Die Doctolib-App ist bekannt und beliebt für und bei der Buchung von Arzt- oder Impfterminen im Impfzentrum. Doch wie eine Recherche nun herausgefunden hat, sind bei den Anfragen sensible Gesundheitsdaten bei Facebook und Outbrain gelandet. Das müssen User wissen.
Cookie-Banner sind heutzutage allgegenwärtig im Netz. Nicht selten stimmen Nutzer:innen hier einfach zu, ohne genauer nachzulesen oder die Auswahl anzupassen.
Dass das auch nach hinten losgehen kann, zeigt nun eine Recherche von Mobilsicher. Das Infoportal für sichere Handynutzung hat die Doctolib-App unter die Lupe genommen – mit einem erschreckenden Ergebnis.
So lief der Test ab
Am 18. Juni 2021 hat das Portal die Doctolib-Version 3.2.26 auf einem Pixel-2-Smartphone mit Android 10 getestet.
Beim Start der App hat Redakteurin Miriam Ruhenstroth im Datenschutz-Disclaimer mit der Überschrift „Die Sicherheit Ihrer Daten hat höchste Priorität für uns“ das Feld „Erlauben“ ausgewählt.
Nach dem Einloggen hat Ruhenstroth sich als privat versichert ausgegeben und nach einem Urologen für ein „Beratungsgespräch Vasektomie Sterilisation Mann“ gesucht. Es wurde ein Arzt ausgewählt sowie ein Termin angefragt.
Daten landen bei Facebook und Outbrain
Und weil die Redakteurin am Anfang im Datenschutz-Disclaimer alles erlaubt hat, hat die App „regelmäßige GET-Requests an die Server von Facebook und Outbrain“ gesendet.
Die Links dahinter sahen im Test dann so aus:
https://tr.outbrain.com/unifiedPixel?marketerId=0077195aa0d6c59afbe8f9690e36deb48a&obApiVersion=1.1&obtpVersion=1.4.1&name=PAGE_VIEW&dl=https%3A%2F%2Fwww.doctolib.de%2Furologie%2Fberlin%2Freimar-domnitz%2Fbooking%2Favailabilities%3FinsuranceEventsEnabled%3Dtrue%26insuranceSector%3 Dprivate%26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motiveKey%3DVorgespr%25C3%25A4ch%2520Vasektomie%2520%2528Sterilisation%2520Mann %2529-1336%26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526
Verschlüsselt zu finden sind hier also unter anderem Informationen über den Suchbegriff Urologie sowie die Anfrage zur Vasektomie beziehungsweise Sterilisation. Auch der angegebene private Versicherungsstatus ist hier erkennbar.
Gekrönt wird alles von einer Marketer-ID von Outbrain. Hier steht laut Mobilsicher bei einer Anfrage an Facebook dann eben eine Facebook-ID – alle weiteren Informationen bleiben gleich.
So reagiert Doctolib
Konfrontiert mit den Recherche-Ergebnissen reagiert Doctolib prompt. „Die kritisierten Cookies wurden in Rekordzeit von der Webseite entfernt“, schreibt Ruhenstroth. Bei einem erneuten Test am 21. Juni 2021 seien weder Facebook noch Outbrain kontaktiert worden.
Geschäftsführer Dr. Ilias Tsimpoulis nimmt Stellung zu den Ergebnissen: „Die beiden Cookies dienten dazu, den Erfolg unserer Marketing-Kampagnen zu messen.“ Bei Facebook und Outbrain habe Doctolib veranlasst, alle über Cookies erfassten Daten zu löschen.
Doctolib ist Auftragnehmer des öffentlichen Sektors
Die Berliner Senatsverwaltung hat Doctolib mit der Impfterminvergabe beauftragt. Wer also online einen Termin in einem Berliner Impfzentrum für seine Corona-Schutzimpfung machen will, muss den Dienst verwenden.
Der Berliner Gesundheitssenat äußert sich gegenüber Mobilsicher. Es habe vorab keine Prüfung gegeben: „Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes konnte zum damaligen Zeitpunkt nicht erfolgen und es gab angesichts der vorgelegten Unterlagen und Erklärungen auch keinen akuten Anlass dazu.“
Der Senat habe die Bestätigung des Anbieters, „dass alle Applikationen DSGVO konform betrieben werden“. Eine genaue Analyse habe es nicht gegeben.
Auch interessant:
- Massive Datenpanne bei Klarna: Update macht fremde Profile sichtbar
- Möglicher Schufa-Verkauf: Landen unsere Daten bei einem US-Investor?
- Insider behaupten: Amazon weiß selbst nicht mehr, welche Daten es besitzt
- Sichere Messenger? Diese Dienste offenbaren deine Daten, schwächen deine Batterie und mehr
