Da „krankt“ der Datenschutz! Auch sensible Gesundheitsdaten bei einschlägigen Webportalen nicht sicher!

Bildquelle
© Zerbor – stock.adobe.com

Portale für psychische Erkrankungen geben sensible Daten weiter

Eine neue Studie der Nichtregierungsorganisation Privacy International ist jetzt zu dem Ergebnis gekommen, dass häufig frequentierte Websites für das Krankheitsbild Depressionen sensible Daten auch an Dritte übermitteln.
Diese fragwürdige Praxis findet sich in Frankreich und Großbritannien, aber auch in Deutschland.
Insgesamt wurden für diese Studie insgesamt 136 Webseiten aus diesen drei Ländern analysiert.
Ergebnis: Auf mehr als 97 Prozent der analysierten Seiten wurden Elemente von Drittanbietern gefunden, zum Beispiel sogenannte Tracking-Elemente, die teilweise detaillierte Informationen an Werbenetzwerke weiterleiten.
Darunter sind auch Unternehmen wie Google, Amazon und Facebook.
Die vorgefundene Praxis ist fragwürdig, weil diese Drittanbieter aufgrund der weitergegebenen Daten erkennen können, dass sich der Nutzer über psychische Erkrankungen informiert hat.

Breite Streuung der Daten erfolgt in vielen Fällen ohne Einwilligung

Teilweise werden die personenbezogenen Daten extrem breit gestreut, in Frankreich wurden Schlagworte wie z. B. „Depression“ an Werbeplattformen weitergegeben, auf denen zum Teil Hunderte Werbetreibende um Aufträge mitbieten können.
Die 44 untersuchten deutschen Seiten enthielten im Schnitt mehr als acht dieser Elemente von Drittanbietern.
In mehr als sieben Fällen wurden Tracking-Cookies solcher Firmen übermittelt.
Die Gesamtstudie macht auch transparent, dass die Weitergabe dieser sensiblen Daten in vier von neun detaillierter untersuchten Seiten sogar ohne Einwilligung des Betroffenen erfolgt.
Eine solche Praxis verstößt gegen die Vorgaben der DS-GVO.
Auf einigen der untersuchten Seiten vermitteln Selbsttests den Eindruck, dass diese komplett anonym genutzt werden können.
Jedoch konnten auch bei den Tests zahlreiche Tracker identifiziert werden, die sensible Informationen speichern und diese dann mit den Informationen anderer Webseiten verknüpfen können.
Personenbezogene Profile können so von den Nutzern generiert werden.

Deutsche Gesundheits-Webseiten geben auch Anlass zur Kritik

Zwar ist das Tracking-Verhalten der untersuchten französischen Webseiten mit über 80 Prozent deutlich ausgeprägter, dennoch werden auch in Deutschland auf über 60 Prozent der analysierten Seiten solche fragwürdigen Tracking-Tools zu Marketing-Zwecken eingebunden.
Bei der untersuchten Webseite der „Apotheken-Rundschau“ wurden ohne Zustimmung der betroffenen Nutzer personenbezogene Daten an Drittanbieter, auch an Vermarkter dieser Daten zu Werbezwecken, übermittelt.
Die Nutzer hatten sich zu dem sensiblen Thema Depressionen auf dieser Webseite erkundigt.
Der Verlag der „Apotheken-Rundschau“ hat auf Anfrage dazu erklärt, dass die Daten nur „entsprechend des Datenschutzes“ verwendet werden.
Allerdings werde aktuell geprüft, ob die geschaltete Werbung auch wirklich DS-GVO konform sei.
Bis zum Abschluss dieser Prüfungen wurde vom Verlag prophylaktisch entschieden, alle Tracking-Tools zu Werbezwecken von der Website zu entfernen.

Auch das größte deutsche Portal zu Gesundheitsthemen Netdoktor.de gibt lt. der Studie personenbezogene Daten an Drittanbieter weiter, diese Website setzt sogar die meisten dieser Tracking-Tools ein.
Über 120 Elemente verschiedener Drittanbieter wurden bei Netdoktor.de gefunden, darunter von Amazon, Bertelsmann und Google.
Netdoktor.de hat zu diesem Ergebnis erklärt, dass keine Speicherung personen-bezogener Daten erfolgt und keine entsprechende Daten an Dritte weitergegeben bzw. veräußert würden. Man verhalte sich DS-GVO konform.
Zusätzlich wurde noch ein zusätzlicher Hinweis zum Thema Datenschutz auf der Website ergänzt, der lautet: „Auf diesem Angebot werden Nutzungsdaten durch uns und eingebundene Dritte erfasst und ausgewertet (sg. Tracking), u.a. mittels Cookies. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung.“
Diese Praxis wird von Datenschützern kritisiert, da die Tracking-Mechanismen längst aktiv sind, wenn dieser Hinweis von Nutzern gesehen wird.
Der Nutzer kann also gar keine eigene Entscheidung treffen.

Beim Umgang mit sensiblen Gesundheitsdaten ist eine solche Vorgehensweise nicht ausreichend und kann somit einen Verstoß gegen die bestehende Datenschutz-grundordnung darstellen.

Übertragung von sensiblen Gesundheitsdaten auch an Facebook

Erst kürzlich wurde publik, dass vom Blutspendedienst des Bayerischen Roten Kreuzes Antworten von Nutzern auf Fragen nach HIV- und Hepatitis-Infektionen oder Schwangerschaftsabbrüchen wochenlang an Facebook übertragen wurden.
Die Ursache war eine Fehlkonfiguration der betreffenden Website, die jedoch mittlerweile korrigiert wurde.
Die zuständige Aufsichtsbehörde untersucht diesen Vorfall.

Deutsche Kliniken geben auch Daten weiter

Anbieter wie die „Apotheken-Rundschau“ und „Netdoktor.de“ sind in der Regel für die Nutzer kostenlos und finanzieren Ihr Angebot über Werbeeinnahmen.
Der Erfolg der Werbemaßnahmen wird mittels dieser oben beschriebenen Tracking-Tools gemessen.
Erstaunlicherweise hat die Studie aber auch herausgefunden, dass auf den Webseiten einiger deutscher Kliniken auch zum Teil zehn und mehr solcher Tracker von Drittanbietern eingebunden sind.
Der Grund für eine solche Praxis ist unklar.
Als Reaktion auf dieses Ergebnis wollen einzelne Klinikbetreiber zukünftig eine Einwilligung des Nutzers einholen. Bis zur Modifikation der Webseite werden keine Tracking-Aktivitäten mehr vorgenommen.
Andere Kliniken haben die bisherigen Tracking-Funktionen nach Veröffentlichung dieser Studie entsprechend überprüft und deaktiviert.
Die Vorgaben der DS-GVO wurden aber vor dieser Deaktivierung lt. eigenen Aussagen eingehalten.

DS-GVO sieht hohe Strafen bei Verstößen vor

Die ab Mai des vergangenen Jahres gültige DS-GVO soll Nutzer eigentlich davor schützen, dass persönliche Daten ohne Einwilligung an Dritte weitergegeben werden.
Aktuell ermitteln die zuständigen Aufsichtsbehörden, inwiefern die untersuchten Webseiten gegen die Vorgaben der DS-GVO verstoßen.
Es drohen bei Verstößen hohe Strafen für die betreffenden Unternehmen.
Von den Aufsichtsbehörden wurden bisher schon Bußgelder in sehr empfindlicher Höhe verhängt.
Gegen die Fluglinie British Airways wurde z. B. ein Rekord-Bußgeld von über 200 Millionen Euro wegen nicht ausreichender IT-Sicherheit verhängt.

Also? Worauf warten Sie?

Ihr Kontakt zu uns

Datavise GmbH & Co. KG
Friedrichstraße 73
40217 Düsseldorf

Tel.: 0211 5800 26 96 0
Mail: info@datavise.de

Schreiben Sie uns Ihr Vorhaben.

    [recaptcha]
    *Pflichtfelder
    Ihr Kontakt zu uns

    Datavise GmbH & Co. KG
    Luegallee 114
    40545 Düsseldorf

    Tel.: 0211 5800 26 96 0
    Mail: info@datavise.de