* App der Arzt-Online-Terminvergabesoftware Doctolib reicht(e) thematische Daten u.a. an Facebook weiter? Datenschutzbedenken?

Beitrag teilen, weiterleiten ...

Da beantragt man also online einen Termin bei einem Arzt und erhält Tage/Wochen später u.U. auf anderen Internetseiten gezielte Werbung für Produkte aus dem jeweiligen „Fachgebiet“ (z.B. Urologie, Frauenheilkunde, Radiologie)?

IT-Kollege Günter Born hat das Ganze im Juni 2021 detailliert auf seinem Blog beschrieben; hier der Link zum gesamten Artikel:

Selbst wenn über diese Datenweitergabe in den Datenschutzerklärungen der betroffenen Smartphone-App informiert worden wäre, wäre das eher ein NoGo, denn das Datenweitergabe-Minimierungsgebot der Verordnung sollte insbesondere bei sensiblen Dingen wie Gesundheitsangaben in meinen Augen über der Deklarationspflicht stehen.

Ob dies Auswirkungen auf Ärzte hat, die Doctolib benutzen, kann ich nicht beurteilen. Es empfiehlt sich wohl auf jeden Fall, als Arztpraxis von Terminvergabeplattformen stets einen DSGVO-konformen Auftragsverarbeitungs-Vertrag gegenzeichnen zu lassen, denn immerhin lässt man dort direkt/indirekt Daten erfassen, die dem Gebrauch in der eigenen Arztpraxis dienen.


Im Netz wird auch diskutiert, warum Doctolib den 2021er „Big Brother Award“ erhielt. Hier steht Wort gegen Wort. Daher hier die Darstellungen beider Seiten:

  • Artikel von Netzpolitik.org hier; „Urteilsbegründung“ hier
  • Gegendarstellung von doctolib hier

Ich persönlich vertraue eher dem ChaosComputerClub als einer datenverarbeitenden Firma. 🙂

Die Vorwürfe lauten (Zitat):
„In der Realität sollten Ärzt.innen schnell stutzig werden, denn wenn ein Arzt Doctolib für seine Praxis in Anspruch nehmen will, erscheint ein Mitarbeiter des Unternehmens und bittet zunächst einmal um Zugriff auf den gesamten im Arztinformationssystem gespeicherten Patientenstammdatensatz. Und damit nicht genug: Nach dem Import der Patientenliste ist ein regelmäßiger Datenabgleich der Termintabelle des Arztsystems mit dem Vermittlungssystem von Doctolib nötig.“

Selbst wenn doctolib sich regelmäßig „nur“ mit der Terminverwaltung des Arztsystems abgleicht, dann sollte unbedingt sichergestellt werden, dass vom Arztsystem zu doctolib nur die Angabe „Termin 14:30-14:40 frei/nicht frei“ fließt und nicht etwa die Angabe „Termin 14:30 ist belegt von Heinrich Müller, Beratung Grauer Star Diabetes“.
Wenn dem wirklich so wäre, würde ich als Patient meine Arztpraxis, sofern sie doctolib einsetzt, abmahnen lassen, denn dann wären (obwohl ich selbst kein doctolib nutzen will) meine Daten an doctolib ohne meine Einwilligung zum Abgleich weitergegeben worden.


Nachtrag vom 30.06.2021: Machen wir doch mal eine Stichprobe auf der normalen Homepage doctolib.de, wie man es dort mit der DSGVO nimmt. Was mir dort binnen 60 Sekunden aufgefallen ist, sind zwei Dinge:

  • auf der Anmeldeseite (= dem Loginformular) ist kein Impressum und keine Datenschutzerklärung verlinkt
    (DSGVO-seitig ggf. abmahnbar?); Screenshot
    _
  • die Internetseite doctolib.de bindet – für den Anwender unsichtbar – im Hintergrund Schriftarten von Google (Google Fonts) ein.; Screenshot
    Das ist
    • erstens unnötig (da wurde wohl einer Webagentur nicht auf die Finger geschaut)
    • zweitens für eine Homepage aus dem Gesundheitssektor … naja sagen wir mal … schlechter Stil
    • drittens ein Foul, weil darüber nicht mal in den Datenschutzhinweisen der Homepage informiert wird. Zum Thema „Google“ steht (Stand 30.06.2021) dort nur:
      „Jeder Nutzer hat die Möglichkeit, auf die Symbole für die sozialen Netzwerke von Twitter,Facebook, LinkedIn und Google Plus zu klicken, die sich auf der Doctolib-Webseite oder-Plattform befinden.“
      Das trifft zwar korrekterweise für die unten auf der Homepage sichtbaren Buttons für Twitter, Facebook, Youtube usw zu, aber eben nicht auf den Google-Font-Remoteaufruf. Der Datenschutzerklärung fehlt daher der Hinweis, dass bei jedem Seitenaufruf personenbezogene Daten (u.a. IP-Adresse, Datum/Uhrzeit etc) an Google übertragen werden …. sowie die Kontaktdaten von Google; beides ist Pflicht für eine DSGVO-konforme Hompage-Datenschutzerklärung und lässt sich mit kostenfreien DSGVO-Datenschutzhinweis-Generatoren erzeugen.

Fazit 1a: Würde ich persönlich als Patient meine Daten doctolib anvertrauen? Meine ganz persönliche Meinung? Nö. Das hat mit doctolib nichts zu tun, sondern mit meiner generellen Einstellung. Warum sollte ich meine Daten in Verbindung mit Gesundheitsangaben (Zwecks eines Arzttermins, Fachgebiet des Arzttermins) auf einem fremden Webserver einer Firma hinterlassen? Da rufe ich lieber die Praxis an und nehme eine kurze Warteschleife am Telefon im Kauf.

Fazit 1b: Würde ich, wenn ich eine IT-affine und auf internetprivatsphäre bedachte Arztpraxis wäre, meinen Patienten doctolib anbieten? Meine ganz persönliche Meinung? Eher weniger, denn wenn schon der öffentliche Homepagebereich unnütze Dinge wie GoogleFonts einbindet und dann sich auch noch die Datenschutzerklärung hierzu ausschweigt, dann überwiegt das „Geschmäckle“.
Dann evtl. doch keine Online-Terminvergabe oder doch eher die von CGM? 🙂

Fazit 2: Vorbei sind die Zeiten, als es genügte, seinen Arzttermin mit einem Telefonat zu vereinbaren… Heute macht man das scheinbar online. Nicht etwa, weil es Sinn macht … sondern, weil man es kann. Und weil die Patienten zu oft ihre eigenen Termine vergessen/versemmeln, will man sie automatisiert daran erinnern. Es ist die Krux eines jeden Übergangs von Demokratie zu Nanny-Staat und Dauergängeli … nachlässige Anwender erfordern unnütze/vermeidbare technische Lösungen. Ich wäre ja dafür, dass Patienten, die ihren Termin vergessen, finanziell sanktioniert werden, anstatt dass man ihnen hinterherräumt/telefoniert. Manche Heilpraktiker machen das so (wer Termine nicht storniert und nicht erscheint, bekommt eine Rechnung). Nur so klappts dann auch mit der Termindisziplin. Menschen werden halt nur selbständig, wenn man ihnen das eigene Denken/Handeln nicht abnimmt …. kennt man ja von der Kindererziehung. 🙂

Fazit 3: Was treibt eigentlich Patienten dazu, heikle Daten wie „ich brauche nen Termin beim Radiologen, Urologen, Gynäkologen“ über eine Drittanbieterplattform abzuwickeln? Achso … weil’s bequem ist und state of the art. Ich vergas. Aber was solls …. mit dem Achten der eigenen Privatsphäre kann es nicht weit her sein, wenn manche Patienten Digitalfotos Ihrer Krankheitssymptome per Whatsapp (?WTF????) an manche Ärzte/Heilpraktiker senden. Hmm … gute Idee …. vielleicht könnte man Datenkraken wie WhatsApp das Leben schwerer machen, indem man sie mit Fotos von Hautekzemen und offenen Wunden flutet. (Ironie aus)

Hat Ihnen dieser Beitrag gefallen oder geholfen?
Bedanken Sie sich? Mit einer kleinen Anerkennung für die inhaltliche Arbeit?
Jeder Betrag ist willkommen. Lieben Dank!