Irreführendes Zertifikat: Datenschützer kritisieren Arztterminservice Doctolib

Das mehrfach für seinen Umgang mit Kundendaten kritisierte Arztterminservice-Portal Doctolib wirbt mit Datenschutznachweis der "Zertifizierungsstelle BSI".

In Pocket speichern vorlesen Druckansicht 46 Kommentare lesen

(Bild: TippaPatt/Shutterstock.com)

Update
Lesezeit: 5 Min.
Inhaltsverzeichnis

Das unter Datenschützern umstrittene Terminservice-Portal im Gesundheitsbereich Doctolib rühmt sich mit einem neuen Datenschutzzertifikat der BSI-Group. BSI steht jedoch nicht – wie man vermuten könnte – für das Bundesamt für Sicherheit in der Informationstechnik (BSI), sondern für die "British Standards Institution" – eine unabhängige Zertifizierungsstelle, was Doctolib in seiner Pressemitteilung jedoch nicht auflöst.

Update

Mittlerweile hat sich Doctolib gemeldet und will die Pressemitteilung entsprechend anpassen: "Wir bedauern, falls es eine Verwechslung gab, das war zu keinem Zeitpunkt unsere Absicht. Die BSI-Group ist ein international anerkanntes Zertifizierungsunternehmen, das weltweit Unternehmen verschiedenster Branchen prüft. Die Verbindung zum Bundesamt für Sicherheit in der Informationstechnik wurde uns erst durch die Anfrage bewusst. Daher haben wir alle Dokumente noch einmal angepasst, um eine Verwechslung auszuschließen."

Doctolib schreibt, dass mit dem Zertifikat "konkrete Maßnahmen zum Schutz der Privatsphäre gemäß der EU-Datenschutzgrundverordnung (DSGVO)" bestätigt würden. Bei dem Zertifikat – nach ISO 27701 – handelt es sich jedoch um eines, das sich nicht mit der Zulässigkeit der Datenverarbeitung, insbesondere dem Setzen von Cookies beschäftigt. Laut Thilo Weichert, ehemaliger Landesdatenschützer von Schleswig-Holstein und Mitglied des Netzwerks Datenschutzexpertise, hat die Zertifizierung nach ISO 27701 nichts mit der Zertifizierung gemäß Artikel 42 der Datenschutz-Grundverordnung (DSGVO) zu tun.

Weichert vermutet, dass bei dem Datenschutzzertifkat nach ISO 27701 "keine materiellen Datenschutzprüfungen" vorgenommen wurden. Das heißt, es wurde auch nicht geprüft, ob die konkreten Sicherheitsmaßnahmen mit der DSGVO in Einklang stehen. Ein Gutachten des Netzwerks Datenschutzexpertise hatte bereits 2021 auf Rechtsverstöße aufmerksam gemacht, worauf sich auch die Berliner Beauftragte für Datenschutz in ihrem Jahresbericht 2021 bezieht. Demnach sind Gesundheitsdaten bei einem Terminvermittlungs- und Impfportal von Doctolib "unzulässigerweise mit US-Unternehmen geteilt worden". Nach einem aktualisierten Gutachten des Netzwerks Datenschutzexpertise verstößt Doctolib weiterhin gegen den Datenschutz. Anfragen von heise online bei den Berliner Datenschützern und bei Doctolib, ob dieser Missstand inzwischen behoben ist, wurden bislang nicht beantwortet.

Vor kurzem hatte der Bundesverband der Verbraucherzentralen (vzbv) bemängelt, dass bei verschiedenen Terminservices und Videosprechstunden-Anbietern – darunter auch bei Doctolib – DSGVO-Verstöße vorliegen. Kritisiert wurden verschiedene Punkte der Datenschutzerklärungen der Dienstleister; laut vzbv kam es auch zu Abmahnungen.

Anbieter müssen Nutzer unter anderem über das Recht auf Auskunft, Löschung, Berichtigung und ein Widerspruchsrecht informieren und ihnen ein Widerspruchsrecht ermöglichen. Doctolib kommt dem "Recht auf Auskunft, Löschung, Berichtigung [...] der Einschränkung der Datenverarbeitung und dem Widerspruchs- sowie Widerrufsrecht in seiner Informationspflicht" jedoch nicht vollständig nach. Außerdem fehlt bei Doctolib der Hinweis, dass "die Rechtmäßigkeit der Verarbeitung bis zum Widerruf unberührt" bleibt. Der Hinweis, dass "die Bereitstellung von personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder die Bereitstellung personenbezogener Daten für einen Vertragsabschluss erforderlich ist", fehlt nach Angaben der Verbraucher- und Datenschützer ebenfalls.

Betroffene beschreiben immer wieder Missstände, auch gegenüber heise online und der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gehen nach wie vor Beschwerden zu von Ärzten eingesetzten Terminservice-Diensten ein. Patienten beklagen, ohne Einwilligung SMS oder E-Mails von Doctolib erhalten zu haben.

Laut der Berliner Datenschutzbehörde handelt es sich "vor allem um Fälle, in denen die Ärzt:innen entweder vor der Versendung keine Einwilligung der Patient:innen eingeholt hatten oder die Terminnachrichten wegen eines Fehlers der Arztpraxis bei der Eingabe der Daten nicht bei den richtigen Patient:innen, sondern bei anderen Personen ankamen". Zudem verweisen die Berliner auf eine FAQ zum Thema Terminverwaltung auf ihrer Website.

Da Terminverwaltungssysteme wie Doctolib jedoch lediglich als Auftragsdatenverarbeiter gelten, sind Ärzte für die Einhaltung der Datenschutzrichtlinien beim Einsatz des Dienstes verantwortlich. Demnach sind eingehende Datenschutzbeschwerden laut der zuständigen Berliner Behörde an die Ärzte zu richten. "Wenn die Ärzt:innen für die Versendung der Nachrichten einen Auftragsverarbeiter einsetzen, müssen sie über den Einsatz des Auftragsverarbeiters auch in ihrer Datenschutzinformation informieren", schreibt die Berliner Datenschutzbehörde.

In der Vergangenheit ist Doctolib mehrfach durch Datenschutzprobleme aufgefallen, wie auch die Medical Tribune berichtete. Ende 2020, weil aus dem System Metadaten wie Name, Adresse und Fachrichtung der Arztpraxis sowie Name, Alter und Geschlecht des Patienten sowie Informationen zu vereinbarten Terminen abgeflossen waren. Im Juni 2021 erhielt Doctolib den BigBrotherAward, weil der Dienst Zugriff auf die Stammdaten der Versicherten aus den Praxisverwaltungssystemen heraus benötigt, Doctolib selbst bezeichnet die Vorwürfe jedoch als haltlos. 2021 wurde bekannt, dass Doctolib Informationen zur Arztsuche an Facebook übermittelt hatte.

Möglicherweise werden künftig mehr Ärzte und Psychotherapeuten die Dienste von Terminservice-Anbietern wie Doctolib in Anspruch nehmen. Derzeit werden in Regierungskreisen "Möglichkeiten zur Beschleunigung der Vergabe von Arztterminen" diskutiert. Auf eine Anfrage dazu wollte sich das Bundesgesundheitsministerium aber nicht weiter äußern.

Thomas Moorman, Leiter des Teams Gesundheit und Pflege beim vzbv, warnt vor einer dahin gehenden Gesetzgebung: "Bei diesen kommerziellen Terminvermittlungsdiensten oft der Umgang mit den besonders schützenswerten Daten zum Gesundheitszustand der Patientinnen und Patienten unklar und für den Einzelnen schwer zu durchschauen ist".

Zuvor müsse es laut Moormann ein "generelles Verbot von Tracking, Werbung und der Registrierungspflicht" geben. Niemand dürfe "mangels Alternativen in die Online-Terminvermittlung gezwungen werden. Sinnvoller als die Förderung kommerzieller Angebote wäre eine Weiterentwicklung des Online-Angebots der Terminservicestellen der Kassenärztlichen Vereinigungen, also der '116117.de', mit direkter Anbindung an die Terminvermittlung in den Arztpraxen", empfiehlt Moormann.

(mack)