Risiken und Nebenwirkungen von Termin-Management-Systemen
Laut einer im Januar 2021 veröffentlichten Untersuchung der Stiftung Warentest werden in Deutschland monatlich Millionen Arzttermine über Apps und Tools gebucht. Der Schutz persönlicher Daten ist dabei laut Bericht jedoch nur beim eTerminservice der Kassenärztlichen Bundesvereinigung KBV „sehr gut“. Für Zahnärzte keine gute Nachricht, denn das browserbasierte Tool ist nur für Kassenpatienten und nicht zur Buchung von Zahnarztterminen aufgelegt worden.
Anders das Angebot der Berliner Dr. Flex GmbH, der die Stiftung Warentest einen „guten“ (Note 1,6) Datenschutz bescheinigt. Ähnlich positiv fällt das Urteil nur noch bei der – in anderen Zusammenhängen in der Ärzteschaft nicht unumstrittenen – jameda GmbH (Note 1,9) aus. Deutlich schlechter sind die Noten für den Datenschutz der Dienstleister Arzttermine.de (3,0), Doctena (3,3), Doctolib (3,6) und Samedi (3,7).
Millionen Termindaten ungeschützt im Netz?
Die Note „ausreichend“ könnte für die Doctolib GmbH noch schmeichelhaft sein. Denn als einziger Dienstleister für Terminmanagement wird die deutsche Tochter der französischen Doctolib SAS von der Berliner Beauftragten für Datenschutz und Informationsfreiheit überprüft. Denn bereits Ende 2020, genauer: am 29. Dezember 2020, berichtete der Chaos Computer Club (CCC) anhand von Daten, die Unbekannte seinen Mitgliedern zur Verfügung gestellt hatten, dass Millionen Termindaten Doctolibs monatelang unverschlüsselt über das Internet gefunden werden konnten. Doctolib widerspricht – die verschiedenen Stellungnahmen weisen jedoch Ungereimtheiten auf.
Bei den aufgefundenen Daten handelte es sich nach Darstellung des CCC zwar nicht um medizinische Daten, jedoch durchaus um sensible Informationen: Denn über eine einfache Browsereingabe zweier URLs waren Terminbuchungen abrufbar, die jeweils Arzt-Angaben wie Titel, Name, Ort und Fachgebiet sowie Patientendaten wie Vor- und Nachname, Geschlecht, Alter, Telefonnummer und etwaige angehängte Dokumente enthielten.
Experten entsetzt
Doctolib-App übertrug Daten an Facebook und Co.
Nachdem die gemeinnützige Organisation Algorithmwatch Versäumnisse Doctolibs bei der Vergabe von COVID-Impfterminen in Berlin aufgezeigt und das Unternehmen den „Big Brother Award“ für 2021 erhalten hatte, überprüfte auch ein Team der IT-Webseite mobilsicher.de die Doctolip-App – und war negativ überrascht.
Die Experten hätten sich „erst einmal die Augen reiben“ müssen, heißt es im entsprechenden Artikel auf dem Webportal. „Denn was wir da im Datenverkehr zu sehen bekamen, ist selbst für uns bei mobilsicher nicht alltäglich.“ Fazit: Nutzer der App-Version 3.2.26 mussten zum Stand 18. Juni 2021 davon ausgehen, dass Doctolib die IP-Adresse, den Buchungsgrund und den Versicherungsstatus eines Nutzers sowie die Facharztbezeichnung der Suche an das Marketingunternehmen Outbrain sowie Facebook gesendet hatte. Immerhin: Auf die Anfrage von mobilsicher.de reagierte Doctolib sofort und entfernte die kritisierten Cookies. Bei einem erneuten Test drei Tage später wurden weder Facebook noch Outbrain kontaktiert.
Die Cookie-Übertragung an Google, die ZEIT online reklamierte (siehe Haupttext) beobachteten auch die Experten von mobilsicher.de. Nach der ZEIT-Veröffentlichung vom 23. Juni 2021 wurde auch dies gestoppt.
Dazu, ob die Cookie-Einwilligung Nutzern der Doctolib-App das Verhalten vor der Bereinigung ausreichend erklärt hatte, machte der Berliner Gesundheitssenat auf Anfrage von mobilsicher.de keine Angaben. „Wir haben die Bestätigung von Doctolib, dass alle Applikationen DSGVO-konform betrieben werden. Eine genaue Analyse dieses spezifischen Falles wurde nicht durchgeführt“, lautet die Antwort. Fazit: „Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes“ gab es nicht. Die Prüfung der Behörde beschränkte sich auf das Sichten von vorgelegten Unterlagen und Erklärungen Doctolibs.
Wie der IT-Sicherheitsberater Martin Tschirsich ausführt, zeigte erst die genauere Betrachtung der Daten die ganze Dramatik des Falls. Denn wäre es zum Datendiebstahl gekommen, hätten Kriminelle über Jahre hinweg ganze Patientenhistorien rekonstruieren, also nachvollziehen können, wer wann bei welchem Psychotherapeuten, in welcher Kinderwunschpraxis oder Schönheitsklinik war. „Hier muss man aufpassen“, warnt er. „Metadaten verraten unglaublich viel.“
Damit konfrontiert entgegnete Doctolib dem CCC nur, „es konnten keine medizinischen Daten gelesen werden“. Später änderte das Unternehmen seine Formulierung. „Keine medizinischen Besuchsgründe oder kein medizinisches Dokument waren von dem Angriff betroffen“, hieß es gegenüber den zm. Bei all diesen Formulierungen handelt es sich jedoch nicht um juristische relevante Begriffe, wie sie die DSGVO verwendet. Denn darin ist ausschließlich von „Gesundheitsdaten“ die Rede – zu denen die Berliner Datenschutzbeauftragte unmissverständlich auch Termindaten zählt.
Gab es ein Datenleck – oder gleich zwei?
Auch was die Eckdaten des Datenlecks betrifft, steht Aussage gegen Aussage. Am 26. Januar 2021 – gut einen Monat nach der Veröffentlichung durch den CCC – gab Doctolib per Pressemitteilung eine knappe und krude formulierte Gegendarstellung heraus. Die Botschaft: Basierend auf den Informationen anonymer Hacker hätten Mitglieder des CCC die Schwachstelle verifiziert und lediglich 6.000 Termine erfassen können. Außerdem heißt es: „Doctolib hat den Angriff innerhalb weniger Stunden gestoppt und die Sicherheitslücke behoben.“
Für Tschirsich ist hingegen klar: „Das frühere Datenleck, über das Mitglieder des CCC berichteten, steht in keinem Zusammenhang mit dem von Doctolib beschriebenen Angriff vom 21. Juli.“ Sowohl Mitglieder des CCC – sowie später auch ZEIT online – hätten Einsicht in den über die frühere Schwachstelle abgerufenen Datensatz gehabt. ZEIT-Autorin Eva Wolfangel schrieb hierzu: „Die Daten stammen demnach bereits von November 2019 – was bedeutet, dass die Sicherheitslücke mindestens ein halbes Jahr nicht geschlossen worden sein könnte.“ Und nicht nur das: Über die Schwachstelle soll zum damaligen Zeitpunkt ein Zugriff auf jede einzelne von etwa 150 Millionen Terminvereinbarungen möglich gewesen sein.
Doctolibs Darstellung nach handelt es sich bei diesen Aussagen um „falsche Behauptungen“. Der CCC habe eine Extrapolation vorgenommen heißt es, um zu zeigen, dass es theoretisch Zugang zu dieser Menge an Daten hätten geben können, wenn das Sicherheitssystem von Doctolib den Angriff nicht gestoppt hätte.
Negativauszeichnung für Doctolib im Juni 2021
Der langjährige Datenschutzbeauftragte Schleswig-Holsteins, Dr. Thilo Weichert, sieht losgelöst von der Diskussion um die Anzahl und Größe von Datenlecks Anlass zur Sorge, wenn er beobachtet, wie Docotlib mit Gesundheitsdaten umgeht. Zusammen mit drei Informatikern betreibt der Jurist und Politologe die Nichtregierungsorganisation „Netzwerk Datenschutzexpertise“ und erstellte im Juni 2021 das 39-seitige Gutachten „Arztterminvermittlung über Doctolib – Datenschutz-Aspruch und Wirklichkeit.“ Sein Fazit: Doctolib weist teils starke, teils weniger gravierende Datenschutzdefizite auf.
Bei der Laudiatio der ebenfalls im Juni 2021 verliehenen Datenschutz-Negativauszeichnung Big Brother Award 2021 des Vereins „Digitalcourage“ sagte er: „Das Angebot für Gesundheitsfachkräfte, vor allem Ärztinnen und Ärzte, scheint genial. [...] In der Realität sollten Ärztinnen und Ärzte jedoch schnell stutzig werden.“ Denn nach dem Vertragsschluss erscheine ein Doctolib-Mitarbeiter und erbitte zunächst einmal Zugriff auf das gesamte Arztinformationssystem und alle Patientenstammdaten. Damit nicht genug: Nach dem Import der Patientenliste sei ein regelmäßiger Abgleich zwischen Praxis und Dienstleister vorgesehen. „Da stellen sich uns die Stacheln auf“, sagte der Datenschützer. „Das Vertrauen des Patienten gegenüber seinem Arzt verbietet es, dass Namen, Termine, Behandlungen und ähnliche Informationen in die Hände von Dritten gelangen.“
Interview Dr. Patrick Breyer
„Ein kompletter Import der Stammdaten und der Terminhistorie ist unzulässig“
Mit dem Fokus auf maximalen Service und wirtschaftlichen Nutzen für die Mediziner und für sich selbst überschreiten Terminmanagement-Dienstleister nach Einschätzung von Dr. Patrick Breyer klar die zulässigen Möglichkeiten der Auftragsdatenverarbeitung. Im Interview erklärt er, warum Patienten Terminerinnerungen zustimmen müssen, wann Ärzte mit in der Haftung sind und wie ein gesetzeskonformes Terminmanagement aussieht.
Herr Dr. Breyer, auf welcher gesetzlichen Grundlage dürfen Zahnärzte ihre kompletten Patientenstammdaten an Anbieter von Terminmanagement-Dienstleistungen wie Doctolib übertragen?
Dr. Patrick Breyer: Im Rahmen der Auftragsdatenverarbeitung (Artikel 28 DSGVO) kann eine externe Terminvergabe zwar zulässig sein. Ein Stammdaten-Import in Bezug auf sämtliche Patientinnen und Patienten ist aber nicht erforderlich und deshalb auch nicht zulässig: Für die Feststellung der freien Termine in einer Arztpraxis bedarf es keiner namentlichen Zuordnung. Die Berliner Datenschutzbeauftragte (BlnBDI) hat korrekt dargestellt, dass es auch für Terminerinnerungen durch Doctolib einer Einwilligung der Betroffenen bedarf, denn Terminerinnerungen sind für die Erbringung der ärztlichen Leistungen nicht erforderlich.
Ist es vor dem Hintergrund der DSGVO zulässig, wenn Zahnärzte teilweise oder komplett die Terminhistorie ins System eines Terminmanagement-Dienstleisters exportierent?
Dies ist nicht erforderlich und daher unzulässig.
Ist es vor dem Hintergrund der DSGVO zulässig, wenn Doctolib personalisierte Daten von künftigen Terminen in sein System importiert?
Die BlnBDI hat korrekt dargestellt, dass es für Terminerinnerungen durch Doctolib einer Einwilligung der Betroffenen bedarf, denn Terminerinnerungen sind für die Erbringung der ärztlichen Leistungen nicht erforderlich. Dementsprechend dürfen auch nur die Termine derjenigen Patienten übermittelt werden, die eingewilligt haben.
Im Winter 2020 wurde ein Datenleck bei Doctolib bekannt, das Zugriff auf unverschlüsselte Termindatensätze erlaubt haben soll. Wer haftet in einem solchen Fall für etwaigen Datendiebstahl oder -missbrauch?
Eine Auftragsdatenverarbeitung lässt die Verantwortlichkeit des Auftraggebers unberührt. Er kann im Verschuldensfall haftbar sein. Wenn ein Arzt etwa Kenntnis davon erlangt, dass Doctolib nicht DSGVO-konform arbeitet, wäre er verpflichtet, diese Auftragsverarbeitung abzubrechen und die Daten wieder selbst oder durch einen anderen DSGVO-konformen Auftragsverarbeiter verarbeiten zu lassen.
Wie können sich Zahnärzte im Zusammenarbeit mit Dienstleistern wie Doctolib haftungsrechtlich am besten schützen?
Datenschutz-Gütesiegel (wie sie Doctolib nicht hat) können eine Orientierungshilfe bieten. Für verbindliche Auskünfte empfiehlt es sich, den Rat der zuständigen Landesdatenschutzbehörde einzuholen. Was die vertragliche Haftung angeht, kann anwaltliche Hilfe in Anspruch genommen werden.
Das Gespräch führte Marius Gießmann.
Juristisch dürften Ärzte zwar Verträge zur Auftragsdatenverarbeitung abschließen, ohne dass die Patienten zustimmen müssen, „aber dieses Vertrauensverhältnis wird spätestens dann in strafbarer Weise verletzt, wenn Doctolib sich aus dem Arztsystem Daten von Patienten beschafft, die keine Termine über das System vereinbaren, kein Konto bei Doctolib haben und über die Datenweitergabe nicht informiert sind“, schließt Weichert. Diese Einschätzung teilt auch die Berliner Datenschutzbeauftragte, die aufgrund des Berliner Sitzes der Doctolib GmbH die zuständige Aufsichtsbehörde ist – und bei der eben solche Patienten bereits Ende 2018/Anfang 2019 Beschwerde einreichten, weil sie von Doctolib SMS-Terminerinnerungen erhielten, ohne über die Weitergabe ihrer Daten informiert worden zu sein.
Während die Behörde mit dem Start einer Überprüfung noch zögerte, warb das aufstrebende französische Mutterunternehmen Doctolib SAS mit Sitz in Paris weitere 150 Millionen Euro Wagniskapital ein und wurde damit im März 2019 – nur sechs Jahre nach der Gründung – zum Unicorn, also eine jener Firmen, die auf dem Kapitalmarkt mit mehr als einer Milliarde Euro bewertet werden. Im Juni 2019 leitete die Berliner Datenschutzbehörde dann ein Prüfverfahren ein, das seitdem immer wieder um weitere zu klärende Punkte anwuchs und noch nicht abgeschlossen ist. Entsprechend schmallippig gibt man sich dort: Auf Anfrage hieß es lediglich, die Behörde prüfe derzeit unterschiedliche Sachverhalte, unter anderem die Rechtsgrundlagen der Verarbeitung und Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten und den Einsatz von Tracking-Technologien zur Verfolgung von Nutzungsverhalten.
Wurden auch abgelehnte Cookies gespeichert?
„Tracking-Technologien zur Verfolgung von Nutzungsverhalten“ meint Cookies – jene Datenschnipsel also, deren Speicherung jeder Nutzer beim Besuch einer Website zustimmen oder aber diese konfigurieren muss. Auch hier beschäftigt die Berliner Datenschutzbeauftragte ein Sachverhalt, bei dem Aussage gegen Aussage steht. ZEIT online berichtete im Juni 2021 neben dem Datenleck darüber, dass bei einem Test mit Experten nachvollziehbar gewesen sei, dass IP-Adressen, angeklickte Arztprofile und gegebenenfalls erteilte Terminbestätigungen als Datenschnipsel an Google oder Google-Dienste geschickt wurden. Waren der Nutzer oder die Nutzerin zudem in ein Google-Konto eingeloggt, schreibt die mehrfach prämierte IT- und Wissenschaftsjournalistin Eva Wolfangel, „schickt Doctolib ein Cookie von Google mit, das diese eindeutig mit ihrem Google-Konto verbindet“. Fazit des Berichts: Dank Doctolib wusste Google zum Prüfzeitpunkt explizit, welcher Nutzer einen Termin bei welchem Mediziner gebucht hat. Und all das geschah laut Beitrag „trotz abgelehnter Cookies“.
Doctolib bestreitet dies gegenüber den zm und kommentiert lediglich, „nach deutschen und europäischen Vorschriften (e-Privacy, DSGVO) dürften Marketing-Cookies nur gesetzt werden, wenn Nutzer:innen zugestimmt haben“. Diese juristische Bewertung bestätigt auch Tschirsich – der sich jedoch seinerzeit persönlich davon überzeugen konnte, dass wie von Wolfangel beschrieben Cookies übertragen wurden. Sein Urteil: „Doctolib hat zum Testzeitpunkt dieses Recht gebrochen.“ Wie es aussieht, kann nur die Berliner Datenschutzbeauftragte eine Auflösung der Frage leisten, ob Doctolib gegen Vorgaben der DSGVO verstoßen hat oder nicht. Doch zum voraussichtlichen Endpunkt der Prüfung kann die Behörde nach gut 16 Monaten Dauer noch „leider keine Angaben machen“.
Mögliche Sanktionsmaßnahmen im Fall einer DSGVO-Verletzung sind Verwarnungen, Anordnungen oder Bußgelder. Letztere bemessen sich nach dem Jahresumsatz eines Unternehmens. Doctolib veröffentlicht hierzu keine Zahlen, dürfte aber sicher in die höchste Kategorie eingeordnet werden: Seinen nach eigenen Angaben 150.000 Kunden in Frankreich und Deutschland berechnet es 19,35 Millionen Euro – pro Monat.
Müssen Alttermindaten gelöscht werden?
Die Diskussion um die über das Datenleck zugänglichen Daten offenbart noch ein weiteres juristisches Problem: Es gibt trotz der DSGVO offensichtlich einen Bewertungsspielraum, was den Import von Alttermindaten in die Systeme von Dienstleistern betrifft. Nach gleichlautenden Angaben des CCC und von ZEIT-Autorin Wolfangel enthielt der unverschlüsselt verfügbare Doctolib-Datensatz auch Termine aus den 1990er-Jahren – eine Darstellung, der Doctolib widerspricht. Sollte dies jedoch der Fall gewesen sein und damit belegen, dass der Dienstleister regelhaft ganze Terminhistorien gespeichert hat – wie auch Weichert unterstellt – hätte Doctolib wohl gegen das Datensparsamkeitsgebot verstoßen (siehe Interview Dr. Breyer).
Denn da – anders als bei Patientenakten – für Termindaten keine Aufbewahrungsfristen vorgeschrieben sind, gilt „aus datenschutzrechtlicher Sicht, dass eine Speicherung personenbezogener Daten grundsätzlich nur so lange zulässig ist, wie sie für den vorher festgelegten, eindeutigen und legitimen Zweck erforderlich ist“, lautet die Bewertung der Berliner Datenschutzbeauftragten. Entfällt der Zweck, besteht die Verpflichtung des datenschutzrechtlich Verantwortlichen (also des Arztes) zur Löschung der personenbezogenen Daten. „Das dürfte mit dem Ablauf des Termins in einer reinen Terminverwaltungssoftware regelmäßig der Fall sein“, so die Behörde weiter.
Transparenzgebot für Ärzte
Patienten müssen informiert werden
Nach der DSGVO dürfen von einer Arztpraxis die Daten der Patientinnen und Patienten verarbeitet werden, die zur Erfüllung des jeweiligen Behandlungsvertrags erforderlich sind – „für die über die Terminverwaltung hinausgehende Terminerinnerung bedarf es allerdings einer Einwilligung durch die Patientinnen und Patienten“, stellte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) bereits in ihrem Jahresbericht 2019 klar. Verantwortlich für das Einholen dieser Einwilligung ist dabei die Stelle, bei der der Termin vereinbart wird. Ebenfalls wichtig: „Wenn Ärztinnen und Ärzte einen Dienstleister mit der Terminverwaltung für ihre Praxis beauftragen, müssen sie dies ihren Patientinnen und Patienten gegenüber transparent machen“, so die BlnBDI. „Gerade wenn es um Gesundheitsdaten geht, ist es besonders wichtig, dass den Betroffenen bewusst ist, durch welche Stellen ihre Daten verarbeitet werden.“
Weichert geht in seiner Bewertung noch weiter: Zwar sei es seit 2017 Ärzten explizit erlaubt, technische Dienstleister in Anspruch zu nehmen. Voraussetzung für eine Datenweitergabe sei allerdings, dass die Patientengeheimnisse für den Dienst erforderlich sind. Um abzuklären, ob in einem Zeitfenster ein Termin verfügbar ist, sei das aber „definitiv nicht der Fall“, so der Datenschützer. Tschirsich unterstützt diese Argumentation. Seinem Verständnis nach trifft Weicherts Gutachten den Kern der Sache sehr gut – denn die nötige und von der DSGVO vorgeschriebene Zweckgebundenheit sieht der IT-Experte ebenfalls nicht gegeben. Der komplette Patientenstammdatensatz sei für die Information, wann ein Termin frei und buchbar ist, schlicht „technisch nicht notwendig“.
„Die Verantwortung liegt bei den Ärzten“
Das Unternehmen widerspricht freilich und erklärt die Notwendigkeit für den Import kompletter Stammdatensätze damit, dass seine Kalenderlösung die der Praxisverwaltungssoftware (PVS) komplett ersetzt. Obendrein sieht es die Verantwortung für den zeitlichen Umfang des Terminimports bei den Ärzten. Diese könnten und müssten festlegen, welche Daten für sie relevant sind. Damit ist das Thema für Doctolib erledigt. Abschließend heißt es noch: „Es werden also keineswegs automatisch die Daten aus der Praxissoftware des Arztes ,abgezogen‘, sondern der Grundsatz der Datenminimierung umgesetzt.“ Wolfangel, die zur Verifizierung seinerzeit vom Datenleck betroffene Mediziner kontaktierte, bekam indes anderes zu hören: Ein Mitarbeiter des Unternehmens sei vorbeigekommen und habe die Datenbank der Praxissoftware kopiert – ohne genauer zu erklären, was er tue, berichtete ein Zahnarzt. Das widerspricht selbstverständlich der Darstellung Doctolibs. Auch hier steht Aussage gegen Aussage.
Eine kurze Umfrage unter den Marktkonkurrenten aber zeigt, dass es deutlich datensparsamer geht: Bei Samedi etwa entscheidet zwar ebenfalls der Kunde, allerdings rät das Unternehmen nur zu einer selektiven Übernahme einzelner Datensätze. „Nur auf expliziten Kundenwunsch – und mit dem Hinweis auf die Informationspflicht der Patienten – erfolgt im Ausnahmefall auch ein Import vergangener Termine“, heißt es.
Datensparsamere Lösungen sind durchaus möglich
Doctena bietet sogar mindestens zwei Ansätze an, bei denen gar keine Daten aus der PVS übernommen werden müssen – wenn die Software des Dienstleisters als Stand-alone-Lösung benutzt wird oder wenn eine Schnittstelle zur PVS besteht. In letzterem Fall werden – wie von Weichert und Tschirsich präferiert – nur die freien Termine und/oder die schon gebuchten Zeiten Doctena übermittelt. „In diesen Szenarien werden überhaupt keine Patienten- oder andere medizinische Daten in die Systeme von Doctena übertragen“, schreibt das Unternehmen auf Nachfrage – Arzttermine.de, Dr. Flex und jameda blieben bis zum Redaktionsschluss eine Darstellung ihres Vorgehens schuldig.
Warum Doctolib keine datensparsamere Lösung anbietet, bleibt offen – und fragwürdig. Ebenfalls offen ist, warum die maßgebende deutsche Nichtregierungsorganisation für Computersicherheit, ein ehemaliger Landesdatenschutzbeauftragter, einer der namhaftesten IT-Sicherheitsexperten Deutschlands und eine mehrfach prämierte Journalistin unisono „Falschmeldungen“ über Doctolib verbreiten sollten, wie das Unternehmen behauptet.