Doctolib und die Patientendaten
Einem breiteren Publikum könnte außer den üblichen Verdächtigen – wie Google – auch die Ärzte-App Doctolib bekannt sein. Auch bei Althammer & Kill sind schon Kolleginnen und Kollegen mit dieser App in Berührung gekommen, deren Macher – die Docotlib GmbH – jetzt den Negativpreis in der Kategorie Gesundheit in Empfang nehmen durften.
Hintergrund:
Das Online-Terminvermittlungsportal missachtet – laut BigBrotherAwards – die ärztliche Vertraulichkeit.
Konkret soll die App bei Einrichtung in einer Praxis Zugriff auf den gesamten Patientenstammdatensatz erhalten – wozu dies erforderlich sein soll, ist hier eine mehr als berechtigte Frage.
Nach dem Import der Patientenliste findet wohl ein regelmäßiger Abgleich mit der Termintabelle der kooperierenden Arztpraxis statt:
„Auf dem Chaos Computer Congress 2020 wurde berichtet, dass dem Chaos Computer Club eine Doctolib-Datenbank zugespielt worden sei. Über die beschriebene Lücke sei der Zugriff auf ca. 150 Millionen Terminvereinbarungen möglich gewesen, die wohl auf eine Synchronisierung mit den Terminkalendern der Arztpraxen zurückzuführen waren und die bis ins Jahr 1990 zurückreichten.“
Zudem sollen die Patientendaten durch Doctolib auch rechtswidrig mit anderen Daten zusammengeführt und durch den Verantwortlichen für die App auch für eigene Zwecke verwendet werden – warum und wozu dies geschieht, wird aus dem Dschungel an AGB, Nutzungshinweisen, Cookie-Vorgaben und Co. nicht ersichtlich.
Alle Nachfragen seitens BigBrotherAwards bei der Doctolib GmbH blieben hierzu offenbar unbeantwortet.
Was könnte da schiefgelaufen sein?
Die Schnittstelle zwischen App und Arzt ist (höchstwahrscheinlich) ein kleines Universum aus diversen Softwarelösungen, die am Ende unter einem Markennamen, wie z.B. Doctolib, in der Praxis Anwendung findet. Im Rahmen der Entstehung solch eines Universums, die regelmäßig durch Budgets, Personalprobleme und Deadlines beeinflusst wird, werden häufig nicht alle relevanten Personen außerhalb des Entwicklungs-Teams rechtzeitig eingebunden. Das könnte eine der Erklärungen sein, ohne hier eine mögliche Schuld der Verantwortlichen bei Seite schieben zu wollen.
Folgende Themen dürfen bei solchen Entwicklungen bzw. Projekten nicht unter-priorisiert werden.
- Gesundheitsdaten und Schweigepflicht (besondere Anforderungen)
- Auswahl einer Cloud-Lösung und Entwicklungsumgebung (US-Gesetze erschweren den Einsatz der Big Player in diesem Umfeld)
- Datenminimierung (nur erforderliche Daten dürfen verarbeitet werden)
- Mandantentrennung (Trennung der Daten innerhalb der Speicherlösung)
- Einwilligung in ein mögliches Tracking (Analytics und Co.)
Dies ist nur eine Auswahl „heißer“ Themen, die bei Unterschätzung schnell zu einem hohen Schaden führen könnte, sodass – trotz Komplikationen in der Entwicklung – der Datenschutz stets eine wichtige Rolle spielen sollte bzw. muss. Vor allem dann, wenn es um sensible Daten geht.
Aktuell relevante Themen der Aufsichtsbehörden für den Datenschutz
In der zweiten Jahreshälfte 2021 wird vor allem der Einsatz von US-Dienstleistern kritisch geprüft. Dies steht im Zusammenhang mit dem EuGH-Urteil Schrems II. Mehrere Aufsichtsbehörden haben bereits die entsprechenden Fragebögen sowie Informationen auf Ihren Webportalen bereitgestellt. Jedes Unternehmen kann also mit solch einer Prüfung derzeit konfrontiert werden – zu wissen welche Daten, zu welchem Zweck und mit welchen Mitteln, inkl. einer möglichen Übermittlung in die USA oder in andere unsichere Drittländer, (z.B. durch einen Unterauftragsverarbeiter in einer deutschen App) verarbeitet werden, ist klar im Vorteil – auch wenn sich dies „eigentlich“ schon aus dem Gesetz selbst ergibt.
BigBrotherAwards allgemein
Die BigBrotherAwards sind ein internationales Projekt: In bisher 19 Ländern wurden fragwürdige Praktiken mit diesen Preisen ausgezeichnet.
In Deutschland werden sie organisiert und ausgerichtet von Digitalcourage, Mitveranstalter sind unter anderem die DVD, ILMR und der CCC.
Bild: https://bigbrotherawards.de/symbolbilder (CC by 4.0)
