Doctolib übermittelte personenbezogene Daten an Facebook

Geschrieben von Kemal Webersohn, veröffentlicht am 02.07.2021

Doctolib betreibt eine Plattform zur Arztterminvergabe. Jetzt stellte sich heraus, dass die dazu gehörenden Buchungsinformationen (z.B. IP-Adresse, Besuchsgrund etc.) an Facebook übermittelt worden sind.

Wer ist Doctolib?

Doctolib SAS ist ein französisches Technologieunternehmen, das 2013 in Paris gegründet wurde. Das Unternehmen bietet eine Spezialsoftware an, die unter anderem die Online-Buchung von Terminen bei Ärzten, das Terminmanagement in Praxen und Gesundheitseinrichtungen sowie telemedizinische Videosprechstunden ermöglicht. Seit dem Jahreswechsel 2020/2021 kommt die Software des Unternehmens zudem in Berlin und Frankreich bei der Koordination von Terminen für Impfungen gegen COVID-19 zum Einsatz.

Erst am 8. Juni 2021 wurde Doctolib von Digitalcourage (ein Verein zur Aufdeckung von Firmen, die in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen) der Negativpreis „Big Brother Award“ verliehen.

Was ist passiert?

Keine zwei Wochen später deckt die Plattform mobilsicher.de auf, dass die Doctolib-App sensible Informationen mit Facebook und Outbrain teilt, ohne dies den Nutzern transparent zu erklären. Denn über den Link, mit dem die Buchungsanfrage zu Testzwecken bei einem Urologen gestellt worden war, lassen sich folgende Informationen ableiten:

  • eine marketerID von Outbrain oder Facebook
  • dass der Link von doctolib.de kommt
  • das Suchwort  Urologie
  • die unter „insuranceSector=private“ hinterlegte Information „Privatpatient“
  • und schließlich die gewünschte Behandlung  „motiveKey=Vorgespräch Vasektomie/Sterilisation Mann”

Außerdem erhalten beide Dienste auch die IP-Adresse des Nutzers, welche nach Ansicht der Aufsichtsbehörden ein personenbezogenes Datum darstellt.

Die Journalisten von mobilsicher.de fassen die Sachlage so zusammen: Nach Hodenkrebs gesucht? Dann hat Facebook auch davon erfahren… Doctolib habe die Datenübertragung und die schlecht erklärte Einwilligung in diese aber immerhin eingeräumt und die beanstandete Datenübertragung am vergangenen Wochenende nachweislich abgeschaltet.