Ein Blick auf Wiens Arztwebseiten
Eine kritische Analyse zum Datenschutz auf Webseiten von Ärzt:innen in Wien.
Marcello Curto
Wenn man eine Website von Ärzten besucht, ist man in der Regel auf der Suche nach etwas Bestimmten: Wo befindet sich die Praxis? Kann ich zeitnah einen Termin bekommen? Macht die Seite einen kompetenten Eindruck? Man geht davon aus, dass die Interaktion genauso vertraulich behandelt wird wie ein persönlicher Besuch in der Praxis. Es wäre zutiefst beunruhigend, sollte eine nach Behandlungsmöglichkeiten fragende Person feststellen, dass ihre Anfragen direkt an Unternehmen wie Google oder Facebook weitergeleitet werden. Unsere Untersuchung des Online-Auftritts von Ärzten hat alarmierende Einsichten gebracht: Zahlreiche Arztpraxen teilen genau solche Informationen – und oft noch weit mehr – sobald jemand ihre Website besucht.
Untersuchungsmethode
Unsere Untersuchung erstreckte sich über das ganze Verzeichnis von Ärztewebseiten, die bei der Wiener Ärztekammer gelistet sind. Auf praxisplan.at fanden wir 17757 Ärzte, von denen 1631 ihre Webadresse angegeben hatten. 95 dieser URLs waren nicht erreichbar und mussten von unserer Analyse ausgeschlossen werden. Die verbleibenden 1536 Webseiten wurden dann mit einem eigens dafür entwickelten Datenschutztool auf ihre Datenschutzpraktiken hin untersucht.
Das Tool durchforstete automatisch die Startseiten und dazugehörigen Unterseiten, wobei es im Schnitt 25 Seiten pro Webseite besuchte. Währenddessen gab es keinerlei Interaktion mit der Webseite – insbesondere wurden keine Cookie-Banner akzeptiert oder abgelehnt. Unser Hauptaugenmerk lag auf Cookies und dem Aufbau von Verbindungen zu Drittanbietern. In der großen Debatte um Cookies wird oft vergessen, dass auch hier Vorsicht geboten ist.
Befunde
Cookies
Cookies zu setzen oder auszulesen erfordert in der Regel die ausdrückliche Zustimmung der Nutzer, da dabei Informationen von deren Endgeräten gelesen oder verändert werden. Allerdings gibt es Situationen, in denen das Platzieren oder Auslesen von Cookies unvermeidlich ist und keine Zustimmung benötigt wird. Diese Ausnahmen müssen jedoch streng nach der Notwendigkeit beurteilt werden, die im Lichte der Gesetzesbegründungen als eine technische, nicht aber eine wirtschaftliche Notwendigkeit zu verstehen ist.1
Ein klassisches Beispiel hierfür ist, dass ein Webshop den Inhalt des Warenkorbs in einem Cookie speichern darf, um diesen beim nächsten Besuch des Nutzers erneut zugänglich zu machen.2 Doch dieser Cookie sollte nicht gesetzt werden, bevor tatsächlich etwas in den Warenkorb gelegt wurde.
Obgleich ein Großteil der Webseiten - nämlich 836 (51%) - vorbildlich verfährt, indem keine Cookies ohne Zustimmung gesetzt werden, zeigt sich ein breites Spektrum an Praktiken: 256 (16%) Webseiten setzen zwischen 5 und 10 Cookies, 245 (15%) 2 bis 4 Cookies, und 270 (17%) nur einen einzigen Cookie ohne vorherige Zustimmung. Dies zeigt, dass zwar viele den Datenschutz ernst nehmen, allerdings eine beachtliche Minderheit immer noch aggressiv Cookies platziert.
| # | Cookie | Anbieter | Webseiten |
|---|---|---|---|
| 1 | _ga | Google Analytics | 187 |
| 2 | _gid | Google Analytics | 163 |
| 3 | PHPSESSID | PHP | 157 |
| 4 | XSRF-TOKEN | Wix.com | 87 |
| 5 | hs | Wix.com | 85 |
Nicht jeder Cookie, der auf dem Gerät der Besucher:innen platziert wird, ist a priori böse oder bedarf einer Einwilligung. Doch wenn man sich die fünf am häufigsten platzierten Cookies genauer anschaut, stellt man fest, dass viele davon eine Zustimmung gebraucht hätten und somit rechtswidrig sind. Andere befinden sich eher in einer Grauzone.
So sind laut unserer Analyse die am häufigsten platzierten Cookies von dem Dienst Google Analytics. Dieser Dienst erhebt nicht nur für den Webseitenbetreibenden ein Übermaß an statistischen Daten über seine Besucher, diese Daten werden auch automatisch an Google übermittelt. Für Google bestehen hier auch erst einmal keine Einschränkungen, wie es diese Daten weiterverwenden kann.
Da Google den Inhalt der Webseite, die man besucht, kennt und kontextualisieren kann, und über Google Analytics zugleich die Möglichkeit hat, die Besucher:innen bei ihrem Besuch genau zu verfolgen, kann Google hiermit ein medizinisches Profil über diese bilden. Besucht man eine Seite für plastische Chirurgie, weiß Google, dass man dafür ein Interesse hat. Besucht man mehrere Seiten zu diesem Thema, von denen wiederum einige Google Analytics verwenden, weiß Google wiederum, dass das Interesse wohl ein Bedarf ist. All das sind Informationen, die Google Werbetreibenden zur Verfügung stellt, um ihre Produkte und politische Meinungen zu verkaufen.
Beim Einsatz von Google Analytics ist Vorsicht geboten. So haben in der Vergangenheit die österreichische Datenschutzbehörde die Verwendung untersagt und die schwedische Datenschutzbehörde hat Strafen bis €1 Million verhängt.
Selbst in der Datenschutzerklärung weist Google ausdrücklich darauf hin, dass die Einwilligung von Nutzer:innen eingeholt werden muss. Google droht sogar damit, den Service für Anbieter zu sperren, die dies nicht tun. Es scheint, als würde Google allerdings seine selbst auferlegten Standards nicht einhalten.
Weiters gibt Google zu, dass über Google Analytics gesammelte Daten immer auch in die USA gesendet und dort verarbeitet werden.3 Hierfür müssen Webseitenbetreiber:innen trotz des aktuell noch geltenden Data Privacy Frameworks zwischen der EU und den USA einen Auftragsverarbeitungsvertrag mit Google schliessen.
Viele Wiener Ärzte nutzen Homepage-Baukästen, „welche nicht selten von Haus aus unnötige Cookies nutzen und externe Dienste einbinden“.4 Spezifisch nutzen etwa 5 % der Wiener Ärzte den Homepage-Baukasten des Anbieters Wix.com. Dieser Dienst setzt ohne Zustimmung viele Cookies auf den Geräten der Nutzer:innen.
Wix behauptet, diese Cookies seien für den Betrieb ihrer Webseiten unerlässlich. Dennoch ist es fragwürdig, warum zehn verschiedene Cookies nötig sind, wenn viele andere Webseiten ganz ohne auskommen. Für Betreiber:innen solcher Seiten ist es schwierig, den Zweck dieser Cookies klar zu vermitteln. Die von Wix bereitgestellte Dokumentation bietet hierzu wenig Aufklärung, und eine Deaktivierung dieser Cookies ist nicht möglich. Hier fehlt es aktuell noch an Rechtsprechung, aber die Wahl des Baukastensystems sollte aus Datenschutzgründen wohl überlegt sein.
Drittanbieter-Verbindungen
Unsere Analyse zeigt, dass zahlreiche Seiten externe Ressourcen von Drittanbietern laden, ohne die Zustimmung der Besucher:innen einzuholen. Besonders verbreitet sind Verbindungen zu Google-Diensten wie Google Fonts und Google Maps, die nicht nur Ressourcen laden, sondern auch Nutzerdaten mit Google teilen können.
Diese Datenübertragungen sind rechtlich komplex. Während Cookies eine klare Zustimmung erfordern, ist die Regelung für externe URLs oft weniger eindeutig.
Hier hängt es stark vom Kontext ab, was ungefragt eingebunden werden kann. Gibt es einen Auftragsverarbeitungsvertrag mit dem Drittanbieter? Werden Daten in ein unsicheres Drittland gesendet? Könnte die Verbindung genauso gut intern hergestellt werden? Dient die Datenanfrage nur dem Darstellen von Inhalten oder auch anderen Zwecken wie Tracking?
| # | URL | Anbieter | Webseiten |
|---|---|---|---|
| 1 | fonts.gstatic.com | Google Fonts | 655 |
| 2 | fonts.googleapis.com | Google Fonts | 606 |
| 3 | maps.googleapis.com | Google Maps | 549 |
| 4 | maps.gstatic.com | Google Maps | 495 |
| 5 | www.google.com | 477 | |
| 6 | www.googletagmanager.com | Google Tag Manager | 261 |
| 7 | www.google-analytics.com | Google Analytics | 229 |
Schaut man sich die häufigsten Verbindungen zu Drittanbietern, die ohne Einwilligung der Nutzer:innen zustande kommen, an, dann sind das ausschließlich Verbindungen zu Diensten von Google.
Hier stechen vor allem Google Fonts hervor, welche auf etwa mehr als einem Drittel der untersuchten Seiten eingebunden wurden, was unter aktueller Rechtsprechung ohne Einwilligung untersagt wird.
Anders als in diesem Urteil werden auf den Seiten der Ärzte nicht direkt eingebunden, sondern werden als Teil von anderen Google-Diensten mitgeladen. So verwenden über ein Drittel der untersuchten Webseiten Google Maps. Bindet man Google auf seiner Webseite ein, werden auch immer Google Fonts geladen.
Auch hier fordert Google in seinen Nutzungsbedingungen Seitenbetreibende auf, Konsent der Besucher zuerst einzuholen. Wie sich dieser allerdings rechtsmäßig gestalten soll, ist fragwürdig. Denn aus den Datenschutzerklärungen von Google lässt sich nur schwer erkennen, was für Daten wie verarbeitet werden.
Aber Google sagt, dass mindestens Standortdaten, Geräteinformationen, IP-Adressen und Browserdaten verwendet werden, um ihre Dienste zu optimieren und personalisierte Werbung anzubieten. Dies wirft Fragen bezüglich der Privatsphäre und des Datenschutzes auf, insbesondere in Bezug darauf, wie transparent Google hinsichtlich der Verwendung und Speicherung dieser Daten ist.
Hier gilt es auch zu differenzieren zwischen der kostenlosen Einbindung von Google Maps, welche auf den analysierten Seiten am häufigsten verwendet wird, und dem Einsatz von Google Maps über Google Cloud.
In der kostenlosen Variante behält sich Google das Recht vor, sämtliche gesammelte Daten (Identifier via Cookies, IP-Adressen, Browsertyp, besuchte Seiten, etc.) für eigene Zwecke zu verwenden – sprich, um mehr Geld mit Werbung zu verdienen.
In der Google Cloud-Variante scheint Google die gesammelten Daten zumindest nicht für personalisierte Werbung zu verwenden (also Werbung, die einen über das Internet auf verschiedenen Webseiten und Geräten verfolgt). Es bleibt dennoch unklar, was Google mit den Daten macht, wie lange sie gelagert werden und wo diese landen.
Fazit
Es ist erschreckend zu sehen, auf wie vielen Webseiten von Ärzten verantwortungslos und fahrlässig mit den höchst sensiblen Anliegen und Daten ihrer Patienten:innen umgegangen wird.
Andere machen bereits alles richtig und zeigen, wie es funktionieren kann, wie zum Beispiel das Einbinden einer interaktiven Karte der Stadt Wien statt Google Maps. So macht es z.B. Dr. Edith Roth-Schiffl auf ihrer Kontaktseite.
Obwohl die Probleme auf den untersuchten Webseiten tiefgreifende datenschutzrechtliche Verstöße sein können, ist es nicht besonders schwer, diese zu beheben. Die meisten Ärzte betreiben relativ einfache Webseiten. Eine Einbindung von Google Maps passiert zum Beispiel oft auf Kontaktseiten. Es wäre ein Einfaches, diese Karten zu entfernen oder durch oben genannte Alternativen zu ersetzen, ohne dabei an Qualität einzubüßen. Viele binden auf ihren Webseiten ausschließlich Google Analytics ein.
Unsere Erfahrung hat gezeigt, dass die gesammelten Daten von den wenigsten angeschaut werden. Da Google Analytics häufig auf den untersuchten Webseiten die einzige Verbindung zu Drittanbietern ist, könnte man schon viel gewinnen, indem man diesen Dienst deaktiviert. So könnten die meisten dieser Seiten auch komplett ohne einen nervigen Cookie-Banner auskommen.
Man kann die Verantwortung aber nicht alleine den Ärzten zuschieben. Viele beauftragen Webagenturen mit der Erstellung und dem Betreiben der Webseite und diese haften genauso mit. Die Agenturen haben sehr häufig den Drang, Dienste wie Google Analytics einzubinden, ohne sich vorher zu überlegen, ob ihre Kund:innen jemals die Daten ansehen oder einen Nutzen daraus ziehen werden.
Ein Großteil der Wiener Ärzte-Webseiten weist dennoch erhebliche Datenschutzmängel auf. Besonders problematisch ist die Tatsache, dass viele Webseiten Daten an Drittanbieter, insbesondere an die großen Tech-Unternehmen weitergeben, ohne die Nutzer:innen darüber zu informieren oder deren Zustimmung einzuholen.
Dass es um die Digitalisierung in Deutschland so schlecht bestellt ist, liegt u.a. auch an Google. Wir liefern immer mehr Daten dahin, und zwar unaufgefordert und kostenfrei. Sobald “Lösungen” von Google u.ä. nicht mehr nutzbar sind, weil sie als rechtliche Gefahr gesehen werden müssen, geht es in Deutschland bergauf. Das ist meine Überzeugung. Liegt dann aber nicht an der Regierung, sondern der Privatwirtschaft. - Dr. DSGVO
Es ist entscheidend, dass Ärzte und ihre Webseitenbetreiber:innen ein tieferes Bewusstsein für Datenschutz entwickeln und entsprechende Maßnahmen ergreifen, um die Privatsphäre ihrer Patient:innen und Webseitenbesucher:innen zu wahren. Das beinhaltet die kritische Überprüfung und gegebenenfalls die Reduktion von Drittanbieter-Verbindungen sowie eine transparente und nutzerfreundliche Handhabung von Cookies und anderen Tracking-Technologien.
Letztendlich ist es im digitalen Zeitalter unerlässlich, dass medizinische Fachkräfte nicht nur in ihren Praxen, sondern auch im Online-Bereich höchste Standards des Patientenschutzes und der Diskretion wahren. Die technologische Entwicklung und die Möglichkeiten des Internets bieten großartige Chancen für die Medizin und Patient:innenkommunikation. Diese sollten jedoch nicht auf Kosten der Privatsphäre und des Vertrauens ausgeschöpft werden.
- «Außerhalb der genannten Voraussetzungen ist die Nutzung von Cookies, Web Storage, Browser-Fingerprinting und ähnlichen Technologien nur nach einer den Erfordernissen der DSGVO entsprechenden Einwilligung zulässig. Die Ausnahmen sind bereits dem Wortlaut nach eng auszulegen. So findet sich in Abs. 2 Nr. 2 die Formulierung ‚unbedingt erforderlich‘, was vor dem Hintergrund der Gesetzesbegründung als technische, nicht jedoch wirtschaftliche Notwendigkeit zu verstehen ist. Regelmäßig wird daher die Reichweitenmessung, das Nutzertracking für Werbezwecke usw. für die Zurverfügungstellung eines Telemediendienstes nicht unbedingt erforderlich und daher nach dem TTDSG einwilligungspflichtig sein.» – Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Das TTDSG - Neue Regelungen zum Einsatz von Cookies und vergleichbaren Technologien↩
- «Betreibende von Webseiten und anderen Telemedien benötigen grundsätzlich eine Einwilligung der Nutzer:innen, wenn sie Informationen auf dem Endgerät speichern oder darauf zugreifen wollen. Einer Einwilligung bedarf es ausnahmsweise nur dann nicht, wenn die Speicherung von und der Zugriff auf Informationen in den Endgeräten unbedingt erforderlich sind, damit ein von den Nutzenden ausdrücklich gewünschter Telemediendienst zur Verfügung gestellt werden kann. Das ist zum Beispiel der Fall bei einem Cookie, der dazu dient, Artikel eines Online-Shops in einem Warenkorb zu speichern.» – Berliner Beauftragte für Datenschutz und Informationsfreiheit: Klare Regeln für Cookies und ähnliche Technologien↩
- „Alle durch Google Analytics erhobenen Daten (siehe unsere Antwort auf Frage #2) werden in den USA gehostet (d. h. gespeichert und weiterverarbeitet).“ - Google LLC gegenüber der österreichischen Datenschutzbehörde im Verfahren von noyb↩
- «Grundsätzlich ist anzumerken, dass neue Angebote oft deshalb zunächst datenschutzrechtlich problematisch sind, weil sie häufig mittels vorgefertigten Baukastensystemen erstellt werden, welche nicht selten von Hause aus unnötige Cookies nutzen und externe Dienste einbinden.» -Prof. Ulrich Kelber: Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2022↩