Ratgeber

Verstörend: Doctolib-App teilte sensible Informationen mit Facebook und Outbrain

Ein Artikel von , veröffentlicht am 21.06.2021

Haben Sie in letzter Zeit bei „Doctolib“ einen Arzttermin gesucht? Dann ist es gut möglich, dass die Firmen Facebook und Outbrain schon davon wissen. Und zwar selbst bei sensiblen Themen wie einer Inkontinenzberatung beim Urologen oder der Mädchensprechstunde beim Frauenarzt.

An den Dienst Doctolib werden Sie nicht nur von vielen Ärzt*innen zur Terminbuchung verwiesen; auch die Berliner Senatsverwaltung hat die Betreiberfirma beauftragt, um die Impfterminvergabe in Berlin zu koordinieren. Berliner*innen, die den Weg über die Hotline scheuen, kommen ohne Doctolib also nicht ins Impfzentrum.

Vor allem in seiner Rolle als Impfterminvermittler hat Doctolib in letzter Zeit viel Aufmerksamkeit und auch Kritik (hier und hier) erhalten. Also haben wir uns die App einmal genauer angesehen – und mussten uns erst einmal die Augen reiben. Denn was wir da im Datenverkehr zu sehen bekamen, ist selbst für uns bei mobilsicher nicht alltäglich.

Nach Hodenkrebs gesucht? Dann hat Facebook auch davon erfahren

Getestet haben wir die Version 3.2.26, die seit 27.Mai im Play-Store zum Download bereit steht. Zum Test haben wir ein Pixel 2 mit Android 10 verwendet. Der Test fand am 18. Juni 2021 statt.

Beim ersten Start der App sehen Nutzer*innen den üblichen Datenschutz-Disclaimer. In diesem Fall sieht er so aus:

Im Test haben wir hier auf „Erlauben“ geklickt – und das Elend nahm seinen Lauf. Denn von diesem Augenblick an versendet die App regelmäßige GET-Requests an die Server von Facebook und Outbrain. Diese Anfragen enthalten Informationen über die Aktivitäten, die Nutzer*innen in der App vorgenommen haben.

Im Test haben wir uns dann bei Doctolib eingeloggt, nach einem Urologen gesucht und als Buchungsgrund  „Beratungsgespräch Vasektomie Sterilisation Mann“ angegeben. Weiterhin haben wir einen Arzt ausgewählt, einen Termin angefragt und als Versicherungsstatus "privat versichert" angegeben.

Der Link, über den diese Anfrage gestellt wurde, sah zuletzt im Test so aus:

https://tr.outbrain.com/unifiedPixel?marketerId=0077195aa0d6c59afbe8f9690e36deb48a&obApiVersion=1.1&obtpVersion=1.4.1&name=PAGE_VIEW&dl=https%3A%2F%2Fwww.doctolib.de%2Furologie%2Fberlin%2Freimar-domnitz%2Fbooking%2Favailabilities%3FinsuranceEventsEnabled%3Dtrue%26insuranceSector%3 Dprivate%26isNewPatient%3Dtrue%26isNewPatientBlocked%3Dfalse%26 motiveKey%3DVorgespr%25C3%25A4ch%2520Vasektomie%2520%2528Sterilisation%2520Mann %2529-1336%26placeId%3Dpractice-156231%26specialityId%3D1336&optOut=true&bust=021040211195470526

Verpackt in dem Anfrage-Link sehen wir unter anderem folgende Informationen (fett markiert):

  • eine marketerID von Outbrain
  • dass der Link von doctolib.de kommt
  • das Suchwort urologie
  • unter „insuranceSector=private“ ist vermerkt, dass wir uns als privat versichert ausgeben
  • und schließlich die gewünschte Behandlung, „motiveKey=Vorgespräch Vasektomie/Sterilisation Mann".

Die Anfrage an Facebook enthält die identischen Informationen, nur mit der anfangs vergebenen Facebook-ID.

Abgesehen davon erhalten beide Dienste natürlich auch die eigene IP-Adresse. Somit können die übertragenen Informationen also kaum als anonym gelten. Aber: Alle übertragenen Informationen betreffen die Suche und Auswahl eines Arztermines. Informationen über tatsächlich gebuchte Termine wurden in den Cookies nicht vermerkt.

Das Spiel lässt sich mit verschiedenen anderen Begriffen wiederholen, zum Beispiel mit „Mädchensprechstunde“ und „Frauenarzt“ und vielen mehr. Da es sich um eine Web-App handelt, die die Inhalte einer Website als App darstellt, dürfte das Verhalten auf der Webseite und in der iOS-App identisch sein. Aus diesem Grund sind Änderungen im Verhalten der App übrigens auch nicht über ein Aktualisierungsdatum erkennbar.

Einwilligung nicht ausreichend

Hand aufs Herz: War Ihnen bei der letzten Buchung auf Doctolib klar, was passiert, wenn Sie auf „Zustimmen“ klicken und haben Sie sich freiwillig und informiert dafür entschieden?

Oder dachten Sie eventuell (wie die Autorin), dass die App beendet wird, wenn Sie auf „Ablehnen und Schließen“ klicken und haben, ermüdet durch die vielen vorangegangenen Cookie-Banner, einfach auf Erlauben geklickt, damit es weiter geht?

Ganz abgesehen von der Lebenswirklichkeit im Netz: Auch rein rechtlich dürfte die Einwilligung, die sich Doctolib hier geben lässt, ungenügend sein.

"Wenn das die einzige Einwilligung ist, deckt das natürlich nicht die Übermittlung von Inhalten und Schlüsselworten ab", so der Jurist und Politiker Patrick Breyer, der für die Piratenpartei im Europäischen Parlament sitzt, auf Anfrage von mobilsicher.de zu der Frage. Was er von der Beauftragung durch den Berliner Senat hält, ist ohnehin klar: "Die öffentliche Hand sollte die Finger davon lassen, siehe BigBrother-Award", so Breyer.

Doctolib reagiert prompt

Ausgesprochen positiv war der Umgang des Unternehmens mit den Erkenntnissen von mobilsicher.de: Auf unsere Anfrage am Freitag, 18.06.2021, reagierte Doctolib sofort. Die kritisierten Cookies wurden in Rekordzeit von der Webseite entfernt. Bei einem erneuten Test am Montag, 21.06.2021, wurden weder Facebook noch Outbrain kontaktiert. Das könnten sich andere Anbieter durchaus als Vorbild nehmen.

"Die beiden Cookies dienten dazu, den Erfolg unserer Marketing-Kampagnen zu messen", erläuterte Dr. Ilias Tsimpoulis den Sinn der Datenübertragung im Gespräch mit mobilsicher.de. Im Prinzip ist das ein nachvollziehbarer Wunsch. Warum dazu Suchwörter und Angaben zum Versicherungsstatus mit erfasst wurden, konnte noch nicht abschließend geklärt werden.

Auf die Frage, ob man bei Doctolib die Einwilligung über das Cookie-Banner für ausreichend hält, erklärt Tsimpoulis: "Wir hätten das besser erklären können – aber dann wäre es auch komplexer geworden. Wir haben uns daher entschieden, die Kampagnenmessung über die beiden Drittanbieter ganz einzustellen". Im aktuellen Test bindet Doctolib keinerlei Tracking-Cookies mehr ein und baut auch keine Internetverbindung zu Unternehmen auf, die in den Bereichen Tracking oder Werbung aktiv sind.

Und, auch darauf legt Tsimpoulis Wert: "Wir haben bei Facebook und bei Outbrain veranlasst, dass alle über die Cookies erfassten Daten aus der Vergangenheit gelöscht werden". Ein guter Move, wie wir finden. Ob das ausreicht, damit der Dienst als Auftragnehmer der öffentlichen Hand weiterhin vertretbar ist, müssen andere entscheiden. Die Berliner Senatsverwaltung hat auf unsere Fragen bislang noch nicht geantwortet. "Die Anfrage ist in Abarbeitung", informierte die Pressestelle heute – man bitte um Geduld.

Wir werden Sie hier über weitere Entwicklungen informieren, sobald uns Informationen vorliegen.

Update: Und was ist mit Google?

Die Kolleg*innen von ZEIT ONLINE haben in einem Artikel vom 23.06.2021 darauf hingewiesen, dass auch Google Informationen von Doctolib erhielt. Wir können diese Beobachtung bestätigen.

In unserem Test von Freitag, 18.06.2021, nahm die Android-App Kontakt zu Googles Werbedienst auf und übertrug dabei den Informationen zu der Ärztin, den wir angeklickt hatten:

https://googleads.g.doubleclick.net/pagead/viewthroughconversion/953811499/?random=1623920547973&cv=9&fst=1623920547973&num=1&bg=ffffff&guid=ON&resp=Google mKTybQhCsO&eid=2505059651&u_h=732&u_w=412&u_ah=732&u_aw=412&u_cd=24&u_his= 5&u_tz=120&u_java=false&u_nplug=0&u_nmime=0&gtm=2oa690&sendb=1&ig=1&data=event%3 Dgtag.config&frm=0&url=https%3A%2F%2Fwww.doctolib.de%2Ffrauenarzt%2Fhalle-saale%2Fheidi-pia-schmidt&tiba=HeidiPia%20Schmidt%2C%20Frauenarzt%20%2F%20Gyn%C3%A4kologe%20in%20 Halle%20(Saale)&hn=www.googleadservices.com&async=1&rfmt=3&fmt=4

Da das Android-Betriebssystem naturgemäß sehr viele Daten an Google überträgt, hatten wir diese Daten bei unserer Auswertung des Tests vom 18.06.2021 zunächst übersehen. Bei einem erneuten Test am 23.06.2021 konnten wir das beschriebene Verhalten nicht mehr beobachten.

Doctolib nutzt aber nach wie vor Google-Dienste, darunter Firebase Crashlytics (Absturzanalyse), Firebase Installations (zählt die Installationen) und Google Maps, wenn man sich Ärzte in der Nähe anzeigen lässt. Google erfährt dabei, dass Sie die App von Doctolib nutzen und wann. Das erfährt Google aber ohnehin, sobald Sie die App aus dem Play-Store laden. Eine Übertragung von Suchverläufen oder anderen Nutzungs-Events konnten wir nicht beobachten.

Weitere Updates

[22.06.2021, 12:30] Facebook hat uns kontaktiert und ein Statement zu unserer Untersuchung abgegeben. Ein Facebook-Sprecher: "Nutzer*innen unserer Business-Tools dürfen keine persönlichen Gesundheitsdaten mit uns teilen. Sollten Unternehmen irrtümlich diese Daten mit uns teilen, sind unsere Filtermechanismen so gestaltet, dass sie gesundheitsbezogene Informationen erkennen können und die erkannten Daten entfernen, bevor diese in unseren Anzeigensystemen gespeichert werden. Wir sind mit Doctolib in Kontakt, um die korrekte Implementierung unserer Tools in Zukunft sicherzustellen." Die sensiblen Daten, die von Doctolib kamen, seien demnach bereits vor Erscheinen unseres Berichts von Facebooks Systemen abgefangen und herausgefiltert worden.

[21.06.2021, 15:08] Der Berliner Gesundheitssenat hat sich zu unserer Anfrage geäußert. Auf die Frage, ob man die Einwilligung für das beschriebene Verhalten des Dienstes für ausreichend halte und ob man davon wusste schreibt die Pressestelle: "Wir haben die Bestätigung von Doctolib, dass alle Applikationen DSGVO konform betrieben werden. Eine genaue Analyse dieses spezifischen Falles wurde nicht durchgeführt." Auf die Frage, ob die Webseite oder die App vorab technisch geprüft wurde: "Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes konnte zum damaligen Zeitpunkt nicht erfolgen und es gab angesichts der vorgelegten Unterlagen und Erklärungen auch keinen akuten Anlass dazu. Sollte es einen Anlass geben, wird die Senatsverwaltung für Gesundheit, Pflege und Gleichstellung die nötigen Maßnahmen ergreifen."

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Spotify privater machen – so geht’s

Es gibt Apps, die einfach alle lieben - egal ob datenschutzfreundlich oder nicht. Spotify trackt natürlich, was das Zeug hält, doch ein bisschen was können Sie abstellen. Im Video zeigen wir, wo und wie.

Ansehen Ratgeber 

Mit dem Smartphone sicher auf Reisen – 7 Tipps

Auch im Urlaub ist das Smartphone immer dabei. Doch einige Tricks und Maschen von Kriminellen zielen besonders auf ahnungslose Touristen. Wer sein Smartphone in der Ferne nutzen möchte, sollte daher ein paar Punkte beachten. Hier kommen unsere Tipps.

Mehr Ratgeber 

Mobilgerät weg: Den Schaden begrenzen (Android)

Ein gestohlenes oder verlorenes Smartphone oder Tablet kann großen Ärger und auch Kosten verursachen. Passieren kann es jedem – oft schneller als man denkt. Aber selbst wenn es soweit ist, kann man einige Maßnahmen ergreifen, um den Schaden zu begrenzen.

Mehr Ratgeber 

Swiss-Covid-App: Schweizer Contact-Tracing kurz vorgestellt

Die Swiss-Covid-App greift als erste App auf die von Google und Apple entwickelte Bluetooth-Schnittstelle zu. Das ist nicht verwunderlich: Schon die Vorlage für die dezentrale, privatsphärefreundliche Kontaktverfolgung stammt aus der Schweiz.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz