{"id":255069,"date":"2021-06-23T12:28:28","date_gmt":"2021-06-23T10:28:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255069"},"modified":"2021-09-20T01:18:23","modified_gmt":"2021-09-19T23:18:23","slug":"datengrab-doctolib-reicht-deine-daten-an-facebook-und-outbrain-weiter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/06\/23\/datengrab-doctolib-reicht-deine-daten-an-facebook-und-outbrain-weiter\/","title":{"rendered":"Datenpetze: Doctolib reicht deine Daten an Facebook und Outbrain weiter"},"content":{"rendered":"

\"SicherheitAktuell geht der Fall des franz\u00f6sischen Anbieters Doctolib durch die Medien. Dieser stellt sowohl eine App gleichen Namens als auch eine Software zur Terminvereinbarung mit \u00c4rzten bereit. Die App wird von Privatleuten genutzt, die Terminvereinbarungssoftware kommt bei \u00c4rzten zum Einsatz. Nun wurde bekannt, dass die Android-App des Anbieters Daten f\u00fcr Online-Werbung an Facebook und Outbrain weiter reichte. Der Anbieter ist aber schon l\u00e4nger in der Kritik, so gab es voriges Jahr ein Datenleck. Ich habe das Ganze daher mal etwas ausf\u00fchrlicher beleuchtet.<\/p>\n

<\/p>\n

\"\"Die Anwendung Doctolib ist angetreten, die Onlinebuchung von Terminen bei \u00c4rzten zu revolutionieren. Einfach alles im Rahmen der Telemedizin digital erledigen – echt cool, so dass die Software in Berlin auch zur Terminabstimmung f\u00fcr COVID-19-Impfungen verwendet wird. Es gibt auch eine App f\u00fcr Android und f\u00fcr iOS, und da hat mal jemand genauer hingeschaut. Ein klein bisschen doof ist, dass diese App-L\u00f6sung f\u00fcr Android die pers\u00f6nlichen Daten f\u00fcr Online-Werbung gleich an Facebook und Outbrain weiter reichte. So in der Art: Du suchst gerade nach einem bestimmten Volksleiden und einem Arzt zur Behandlung? Da Du Privatpatient bist, h\u00fclfe gegen deine H\u00e4morriden die Salbe beim Anbieter xyz. Eine echte Win-Win-Situation.<\/p>\n

Es ist mal wieder ein Paradebeispiel f\u00fcr den Schlitten in Schussfahrt bergab, auf den viele Nutzer und auch Politiker und Verbandfunktion\u00e4re so ganz naiv drauf h\u00fcpfen. Denn Digitalisierung ist einfach hipp, wir haben sogar eine Staatssekret\u00e4rin, Frau D. B\u00e4r von der CDU in Bayern abgeordnet, die den Datenschutz in diesem Bereich als eher nachrangig ansieht – gut die haben da eh so ihre Probleme mit (siehe Bayern: Versagen bei Digitalisierung an Schulen \u2013 der Datenschutz hat Schuld<\/a> – ok, ist unfaire Dialektik).<\/p><\/blockquote>\n

Kleine Einordnung der Beteiligten<\/h2>\n

In nachfolgendem Text geht es um den Anbieter Doctolib, um Sicherheit und um Facebook sowie Outbrain. Zur Orientierung der Leserschaft hier ein grober \u00dcberblick, was es zu den Beteiligten zu wissen gibt. Mit dem Sozialen Netzwerk Facebook wird zwar jeder was anfangen k\u00f6nnen. Aber wer sind Dotolib und Outbrain?<\/p>\n

Wer oder was ist Doctolib?<\/h3>\n

Doctolib SAS<\/a> ist ein franz\u00f6sisches Technologieunternehmen mit Sitz in Paris, das zuf\u00e4llig eine Spezialsoftware anbietet, die unter anderem die Online-Buchung von Terminen bei \u00c4rzten, das Terminmanagement in Praxen und Gesundheitseinrichtungen sowie telemedizinische Videosprechstunden erm\u00f6glicht. L\u00e4sst sich alles auf Wikipedia mit Quellennachweis nachlesen.<\/p>\n

Die Doctolib GmbH (Sitz: Berlin), ein Tochterunternehmen der Doctolib SAS, ist seit Sommer 2016 in Deutschland f\u00fcr die E-Health-Angebote des Unternehmens verantwortlich. Nach Unternehmensangaben nutzten Anfang 2017 zirka 17.000 \u00c4rzte und 435 Gesundheitseinrichtungen in Frankreich und Deutschland die Plattform.<\/p>\n

Im Juli 2020 wurde Doctolib zum Ziel einer Cyberattacke, die vom Unternehmen gestoppt werden konnte. Patientendaten wurden nicht entwendet. Im Sommer 2020 \u00fcbernahm Doctolib zusammen mit der Kassen\u00e4rztlichen Vereinigung Niedersachsen die Online-Terminvereinbarungen f\u00fcr Covid-19-Tests. Besonders brisant: Seit dem Jahreswechsel 2020\/2021 kommt die Software des Unternehmens zudem in Berlin und Frankreich bei der Koordination von Terminen f\u00fcr Impfungen gegen COVID-19 zum Einsatz.<\/p>\n

Wer oder was ist Outbrain?<\/h3>\n

Bei Outbrain<\/a> handelt es sich um eine Web-Werbeplattform, die Boxen mit Links, so genannte Chumboxes, auf Seiten innerhalb von Websites anzeigt. \u00dcber die Links zu den gesponserten Inhalten generiert Outbrain Einnahmen f\u00fcr den Publisher. Das Modell von Outbrain wird aber wohl mehrheitlich als minderwertig und Clickbait angesehen (so in der Art \"als sie das Foto ihres Ehemannes sah und genauer hinschaute, kam die ganze Wahrheit heraus\".<\/p>\n

Es gibt Leute, die Outbrain (und andere Anbieter wie Taboola) als eine wichtige Einnahmequelle f\u00fcr Publisher sehen. Fusionspl\u00e4ne zwischen Outbrain und Taboola sind meinen Informationen nach 2020 gescheitert. Ich hatte mal in 2020 mit Taboola Kontakt, weil die hier im Blog eingebunden werden wollten – ich habe mich, aber auf Grund der vorgelegten Gesch\u00e4ftsbedingungen dagegen, entschieden.<\/p><\/blockquote>\n

Aktuell ist hier im Blog am Artikelende ein \u00e4hnlicher Mechanismus von Google Adsense eingebunden, der Artikelvorschl\u00e4ge aus meinen Blogs, angereichert um gekennzeichnete Werbung, einblendet. Die Einnahmen\u00a0 sind arg \u00fcberschaubar – aber noch bin ich mir unschl\u00fcssig, ob ich das Ganze wieder rauswerfen m\u00f6chte.<\/p><\/blockquote>\n

Worum geht es beim Doclib-Skandal genau?<\/h2>\n

Das Problem ist, dass Doclib in seiner Software sowohl Facebook als auch den Anbieter Outbrain (f\u00fcr Werbezwecke) einsetzt(e). Damit werden die Daten an diese beiden Unternehmen weiter gereicht. Facebook sowie Outbrain in einer Software (hier eine Android-App), die in so sensiblen Bereichen wie Terminverwaltung f\u00fcr \u00c4rzte oder Impfungen eingesetzt wird, geht erst recht nicht. Es ist also nur eine Frage der Zeit, bis es knallt. Auch sonst scheint es der Anbieter mit dem Punkt Datenschutz locker zu nehmen.<\/p>\n

Bereits vor Monaten klagten einige franz\u00f6sische \u00c4rzteverb\u00e4nde gegen die Einbindung von Doctolib bei der Vergabe von Impfterminen in Frankreich. Die Begr\u00fcndung: Doctolib speichere Daten auf Servern von Amazon in den Vereinigten Staaten, die Einhaltung europ\u00e4ischer Datenschutzvorschriften sei nicht gew\u00e4hrleistet. Das Ganze poppte jetzt in den Medien auf, weil der Ansatz breiter bekannt wurde. Der Conseil d'\u00c9tat<\/a>, das oberste Verwaltungsgericht Frankreichs, widersprach den Kl\u00e4gern am 12. M\u00e4rz 2021, der Schutz der Daten sei ausreichend.<\/p>\n

2021 erhielt das Unternehmen den Big Brother Award<\/a>, weil es nach Ansicht des Vereins Digitalcourage die Vertraulichkeitspflicht missachte und Daten von Nutzern und Patienten aus Arztpraxen f\u00fcr Marketingzwecke nutze. Riecht irgendwie nach \"die Sache hat Methode\".<\/p>\n

Jetzt geht es um die Doclib-Android App<\/h3>\n

Die Kollegen von heise adressierten es in obigem Tweet<\/a> und haben weitere Details in diesem Artikel<\/a> zusammen getragen. In kurz: Die Seite mobilsicher.de hat in diesem Artikel<\/a> die Erfahrungen mit der Doctolib-App f\u00fcr Android (Version 3.2.26) \u00f6ffentlich gemacht.<\/p>\n

\"Der<\/a><\/p>\n

Wer die App installiert, bekommt bei der ersten Nutzung die nachfolgende Information, in der die Verwendung der Daten angezeigt und eine Zustimmung gefordert wird. Stimmt der Benutzer zu, was die meisten tun d\u00fcrften, \u00fcbertr\u00e4gt die App eine Reihe Daten an Facebook sowie Outbrain.<\/p>\n

\"Datenschutzerkl\u00e4rung
\nDatenschutzzustimmung der Doctolib-App<\/p>\n

Die Leute von mobilsicher.de haben sich die ausgetauschten Ergebnisse im Detail angesehen. Und die haben es in sich, denn die folgenden Daten k\u00f6nnen dort im Austausch auftauchen:<\/p>\n