Datenschutz: Doctolib-App gab sensible Daten an Facebook weiter

Bei Suchen in der Doctolib-App nach einem Arzt oder einer Behandlung sind die Daten an Facebook und Outbrain übermittelt worden.

Artikel veröffentlicht am ,
Bekam Daten von Doctolib: Facebook
Bekam Daten von Doctolib: Facebook (Bild: Dado Ruvic/Reuters)

Erst vor kurzem hat die Terminvermittlung Doctolib den Big Brother Award in der Kategorie Gesundheit gewonnen, jetzt hat das Onlineportal Mobilsicher herausgefunden, dass die Doctolib-App sensible Daten an die Plattformen für Onlinewerbung Facebook und Outbrain weitergegeben hat.

Stellenmarkt
  1. Experte (w/m/d) Corporate Governance & Compliance
    AIXTRON SE, Herzogenrath
  2. Mitarbeiter (m/w/d) Helpdesk/IT-Support
    DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen, Frankfurt am Main,Frankfurt (Oder)
Detailsuche

Getestet hatte Mobilsicher die App am 18. Juni in der Version 2.2.26, die seit dem 27. Mai über Googles Play Store bereitgestellt wird. Nach dem ersten Start wird demnach ein Datenschutz-Disclaimer eingeblendet, demzufolge die Sicherheit der Daten höchste Priorität habe. Wird auf Erlauben geklickt, sendet Doctolib regelmäßig Daten an Facebook und Outbrain.

Jede Suche an Facebook und Outbrain weitergegeben

"Wenn das die einzige Einwilligung ist, deckt das natürlich nicht die Übermittlung von Inhalten und Schlüsselworten ab", sagte Jurist Patrick Breyer, der für die Piratenpartei im Europaparlament sitzt, zu Mobilsicher. Doch genau das macht die App: Es wird sowohl das Suchwort, beispielsweise Urologie, als auch die gewünschte Behandlung, beispielsweise "Beratungsgespräch Vasektomie Sterilisation Mann", eins zu eins an Facebook und Outbrain weitergegeben.

Ebenfalls übermittelt wurde, dass die Testperson von Mobilsicher.de privat versichert ist, sowie die Marketer-ID von Outbrain beziehungsweise die Facebook-ID. Auch dass die Informationen von Doctolib stammen, war enthalten. Informationen über den tatsächlich gebuchten Termin oder den ausgewählten Arzt würden hingegen nicht übermittelt, betont Mobilsicher. Allerdings würden die beiden Dienste durch die Anfrage die IP-Adresse erhalten. Von anonymen Daten könne schon deshalb keine Rede sein. Das Verhalten dürfte auf der Webseite sowie in der iOS-Version der App identisch sein.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
  2. Einführung in Unity: virtueller Ein-Tages-Workshop
    12.08.2022, Virtuell
Weitere IT-Trainings

Konfrontiert mit den Untersuchungsergebnissen entfernt Doctolib das beanstandete Datensendeverhalten umgehend. Das habe ein erneuter Test am 21. Juni bestätigt, schreibt Mobilsicher.de. Man habe die Daten übertragen, um den Erfolg der Marketing-Kampagnen zu messen, erklärte Dr. Ilias Tsimpoulis von Doctolib das Vorgehen. "Wir hätten das besser erklären können - aber dann wäre es auch komplexer geworden. Wir haben uns daher entschieden, die Kampagnenmessung über die beiden Drittanbieter ganz einzustellen". Zudem habe man veranlasst, dass die bisher an die Plattformen weitergegeben Daten gelöscht würden.

Doctolib behauptete, keine Daten weiterzugeben

Das Berliner Unternehmen teilte am 17. Juni, also noch vor dem Test von Mobilsicher, Golem.de mit: "Doctolib verarbeitet keine Daten für kommerzielle Marketingzwecke oder gibt Daten an kommerzielle Dritte weiter".

Zuvor hatte der Datenschutzverein Digitalcourage den Negativpreis Big Brother Award an das Unternehmen verliehen. Die Begründung war, dass das Unternehmen die Vertraulichkeitspflicht verletze und die Daten von Nutzern und Patienten aus Arztpraxen laut Datenschutzvereinbarung für kommerzielle Marketingzwecke verarbeitet.

So bitte Doctolib die teilnehmenden Ärzte "um Zugriff auf den gesamten im Arztinformationssystem gespeicherten Patientenstammdatensatz", erklärte Thilo Weichert von der Deutschen Vereinigung für Datenschutz in seiner Laudatio. Danach sei ein regelmäßiger Datenabgleich der Termintabelle des Arztsystems mit dem Vermittlungssystem von Doctolib nötig.

Doctolib auch in Impfzentren im Einsatz

Neben 150.000 Ärzten und Gesundheitsfachkräften nehmen auch die Berliner Impfzentren die Dienste von Doctolib in Anspruch. Im vergangenen Jahr berichteten Sicherheitsforscher auf dem Hackerkongress rC3 von einem Datenleck bei dem Unternehmen. Demnach war ihnen ein Zugriff auf rund 150 Millionen Terminvereinbarungen bei Doctolib möglich, die teils bis in das Jahr 1990 zurückreichten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


cimst 22. Jun 2021

Und was bringt MIR das? Wem hilft es wenn ein Unternehmen eine Strafe zahlen muss...

Morons MORONS 22. Jun 2021

Demnächst in dem Newsfeed deiner Freunde: deine Prostataentzündung, der abfallende...

ElMario 21. Jun 2021

Geil wie hier gehortet wird.



Aktuell auf der Startseite von Golem.de
SFConservancy
Open-Source-Entwickler sollen Github wegen Copilot verlassen

Ähnlich wie schon vor Jahrzehnten mit Sourceforge sollen Open-Source-Projekte nun auch Github verlassen.

SFConservancy: Open-Source-Entwickler sollen Github wegen Copilot verlassen
Artikel
  1. Chrome OS Flex: Das Apple Chromebook
    Chrome OS Flex
    Das Apple Chromebook

    Ein zehn Jahre altes Notebook lässt sich mit Chrome OS Flex wieder flott machen. Wir haben Googles Betriebssystem ausprobiert und waren begeistert.
    Ein Erfahrungsbericht von Martin Wolf

  2. Ransomware: Universität erzielt durch Lösegeldrückzahlung Gewinn
    Ransomware
    Universität erzielt durch Lösegeldrückzahlung Gewinn

    Die Universität Maastricht wurde nach einem Ransomware-Angriff erpresst und zahlte. Krypto-Kursschwankungen führten nun zu einem finanziellen Gewinn.

  3. Krypto-Hedgefunds: Three Arrows Capital ist offiziell insolvent
    Krypto-Hedgefunds
    Three Arrows Capital ist offiziell insolvent

    Neue Informationen zeigen, dass es beim Krypto-Fonds Three Arrows Capital zahlreiche Ungereimtheiten gibt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 3080 12GB günstig wie nie: 949€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • Cooler Master 34" UWQHD 144 Hz günstig wie nie: 467,85€ • Asus RX 6900 XT OC günstig wie nie: 1.049€ • Mindstar (Gigabyte RTX 3060 399€) • Galaxy Watch3 45 mm 119€ [Werbung]
    •  /