen, die auf Profilbildung unter Verwendung sensibler Daten, also auch Gesundheitsdaten, beruht.
Speicherdauer
Verbesserungen hält der vzbv auch in Bezug auf die Speicherdauer und die Kriterien für die Festlegung der Speicherdauer für erforderlich: beispielsweise weisen nur drei der neun Anbieter ein Löschkonzept auf. So werden bei einer längeren Inaktivität des Accounts der Zugang und die Daten nach 12 bzw. 36 Monaten gelöscht, wenn die Nutzer dem nicht widersprechen. Fünf Anbieter löschen nur nach einer entsprechenden Aufforderung durch den Nutzer selbst, bspw. aufgrund einer Löschanfrage oder eines Widerrufs der Einwilligung in die Datenverarbeitung. Bis dahin speichern sie die Daten unbefristet.
Nachbesserungen im Datenschutz erforderlich
Viele der o.g. Prüfkategorien wurden durch die geprüften neun Portale aber zufriedenstellend umgesetzt. So waren die Datenschutzerklärungen aller Anbieter leicht und auf Deutsch auffindbar und auch über die Betroffenenrechte wurde entsprechend informiert. Dennoch sind, wie aufgezeigt, Nachbesserungen im Datenschutz erforderlich. Umso mehr, wenn man davon ausgeht, dass Videosprechstunden, Online-Terminvergabe usw. in Zukunft von immer mehr Patienten in Anspruch genommen werden. Daher sollten Datenschutzkonformität und Verbraucherschutz zentrale Anliegen der Portal-Anbieter sein. Insbesondere vor dem Hintergrund, dass auch die Aufsichtsbehörden ihren Fokus auf die Anbieter richten, wie das Beispiel doctolib zeigt.
ist bekannt welche Anbieter untersucht wurden? Damit man weiß, wo man evtl. von einem Besuch absieht.
Die Übersicht aller neun untersuchten Anbieter findet sich in der Tabelle 1 (Seite 8) der Veröffentlichung des vzbv.