Wider die DSGVO: Laut PI-Report verkaufen EU-Websites sensible Gesundheitsdaten

Privacy International (PI) hat einen Bericht veröffentlicht, demzufolge einige EU-Websites Daten über psychische Erkrankungen an Werbekunden verkaufen und die DSGVO-Anforderungen missachten. Die französische Website Doctissimo bestreitet hingegen die Datenweitergabe an Dritte.

von
Tammy
Lovell

Eine neue Studie der gemeinnützigen Organisation Privacy International (PI) behauptet, dass beliebte Gesundheits-Websites in Europa routinemäßig Informationen über die psychische Gesundheit der Nutzer mit Werbekunden, Datenhändlern und großen Technologieunternehmen teilen.

Die Organisation analysierte mehr als 136 beliebte Websites zum Thema Depressionen in Deutschland, Frankreich und Großbritannien und identifizierte mit dem Open-Source-Tool webxray Unternehmen, die Nutzerdaten erheben. 

Laut dem Bericht „Your Mental Health for Sale" enthielten 97,78 Prozent der analysierten Webseiten ein Element von Drittanbietern wie Cookies von Drittanbietern, JavaScript oder ein Bild, das von einem Server des Drittanbieters gehostet wird.

Die Untersuchung ergab, dass auf vielen Webseiten Cookies aktiviert waren, die gezielte Werbung von großen Unternehmen wie Google, Amazon und Facebook ermöglichten.

Behauptet wurde außerdem, dass Unternehmen wie die französische Website Doctissimo und die deutsche Website Netdoktor programmatische Werbung mit Real Time Bidding (RTB) einsetzen, bei der Hunderte von Unternehmen in Echtzeit für Werbeflächen bieten. PI teilte mit, RTB „riskiere den Datenaustausch mit Hunderten von Unternehmen im RTB-Ökosystem", einschließlich Informationen über das verwendete Gerät oder den Standort eines Benutzers.

Der Sprecher von Doctissimo, Olivier Abecassis, sagte jedoch gegenüber Healthcare IT News, die Website verwendete RTB nicht für medizinische Daten und die Antworten der Benutzer auf ihren Online-Depressionstest seien „völlig anonym".

Netdoktor hatte auf die Aufforderung von Healthcare IT News zur Stellungnahme zum Zeitpunkt der Veröffentlichung nicht reagiert.

WARUM DIES WICHTIG IST

PI argumentierte, es sei ein „starker Eingriff" von Unternehmen, Daten über die psychische Gesundheit der Benutzer ohne deren Wissen oder Zustimmung zu sammeln.

„Informationen, die zeigen, wann genau sich jemand niedergeschlagen oder ängstlich fühlt - besonders dann, wenn diese mit anderen Daten über die Interessen und Gewohnheiten kombiniert werden - können missbraucht werden, um Menschen zu treffen, wenn sie am verletzlichsten sind", heißt es in dem Bericht.

DER GRÖSSERE KONTEXT

Seit dem Inkrafttreten der Allgemeinen Datenschutzverordnung (DSGVO) der EU im Mai 2018 steht die Gesundheitsbranche vor zahlreichen Herausforderungen beim Schutz sensibler Daten. 

Websites und Apps sind verpflichtet, die Zustimmung des Benutzers einzuholen, bevor sie Cookies auf Geräten platzieren, wobei nur begrenzte Ausnahmregelungen gelten. PI zufolge erfüllen jedoch viele Cookie-Meldungen diese Anforderung nicht.

„Damit die Zustimmung gültig ist, muss sie frei, spezifisch, informiert und unmissverständlich im Wege einer klaren affirmativen Handlung erteilt werden. Es sollte auch genauso einfach sein, die Zustimmung zu widerrufen wie sie zu erteilen. Wenn Daten einer speziellen Kategorie verarbeitet werden (wie z.B. Daten zur Gesundheit), muss diese Einwilligung auch explizit sein", so der Bericht.

OFFIZIELLE STELLUNGNAHME

Abecassis von Doctissimo sagte: „In Bezug auf Cookies definiert jeder lokale Gesetzgeber detaillierte Vorschriften nach der DSGVO, und wir befolgen die französischen Richtlinien in Bezug auf die Zustimmung. Die Aktualisierung dieser Vorschriften steht noch aus. Sobald die französische Regulierungsbehörde sie definiert, werden wir sie umsetzen.“

##
Dies ist eine Übersetzung eines Artikels von Tammy Lovell, erschienen auf der englischsprachigen Version von Healthcare IT News.

Bedrohung von innen

ICO-Umfrage: Gesundheitsdaten am häufigsten von Sicherheitsverstößen betroffen

Cloud-Tracking von Patientendaten

ClearData SaaS-Plattform kann PHI aufspüren

Mehr Geld für Cybersicherheit

HIMSS Studie gibt einen Einblick in die Trends der US-amerikanischen Sicherheitspraxen.