Der BigBrotherAward 2021 in der Kategorie Gesundheit: Doctolib

Dossier

BigBrotherAwards 2017: „Oscars für Datenkraken“. Grafik von Heiko SakureiDer BigBrotherAward in der Kategorie „Gesundheit“ geht an die Firma Doctolib in Berlin für ihr Terminvermittlungsportal für Ärzte. Doctolib verarbeitet mit diesem Portal unter Missachtung der ärztlichen Vertraulichkeit die Daten von zigtausenden Patient.innen. Das Angebot für Gesundheitsfachkräfte, also vor allem für Ärzte, und deren Patienten, ist genial: Die Ärzte schließen einen Vertrag mit Doctolib ab, erteilen Zugriff auf ihre Patientendaten und können dann über eine Internetseite Behandlungs-, Beratungs- oder Impftermine verbindlich verabreden lassen. Und schon können die Patient.innen online Termine buchen. (…) In der Realität sollten Ärzt.innen schnell stutzig werden, denn wenn ein Arzt Doctolib für seine Praxis in Anspruch nehmen will, erscheint ein Mitarbeiter des Unternehmens und bittet zunächst einmal um Zugriff auf den gesamten im Arztinformationssystem gespeicherten Patientenstammdatensatz. Und damit nicht genug: Nach dem Import der Patientenliste ist ein regelmäßiger Datenabgleich der Termintabelle des Arztsystems mit dem Vermittlungssystem von Doctolib nötig…“ Laudatio von Dr. Thilo Weichert externer Link, siehe dazu (trotzdem):

  • Doctolib: Wachsender Riese im Gesundheitsdatenmarkt New
    „Doctolib ist hierzulande die führende Plattform für Online-Arzttermine. (…) Einer Patientin des Universitäts-Schlaflabors in Mannheim ist nach eigenen Angaben eine Behandlung verweigert worden, weil sie ihre Termine nicht über den IT-Dienstleister Doctolib abwickeln wollte. Ein angestellter Arzt befürchtet, sich strafbar zu machen, weil seine Praxis Termine über den Dienst vermittelt. Und Patienten, die Termine mündlich und fernmündlich bei ihrem Arzt verabredet haben, erhalten überraschend von Doctolib per SMS oder E-Mail eine Terminbestätigung und fragen sich, wie das Unternehmen an ihre vertraulichen Daten gekommen ist. Die Zahl solcher Anfragen und Beschwerden, die bei Datenschutzaufsichtsbehörden und Ärztekammern zu Doctolib eingehen, wächst. Dessen ungeachtet ist das Unternehmen seit Jahren auf Erfolgskurs und auf bestem Wege, die Datenverarbeitung im Gesundheitswesen von ethischen Prinzipien zu befreien. (…) Doctolib wurde 2013 in Frankreich gegründet. Drei Jahre später verfügte das Unternehmen landesweit schon über mehrere Dutzend Standorte und rund 230 Beschäftigte. Im Jahr 2016 expandierte es nach Deutschland, und bereits 2019 wurde Doctolibs Marktwert mit mehr als einer Milliarde Euro bemessen. Das Unternehmen war damit in nur sechs Jahren zum „Unicorn“ aufgestiegen. Nach etlichen Finanzierungsrunden und weiteren Expansionen nach Italien und in die Niederlande erreichte Doctolib vor zwei Jahren einen Marktwert von rund 5,8 Milliarden Euro. (…) Nach eigenen Angaben hat das Unternehmen aktuell insgesamt rund 80 Millionen Personen in seinen Datenbanken erfasst. Europaweit nutzen etwa 900.000 Angehörige von Heilberufen den Dienst, hierzulande sind es etwa 70.000 niedergelassene Ärzte und Therapeuten sowie 400 Kliniken. Zu Letzteren zählen Einrichtungen des Sana-Konzerns, der St. Augustinus Gruppe, der Atos-Kliniken und viele weitere. Jeden Monat kommen nach Unternehmensangaben rund 300.000 Kunden hinzu. (…) In der Vergangenheit versicherte das Unternehmen, mit jenen Behörden zusammenzuarbeiten, „die für den Schutz von personenbezogenen Daten zuständig sind“. Wie diese „Zusammenarbeit“ aussieht, lässt sich den Jahresberichten der Berliner Datenschutzaufsicht aus den Jahren 2019 bis 2022 entnehmen: Demnach ignoriert Doctolib vor allem deren Kritik. Gleichzeitig schmückt sich das Unternehmen gerne mit einer Vielzahl an Zertifikaten. Schaut man aber auch hier genauer hin, erweist sich deren Qualität mitunter als zweifelhaft. (…) Ein Patient sollte sich weigern können, die Dienste von Doctolib zu nutzen, ohne dass er deshalb bei einem Arzt oder einer Gesundheitseinrichtung Nachteile erleidet. Ist dies nicht der Fall, sollten sich Betroffene bei der zuständigen Datenschutzaufsichtsbehörde des Bundeslandes oder bei der Heilberufekammer der jeweiligen Region beschweren. Außerdem kann ein Patient einen Antrag bei Doctolib stellen, um gemäß Art. 15 Datenschutzgrundverordnung (DSGVO) Auskunft darüber zu erhalten, welche Daten das Unternehmen über sie gespeichert hat. (…) Einzelne Kündigungen werden aber nicht ausreichen, damit das Unternehmen sein Geschäftsgebaren auch nachhaltig ändert. Es ist daher an den Aufsichtsbehörden, aber auch an den Heilberufekammern, dem Verbraucherschutz, den Standes- und den Patientenvertretungen den datenschutzrechtlichen Verstößen von Doctolib endlich Einhalt zu gebieten.“ Gastbeitrag von Thilo Weichert vom 22. April 2024 bei Netzpolitik.org externer Link
  • Patientendaten: Das Faible der Ärzte für Doctolib
    Arzttermine sind oft nur über Doctolib buchbar. Patienten wissen oft nicht: mit der Anmeldung gehen sie einen Vertrag ein, der Zugriff auf umfangreiche Patientendaten gewährt. Kritiker warnen davor. Doctolib ist bereits 5,8 Milliarden Euro wert.“ Audio-Beitrag von Klaus Betz,vom 13. November 2023 externer Link Audio Datei aus dem Podcast „Zeitfragen. Feature“ im Deutschlandfunk, dort weitere Beiträge zum Thema – siehe auch:

    • Nummer 116117: Arzttermine bei Doctolib statt bei kassenärztlichem Service
      Die Arztsuche des kassenärztlichen Bereitschaftsdienstes 116 117 wird wenig genutzt und ist kaum bekannt. Arztpraxen binden lieber Doctolib oder andere Dienstleister ein. Patienten lassen sich Arzttermine lieber über Privatanbieter vermitteln als über die kassenärztliche Terminservicestelle. Das geht aus einer Kleinen Anfrage der Linksfraktion im Bundestag hervor. „Ärzt:innen bieten freie Termine oft lieber über kommerzielle Onlineportale an als über ihre eigene Organisation, weil die KVen die Digitalisierung verschlafen haben“, sagte die Abgeordnete Kathrin Vogler (Die Linke) dem Spiegel. Vielfach würden offene Termine beim Patientenservice der Kassenärzte gar nicht mehr angezeigt…“ Artikel von Achim Sawall vom 3. November 2023 in Golem externer Link
  • Rechtswidriges Termintool: Doctolib will keine Kritik zulassen
    2021 hat Doctolib für sein Arzttermintool einen BigBrotherAward bekommen für seinen Umgang mit Patientendaten. Jetzt mahnt der Dienstleister Konkurrenten ab, die auf Datenschutzkritik an Doctolib hinweisen.
    Das Berliner Unternehmen Doctolib GmbH expandiert mit seinem Terminverwaltungsprogramm für Ärzte, Krankenhäuser und sonstige Gesundheitseinrichtungen und geht aggressiv gegen Konkurrenten und IT-Unternehmen im Medizinbereich vor, die kritisch feststellen, dass Doctolib Vorgaben des Datenschutzrechts missachtet und die Gesundheitseinrichtungen zur Verletzung des Patientengeheimnisses veranlasst. Verbunden mit einer beachtlichen Geldforderung verlangt Doctolib von den Konkurrenten, sich gegenüber ihren Kunden nicht auf zwei Gutachten des Netzwerks Datenschutzexpertise aus den Jahren 2021 und 2022 zu beziehen, in denen ausführlich dargelegt wird, wie mit dem Terminverwaltungsangebot gegen Vorgaben des Datenschutz- und des Medizinrechts verstoßen wurde und weiterhin wird. (…) Schon anlässlich der Verleihung eines BigBrotherAwards im Jahr 2021 forderte das Netzwerk Datenschutzexpertise Doctolib auf, sich der Datenschutzkritik zu stellen und die Rechtsverstöße zu beenden. Stattdessen geht das Unternehmen jetzt gegen Konkurrenten vor, die diese Kritik des Netzwerks Datenschutzexpertise teilen. Zugleich versucht sich das Unternehmen der Datenschutzkontrolle der Berliner Beauftragten für Datenschutz und Informationsfreiheit zu entziehen, indem es behauptet, für sie sei die Datenschutzaufsicht in Frankreich zuständig, wo das Mutterunternehmen von Doctolib seinen Sitz hat.
    Angebot von Doctolib noch immer rechtswidrig
    Zweieinhalb Jahre nach der Verleihung des BigBrotherAwards 2021 an Doctolib hat sich an der Rechtswidrigkeit des Geschäftsmodells von Doctolib aus Datenschutzsicht nichts geändert. Durch die Kombination einer Dienstleistung für 340.000 Gesundheitseinrichtungen und dem Betrieb eines eigenen Webportals hat Doctolib gemäß eigenen Angaben inzwischen Gesundheitsdaten von 80 Millionen Patientinnen und Patienten gesammelt. Nur soweit dieses Geschäftsmodell nicht in Frage gestellt wurde, reagierte das Unternehmen auf die geäußerte Kritik und änderte bestimmte Prozesse oder AGB, ohne aber die bisherigen Verstöße zuzugeben. Das Geschäftsmodell von Doctolib läuft auf ein massenhaftes Sammeln von hochsensitiven Gesundheitsdaten in eigener Verantwortung hinaus. Dies wurde auch nach mehrjähriger Kritik von Doctolib nicht beendet.“ Artikel von Thilo Weichert am  13.11.2023 im Digitalcourage-Blog externer Link

    • Die Abmahnaktion von Doctolib hat BigBrotherAward-Jurymitglied Thilo Weichert (Netzwerk Datenschutzexpertise) zum Anlass genommen, das Vorgehen Doctolibs datenschutzrechtlich vertieft zu analysieren. Das neue Gutachten kommt zu dem Schluss: Datenschutzaufsicht sowie die Ärztekammern sollten endlich gegen die datenschutz- und medizinrechtswidrige Praxis des Unternehmens vorgehen. Siehe das aktuelle Gutachten von Thilo Weichert externer Link
  • Doctolib verstößt weiter gegen Patientengeheimnis 
    BigBrotherAward-Laudator Thilo Weichert vom Netzwerk Datenschutzexpertise zeigt in einem neuen Gutachten: Die Firma Doctolib verstößt noch immer gegen das Patientengeheimnis und den Datenschutz. (…) Derweil wirbt Doctolib für seine Dienstleistungen offensiv. Sowohl die Tätigkeit für die Impfkampagne in Berlin wie auch die Aktivitäten für Gesundheitsdienstleister bundesweit werden weitgehend unverändert fortgesetzt. Vor diesem Hintergrund sieht sich das Netzwerk Datenschutzexpertise – unterstützt durch den Organisator des BigBrotherAwards Digitalcourage – veranlasst, eine Aktualisierung der Bewertung des Datenschutzes bei Doctolib zu veröffentlichen.
    Ergebnis
    Mehr als ein Jahr nach der Verleihung des BigBrotherAwards 2021 an Doctolib erweist sich das Angebot von Doctolib aus Datenschutzsicht weiterhin als mangelhaft. Das Unternehmen reagierte teilweise auf Mängelfeststellungen, insbesondere im technischen Bereich, nachdem diese eine umfangreiche Medienresonanz gefunden hatten. Die systematischen materiell-rechtlichen Verstöße gegen den Datenschutz bestehen weiterhin.
    Rechtswidriges Angebot
    Das Unternehmen wirbt aggressiv für seine Terminvermittlung und -verwaltung in der Öffentlichkeit, gegenüber der Ärzteschaft und sonstigen Gesundheitsfachkräften. Dabei nutzt es beschönigende sowie nach Wettbewerbsrecht unzulässige Falschdarstellungen zum Thema Datenschutz. Für das Unternehmen war und ist es ein Coup, die Online-Terminverwaltung für die Corona-Impfungen durch die Berliner Senatsverwaltung für Gesundheit vornehmen zu können. Hierbei wird gegen Datenschutzregelungen verstoßen. Wegen des günstigen Preises und der Entledigung von einer technisch anspruchsvollen Aufgabe scheint es für die Senatsverwaltung keine Rolle zu spielen, dass der Datenschutz missachtet wird. (…) Das Angebot von Doctolib verstößt materiell-rechtlich gegen den Datenschutz und gegen das Patientengeheimnis. Weit über die Erforderlichkeit hinaus werden Daten erhoben und gespeichert. Als „Auftragsverarbeiter“ beschafft sich das Unternehmen Daten, die es als Verantwortlicher für eigene Zwecke weiternutzt. Das Doctolib-Angebot zeichnet sich durch Intransparenz aus. (…)
    Was ist zu tun?
    Wegen ihres datenschutzwidrigen Angebots im Bereich der Terminverwaltung für Gesundheitseinrichtungen kann und sollte die zuständige Datenschutzaufsicht, der Berliner Beauftragte für Datenschutz und Informationsfreiheit, sanktionierend tätig werden. Der Umstand, dass Doctolib von der Berliner Gesundheitsverwaltung „gedeckt“ wird, sollte kein Hindernisgrund sein. Angesichts der Hartnäckigkeit der Rechtsverletzungen ist es angebracht, neben einem Bußgeld (Art. 83 DSGVO) eine Beschränkung bzw. ein Verbot der Verarbeitung nach Art. 58 Abs. 2 lit. f DSGVO zu verhängen. Um ein entsprechendes Verbot zur unmittelbaren Wirkung zu bringen, sollte eine zeitnahe Vollziehbarkeit des Verbots angeordnet werden. Angesichts der Rechtswidrigkeit ihres Vorgehens hat die Berliner Gesundheitsverwaltung die Beauftragung von Doctolib im Bereich der Corona-Impfversorgung zu beenden. Gefordert ist auch die (Zahn-)Ärzteschaft. Die Ärzte verstoßen mit der Beauftragung von Doctolib gegen ihre berufsbedingte Vertraulichkeitsverpflichtung…“ Aktualisierung zu den rechtlichen und technischen Defiziten” von Thilo Weichert am 15.09.2022 in Digitalcourage externer Link

  • Datenschützer: Doctolib abschalten. Ein neues Gutachten zeigt: Doctolib setzt seine Rechtsverstöße fort 
    „Das Netzwerk Datenschutzexpertise und der Datenschutzverein Digitalcourage fordern die Berliner Gesundheitsverwaltung auf, ihre Zusammenarbeit mit dem IT-Dienstleister Docotolib beim Corona-Impfmanagement zeitnah einzustellen. Sie appellieren zugleich an Tausende Ärztinnen und Ärzte in Deutschland, ihre Kooperation mit Doctolib beim Online-Terminmanagement zu beenden. 2021 erhielt Doctolib den BigBrotherAward in der Kategorie Gesundheit dafür verliehen, dass das Unternehmen bei seinen IT-Dienstleistungen für Gesundheitseinrichtungen das Patientengeheimnis und den Datenschutz von ´zigtausenden Patient.innen missachtet. Das Netzwerk Datenschutzexpertise legte ein umfangreiches Gutachten vor, das die Rechtsverstöße im Detail darlegte. Inzwischen bestätigten technische Untersuchungen, dass die Gesundheitsdaten der Menschen, die bei Doctolib-Ärzten in der Behandlung sind, unzulässigerweise mit US-Unternehmen geteilt wurden. Seit drei Jahren versucht die für Doctolib zuständige Datenschutzaufsichtsbehörde – die bzw. der Berliner Beauftragte für Datenschutz und Informationsfreiheit – die Gesundheitsbehörde der Bundeshauptstadt davon abzuhalten, dass unter Verstoß gegen den Datenschutz Doctolib beim Corona-Impfdatenmanagement eingesetzt wird. Betroffene Nutzende und Kunden von Doctolib beschrieben immer wieder weitere Missstände. Doctolib änderte seine Geschäftsbedingungen Anfang 2022. Das Netzwerk Datenschutzexpertise aktualisiert nun seine Bewertung und kommt in dem Gutachten zu dem Ergebnis, dass die Verstöße gegen das Patientengeheimnis und den Datenschutz von Doctolib weiter fortgesetzt werden. Ein zentraler Kritikpunkt der Datenschützer und auch der Aufsichtsbehörde in Berlin besteht darin, dass Doctolib seine Auftragsdatenverarbeitung für Gesundheitsberufe zugunsten seines eigenen Internetangebots missbraucht…“ Pressemitteilung von digitalcourage vom 28. Juli 2022 externer Link, siehe dazu auch:

    • Doctolib verstößt weiter gegen Patientengeheimnis: Aus dem neuen Gutachten
      „… Mehr als ein Jahr nach der Verleihung des BigBrotherAwards 2021 an Doctolib erweist sich das Angebot von Doctolib aus Datenschutzsicht weiterhin als mangelhaft. Das Unternehmen reagierte teilweise auf Mängelfeststellungen, insbesondere im technischen Bereich, nachdem diese eine umfangreiche Medienresonanz gefunden hatten. Die systematischen materiell-rechtlichen Verstöße gegen den Datenschutz bestehen weiterhin. (…) Das Unternehmen wirbt aggressiv für seine Terminvermittlung und -verwaltung in der Öffentlichkeit, gegenüber der Ärzteschaft und sonstigen Gesundheitsfachkräften. Dabei nutzt es beschönigende sowie nach Wettbewerbsrecht unzulässige Falschdarstellungen zum Thema Datenschutz. Für das Unternehmen war und ist es ein Coup, die Online-Terminverwaltung für die Corona-Impfungen durch die Berliner Senatsverwaltung für Gesundheit vornehmen zu können. Hierbei wird gegen Datenschutzregelungen verstoßen. Wegen des günstigen Preises und der Entledigung von einer technisch anspruchsvollen Aufgabe scheint es für die Senatsverwaltung keine Rolle zu spielen, dass der Datenschutz missachtet wird. Sie macht sich damit zum Komplizen von Doctolib. Ohne erkennbare Not hat die Verwaltung nicht nur die Terminverwaltung, sondern auch die Impfdokumentation dem Unternehmen übertragen. Doctolib kann sich so in der Öffentlichkeit als datenschutzkonformer Dienstleister für die öffentliche Hand präsentieren. Es ist nicht auszuschließen, dass auch wegen diesem Umstand sich die Berliner Datenschutzaufsichtsbehörde bisher gehindert sah, gegen Doctolib angemessene Sanktionen zu verhängen. Das Angebot von Doctolib verstößt materiell-rechtlich gegen den Datenschutz und gegen das Patientengeheimnis. Weit über die Erforderlichkeit hinaus werden Daten erhoben und gespeichert. Als „Auftragsverarbeiter“ beschafft sich das Unternehmen Daten, die es als Verantwortlicher für eigene Zwecke weiternutzt. Das Doctolib-Angebot zeichnet sich durch Intransparenz aus. Hinter einer bunten Fassade ist es für die Stellen, die Doctolib als Dienstleister nutzen, unklar, wie konkret deren Daten verarbeitet werden. Dies hindert die Gesundheitseinrichtungen daran, ihre datenschutzrechtliche, medizinische und strafrechtliche Verantwortung wirksam wahrzunehmen. Doctolib wälzt so die Verantwortung für Verstöße auf seine Kunden ab. Intransparenz besteht auch gegenüber den PatientInnen, für die die verschachtelte Konstruktion von Verantwortlichem und Auftragsverarbeiter noch weniger durchschaubar ist als für die Gesundheitseinrichtungen. Die Betroffenen laufen so Gefahr, dass ihr Gesundheitsdatenschutz und die medizinische Vertraulichkeit auf der Strecke bleiben. (…) Wegen ihres datenschutzwidrigen Angebots im Bereich der Terminverwaltung für Gesundheitseinrichtungen kann und sollte die zuständige Datenschutzaufsicht, der Berliner Beauftragte für Datenschutz und Informationsfreiheit, sanktionierend tätig werden. Der Umstand, dass Doctolib von der Berliner Gesundheitsverwaltung „gedeckt“ wird, sollte kein Hindernisgrund sein…“ Bewertung des BigBrotherAward-Jurymitglieds Dr. Thilo Weichert vom 28. Juli 2022 bei digitalcourage externer Link zum 22-seitigen Gutachten von 2022 externer Link
    • „Big Brother“ Doctolib: Wie sicher sind Gesundheitsdaten in Berlin?
      „Datenschutzexperten fordern die Gesundheitsverwaltung der Hauptstadt auf, die Zusammenarbeit mit dem IT-Dienstleister zu beenden (…) Appelliert wird diesbezüglich auch an niedergelassene Ärztinnen und Ärzte, die mit der Firma zusammenarbeiten. (…) Technische Untersuchungen haben inzwischen bestätigt, dass die Gesundheitsdaten der Menschen, die bei Doctolib-Ärzten in der Behandlung sind, unzulässigerweise mit US-Unternehmen geteilt wurden: „Durch die Sicherheitsforscher:innen wurde festgestellt, dass Daten u. a. an ein US-amerikanisches Unternehmen und damit in einen unsicheren Drittstaat übermittelt wurden.“ (Jahresbericht 2021 der Berliner Beauftragten für Datenschutz, S. 152) Im aktuellen Gutachten weist der ausgebildete Jurist Thilo Weichert darauf hin, dass bei Untätigkeit der offiziell zuständigen Stellen sowohl für Wettbewerber als auch für Verbraucherverbände die Möglichkeit besteht, „wegen der Verletzung des Lauterkeitsrechts und des Datenschutzrechts Abmahnungen auszusprechen und gerichtlich eine Unterlassungsklage gegen Doctolib anzustrengen“.“ Beitrag von Claudia Wangerin vom 29. Juli 2022 bei Telepolis externer Link
  • Was weiß Doctolib? – Digitalcourage beantwortet Fragen und bietet Musterschreiben 
    Wie kann ich wissen, ob bereits Daten von mir bei Doctolib gelandet sind? Und wie kann ich dafür sorgen, dass diese Informationen wieder gelöscht werden? Nach der Verleihung des BigBrotherAwards an die Doctolib GmbH für ihr Arzttermin-Vermittlungstool erreichten Digitalcourage zahlreiche Nachfragen. Viele davon beantwortet Digitalcourage in Zusammenarbeit mit dem Netzwerk Datenschutzexpertise jetzt in einem FAQ. Dort gibt es außerdem ein Musterschreiben, mit dem Patient.innen direkt bei Doctolib die Löschung Ihrer Daten verlangen können. Besonders brisant: Ob Doctolib über Daten zur eigenen Person verfügt, können Betroffene zunächst kaum wissen. Denn Arztpraxen, die sich zur Zusammenarbeit mit Doctolib entschließen, müssen dem Unternehmen Ihre gesamte Patientenliste liefern. Patient.innen, die die Angebote von Doctolib selbst nicht nutzen, erfahren unter Umständen nicht einmal davon, dass eine Praxis bereits Daten über sie weitergeleitet hat…“ Häufige Fragen zu Doctolib und Musterschreiben von Digitalcourage externer Link
  • siehe auch BigBrotherAwards 2021 für Doctolib, Google und Proctorio sowie die  Europäische Kommission u.a.
Kurzlink: https://www.labournet.de/?p=190864
nach oben