Big Brother Award für Online-Plattform: Negativpreis für Doctolib

Berlin taz | Der Arzttermin-Vermittlungsdienst Doctolib wird am Freitagabend mit dem Negativ-Überwachungspreis des Vereins Digitalcourage ausgezeichnet. Der Preis in der Kategorie Gesundheit gehe an das Unternehmen, weil es „unter Missachtung der ärztlichen Vertraulichkeit die Daten von zigtausenden Patient:innen“ verarbeite, heißt es im Skript der Laudatio.

Das Unternehmen bietet Ärz­t:in­nen Kooperationen an, damit Pa­ti­en­t:in­nen ihre Termine über die Plattform buchen können. Im Zuge dessen können Ärz­t:in­nen auch medizinische Dokumente hochladen und für ihre Pa­ti­en­t:in­nen abrufbar machen. Darüber hinaus können Praxen Videosprechstunden über den Dienst anbieten. 50 Millionen Pa­ti­en­t:in­nen in Deutschland und Frankreich nutzen laut Unternehmensangaben den Dienst. Dazu kämen 150.000 Ärz­t:in­nen und Gesundheitsfachkräfte.

In jüngster Vergangenheit dürfte die Plattform bei mehr Menschen bekannt geworden sein, da sie die Vergabe von Terminen in Impfzentren sowohl für das französische Gesundheitsministerium als auch für die Stadt Berlin koordiniert. In diesem Kontext musste das Unternehmen viel Kritik einstecken, weil die Terminbuchung schleppend verläuft, die Ladezeiten lang sind und die Zahl der Fälle, in denen angezeigte Termine auf einmal wieder verschwinden, zahlreich.

Dass die Nutzung der Plattform für Ärz­t:in­nen und Pa­ti­en­t:in­nen praktisch ist, stellt Laudator Thilo Weichert, Vorstandsmitglied der Deutschen Vereinigung für Datenschutz, nicht in Abrede. „So ein Dienst ist absolut hilfreich“, sagt Weichert zur taz. Aber er kritisiert zahlreiche Probleme in Sachen Datenschutz und mangelnder Transparenz: „Das größte Datenschutz-Problem ist, dass die gesamten Patientenstammdaten von den teilnehmenden Ärzten an Doctolib gehen.“

Patientenstammdaten umfassen in der Regel etwa Name, Geburtsdatum, Wohnadresse, Telefonnummer und Versicherung. Weichert berichtet, dass ihm Dokumente vorlägen, die eindeutig belegten, dass die Stammdaten aller Pa­ti­en­t:in­nen von teilnehmenden Praxen an Doctolib übermittelt würden. Aller Pa­ti­en­t:in­nen – das heißt auch von denen, die ihre Termine gar nicht über die Plattform buchen. In Verknüpfung mit der jeweiligen Fachrichtung der Praxis lasse sich damit auch auf Krankheiten schließen – etwa wenn es sich um Daten einer Praxis für Psychotherapie oder Onkologie handelt.

Daten mit Missbrauchspotenzial

„Dabei bergen diese Daten ein gewaltiges Missbrauchspotenzial, wenn sie in falsche Hände geraten“, sagt Weichert. Wenn sie etwa durch eine Sicherheitslücke an Unbefugte gerieten, beispielsweise an Versicherungen oder Arbeitgeber. Darüber hinaus sieht Weichert in der Weitergabe aller Patientenstammdaten eine Verletzung der ärztlichen Schweigepflicht. Zwar dürften Praxen seit 2017 ausdrücklich technische Dienstleister einbinden. Voraussetzung dafür sei aber, dass die in diesem Zusammenhang offengelegten Daten für die Nutzung des Dienstes „erforderlich“ sind. Ein Zugriff auf die gesamte Pa­ti­en­t:in­nen­lis­te einer Praxis gehe aber über das Erforderliche deutlich hinaus und verletze daher die Schweigepflicht.

Auf Anfrage der taz bestätigt Doctolib den Zugriff auf die Patientenstammdaten. Innerhalb der Anwendung würden die Daten der Pa­ti­en­t:in­nen aber pseudonymisiert vorliegen. Dass die Klarnamen entfernt werden, ist durchaus plausibel: So enthalten etwa die von Doctolib versandten E-Mails für Terminerinnerungen keine persönlichen Anreden. Allerdings wird häufig alleine über die E-Mail-Adressen ein direkter Personenbezug möglich sein. Für Kriminelle, die solche Daten für Erpressungsversuche oder Social Engineering – einer Art digitalem Trickbetrug – nutzen könnten, wären das attraktive Datensätze.

Sprecherin Isabel Dunker bestreitet, dass die Daten von unterschiedlichen Ärz­t:in­nen bei Doctolib zusammengeführt werden. Allerdings können, so heißt es in ihrer Antwort, „Patienten, die ein Nutzerkonto auf Doctolib angelegt haben, [] dieses zur Terminbuchung bei mehreren Ärzten nutzen und ihre Termine bei ihren Ärzten sehen“. Eine Form von Verknüpfung muss daher stattfinden.

Viele Daten gespeichert

Zudem können die von einer Praxis übertragenen Daten durchaus umfangreich sein – und sich beispielsweise auch auf vergangene Termine erstrecken. Nämlich dann, so Dunker, „wenn diese auch für die weitere Terminierung noch relevant sind“. Denkbar wäre das aber schon, wenn eine Untersuchung regelmäßig stattfinden sollte, etwa die Vorsorge bei der Zahnärztin.

Die Stiftung Warentest, die in ihrer Ausgabe vom Januar 2021 ärztliche Terminbuchungs-Plattformen untersuchte, bewertete Doctolib im Punkt Datenschutz nur mit einem Ausreichend. Besonders kritisierte sie den Zwang zum Anlegen eines Kontos für Patient:innen, die einen Termin buchen wollen. Diesem Konto würde „ungefragt auch Daten zu[geordnet], die aus Telefonaten mit den Praxen stammen“. Und auch die Stiftung Warentest bestätigt, dass Doctolib Daten von Pa­ti­en­t:in­nen verarbeite, die sich gar nicht bei der Plattform angemeldet haben. Etwa dann, wenn eine Praxis den Dienst nutze und Erinnerungs-SMS für die Termine über die Plattform verschicken lasse.

Doctolib ist eine in Berlin ansässige GmbH, die sich im Besitz des französischen Mutterunternehmens befindet. Wenn es um die Aufsicht der hier ansässigen Arztpraxen geht, ist die Berliner Datenschutzbeauftragte zuständig. Die teilte auf Anfrage der taz mit, dass „sowohl Beschwerden gegen die Doctolib GmbH als auch Beschwerden gegen Verantwortliche, die die Doctolib GmbH als Auftragsverarbeiterin einsetzen“ vorlägen.

„Die Digitalisierung unseres Gesundheitssystems ist wichtig, um die Gesundheitsversorgung der Bevölkerung zu verbessern und auf einem hohen Niveau zu halten“, so Weichert in der Laudatio. Das dürfe aber nicht auf Kosten der Vertraulichkeit zwischen Pa­ti­en­t:in­nen und Heilberufen passieren.

Hinweis: Der Text wurde am 15. Juni 2021 ergänzt um die Antwort der Berliner Datenschutzbeauftragten.