Social Media Technologie

Doctolib-App hat sensible Daten mit Facebook und Outbrain geteilt

Notaufnahme, Corona, Arzt, Arzttermin, Doctolib
pixabay.com/ mohamed_hasan
geschrieben von Maria Gramsch

Die Doctolib-App ist bekannt und beliebt für und bei der Buchung von Arzt- oder Impfterminen im Impfzentrum. Doch wie eine Recherche nun herausgefunden hat, sind bei den Anfragen sensible Gesundheitsdaten bei Facebook und Outbrain gelandet. Das müssen User wissen.

Cookie-Banner sind heutzutage allgegenwärtig im Netz. Nicht selten stimmen Nutzer:innen hier einfach zu, ohne genauer nachzulesen oder die Auswahl anzupassen.

Dass das auch nach hinten losgehen kann, zeigt nun eine Recherche von Mobilsicher. Das Infoportal für sichere Handynutzung hat die Doctolib-App unter die Lupe genommen – mit einem erschreckenden Ergebnis.

So lief der Test ab

Am 18. Juni 2021 hat das Portal die Doctolib-Version 3.2.26 auf einem Pixel-2-Smartphone mit Android 10 getestet.

Beim Start der App hat Redakteurin Miriam Ruhenstroth im Datenschutz-Disclaimer mit der Überschrift „Die Sicherheit Ihrer Daten hat höchste Priorität für uns“ das Feld „Erlauben“ ausgewählt.

Nach dem Einloggen hat Ruhenstroth sich als privat versichert ausgegeben und nach einem Urologen für ein „Beratungsgespräch Vasektomie Sterilisation Mann“ gesucht. Es wurde ein Arzt ausgewählt sowie ein Termin angefragt.

Daten landen bei Facebook und Outbrain

Und weil die Redakteurin am Anfang im Datenschutz-Disclaimer alles erlaubt hat, hat die App „regelmäßige GET-Requests an die Server von Facebook und Outbrain“ gesendet.

Die Links dahinter sahen im Test dann so aus:

https://tr.outbrain.com/unifiedPixel?marketerId=0077195aa0d6c59afbe8f9690e36deb48a&obApiVersion=1.1&obtpVersion=1.4.1&name=PAGE_VIEW&dl=https%3A%2F%2Fwww.doctolib.de%2Furologie%2Fberlin%2Freimar-domnitz%2Fbooking%2Favailabilities%3FinsuranceEventsEnabled%3Dtrue%26insuranceSector%3 Dprivate%26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motiveKey%3DVorgespr%25C3%25A4ch%2520Vasektomie%2520%2528Sterilisation%2520Mann %2529-1336%26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526

Verschlüsselt zu finden sind hier also unter anderem Informationen über den Suchbegriff Urologie sowie die Anfrage zur Vasektomie beziehungsweise Sterilisation. Auch der angegebene private Versicherungsstatus ist hier erkennbar.

Gekrönt wird alles von einer Marketer-ID von Outbrain. Hier steht laut Mobilsicher bei einer Anfrage an Facebook dann eben eine Facebook-ID – alle weiteren Informationen bleiben gleich.

So reagiert Doctolib

Konfrontiert mit den Recherche-Ergebnissen reagiert Doctolib prompt. „Die kritisierten Cookies wurden in Rekordzeit von der Webseite entfernt“, schreibt Ruhenstroth. Bei einem erneuten Test am 21. Juni 2021 seien weder Facebook noch Outbrain kontaktiert worden.

Geschäftsführer Dr. Ilias Tsimpoulis nimmt Stellung zu den Ergebnissen: „Die beiden Cookies dienten dazu, den Erfolg unserer Marketing-Kampagnen zu messen.“ Bei Facebook und Outbrain habe Doctolib veranlasst, alle über Cookies erfassten Daten zu löschen.

Doctolib ist Auftragnehmer des öffentlichen Sektors

Die Berliner Senatsverwaltung hat Doctolib mit der Impfterminvergabe beauftragt. Wer also online einen Termin in einem Berliner Impfzentrum für seine Corona-Schutzimpfung machen will, muss den Dienst verwenden.

Der Berliner Gesundheitssenat äußert sich gegenüber Mobilsicher. Es habe vorab keine Prüfung gegeben: „Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes konnte zum damaligen Zeitpunkt nicht erfolgen und es gab angesichts der vorgelegten Unterlagen und Erklärungen auch keinen akuten Anlass dazu.“

Der Senat habe die Bestätigung des Anbieters, „dass alle Applikationen DSGVO konform betrieben werden“. Eine genaue Analyse habe es nicht gegeben.

Auch interessant:

Über den Autor

Maria Gramsch

Maria ist freie Journalistin und seit 2021 freie Autorin bei BASIC thinking. Sie hat einen Bachelor in BWL von der DHBW Karlsruhe und einen Master in Journalistik von der Universität Leipzig. Neben dem Studium hat sie als CvD, Moderatorin und VJ bei dem Regionalsender Leipzig Fernsehen und als Content-Uschi bei der Bastei-Lübbe-App oolipo gearbeitet. Im letzten Studienjahr war sie Mitgründerin, CvD und Autorin der Leipzig-Seite der taz. Maria lebt und paddelt in Leipzig und arbeitet unter anderem für turi2.de und die Leipziger Produktionsfirma schmidtFilm.

Kommentieren