Ratgeber

Verstörend: Doctolib-App teilte sensible Informationen mit Facebook und Outbrain

Ein Artikel von , veröffentlicht am 21.06.2021

Haben Sie in letzter Zeit bei „Doctolib“ einen Arzttermin gesucht? Dann ist es gut möglich, dass die Firmen Facebook und Outbrain schon davon wissen. Und zwar selbst bei sensiblen Themen wie einer Inkontinenzberatung beim Urologen oder der Mädchensprechstunde beim Frauenarzt.

An den Dienst Doctolib werden Sie nicht nur von vielen Ärzt*innen zur Terminbuchung verwiesen; auch die Berliner Senatsverwaltung hat die Betreiberfirma beauftragt, um die Impfterminvergabe in Berlin zu koordinieren. Berliner*innen, die den Weg über die Hotline scheuen, kommen ohne Doctolib also nicht ins Impfzentrum.

Vor allem in seiner Rolle als Impfterminvermittler hat Doctolib in letzter Zeit viel Aufmerksamkeit und auch Kritik (hier und hier) erhalten. Also haben wir uns die App einmal genauer angesehen – und mussten uns erst einmal die Augen reiben. Denn was wir da im Datenverkehr zu sehen bekamen, ist selbst für uns bei mobilsicher nicht alltäglich.

Nach Hodenkrebs gesucht? Dann hat Facebook auch davon erfahren

Getestet haben wir die Version 3.2.26, die seit 27.Mai im Play-Store zum Download bereit steht. Zum Test haben wir ein Pixel 2 mit Android 10 verwendet. Der Test fand am 18. Juni 2021 statt.

Beim ersten Start der App sehen Nutzer*innen den üblichen Datenschutz-Disclaimer. In diesem Fall sieht er so aus:

Im Test haben wir hier auf „Erlauben“ geklickt – und das Elend nahm seinen Lauf. Denn von diesem Augenblick an versendet die App regelmäßige GET-Requests an die Server von Facebook und Outbrain. Diese Anfragen enthalten Informationen über die Aktivitäten, die Nutzer*innen in der App vorgenommen haben.

Im Test haben wir uns dann bei Doctolib eingeloggt, nach einem Urologen gesucht und als Buchungsgrund  „Beratungsgespräch Vasektomie Sterilisation Mann“ angegeben. Weiterhin haben wir einen Arzt ausgewählt, einen Termin angefragt und als Versicherungsstatus "privat versichert" angegeben.

Der Link, über den diese Anfrage gestellt wurde, sah zuletzt im Test so aus:

https://tr.outbrain.com/unifiedPixel?marketerId=0077195aa0d6c59afbe8f9690e36deb48a&obApiVersion=1.1&obtpVersion=1.4.1&name=PAGE_VIEW&dl=https%3A%2F%2Fwww.doctolib.de%2Furologie%2Fberlin%2Freimar-domnitz%2Fbooking%2Favailabilities%3FinsuranceEventsEnabled%3Dtrue%26insuranceSector%3 Dprivate%26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motiveKey%3DVorgespr%25C3%25A4ch%2520Vasektomie%2520%2528Sterilisation%2520Mann %2529-1336%26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526

Verpackt in dem Anfrage-Link sehen wir unter anderem folgende Informationen (fett markiert):

  • eine marketerID von Outbrain
  • dass der Link von doctolib.de kommt
  • das Suchwort urologie
  • unter „insuranceSector=private“ ist vermerkt, dass wir uns als privat versichert ausgeben
  • und schließlich die gewünschte Behandlung, „motiveKey=Vorgespräch Vasektomie/Sterilisation Mann".

Die Anfrage an Facebook enthält die identischen Informationen, nur mit der anfangs vergebenen Facebook-ID.

Abgesehen davon erhalten beide Dienste natürlich auch die eigene IP-Adresse. Somit können die übertragenen Informationen also kaum als anonym gelten. Aber: Alle übertragenen Informationen betreffen die Suche und Auswahl eines Arztermines. Informationen über tatsächlich gebuchte Termine wurden in den Cookies nicht vermerkt.

Das Spiel lässt sich mit verschiedenen anderen Begriffen wiederholen, zum Beispiel mit „Mädchensprechstunde“ und „Frauenarzt“ und vielen mehr. Da es sich um eine Web-App handelt, die die Inhalte einer Website als App darstellt, dürfte das Verhalten auf der Webseite und in der iOS-App identisch sein. Aus diesem Grund sind Änderungen im Verhalten der App übrigens auch nicht über ein Aktualisierungsdatum erkennbar.

Einwilligung nicht ausreichend

Hand aufs Herz: War Ihnen bei der letzten Buchung auf Doctolib klar, was passiert, wenn Sie auf „Zustimmen“ klicken und haben Sie sich freiwillig und informiert dafür entschieden?

Oder dachten Sie eventuell (wie die Autorin), dass die App beendet wird, wenn Sie auf „Ablehnen und Schließen“ klicken und haben, ermüdet durch die vielen vorangegangenen Cookie-Banner, einfach auf Erlauben geklickt, damit es weiter geht?

Ganz abgesehen von der Lebenswirklichkeit im Netz: Auch rein rechtlich dürfte die Einwilligung, die sich Doctolib hier geben lässt, ungenügend sein.

"Wenn das die einzige Einwilligung ist, deckt das natürlich nicht die Übermittlung von Inhalten und Schlüsselworten ab", so der Jurist und Politiker Patrick Breyer, der für die Piratenpartei im Europäischen Parlament sitzt, auf Anfrage von mobilsicher.de zu der Frage. Was er von der Beauftragung durch den Berliner Senat hält, ist ohnehin klar: "Die öffentliche Hand sollte die Finger davon lassen, siehe BigBrother-Award", so Breyer.

Doctolib reagiert prompt

Ausgesprochen positiv war der Umgang des Unternehmens mit den Erkenntnissen von mobilsicher.de: Auf unsere Anfrage am Freitag, 18.06.2021, reagierte Doctolib sofort. Die kritisierten Cookies wurden in Rekordzeit von der Webseite entfernt. Bei einem erneuten Test am Montag, 21.06.2021, wurden weder Facebook noch Outbrain kontaktiert. Das könnten sich andere Anbieter durchaus als Vorbild nehmen.

"Die beiden Cookies dienten dazu, den Erfolg unserer Marketing-Kampagnen zu messen", erläuterte Dr. Ilias Tsimpoulis den Sinn der Datenübertragung im Gespräch mit mobilsicher.de. Im Prinzip ist das ein nachvollziehbarer Wunsch. Warum dazu Suchwörter und Angaben zum Versicherungsstatus mit erfasst wurden, konnte noch nicht abschließend geklärt werden.

Auf die Frage, ob man bei Doctolib die Einwilligung über das Cookie-Banner für ausreichend hält, erklärt Tsimpoulis: "Wir hätten das besser erklären können – aber dann wäre es auch komplexer geworden. Wir haben uns daher entschieden, die Kampagnenmessung über die beiden Drittanbieter ganz einzustellen". Im aktuellen Test bindet Doctolib keinerlei Tracking-Cookies mehr ein und baut auch keine Internetverbindung zu Unternehmen auf, die in den Bereichen Tracking oder Werbung aktiv sind.

Und, auch darauf legt Tsimpoulis Wert: "Wir haben bei Facebook und bei Outbrain veranlasst, dass alle über die Cookies erfassten Daten aus der Vergangenheit gelöscht werden". Ein guter Move, wie wir finden. Ob das ausreicht, damit der Dienst als Auftragnehmer der öffentlichen Hand weiterhin vertretbar ist, müssen andere entscheiden. Die Berliner Senatsverwaltung hat auf unsere Fragen bislang noch nicht geantwortet. "Die Anfrage ist in Abarbeitung", informierte die Pressestelle heute – man bitte um Geduld.

Wir werden Sie hier über weitere Entwicklungen informieren, sobald uns Informationen vorliegen.

Update: Und was ist mit Google?

Die Kolleg*innen von ZEIT ONLINE haben in einem Artikel vom 23.06.2021 darauf hingewiesen, dass auch Google Informationen von Doctolib erhielt. Wir können diese Beobachtung bestätigen.

In unserem Test von Freitag, 18.06.2021, nahm die Android-App Kontakt zu Googles Werbedienst auf und übertrug dabei den Informationen zu der Ärztin, den wir angeklickt hatten:

https://googleads.g.doubleclick.net/pagead/viewthroughconversion/953811499/?random=1623920547973&cv=9&fst=1623920547973&num=1&bg=ffffff&guid=ON&resp=Google mKTybQhCsO&eid=2505059651&u_h=732&u_w=412&u_ah=732&u_aw=412&u_cd=24&u_his= 5&u_tz=120&u_java=false&u_nplug=0&u_nmime=0&gtm=2oa690&sendb=1&ig=1&data=event%3 Dgtag.config&frm=0&url=https%3A%2F%2Fwww.doctolib.de%2Ffrauenarzt%2Fhalle-saale%2Fheidi-pia-schmidt&tiba=HeidiPia%20Schmidt%2C%20Frauenarzt%20%2F%20Gyn%C3%A4kologe%20in%20 Halle%20(Saale)&hn=www.googleadservices.com&async=1&rfmt=3&fmt=4

Da das Android-Betriebssystem naturgemäß sehr viele Daten an Google überträgt, hatten wir diese Daten bei unserer Auswertung des Tests vom 18.06.2021 zunächst übersehen. Bei einem erneuten Test am 23.06.2021 konnten wir das beschriebene Verhalten nicht mehr beobachten.

Doctolib nutzt aber nach wie vor Google-Dienste, darunter Firebase Crashlytics (Absturzanalyse), Firebase Installations (zählt die Installationen) und Google Maps, wenn man sich Ärzte in der Nähe anzeigen lässt. Google erfährt dabei, dass Sie die App von Doctolib nutzen und wann. Das erfährt Google aber ohnehin, sobald Sie die App aus dem Play-Store laden. Eine Übertragung von Suchverläufen oder anderen Nutzungs-Events konnten wir nicht beobachten.

Weitere Updates

[22.06.2021, 12:30] Facebook hat uns kontaktiert und ein Statement zu unserer Untersuchung abgegeben. Ein Facebook-Sprecher: "Nutzer*innen unserer Business-Tools dürfen keine persönlichen Gesundheitsdaten mit uns teilen. Sollten Unternehmen irrtümlich diese Daten mit uns teilen, sind unsere Filtermechanismen so gestaltet, dass sie gesundheitsbezogene Informationen erkennen können und die erkannten Daten entfernen, bevor diese in unseren Anzeigensystemen gespeichert werden. Wir sind mit Doctolib in Kontakt, um die korrekte Implementierung unserer Tools in Zukunft sicherzustellen." Die sensiblen Daten, die von Doctolib kamen, seien demnach bereits vor Erscheinen unseres Berichts von Facebooks Systemen abgefangen und herausgefiltert worden.

[21.06.2021, 15:08] Der Berliner Gesundheitssenat hat sich zu unserer Anfrage geäußert. Auf die Frage, ob man die Einwilligung für das beschriebene Verhalten des Dienstes für ausreichend halte und ob man davon wusste schreibt die Pressestelle: "Wir haben die Bestätigung von Doctolib, dass alle Applikationen DSGVO konform betrieben werden. Eine genaue Analyse dieses spezifischen Falles wurde nicht durchgeführt." Auf die Frage, ob die Webseite oder die App vorab technisch geprüft wurde: "Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes konnte zum damaligen Zeitpunkt nicht erfolgen und es gab angesichts der vorgelegten Unterlagen und Erklärungen auch keinen akuten Anlass dazu. Sollte es einen Anlass geben, wird die Senatsverwaltung für Gesundheit, Pflege und Gleichstellung die nötigen Maßnahmen ergreifen."

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Kinder und Jugendliche 

JusProg Kinderschutzbrowser (iOS)

Wenn Kinder im Internet surfen, sollten sie vor nicht angemessenen Inhalten wie Pornografie, Gewaltdarstellungen und Hetze geschützt sein. Eine Hilfe dabei kann der Jugendschutz-Browser JusProg vom gleichnamigen gemeinnützigen Verein sein. Wir zeigen, wie Sie ihn einrichten.

Mehr
Messenger 

Messenger-App Signal kurz vorgestellt

Signal gehört zu den beliebtesten sicheren Messengern. Sein Verschlüsselungsprotokoll gilt als Goldstandard in der Kryptoszene, seit 2020 sind auch Videokonferenzen möglich. Allerdings muss man seine Telefonnummer angeben.

Mehr
Ratgeber 

Navi-Apps im Check: Maps.me – nicht empfehlenswert

Die Navigations-App Maps.me ist vollgestopft mit Trackern und Werbediensten, erfasst extrem detaillierte Geräte-Daten und zeigt wenig Interesse, die eigenen Nutzer aufzuklären. Der Anbieter ist auch schon im Zusammenhang mit Mail-Apps negativ aufgefallen.

Mehr
Kostenfallen 

Mit dem Smartphone im EU-Ausland: Welche Kosten können entstehen?

Telefonieren, Surfen und SMS schicken ist im EU-Ausland seit 2017 nicht mehr teurer als in Deutschland. Es gibt allerdings Ausnahmen. Wir erklären, worauf Sie achten sollten.

Mehr