"Big Brother" Doctolib: Wie sicher sind Gesundheitsdaten in Berlin?
Wie gläsern dürfen Patienten sein? Symbolbild: Gerd Altmann auf Pixabay (Public Domain)
Datenschutzexperten fordern die Gesundheitsverwaltung der Hauptstadt auf, die Zusammenarbeit mit dem IT-Dienstleister zu beenden
Die Berliner Gesundheitsverwaltung steht seit längerem wegen ihrer Zusammenarbeit mit dem IT-Dienstleister Doctolib in der Kritik. Bereits 2021 erhielt die Firma einen Negativpreis der "BigBrotherAwards" vom Verein Digitalcourage e. V., der nun gemeinsam mit dem Netzwerk Datenschutzexpertise die Gesundheitsverwaltung auffordert, die Kooperation mit Doctolib beim Online-Terminmanagement zu beenden.
Appelliert wird diesbezüglich auch an niedergelassene Ärztinnen und Ärzte, die mit der Firma zusammenarbeiten. Das Unternehmen missachte das Patientengeheimnis und den Datenschutz in zigtausenden Fällen, erklärte Digitalcourage am Donnerstag.
Buchung nicht als "Gast" möglich
Als das Land Berlin Ende 2020 Impfzentren für die massenhafte Immunisierung gegen das Coronavirus eingerichtet hatte, war Doctolib mit der Buchung und Organisation der Impftermine beauftragt worden. Für Impfwillige, die eines der Zentren nutzen wollten, gab bei der Terminbuchung keine Alternative zum Vertragsabschluss mit der Firma – eine Terminbuchung als "Gast" ist nicht möglich, es muss ein Account bei Doctolib angelegt werden.
Wer bei Fachärzten, die mit dem Dienstleister zusammenarbeiten, einen Termin buchen will, muss darüber hinaus einen Besuchsgrund angeben – und das kann in manchen Fällen sensibel sein. Nicht unbedingt bei Sportverletzungen, aber zum Beispiel beim Verdacht auf Geschlechtskrankheiten.
Was sonst noch unangenehm oder schambehaftet ist, kann aber sehr individuell sein – deshalb gibt es rechtlich generell andere Hürden für die Verarbeitung von Gesundheitsdaten gibt als für die von einfachen personenbezogenen Daten.
Das Netzwerk Datenschutzexpertise legte bereits im vergangenen Jahr ein umfangreiches Gutachten vor, um die Rechtsverstöße von Doctolib im Detail darzulegen. Technische Untersuchungen haben inzwischen bestätigt, dass die Gesundheitsdaten der Menschen, die bei Doctolib-Ärzten in der Behandlung sind, unzulässigerweise mit US-Unternehmen geteilt wurden.
Durch die Sicherheitsforscher:innen wurde festgestellt, dass Daten u. a. an ein US-amerikanisches Unternehmen und damit in einen unsicheren Drittstaat übermittelt wurden.
Jahresbericht 2021 der Berliner Beauftragten für Datenschutz, S. 152
Doctolib änderte seine Geschäftsbedingungen Anfang 2022. Das Netzwerk Datenschutzexpertise aktualisierte nun seine Bewertung in einem neuen Gutachten, kam darin aber zu dem Ergebnis, dass die Verstöße fortgesetzt werden.
Ein zentraler Kritikpunkt, der auch von der Aufsichtsbehörde in Berlin geteilt wird, besteht darin, dass Doctolib seine Auftragsdatenverarbeitung für Gesundheitsberufe zugunsten seines eigenen Internetangebots missbraucht.
Die Berliner Gesundheitsverwaltung deckt in nicht verantwortlicher Weise, dass durch die für sie kostengünstige Inanspruchnahme von Doctolib dieses Unternehmen seine aggressive Expansionspolitik mit einem datenschutzwidrigen Angebot bundesweit ausbreitet. Damit werden Datenschutzstandards im Gesundheitswesen untergraben. Dem sollten sich nicht nur die Berliner Datenschutzbehörde, sondern auch die Ärztekammern widersetzen.
Thilo Weichert, Netzwerk Datenschutzexpertise
Im aktuellen Gutachten weist der ausgebildete Jurist Thilo Weichert darauf hin, dass bei Untätigkeit der offiziell zuständigen Stellen sowohl für Wettbewerber als auch für Verbraucherverbände die Möglichkeit besteht, "wegen der Verletzung des Lauterkeitsrechts und des Datenschutzrechts Abmahnungen auszusprechen und gerichtlich eine Unterlassungsklage gegen Doctolib anzustrengen".