Datenschutzverstöẞe bei Doctolib

Terminmanagement mit Tücken

mg
Praxis
Wer sich in Berlin gegen Corona impfen lassen wollte, konnte den Termin im Impfzentrum über Doctolib vereinbaren. Dass das Unternehmen die Daten drei Jahre speichert*, war wohl den wenigsten klar. Dieser Verstoß ist aber beileibe nicht die einzige Beschwerde von PatientInnen gegen Doctolib, die die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, derzeit prüft.

Nach Auskunft von Kamp laufen derzeit drei Verfahren gegen den Doctolib-Konzern, darunter die Prüfung von Beschwerden seitens NutzerInnen, denen die Doctolib GmbH nicht fristgemäß auf ihre Auskunfts- und Löschungs-Ersuche geantwortet hatte oder die Werbe-E-Mails erhalten hatten.

Laut Angaben der BlnBDI teilte die Doctolib GmbH „nach einigem Schriftverkehr“ in diesen Verfahren mit, dass es sich jeweils um grenzüberschreitende Datenverarbeitungen der französischen Doctolib SAS handele und deshalb eine Sanktionierung der Datenschutzverstöße durch die Berliner Behörde nicht möglich sei. „Derzeit wird daher geklärt, ob die BlnBDI oder die französische Datenschutzbehörde CNIL zuständig für diese Beschwerden ist“, schreibt das Amt.

Dr. Thilo Weichert, Jurist, Politologe und Vorstandsmitglied der Deutschen Vereinigung für Datenschutz, hält die Argumentation von Doctolib allerdings für „an den Haaren herbeigezogen“. Der ehemalige Datenschutzbeauftragte von Schleswig-Holstein ist ein Experte für den Datenschutz bei Terminmanagement-Systemen und hat in zwei Gutachten ausführlich die aus seiner Sicht vorliegenden Versäumnisse von Doctolib dokumentiert.

Ist wirklich das Mutterunternehmen in Frankreich zuständig?

In seinem jüngsten Gutachten bewertete er dabei auch die Diskussion um die zuständige Aufsichtsbehörde. Für ihn ist klar: „Sowohl telemedienrechtlich, wettbewerbsrechtlich wie auch datenschutzrechtlich ist die rechtlich unabhängige Doctolib GmbH verantwortlich und nicht das Mutterunternehmen in Frankreich.“

Zusätzlich prüft Kamp als Reaktion auf Berichte von mobilsicher.de oder Zeit Online den Einsatz von Tracking-Technologien sowie die Weiterleitung von Daten auf Doctolib.de und in der Doctolib-App. Dabei geht es um die Einbindung von Drittanbietern wie Facebook und Google-Diensten, um die Rechtsgrundlage für die Datenverarbeitung sowie um die Gestaltung des Cookie-Banners. „Im Laufe des Verfahrens wurden seitens Doctolib verschiedene Veränderungen vorgenommen, unter anderem einzelne Drittinhalte aus den Angeboten entfernt und das Cookie-Banner verbessert“, berichtet die Behörde. Das Verfahren sei jedoch noch nicht abgeschlossen.

Außerdem läuft ein Verfahren gegen die Berliner Senatsverwaltung für Wissenschaft, Gesundheit, Pflege und Gleichstellung wegen datenschutzrechtlicher Probleme bei der Online-Impfterminvergabe. Die Senatsverwaltung hatte Doctolib für die Online-Terminvereinbarung für Impftermine in Berliner Impfzentren eingesetzt. Warum sich der Senat seinerzeit für Doctolib und nicht für einen der fünf Konkurrenten entschied: Doctolib machte es umsonst.

„Datenschutzrechtlich problematisch war hierbei, dass die BerlinerInnen ein Vertragsverhältnis mit dem Auftragsverarbeiter eingehen mussten, um online einen Termin buchen zu können“, führt der Sprecher der BlnBDI aus. „Diese Vertragsverhältnisse wurden weder durch die Senatsverwaltung noch durch ihren Auftragsverarbeiter beendet, sondern bestehen weiter fort, obwohl keine Impftermine mehr gebucht werden können.“

Die BlnBDI hat der Senatsverwaltung aufgegeben, einen datenschutzkonformen Zustand herzustellen. Dort will man von dem Problem aber nichts wissen. Auf unsere Fragen verwies der Senat auf seine Antworten gegenüber der CDU im Berliner Abgeordnetenhaus aus dem Juli 2022. Darin heißt es, die Doctolib GmbH habe ihr Vorgehen im Nachgang noch einmal „durch externe Experten überprüfen lassen“. Im Ergebnis sei die Rechtsauffassung des Senats, dass das Angebot in der derzeitigen Ausgestaltung datenschutzkonform sei, bestätigt worden.

Der Berliner Senat investierte also in sein technisches Impftermin-Management keinen einzigen Euro – und die Doctolib GmbH gewann rund zwei Millionen neue Kunden. Deren Daten (Name, Vorname, Geburtsname, Geburtsdatum, Geschlecht und Wohnort) bleiben nun so lange gespeichert, „wie es für die Zwecke bezüglich der Durchführung der Corona-Schutzimpfung erforderlich ist“, schreibt der Senat. „Längstens werden die Daten jedoch entsprechend der ärztlichen Dokumentationspflicht für die Dauer von zehn Jahren gespeichert.“

*Hinweis der Redaktion: Doctolib ergänzte am 4. April nach Erscheinen des Artikels die Angaben des Berliner Senats wie folgt: „Richtig ist: Da inaktive Benutzerkonten nach 3 Jahren automatisiert gelöscht werden, werden auch die im Zusammenhang mit der Anlegung dieser Konten erhobenen Daten zu diesem Zeitpunkt gelöscht. Auch hier gilt: Nutzer können ihre Daten zu jedem Zeitpunkt eigenständig verwalten und löschen. Es gibt eine automatische Voreinstellung von 3 Jahren, die Einrichtung kann aber selbst entscheiden, ob sie eine andere Dauer einstellen möchten.“

Italien verhängt eine Geldbuße von 40.000 Euro

Betroffene Berliner Bürger, denen das nicht passt, müssen proaktiv ihre Daten löschen. Falls sie daraufhin Beschwerde bei der BlnBDI eingereicht haben, kann sich diese erst kümmern, wenn juristisch geklärt ist, ob es sich bei der Vermittlung seines Impftermins um eine grenzüberschreitende Datenverarbeitung mit dem französischen Mutterkonzern Doctolib SAS gehandelt hat. Wenn ja, ist die französische Aufsichtsbehörde CNIL zuständig. Diese bestätigte auf Anfrage der zm, dass sie bereits Beschwerden erhalten habe. Zu Zahl, Inhalt und Stand der Untersuchung will die Behörde mit Blick auf das laufende Verfahren aber keine Auskunft geben.

Anders ist die Situation in Italien, neben Deutschland und Frankreich das dritte Land, in dem Doctolib Arzttermine vermittelt. Die italienische Datenschutzbehörde GPDP berichtete auf Nachfrage über eine Einstweilige Verfügung gegen die Doctolib SRL, verbunden mit einer Geldbuße von 40.000 Euro, weil die Verarbeitung von Datensätzen, „die geeignet war, den Gesundheitszustand von über 630.000 betroffenen Personen festzustellen“, nicht datenschutzkonform erfolgte. Beanstandet wurde konkret das Vorgehen des Unternehmens Dottori.it SRL, das Ende 2021 von Doctolib gekauft worden war.

Verbraucherschützer warnen vor Zusatzvergütung für kommerzielle Arztterminvermittlung

Terminservice-Anbieter wie Doctolib verfolgen mit Spannung Beratungen in Regierungskreisen zu einer finanziellen Förderung von Arztpraxen, die private Online-Terminvermittlungsdienste nutzen. „Diese Idee hat Eingang gefunden in die Gesetzgebungsplanungen des Bundesministeriums für Gesundheit für ein baldiges Versorgungsgesetz“, berichtet der Verbraucherzentrale Bundesverband (vzbv). Doch Thomas Moormann, Leiter Team Gesundheit und Pflege beim vzbv, warnt vor einer dahin gehenden Gesetzgebung, weil „bei diesen kommerziellen Terminvermittlungsdiensten oft der Umgang mit den besonders schützenswerten Daten zum Gesundheitszustand der Patientinnen und Patienten unklar und für den Einzelnen schwer zu durchschauen ist.“

Damit die Online-Terminvermittlung schnell, bequem und gleichzeitig sicher ist, seien klare gesetzliche Vorgaben und Standards für die Terminvermittlung über private Anbieter notwendig. „Dazu zählt das generelle Verbot von Tracking, Werbung und der Registrierungspflicht“, so Moormann. Auch dürfe niemand mangels Alternativen in die Online-Terminvermittlung gezwungen werden. Sinnvoller als die Förderung kommerzieller Angebote ist aus Sicht der verbraucherschützer eine Weiterentwicklung des Online-Angebots der Terminservicestellen der Kassenärztlichen Vereinigungen, also der „116117.de“, mit direkter Anbindung an die Terminvermittlung in den Arztpraxen. Die Stiftung Warentest bestätigt Moormanns Bewertung: Bei einem im Januar 2021 veröffentlichten Test schnitt nur der eTerminservice der Kassenärztlichen Bundesvereinigung KBV „sehr gut“ beim Schutz persönlicher Daten ab.

Die Doctolib GmbH rühmte sich Ende Januar übrigens mit einem neuen Datenschutzzertifikat der BSI-Group, klärte aber nicht darüber auf, dass nicht das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Auszeichnung vergeben hatte, sondern die Zertifizierungsstelle „British Standards Institution“. Erst nachdem der Vorgang durch die Medien ging, wurde die Pressemitteilung korrigiert.

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.