Ist Doctolib ein Sicherheitsrisiko?

Der in Frankreich etablierte Arztterminvermittler Doctolib drängt auch auf den deutschen Markt. Sein Verständnis von Datensicherheit hat ihm im Juni den BigBrotherAward verschafft

Einen Arzttermin zu bekommen, kann ein ziemlich zeitaufwendiges Unterfangen sein, wenn man in diesem Bereich nicht außergewöhnlich gut vernetzt ist und Leute kennt, die jemanden kennen, die einen guten Arzt kennen.

Gesetzliche Krankenkassen bieten vor diesem Hintergrund seit geraumer Zeit einen TerminService, der für die Versicherten kostenfrei ist. Die Ergebnisse dieses offensichtlich auf externe Dienstleister ausgelagerten Angebotes sind verbesserungsfähig. So kam es vor, dass bei der Suche nach einem Podologen in Freiburg ein Facharzt-Termin im Harz angeboten und darauf hingewiesen wurde, dass man den Termin auch wahrnehmen müsse. Auf telefonische Rückfrage konnte man den Vorgang beim TerminService nicht mehr finden.

Mit der 2007 gegründeten Jameda, die heute über die Burda Digital GmbH zu Hubert Burda Medien gehört, gibt es in Deutschland schon ein eingeführtes Marketing-Portal für Ärzte und Dienstleister im medizinischen Umfeld. Jameda profitiert bislang von den veröffentlichten Beurteilungen durch Patienten, auch wenn es in diesem Umfeld immer wieder zu Rechtsstreitigkeiten kommt.

Zudem hatte man dem Portal den Vorwurf gemacht, dass für den Nutzer der Unterschied zwischen einer Patientenbeurteilung und einem bezahlten Werbeeintrag nicht so einfach zu erkennen sei. Jameda behauptet, dass alle 275.000 niedergelassenen Ärzte in Deutschland bei ihnen verzeichnet seien und nennt sechs Millionen Patientenbesuche im Monat.

Weitere Arztauskunftsportale sind: Arzt-Auskunft, Die-Arztempfehlung.com, DocInsider.de, esando.de, imedo.de, med.de und Medführer.de. Es herrscht also ein reger Wettbewerb unter den Plattformen, die letztlich alle davon leben, dass ein Großteil der Ärzteschaft ihr Patientenmanagement noch nicht auf dem technisch möglichen Ausbaustand eingerichtet haben.

Was macht der "Angreifer" aus Frankreich anders?

Doctolib wurde Ende 2013 von Stanislas Niox-Chateau, Jessy Bernal und Ivan Schneider in Frankreich gegründet. Niox-Chateau, ein ehemaliger Tennis-Profi musste wegen einer Verletzung zahlreiche Krankenhäuser und Ärzte abklappern. Dabei ist ihm die Idee zu Doctolib gekommen. Arzttermine einfach online buchen, ohne Warteschleifen.

Doctolib will den Alltag sowohl für Arztpraxen als auch für Patienten mit seiner Online-Buchungsplattform für Arzttermine erleichtern. Für Ärzte gibt es ein übersichtliches und individuell anpassbares Kalender-Tool, für Patienten die passende Online-Buchungsplattform. Beide Tools sind miteinander verbunden.

Die Buchungen finden somit rund um die Uhr in Echtzeit statt, wodurch Rückbestätigungen und Doppelbuchungen entfallen. Pro Monat und Gesundheitsfachkraft fallen angeblich Kosten von 129 Euro an. Zur Datensicherheit versichert das Unternehmen, mit den höchsten Datensicherheitsstandards zu arbeiten. Auch verwende man die Gesundheitsdaten der Patienten nicht für kommerzielle Zwecke.

Was wirft man doctolib vor?

Doch ganz so scheint es zumindest in der Vergangenheit nicht gewesen sein. Digitalcourage hat im Juni einige Schwachstellen aufgedeckt, die den Patienten mit hoher Wahrscheinlichkeit nicht aufgefallen sind. Ob Doctolib über Daten zur eigenen Person verfügt, können Betroffene kaum wissen.

Denn Arztpraxen, die sich zur Zusammenarbeit mit Doctolib entschließen, müssen dem Unternehmen offenbar ihre gesamte Patientenliste liefern. Patienten, die die Angebote von Doctolib selbst nicht nutzen, erfahren somit wahrscheinlich nicht davon, dass eine Praxis bereits Daten über sie weitergegeben hat. Datenschutzexperte Thilo Weichert hält die unbegrenzte Datensammelei für völlig überflüssig, da es für die Feststellung freier Termine in einer Arztpraxis keiner namentlichen Zuordnung bedürfe und Patienten, die kein Konto bei Doctolib hätten, über die Anwendungen von Doctolib auch keine Termine vereinbaren könnten und deren Daten somit für diese Funktion nicht wirklich nötig seien.

Das Unternehmen Doctolib versucht, so Digitalcourage, den Anschein zu erwecken, dass alle Datenschutz-Fragen im Zusammenhang mit dem Terminvermittlungstool geklärt seien und alle Datenlecks repariert. Für das Sammeln hochsensibler Gesundheitsdaten und die augenscheinliche Intransparenz darüber, was mit diesen Daten geschieht, hat das Unternehmen am 11. Juni 2021 einen BigBrotherAward bekommen.

Ob die Zustimmungen der Nutzer in ihrer vollen Auswirkungen erkannt werden, darf bezweifeltet werden und wer gerade die Cookieerlaubnis durchgeklickt hat, wird jetzt auch auf "Zustimmen" klicken, damit es endlich weitergeht. Schließlich hat man es eilig und hat die App gewählt, weil man Warteschleifen nicht mag. Dass die einfache Zustimmung für die Weitergabe sensibler Daten ausreicht, könnte in einem Umfeld, in welchem man die Bestellung eine kostenlosen Newsletter zweimal bestätigen muss, eher unwahrscheinlich sein.

Der Berufsgeheimnisschutz verbietet, dass das Unternehmen Doctolib Daten, die es von Arztpraxen bekommen hat, für eigene Zwecke weiterverwendet. Doch im Fall von Doctolib ist völlig unklar, wie und wofür Doctolib die Gesamtpatientenstammdaten von Praxen die ihre Software anwenden nutzt. Da gibt sich das Unternehmen verschlossen wie eine Auster.

Somit lässt sich das Risiko, dass die Daten für Zwecke genutzt werden, die der Patient nicht wünscht, kaum seriös einschätzen. Die Möglichkeit, dass man nach mehreren Urologenterminen dauernd Angebote für Inkontinenzwindeln bekommt, dürfte dabei eher lästig sein. Kritisch wird es zudem, wenn aus Frauenarztterminen der Verdacht einer Schwangerschaft abgeleitet wird und das eine anstehende Beförderung verhindert.

Grundsätzlich sollte jeder, der ein Gratisangebot nutzt, sich immer überlegen, wie dieses finanziert ist, denn aus reinem Altruismus entstehen nur sehr wenige Angebote in einem Land, im dem der Markt alles regeln soll.