Manche Anbieter speichern auf Ewigkeit

In die Untersuchung eingeschlossen wurden Arzt-Direkt, Doctena, Doctolib, Doktor.De, Fernarzt, jameda, samedi, TeleClinic und Zavamed.de. Bei jenen erhalten die Patienten den Termin zur Videosprechstunde nicht von ihrer Praxis, sondern der Arztkontakt wird über den Anbieter oder die Plattform hergestellt.

Anhand von 37 Kategorien hat der vzbv die Plattformen geprüft, zum Beispiel hinsichtlich der ausdrücklichen Einwilligung in die Verarbeitung von Gesundheitsdaten, des Einsatzes von Tracking-Tools, der namentlichen Nennung von Datenempfängern sowie der Information über die Speicherdauer der personenbezogenen Daten. Als Konsequenz mahnte der Verband drei Anbieter ab und prüft weitere rechtliche Schritte. In zwei Fällen wurden die Verfahren bereits außergerichtlich durch die Abgabe einer Unterlassungserklärung beendet.

Neben dem direkten Weg über den eigenen Arzt (59 Prozent) gelangen viele Patienten über Arzt-Portale (33 Prozent) oder Telemedizin-Plattformen (22 Prozent) zum digitalen Gespräch. Drei Viertel (76 Prozent) halten den Datenschutz bei digitalen Gesundheitsangeboten für eher oder sehr wichtig. Knapp die Hälfte (49 Prozent) sehen mangelhaften Datenschutz als einen Grund an, um digitale Gesundheitsangebote nicht zu nutzen.

vzbv

Zu den Ergebnissen: Die Datenschutzerklärung (DSE) findet man bei allen Anbietern in Deutsch auf der Webseite beziehungsweise in der App. Auch der für die Datenverarbeitung Verantwortliche kann bei allen identifiziert werden, ebenso der Datenschutzbeauftragte. Bei Doctena und samedi ist der Zweck der Datenverarbeitung allerdings teilweise schwer verständlich dargestellt, und Fernarzt und TeleClinic nennen die Rechtsgrundlage für die Datenverarbeitung nicht oder zumindest nicht eindeutig. Doctolib und Doktor.De führen ihr berechtigtes Interesse nicht näher aus beziehungsweise es ist aus Sicht des vzbv nicht plausibel. Doctolib, jameda und Arzt-direkt holen außerdem keine ausdrückliche Einwilligung zur Verarbeitung der Gesundheitsdaten ein. Bei Doctena, Fernarzt, Doktor.De und TeleClinic sind die Erklärungen dazu unspezifisch formuliert: Es fehlt der Hinweis auf die Verarbeitung von Gesundheitsdaten oder die Möglichkeit des Widerrufs ist nicht transparent.

Der Informationspflicht, in der Datenschutzerklärung die Empfänger personenbezogener Daten zu nennen, kommen alle Anbieter nach. Arzt-direkt, Doktor.De, samedi, Fernarzt, Doctena, Doctolib und TeleClinic nennen die Adressaten dabei namentlich. Zavamed und jameda bezeichnen lediglich die Empfängerkategorie, was laut Datenschutz-Grundverordnung (DSGVO) aber ausreicht. Bei Zavamed lautet etwa eine Empfängerkategorie „verschiedene Dritte [...], teilweise gesellschaftsrechtlich verbundene Unternehmen, teilweise technische Dienstleister“. „Bei diesem Kategoriennamen wird nicht klar, wer sich neben den technischen Dienstleistern noch dahinter verbirgt. Daher wird dies als intransparent und damit verbraucherunfreundlich bewertet", rügt der vzbv.

Darüber hinaus berufen sich alle untersuchten Anbieter auf die Einwilligung für eingebundene soziale Netzwerke nach der DSGVO. Auch die Zwecke der Datenübermittlung an soziale Netzwerke werden von allen Anbietern außer von Doctena angegeben (etwa Bekanntheitsgrad erhöhen, Marketing, Werbung, Informationen über Interaktionen). Jedoch listen Doctena, jameda, TeleClinic die an das soziale Netzwerk übermittelten Daten nicht oder unzureichend auf. Und die Speicherfristen bleiben bei Teleclinic, Fernarzt und Doctena im Kontext von sozialen Netzwerken oft vage.

Außerdem beschreiben aus Sicht des vzbv Zavamed, Fernarzt und TeleClinic in der DSE den Widerruf zur Datenverarbeitung bei eingebundenen Dritten zu kompliziert oder gar nicht. So empfehlen die Anbieter die Installation eines Browser-Plug-ins, bestimmte Browser-Einstellungen (wie Cookies verweigern oder Do-not-Track-Signal aktivieren) oder verweisen auf externe Internetadressen, um dort die Datenverarbeitung durch Dritte zu widerrufen.

Leichter ist es für die Nutzer laut vzbv natürlich, wenn sie keinen Account eröffnen müssen, doch liegt diese Entscheidung beim Anbieter. Teleclinic, Arzt-direkt, Fernarzt, Doctena und samedi haben einen Gastzugang, bei den anderen ist eine Registrierung notwendig. Allerdings war der Funktionsumfang bei TeleClinic eingeschränkt und die Wartezeit auf einen Termin länger – inzwischen ist der Gastzugang bei diesem Anbieter gestrichen.

Ihrer Informationspflicht auf Auskunft, Löschung, Berichtigung, Datenübertragbarkeit, Einschränkung der Datenverarbeitung und das Widerspruchs- sowie Widerrufsrecht kommen die Anbieter vollständig nach. Zavamed, Doctolib und Doktor.De machen aber nicht darauf aufmerksam, dass die Rechtmäßigkeit der Verarbeitung bis zum Widerruf Bestand hat. Auch der Hinweis, dass die Bereitstellung von personenbezogenen Daten vorgeschrieben oder die Bereitstellung personenbezogener Daten für einen Vertragsabschluss erforderlich ist, fehlt bei Teleclinic, Doctor.de, Fernarzt und Doctolib in der Datenschutzerklärung.

Was die Datenverarbeitung in Drittländern angeht, sind die Informationen hierzu von samedi, Doctena, jameda und Zavamed aus Sicht des vzbv schwer verständlich. Alle Anbieter bis auf Arzt-direkt übermitteln jedoch Daten in Länder außerhalb der EU, mehrheitlich in die USA. Laut DSGVO müssen sie dafür in der Regel die rechtliche Grundlage angeben. Bei Fernarzt fehlt diese Angabe; samedi, Teleclinic, Fernarzt verweisen nicht auf geeignete Garantien.

Aus Sicht des vzbv ist zudem die Angabe der Speicherdauer beziehungsweise der Kriterien für deren Festlegung verbesserungswürdig: Teleclinic, Fernarzt, jameda, Doctena und Doktor.De löschen die Daten demnach nur auf Aufforderung der Nutzer selbst – beispielsweise aufgrund einer Löschanfrage oder des Widerrufs der Einwilligung in die Datenverarbeitung. Ansonsten speichern sie die Daten unbefristet. Fünf von neun Anbietern nennen für die verschiedenen Datenverarbeitungsprozesse teilweise keine Speicherdauer oder aber die Kriterien dafür bleiben vage. Beispielsweise heißt es bei Teleclinic, dass „die Speicherdauer für die Daten anhand der konkreten Zwecke“ bemessen wird, also gelöscht wird, sobald der Zweck der Datenverarbeitung erfüllt ist – allerdings lässt sich nicht bei jedem Zweck eine Dauer ableiten, wie beispielsweise bei Marketing. „Rechtlich kritisch ist die anbieterseitige Berufung auf eine zehnjährige Speicherdauer nach § 630f Abs. 3 BGB von sämtlichen erhobenen Daten einschließlich der Gesundheitsdaten der Nutzer:innen nach Aufgabe einer Bestellung beziehungsweise Buchung einer Videosprechstunde", urteilt der vzbv und hat diese Angabe daher abgemahnt.

Daher fordert der vzbv:

• Ärzte sollten Videosprechstunden als ergänzende Möglichkeit zur Vor-Ort-Sprechstunde anbieten.

• Medizinische Fachgesellschaften und die Arbeitsgemeinschaft der Wissenschaftlichen Medizinischen Fachgesellschaften (AMWF) sollten mehr fachspezifische Leitlinien für Standards der Fernbehandlung und Telemedizin entwickeln.

• Der Gesetzgeber sollte Verbraucher besser vor Tracking und Profiling im gesundheitlichen Kontext schützen.

• Anbieter müssten eine ausdrückliche Einwilligung in die Verarbeitung von Gesundheitsdaten einholen.

• Sie sollten auf nicht notwendige Drittanbieter für Tracking und Profiling zu Marketingzwecken und Analysen verzichten.

• Sie sollten Drittanbieter in der DSE namentlich benennen, statt nur die Empfängerkategorien aufzuführen.

• Sie sollten einen Gastzugang zur Videosprechstunde anbieten.

• Sie sollten ein Löschkonzept bei Nichtnutzung des Accounts definieren.

• Sie müssten transparente Informationen zur Speicherdauer oder nachvollziehbare Kriterien zur Festlegung der Speicherdauer bereitstellen.

• Sie sollten transparente Information zur Übermittlung von personenbezogenen Daten in Drittländer bereitstellen.