Doctolib & Co.

Risiken und Nebenwirkungen von Termin-Management-Systemen

Ein komfortable Terminvergabe rund um die Uhr und eine höhere Praxisauslastung bei gleichzeitiger Entlastung des Empfangs – das versprechen Termin-Management-Systeme wie Arzttermin.de, Doctolib, jameda, Samedi und andere. Der Service kann jedoch zum Risiko werden, wenn es ein Dienstleister mit der Datensicherheit nicht so genau nimmt. Ein großer Anbieter erhielt im Sommer die Datenschutz-Negativauszeichnung Big Brother Award 2021 und wird aktuell als einziges Unternehmen seiner Branche von der Berliner Datenschutzbeauftragten überprüft.

Auch Metadaten zum Terminmanagement verraten viel über Patienten und gelten darum nach der Datenschutzgrundverordnung (DSGVO) als Gesundheitsdaten. Damit sind sie besonders schützenswert. AdobeStock_stokkete

Laut einer im Januar 2021 veröffentlichten Untersuchung der Stiftung Warentest werden in Deutschland monatlich Millionen Arzttermine über Apps und Tools gebucht. Der Schutz persönlicher Daten ist dabei laut Bericht jedoch nur beim eTerminservice der Kassenärztlichen Bundesvereinigung KBV „sehr gut“. Für Zahnärzte keine gute Nachricht, denn das browserbasierte Tool ist nur für Kassenpatienten und nicht zur Buchung von Zahnarztterminen aufgelegt worden.

Anders das Angebot der Berliner Dr. Flex GmbH, der die Stiftung Warentest einen „guten“ (Note 1,6) Datenschutz bescheinigt. Ähnlich positiv fällt das Urteil nur noch bei der – in anderen Zusammenhängen in der Ärzteschaft nicht unumstrittenen – jameda GmbH (Note 1,9) aus. Deutlich schlechter sind die Noten für den Datenschutz der Dienstleister Arzttermine.de (3,0), Doctena (3,3), Doctolib (3,6) und Samedi (3,7).

Millionen Termindaten ungeschützt im Netz?

Die Note „ausreichend“ könnte für die Doctolib GmbH noch schmeichelhaft sein. Denn als einziger Dienstleister für Terminmanagement wird die deutsche Tochter der französischen Doctolib SAS von der Berliner Beauftragten für Datenschutz und Informationsfreiheit überprüft. Denn bereits Ende 2020, genauer: am 29. Dezember 2020, berichtete der Chaos Computer Club (CCC) anhand von Daten, die Unbekannte seinen Mitgliedern zur Verfügung gestellt hatten, dass Millionen Termindaten Doctolibs monatelang unverschlüsselt über das Internet gefunden werden konnten. Doctolib widerspricht – die verschiedenen Stellungnahmen weisen jedoch Ungereimtheiten auf.

Bei den aufgefundenen Daten handelte es sich nach Darstellung des CCC zwar nicht um medizinische Daten, jedoch durchaus um sensible Informationen: Denn über eine einfache Browsereingabe zweier URLs waren Terminbuchungen abrufbar, die jeweils Arzt-Angaben wie Titel, Name, Ort und Fachgebiet sowie Patientendaten wie Vor- und Nachname, Geschlecht, Alter, Telefonnummer und etwaige angehängte Dokumente enthielten. 

Experten Entsetzt

Doctolib-App übertrug Daten an Facebook & Co.

Nachdem die gemeinnützige Organisation Algorithmwatch Versäumnisse Doctolibs bei der Vergabe von COVID-Impfterminen in Berlin aufgezeigt und das Unternehmen den „Big Brother Award“ für 2021 erhalten hatte, überprüfte auch ein Team der IT-Webseite mobilsicher.de die Doctolip-App – und war negativ überrascht. 

Die Experten hätten sich „erst einmal die Augen reiben“ müssen, heißt es im entsprechenden Artikel auf dem Webportal. „Denn was wir da im Datenverkehr zu sehen bekamen, ist selbst für uns bei mobilsicher nicht alltäglich.“ Fazit: Nutzer der App-Version 3.2.26 mussten zum Stand 18. Juni 2021 davon ausgehen, dass Doctolib die IP-Adresse, den Buchungsgrund und den Versicherungsstatus eines Nutzers sowie die Facharztbezeichnung der Suche an das Marketingunternehmen Outbrain sowie Facebook gesendet hatte. Immerhin: Auf die Anfrage von mobilsicher.de reagierte Doctolib sofort und entfernte die kritisierten Cookies. Bei einem erneuten Test drei Tage später wurden weder Facebook noch Outbrain kontaktiert. 

Die Cookie-Übertragung an Google, die ZEIT online reklamierte (siehe Haupttext) beobachteten auch die Experten von mobilsicher.de. Nach der ZEIT-Veröffentlichung vom 23. Juni 2021 wurde auch dies gestoppt.

Dazu, ob die Cookie-Einwilligung Nutzern der Doctolib-App das Verhalten vor der Bereinigung ausreichend erklärt hatte, machte der Berliner Gesundheitssenat auf Anfrage von mobilsicher.de keine Angaben. „Wir haben die Bestätigung von Doctolib, dass alle Applikationen DSGVO-konform betrieben werden. Eine genaue Analyse dieses spezifischen Falles wurde nicht durchgeführt“, lautet die Antwort. Fazit: „Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes“ gab es nicht. Die Prüfung der Behörde beschränkte sich auf das Sichten von vorgelegten Unterlagen und Erklärungen Doctolibs.

Wie der IT-Sicherheitsberater Martin Tschirsich ausführt, zeigte erst die genauere Betrachtung der Daten die ganze Dramatik des Falls. Denn wäre es zum Datendiebstahl gekommen, hätten Kriminelle über Jahre hinweg ganze Patientenhistorien rekonstruieren, also nachvollziehen können, wer wann bei welchem Psychotherapeuten, in welcher Kinderwunschpraxis oder Schönheitsklinik war. „Hier muss man aufpassen“, warnt er. „Metadaten verraten unglaublich viel.“ 

Damit konfrontiert entgegnete Doctolib dem CCC nur, „es konnten keine medizinischen Daten gelesen werden“. Später änderte das Unternehmen seine Formulierung. „Keine medizinischen Besuchsgründe oder kein medizinisches Dokument waren von dem Angriff betroffen“, hieß es gegenüber den zm. Bei all diesen Formulierungen handelt es sich jedoch nicht um juristische relevante Begriffe, wie sie die DSGVO verwendet. Denn darin ist ausschließlich von „Gesundheitsdaten“ die Rede – zu denen die Berliner Datenschutzbeauftragte unmissverständlich auch Termindaten zählt. 

Gab es ein Datenleck – oder gleich zwei?

Auch was die Eckdaten des Datenlecks betrifft, steht Aussage gegen Aussage. Am 26. Januar 2021 – gut einen Monat nach der Veröffentlichung durch den CCC – gab Doctolib per Pressemitteilung eine knappe und krude formulierte Gegendarstellung heraus. Die Botschaft: Basierend auf den Informationen anonymer Hacker hätten Mitglieder des CCC die Schwachstelle verifiziert und lediglich 6.000 Termine erfassen können. Außerdem heißt es: „Doctolib hat den Angriff innerhalb weniger Stunden gestoppt und die Sicherheitslücke behoben.“

Für Tschirsich ist hingegen klar: „Das frühere Datenleck, über das Mitglieder des CCC berichteten, steht in keinem Zusammenhang mit dem von Doctolib beschriebenen Angriff vom 21. Juli.“ Sowohl Mitglieder des CCC – sowie später auch ZEIT online – hätten Einsicht in den über die frühere Schwachstelle abgerufenen Datensatz gehabt. ZEIT-Autorin Eva Wolfangel schrieb hierzu: „Die Daten stammen demnach bereits von November 2019 – was bedeutet, dass die Sicherheitslücke mindestens ein halbes Jahr nicht geschlossen worden sein könnte.“ Und nicht nur das: Über die Schwachstelle soll zum damaligen Zeitpunkt ein Zugriff auf jede einzelne von etwa 150 Millionen Terminvereinbarungen möglich gewesen sein.

Doctolibs Darstellung nach handelt es sich bei diesen Aussagen um „falsche Behauptungen“. Der CCC habe eine Extrapolation vorgenommen heißt es, um zu zeigen, dass es theoretisch Zugang zu dieser Menge an Daten hätten geben können, wenn das Sicherheitssystem von Doctolib den Angriff nicht gestoppt hätte. 

Negativauszeichnung für Doctolib im Juni 2021

Der langjährige Datenschutzbeauftragte Schleswig-Holsteins, Dr. Thilo Weichert, sieht losgelöst von der Diskussion um die Anzahl und Größe von Datenlecks Anlass zur Sorge, wenn er beobachtet, wie Docotlib mit Gesundheitsdaten umgeht. Zusammen mit drei Informatikern betreibt der Jurist und Politologe die Nichtregierungsorganisation „Netzwerk Datenschutzexpertise“ und erstellte im Juni 2021 das 39-seitige Gutachten „Arztterminvermittlung über Doctolib – Datenschutz-Aspruch und Wirklichkeit.“ Sein Fazit: Doctolib weist teils starke, teils weniger gravierende Datenschutzdefizite auf. 

Bei der Laudiatio der ebenfalls im Juni 2021 verliehenen Datenschutz-Negativauszeichnung Big Brother Award 2021 des Vereins „Digitalcourage“ sagte er: „Das Angebot für Gesundheitsfachkräfte, vor allem Ärztinnen und Ärzte, scheint genial. [...] In der Realität sollten Ärztinnen und Ärzte jedoch schnell stutzig werden.“ Denn nach dem Vertragsschluss erscheine ein Doctolib-Mitarbeiter und erbitte zunächst einmal Zugriff auf das gesamte Arztinformationssystem und alle Patientenstammdaten. Damit nicht genug: Nach dem Import der Patientenliste sei ein regelmäßiger Abgleich zwischen Praxis und Dienstleister vorgesehen. „Da stellen sich uns die Stacheln auf“, sagte der Datenschützer. „Das Vertrauen des Patienten gegenüber seinem Arzt verbietet es, dass Namen, Termine, Behandlungen und ähnliche Informationen in die Hände von Dritten gelangen.“ 

68510456842621684262468426256851046 6837452 6842628
preload image 1preload image 2preload image 3preload image 4preload image 5preload image 6preload image 7preload image 8preload image 9preload image 10preload image 11preload image 12preload image 13preload image 14preload image 15preload image 16preload image 17preload image 18preload image 19preload image 20preload image 21preload image 22preload image 23preload image 24preload image 25preload image 26preload image 27preload image 28preload image 29preload image 30preload image 31preload image 32preload image 33preload image 34preload image 35preload image 36preload image 37preload image 38preload image 39preload image 40preload image 41preload image 42preload image 43preload image 44preload image 45preload image 46preload image 47preload image 48preload image 49preload image 50preload image 51preload image 52preload image 53preload image 54preload image 55preload image 56preload image 57preload image 58preload image 59preload image 60preload image 61preload image 62preload Themeimage 0preload Themeimage 1preload Themeimage 2preload Themeimage 3preload Themeimage 4preload Themeimage 5preload Themeimage 6preload Themeimage 7preload Themeimage 8preload Themeimage 9preload Themeimage 10preload Themeimage 11preload Themeimage 12preload Themeimage 13preload Themeimage 14preload Themeimage 15preload Themeimage 16preload Themeimage 17preload Themeimage 18preload Themeimage 19preload Themeimage 20preload Themeimage 21preload Themeimage 22preload Themeimage 23preload Themeimage 24preload Themeimage 25preload Themeimage 26preload Themeimage 27preload Themeimage 28
Bitte bestätigen Sie
Nein
Ja
Information
Ok
loginform
Kommentarvorschau
Kommentarvorschau schliessen
Antwort abbrechen
Ihr Kommentar ist eine Antwort auf den folgenden Kommentar

Keine Kommentare