Willkommen im Land des unbegrenzten Missbrauchs von Gesundheitsdaten
Die bisher drittgrößte Verletzung von Patienten-Datenschutzrechten – bei den beiden größten handelte es sich um Hacking-Angriffe – ließ sich das Start-up Cerebral zuschulden kommen. Das Unternehmen bietet telemedizinische Angebote an für Menschen mit Depression, Alkoholabhängigkeit, ADHS, Bipolarer Störung oder Insomnie. Während der Pandemie explodierte in den USA die Nachfrage nach derartigen Dienstleistungen, Cerebral expandierte schnell und wurde im Frühjahr 2022 mit 4,8 Milliarden US-Dollar bewertet.
„Trackingtechnologien werden in vielen Branchen eingesetzt“
Mindestens seit Oktober 2019 setzte das Unternehmen dabei Trackingtools ein, wie sie von Google, Meta (Facebook) oder TikTok zur Verfügung gestellt werden. So wanderten die Daten von mehr als 3,1 Millionen PatientInnen zu diesen kommerziellen Anbietern, wie das Unternehmen dem US-Gesundheitsministerium laut Branchendienst TechCrunch bestätigte Die weitergegebenen Daten umfassten demnach Namen, Telefonnummern, E-Mail-Adressen, Geburtsdaten, IP-Adressen sowie Selbsteinschätzungen zur psychischen Gesundheit. Bei Cerebral-Kunden mit Abonnement (Kostenpunkt: 99 bis 365 US-Dollar pro Monat) könnten die offengelegten Daten auch Termindaten, Behandlungs- sowie Versicherungsinformationen, Mitgliedsnummern und Zuzahlungsdaten enthalten haben, berichten weitere US-Medien.
Cerebral entgegnete, dass bei dem Datenschutz-Verstoß keine Sozialversicherungs-, Kreditkarten- oder Bankkontoinformationen offengelegt wurden. Gleichzeitig empfahl das Unternehmen aber seinen PatientInnen, ihre Leistungserklärung, das Versicherungsportal und die Mitteilungen der Kostenträger zu überprüfen, um „sicherzustellen, dass alle Gebühren angemessen sind“.
Millionenstrafen, aber jegliches Fehlverhalten abstreiten
Als Reaktion auf die Veröffentlichungen und die folgende öffentliche Kritik teilte das Unternehmen mit, vergleichbare Trackingtechnologien würden auch von anderen, „in vielen Branchen, einschließlich Gesundheitssystemen, traditionellen stationären Anbietern und anderen Telemedizinunternehmen“ genutzt.
Das stimmt: Erst im Februar 2023 verhängte die US-Handelskommission FTC – zu deren Aufgaben auch der Verbraucherschutz gehört – eine Geldstrafe von 1,5 Millionen US-Dollar gegen GoodRx, weil der Anbieter von telemedizinischen Dienstleistungen und verschreibungspflichtigen Medikamenten die Gesundheitsdaten seiner Kunden mit Social-Media-Giganten geteilt hatte. Der Fall war der erste nach den neuen US-Offenlegungsregeln für Datenschutzverletzungen (Health Breach Notification Rule, HBNR). Die damit verbundene Anordnung des US-Justizministeriums verbietet es GoodRx nun, Gesundheitsdaten von Benutzern mit Dritten zu teilen. Das Unternehmen zahlte die Strafe, um „die Zeit und die Kosten eines langwierigen Rechtsstreits zu vermeiden“, bestreitet aber gleichzeitig jegliches Fehlverhalten.
Benachrichtigungsregel für Gesundheitsverletzungen
Die Benachrichtigungsregel für Gesundheitsverletzungen (Health Breach Notification Rule, kurz HBNR) schreibt vor, dass Betreiber von Gesundheits-Apps oder -Dienstleistungen ihre Nutzer benachrichtigen müssen, wenn ihre Daten gefährdet sind. Die Regel gilt für Unternehmen, die nicht unter das Bundesgesetz HIPAA fallen, das den Schutz sensibler Gesundheitsinformationen regelt – und stellt sicher, das diese zur Rechenschaft gezogen werden können, wenn sensible Gesundheitsinformationen veröffentlicht oder weitergegeben werden. Wenn ein Unternehmen die HBNR nicht einhält, kann die US-Handelskommission FTC Geldstrafen von rund 40.000 US-Dollar pro Verstoß und Tag verhängen.
Das sieht die FTC anders: GoodRx habe jahrelang Gesundheitsinformationen an Werbeunternehmen weitergegeben. Facebook, Google, das Online-Marketing-Unternehmen Criteo und andere hätten so Informationen zu den gesuchten oder gekauften verschreibungspflichtigen Medikamenten und damit persönlichen Gesundheitszuständen der Kunden erhalten.
„Eine branchenübliche Praxis“
Das Unternehmen sieht das anders: Zwar habe man Anbietertechnologien verwendet, aber lediglich, um auf eine Weise zu werben, von der man glaube, „dass sie allen geltenden Vorschriften entspricht und die bei vielen Gesundheits-, Verbraucher- und Regierungswebsites nach wie vor gängige Praxis ist“. In seinem Blog teilt GoodRx mit, das Problem sei vor fast drei Jahren behoben worden, also bevor die FTC das Vorgehen moniert habe. Abschließend heißt es, man sei „stolz darauf, Maßnahmen ergriffen zu haben, um ein Branchenführer für Datenschutzpraktiken zu sein“.
Anfang März sorgte dann der Fall BetterHelp für Schlagzeilen: Der nach eigenen Angaben „weltgrößte Anbieter von Online-Therapiedienstleistungen“ wurde von der FTC mit einer Geldstrafe von 7,8 Millionen US-Dollar belegt, weil er Gesundheitsdaten seiner „Mitglieder“, also seiner Kunden, einschließlich Informationen über psychische Probleme für Marketing- und Anzeigenzwecke an Dritte wie Facebook und Snapchat weitergegeben haben soll. BetterHelp stimmte der Geldstrafe zu – bestreitet aber jegliche Schuld: „Zur Klarstellung: Wir geben keine privaten Informationen wie die Namen von Mitgliedern oder klinische Daten aus Therapiesitzungen an Werbetreibende, Publisher, Social-Media-Plattformen oder andere ähnliche Dritte weiter und haben dies auch nie getan. Darüber hinaus erhalten wir keine Zahlungen von Dritten für jegliche Art von Informationen über eines unserer Mitglieder.“
Auch BetterHelp verteidigte das Tracking mit Software-Bausteinen von Drittanbietern als „branchenübliche Praxis“, die „routinemäßig von einigen der größten Gesundheitsdienstleister, Gesundheitssysteme und Gesundheitsmarken verwendet“ wird. Sollte das stimmen, wird die FTC wohl weitere Geldstrafen verhängen müssen.
