Zahnärztliche Mitteilungen Nr. 20

zm 111, Nr. 20, 16.10.2021, (1929) waren Terminbuchungen abrufbar, die jeweils Arzt-Angaben wie Titel, Name, Ort und Fachgebiet sowie Patientendaten wie Vor- und Nach- name, Geschlecht, Alter, Telefon- nummer und etwaige angehängte Dokumente enthielten. Wie der IT-Sicherheitsberater Martin Tschirsich ausführt, zeigte erst die genauere Betrachtung der Daten die ganze Dramatik des Falls. Denn wäre es zum Datendiebstahl gekommen, hätten Kriminelle über Jahre hinweg ganze Patientenhistorien rekonstruie- ren, also nachvollziehen können, wer wann bei welchem Psychotherapeu- ten, in welcher Kinderwunschpraxis oder Schönheitsklinik war. „Hier muss man aufpassen“, warnt er. „Metadaten verraten unglaublich viel.“ Damit konfrontiert entgegnete Doctolib dem CCC nur, „es konnten keine medizinischen Daten gelesen werden“. Später änderte das Unter- nehmen seine Formulierung. „Keine medizinischen Besuchsgründe oder kein medizinisches Dokument waren von dem Angriff betroffen“, hieß es gegenüber den zm. Bei all diesen Formulierungen handelt es sich je- doch nicht um juristische relevante Begriffe, wie sie die DSGVO verwen- det. Denn darin ist ausschließlich von „Gesundheitsdaten“ die Rede – zu denen die Berliner Datenschutz- beauftragte unmissverständlich auch Termindaten zählt. GAB ES EIN DATENLECK – ODER GLEICH ZWEI? Auch was die Eckdaten des Datenlecks betrifft, steht Aussage gegen Aussage. Am 26. Januar 2021 – gut einen Mo- nat nach der Veröffentlichung durch den CCC – gab Doctolib per Presse- mitteilung eine knappe und krude formulierte Gegendarstellung heraus. Die Botschaft: Basierend auf den In- formationen anonymer Hacker hätten Mitglieder des CCC die Schwachstelle verifiziert und lediglich 6.000 Termine erfassen können. Außerdem heißt es: „Doctolib hat den Angriff innerhalb weniger Stunden gestoppt und die Sicherheitslücke behoben.“ Für Tschirsich ist hingegen klar: „Das frühere Datenleck, über das Mitglieder des CCC berichteten, steht in keinem Zusammenhang mit dem von Doc- tolib beschriebenen Angriff vom 21. Juli.“ Sowohl Mitglieder des CCC – sowie später auch ZEIT online – hätten Einsicht in den über die frühere Schwachstelle abgerufenen Datensatz gehabt. ZEIT-Autorin Eva Wolfangel schrieb hierzu: „Die Daten stammen demnach bereits von No- vember 2019 – was bedeutet, dass die Sicherheitslücke mindestens ein halbes Jahr nicht geschlossen worden sein könnte.“ Und nicht nur das: Über die Schwachstelle soll zum damaligen Zeitpunkt ein Zugriff auf jede einzelne von etwa 150 Millionen Terminvereinbarungen möglich ge- wesen sein. Doctolibs Darstellung nach handelt es sich bei diesen Aussagen um „falsche Behauptungen“. Der CCC habe eine Extrapolation vorgenommen heißt es, um zu zeigen, dass es theoretisch Zugang zu dieser Menge an Daten hätten geben können, wenn das Sicherheitssystem von Doctolib den Angriff nicht gestoppt hätte. NEGATIVAUSZEICHNUNG FÜR DOCTOLIB IM JUNI 2021 Der langjährige Datenschutzbeauf- tragte Schleswig-Holsteins, Dr. Thilo Weichert, sieht losgelöst von der Dis- kussion um die Anzahl und Größe von Datenlecks Anlass zur Sorge, wenn er beobachtet, wie Docotlib mit Gesundheitsdaten umgeht. Zu- sammen mit drei Informatikern be- treibt der Jurist und Politologe die Nichtregierungsorganisation „Netz- werk Datenschutzexpertise“ und er- stellte im Juni 2021 das 39-seitige Gutachten „Arztterminvermittlung über Doctolib – Datenschutz-Aspruch und Wirklichkeit.“ Sein Fazit: Doc- tolib weist teils starke, teils weniger gravierende Datenschutzdefizite auf. Bei der Laudiatio der ebenfalls im Juni 2021 verliehenen Datenschutz- Negativauszeichnung Big Brother Award 2021 des Vereins „Digital- courage“ sagte er: „Das Angebot für Gesundheitsfachkräfte, vor allem Ärz- tinnen und Ärzte, scheint genial. [...] In der Realität sollten Ärztinnen und Ärzte jedoch schnell stutzig werden.“ Denn nach dem Vertragsschluss er- EXPERTEN ENTSETZT DOCTOLIB-APP ÜBERTRUG DATEN AN FACEBOOK & CO. Nachdem die gemeinnützige Organisation Algorithmwatch Versäumnisse Doctolibs bei der Vergabe von COVID- Impfterminen in Berlin aufgezeigt und das Unternehmen den „Big Brother Award“ für 2021 erhalten hatte, über- prüfte auch ein Team der IT-Webseite mobilsicher.de die Doctolip-App – und war negativ überrascht. Die Experten hätten sich „erst einmal die Augen reiben“ müssen, heißt es im ent- sprechenden Artikel auf dem Webportal. „Denn was wir da im Datenverkehr zu sehen bekamen, ist selbst für uns bei mobilsicher nicht alltäglich.“ Fazit: Nutzer der App-Version 3.2.26 mussten zum Stand 18. Juni 2021 davon ausgehen, dass Doctolib die IP-Adresse, den Buchungsgrund und den Versicherungs- status eines Nutzers sowie die Facharzt- bezeichnung der Suche an das Marketing- unternehmen Outbrain sowie Facebook gesendet hatte. Immerhin: Auf die Anfrage von mobilsicher.de reagierte Doctolib so- fort und entfernte die kritisierten Cookies. Bei einem erneuten Test drei Tage später wurden weder Facebook noch Outbrain kontaktiert. Die Cookie-Übertragung an Google, die ZEIT online reklamierte (siehe Haupttext) beobachteten auch die Experten von mobilsicher.de . Nach der ZEIT-Veröffent- lichung vom 23. Juni 2021 wurde auch dies gestoppt. Dazu, ob die Cookie-Einwilligung Nutzern der Doctolib-App das Verhalten vor der Bereinigung ausreichend erklärt hatte, machte der Berliner Gesundheits- senat auf Anfrage von mobilsicher.de keine Angaben. „Wir haben die Bestätigung von Doctolib, dass alle Applikationen DSGVO-konform betrieben werden. Eine genaue Analyse dieses spezifischen Falles wurde nicht durchgeführt“, lautet die Ant- wort. Fazit: „Eine tiefergehende technische Prüfung aller Aspekte der Datensicherheit und des Datenschutzes“ gab es nicht. Die Prüfung der Behörde beschränkte sich auf das Sichten von vorgelegten Unterlagen und Erklärungen Doctolibs. PRAXIS | 35

RkJQdWJsaXNoZXIy MjMxMzg=