Doctolib: Arzt-App teilt(e) sensible Daten mit Facebook und Outbrain

Die Doctolib-App ist bekannt und beliebt für und bei der Buchung von Arzt- oder Impfterminen im Impfzentrum. Doch wie eine Recherche nun herausgefunden hat, sind bei den Anfragen sensible Gesundheitsdaten bei Facebook und Outbrain gelandet. Das müssen User wissen.

Cookie-Banner sind heutzutage allgegenwärtig im Netz. Nicht selten stimmen Nutzer:innen hier einfach zu, ohne genauer nachzulesen oder die Auswahl anzupassen.

Dass das auch nach hinten losgehen kann, zeigt nun eine Recherche von Mobilsicher. Das Infoportal für sichere Handynutzung hat die Doctolib-App unter die Lupe genommen – mit einem erschreckenden Ergebnis.

Neue Stellenangebote

		Content Manager:in Schwerpunkt Social Media (m/w/d) THE DIGITALE GmbH in München
		Digital Communications Specialist Social-Media (m\|w\|d) Erwin Hymer Group in Bad Waldsee
		Werkstudent Social Media und Community Management (m/w/d) Walbusch Gruppe in Düsseldorf

Alle Stellenanzeigen

So lief der Test ab

Am 18. Juni 2021 hat das Portal die Doctolib-Version 3.2.26 auf einem Pixel-2-Smartphone mit Android 10 getestet.

Beim Start der App hat Redakteurin Miriam Ruhenstroth im Datenschutz-Disclaimer mit der Überschrift „Die Sicherheit Ihrer Daten hat höchste Priorität für uns“ das Feld „Erlauben“ ausgewählt.

Nach dem Einloggen hat Ruhenstroth sich als privat versichert ausgegeben und nach einem Urologen für ein „Beratungsgespräch Vasektomie Sterilisation Mann“ gesucht. Es wurde ein Arzt ausgewählt sowie ein Termin angefragt.

Daten landen bei Facebook und Outbrain

Und weil die Redakteurin am Anfang im Datenschutz-Disclaimer alles erlaubt hat, hat die App „regelmäßige GET-Requests an die Server von Facebook und Outbrain“ gesendet.

Die Links dahinter sahen im Test dann so aus:

https://tr.outbrain.com/unifiedPixel?marketerId=0077195aa0d6c59afbe8f9690e36deb48a&obApiVersion=1.1&obtpVersion=1.4.1&name=PAGE_VIEW&dl=https%3A%2F%2Fwww.doctolib.de%2Furologie%2Fberlin%2Freimar-domnitz%2Fbooking%2Favailabilities%3FinsuranceEventsEnabled%3Dtrue%26insuranceSector%3 Dprivate%26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motiveKey%3DVorgespr%25C3%25A4ch%2520Vasektomie%2520%2528Sterilisation%2520Mann %2529-1336%26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526

Verschlüsselt zu finden sind hier also unter anderem Informationen über den Suchbegriff Urologie sowie die Anfrage zur Vasektomie beziehungsweise Sterilisation. Auch der angegebene private Versicherungsstatus ist hier erkennbar.

Gekrönt wird alles von einer Marketer-ID von Outbrain. Hier steht laut Mobilsicher bei einer Anfrage an Facebook dann eben eine Facebook-ID – alle weiteren Informationen bleiben gleich.

So reagiert Doctolib

Konfrontiert mit den Recherche-Ergebnissen reagiert Doctolib prompt. „Die kritisierten Cookies wurden in Rekordzeit von der Webseite entfernt“, schreibt Ruhenstroth. Bei einem erneuten Test am 21. Juni 2021 seien weder Facebook noch Outbrain kontaktiert worden.

Geschäftsführer Dr. Ilias Tsimpoulis nimmt Stellung zu den Ergebnissen: „Die beiden Cookies dienten dazu, den Erfolg unserer Marketing-Kampagnen zu messen.“ Bei Facebook und Outbrain habe Doctolib veranlasst, alle über Cookies erfassten Daten zu löschen.

Doctolib ist Auftragnehmer des öffentlichen Sektors

Die Berliner Senatsverwaltung hat Doctolib mit der Impfterminvergabe beauftragt. Wer also online einen Termin in einem Berliner Impfzentrum für seine Corona-Schutzimpfung machen will, muss den Dienst verwenden.

Der Berliner Gesundheitssenat äußert sich gegenüber Mobilsicher. Es habe vorab keine Prüfung gegeben: „Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes konnte zum damaligen Zeitpunkt nicht erfolgen und es gab angesichts der vorgelegten Unterlagen und Erklärungen auch keinen akuten Anlass dazu.“

Der Senat habe die Bestätigung des Anbieters, „dass alle Applikationen DSGVO konform betrieben werden“. Eine genaue Analyse habe es nicht gegeben.

Auch interessant:

		Scrum Master (w/m/d) Gamomat Development GmbH in Berlin
		Content Manager:in Schwerpunkt Social Media (... THE DIGITALE GmbH in München
		Data Scientist – DHL Consulting DHL Consulting GmbH in Bonn
		Freier Redakteur (m/w/d) für unser Magazin BASIC thinking in Home Office
		Scrum Master (m/w/d) Paessler AG in Nürnberg
		Software Entwickler/Developer PHP (m/w/d) Windeit Software GmbH in Berlin
		Product Owner Website (m/w/d) co2online in Berlin
		(Senior) Social Media Manager (m/w/d) hasenkamp Service GmbH in Frechen bei Köln

Über den Autor

Maria Gramsch

Kommentieren X