GESELLSCHAFT | 61 Gesundheit. Bei Cerebral-Kunden mit Abonnement (Kostenpunkt: 99 bis 365 US-Dollar pro Monat) könnten die offengelegten Daten auch Termindaten, Behandlungs- sowie Versicherungsinformationen, Mitgliedsnummern und Zuzahlungsdaten enthalten haben, berichten weitere US-Medien. Cerebral entgegnete, dass bei dem Datenschutz-Verstoß keine Sozialversicherungs-, Kreditkarten- oder Bankkontoinformationen offengelegt wurden. Gleichzeitig empfahl das Unternehmen aber seinen PatientInnen, ihre Leistungserklärung, das Versicherungsportal und die Mitteilungen der Kostenträger zu überprüfen, um „sicherzustellen, dass alle Gebühren angemessen sind“. Millionenstrafen, aber jegliches Fehlverhalten abstreiten Als Reaktion auf die Veröffentlichungen und die folgende öffentliche Kritik teilte das Unternehmen mit, vergleichbare Trackingtechnologien würden auch von anderen, „in vielen Branchen, einschließlich Gesundheitssystemen, traditionellen stationären Anbietern und anderen Telemedizinunternehmen“ genutzt. Das stimmt: Erst im Februar 2023 verhängte die US-Handelskommission FTC – zu deren Aufgaben auch der Verbraucherschutz gehört – eine Geldstrafe von 1,5 Millionen US-Dollar gegen GoodRx, weil der Anbieter von telemedizinischen Dienstleistungen und verschreibungspflichtigen Medikamenten die Gesundheitsdaten seiner Kunden mit Social-Media-Giganten geteilt hatte. Der Fall war der erste nach den neuen US-Offenlegungsregeln für Datenschutzverletzungen (Health Breach Notification Rule, HBNR). Die damit verbundene Anordnung des USJustizministeriums verbietet es GoodRx nun, Gesundheitsdaten von Benutzern mit Dritten zu teilen. Das Unternehmen zahlte die Strafe, um „die Zeit und die Kosten eines langwierigen Rechtsstreits zu vermeiden“, bestreitet aber gleichzeitig jegliches Fehlverhalten. Das sieht die FTC anders: GoodRx habe jahrelang Gesundheitsinformationen an Werbeunternehmen weitergegeben. Facebook, Google, das OnlineMarketing-Unternehmen Criteo und andere hätten so Informationen zu den gesuchten oder gekauften verschreibungspflichtigen Medikamenten und damit persönlichen Gesundheitszuständen der Kunden erhalten. „Eine branchenübliche Praxis“ Das Unternehmen sieht das anders: Zwar habe man Anbietertechnologien verwendet, aber lediglich, um auf eine Weise zu werben, von der man glaube, „dass sie allen geltenden Vorschriften entspricht und die bei vielen Gesundheits-, Verbraucher- und Regierungswebsites nach wie vor gängige Praxis ist“. In seinem Blog teilt GoodRx mit, das Problem sei vor fast drei Jahren behoben worden, also bevor die FTC das Vorgehen moniert habe. Abschließend heißt es, man sei „stolz darauf, Maßnahmen ergriffen zu haben, um ein Branchenführer für Datenschutzpraktiken zu sein“. Anfang März sorgte dann der Fall BetterHelp für Schlagzeilen: Der nach eigenen Angaben „weltgrößte Anbieter von Online-Therapiedienstleistungen“ wurde von der FTC mit einer Geldstrafe von 7,8 Millionen US-Dollar belegt, weil er Gesundheitsdaten seiner „Mitglieder“, also seiner Kunden, einschließlich Informationen über psychische Probleme für Marketingund Anzeigenzwecke an Dritte wie Facebook und Snapchat weitergegeben haben soll. BetterHelp stimmte der Geldstrafe zu – bestreitet aber jegliche Schuld: „Zur Klarstellung: Wir geben keine privaten Informationen wie die Namen von Mitgliedern oder klinische Daten aus Therapiesitzungen an Werbetreibende, Publisher, Social-MediaPlattformen oder andere ähnliche Dritte weiter und haben dies auch nie getan. Darüber hinaus erhalten wir keine Zahlungen von Dritten für jegliche Art von Informationen über eines unserer Mitglieder.“ Auch BetterHelp verteidigte das Tracking mit Software-Bausteinen von Drittanbietern als „branchenübliche Praxis“, die „routinemäßig von einigen der größten Gesundheitsdienstleister, Gesundheitssysteme und Gesundheitsmarken verwendet“ wird. Sollte das stimmen, wird die FTC wohl weitere Geldstrafen verhängen müssen. mg BENACHRICHTIGUNGSREGEL FÜR GESUNDHEITSVERLETZUNGEN Die Benachrichtigungsregel für Gesundheitsverletzungen (Health Breach Notification Rule, kurz HBNR) schreibt vor, dass Betreiber von Gesundheits-Apps oder -Dienstleistungen ihre Nutzer benachrichtigen müssen, wenn ihre Daten gefährdet sind. Die Regel gilt für Unternehmen, die nicht unter das Bundesgesetz HIPAA fallen, das den Schutz sensibler Gesundheitsinformationen regelt – und stellt sicher, das diese zur Rechenschaft gezogen werden können, wenn sensible Gesundheitsinformationen veröffentlicht oder weitergegeben werden. Wenn ein Unternehmen die HBNR nicht einhält, kann die US-Handelskommission FTC Geldstrafen von rund 40.000 US-Dollar pro Verstoß und Tag verhängen. zm113 Nr. 08, 16.04.2023, (651)
RkJQdWJsaXNoZXIy MjMxMzg=