Doctolib verstößt weiter gegen Patientengeheimnis
Nachfolgend finden Sie Auszüge aus dem neuen Gutachten „Datenschutz bei Doctolib – Eine Aktualisierung zu den rechtlichen und technischen Defiziten” von BigBrotherAward-Jurymitglied Dr. Thilo Weichert.
Der Fall Doctolib
Am 11.06.2021 erhielt die Firma Doctolib GmbH, Berlin, den BigBrotherAward in der Kategorie Gesundheit dafür verliehen, dass dessen Plattform bei der Vermittlung von Arztterminen seine Vertraulichkeitsverpflichtung verletzt. Wenige Tage zuvor veröffentlichte das Netzwerk Datenschutzexpertise ein 39-seitiges Gutachten, in dem im Detail dargestellt wurde, wie das Unternehmen gegen Regelungen zur ärztlichen Schweigepflicht und zum Datenschutz verstößt und ärztliche Einrichtungen zu solchen Verstößen veranlasst.
In Folge der Preisverleihung und der Veröffentlichung des Gutachtens gab es viele Rückmeldungen von betroffenen PatientInnen, von ÄrztInnen, JournalistInnen und Informationstechnischen (IT-) ExpertInnen, welche die Vorwürfe gegenüber dem Unternehmen bestätigten und ergänzten. Eine direkte Rückmeldung von Doctolib erfolgte nicht. Stellungnahmen gegenüber der Presse, in denen das Unternehmen Rechtsverstöße leugnet, blieben im Allgemeinen und gingen nicht substanziell auf die konkreten Vorwürfe ein.
Ein Kritikpunkt gegenüber Doctolib waren die intransparenten, widersprüchlichen und teilweise gesetzeswidrigen Allgemeine Geschäftsbedingungen und Nutzungshinweise (AGB). Ab Februar 2022 veröffentlichte das Unternehmen neue AGB.
Die für Doctolib zuständige Datenschutzaufsichtsbehörde, die bzw. der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), befasste sich mit dem Angebot von Doctolib – auch auf Grund einer Vielzahl von Eingaben und Beschwerden – und veröffentlichte im Jahresbericht 2019 und erneut im Jahresbericht 2021 kritische Bewertungen. Sanktionen wurden bisher nicht ausgesprochen.
Schon Ende 2020 hatte die Berliner Senatsverwaltung für Gesundheit im Rahmen der Impfkampagne gegen das Corona-Virus Doctolib mit der Vergabe von Impfterminen beauftragt. In einem Nachtrag zu diesem Auftrag übernahm Doctolib die gesamte Dokumentation der Impfkampagne der Berliner Senatsverwaltung. Mit Schreiben vom 18.06.2021 beantragte der Autor des vorliegenden Gutachtens gemäß dem Berliner Informationsfreiheitsgesetz Akteneinsicht in die mit Doctolib abgeschlossenen Verträge. Nach Anmahnung und Einschaltung der BlnBDI wurden die eingeforderten Unterlagen mit Datum vom 17.05.2022 zur Verfügung gestellt.
Derweil wirbt Doctolib für seine Dienstleistungen offensiv. Sowohl die Tätigkeit für die Impfkampagne in Berlin wie auch die Aktivitäten für Gesundheitsdienstleister bundesweit werden weitgehend unverändert fortgesetzt. Vor diesem Hintergrund sieht sich das Netzwerk Datenschutzexpertise – unterstützt durch den Organisator des BigBrotherAwards Digitalcourage – veranlasst, eine Aktualisierung der Bewertung des Datenschutzes bei Doctolib zu veröffentlichen.
Ergebnis
Mehr als ein Jahr nach der Verleihung des BigBrotherAwards 2021 an Doctolib erweist sich das Angebot von Doctolib aus Datenschutzsicht weiterhin als mangelhaft. Das Unternehmen reagierte teilweise auf Mängelfeststellungen, insbesondere im technischen Bereich, nachdem diese eine umfangreiche Medienresonanz gefunden hatten. Die systematischen materiell-rechtlichen Verstöße gegen den Datenschutz bestehen weiterhin.
Rechtswidriges Angebot
Das Unternehmen wirbt aggressiv für seine Terminvermittlung und -verwaltung in der Öffentlichkeit, gegenüber der Ärzteschaft und sonstigen Gesundheitsfachkräften. Dabei nutzt es beschönigende sowie nach Wettbewerbsrecht unzulässige Falschdarstellungen zum Thema Datenschutz.
Für das Unternehmen war und ist es ein Coup, die Online-Terminverwaltung für die Corona-Impfungen durch die Berliner Senatsverwaltung für Gesundheit vornehmen zu können. Hierbei wird gegen Datenschutzregelungen verstoßen. Wegen des günstigen Preises und der Entledigung von einer technisch anspruchsvollen Aufgabe scheint es für die Senatsverwaltung keine Rolle zu spielen, dass der Datenschutz missachtet wird. Sie macht sich damit zum Komplizen von Doctolib. Ohne erkennbare Not hat die Verwaltung nicht nur die Terminverwaltung, sondern auch die Impfdokumentation dem Unternehmen übertragen. Doctolib kann sich so in der Öffentlichkeit als datenschutzkonformer Dienstleister für die öffentliche Hand präsentieren. Es ist nicht auszuschließen, dass auch wegen diesem Umstand sich die Berliner Datenschutzaufsichtsbehörde bisher gehindert sah, gegen Doctolib angemessene Sanktionen zu verhängen.
Das Angebot von Doctolib verstößt materiell-rechtlich gegen den Datenschutz und gegen das Patientengeheimnis. Weit über die Erforderlichkeit hinaus werden Daten erhoben und gespeichert. Als „Auftragsverarbeiter“ beschafft sich das Unternehmen Daten, die es als Verantwortlicher für eigene Zwecke weiternutzt.
Das Doctolib-Angebot zeichnet sich durch Intransparenz aus. Hinter einer bunten Fassade ist es für die Stellen, die Doctolib als Dienstleister nutzen, unklar, wie konkret deren Daten verarbeitet werden. Dies hindert die Gesundheitseinrichtungen daran, ihre datenschutzrechtliche, medizinische und strafrechtliche Verantwortung wirksam wahrzunehmen. Doctolib wälzt so die Verantwortung für Verstöße auf seine Kunden ab. Intransparenz besteht auch gegenüber den PatientInnen, für die die verschachtelte Konstruktion von Verantwortlichem und Auftragsverarbeiter noch weniger durchschaubar ist als für die Gesundheitseinrichtungen. Die Betroffenen laufen so Gefahr, dass ihr Gesundheitsdatenschutz und die medizinische Vertraulichkeit auf der Strecke bleiben.
Was ist zu tun?
Wegen ihres datenschutzwidrigen Angebots im Bereich der Terminverwaltung für Gesundheitseinrichtungen kann und sollte die zuständige Datenschutzaufsicht, der Berliner Beauftragte für Datenschutz und Informationsfreiheit, sanktionierend tätig werden. Der Umstand, dass Doctolib von der Berliner Gesundheitsverwaltung „gedeckt“ wird, sollte kein Hindernisgrund sein. Angesichts der Hartnäckigkeit der Rechtsverletzungen ist es angebracht, neben einem Bußgeld (Art. 83 DSGVO) eine Beschränkung bzw. ein Verbot der Verarbeitung nach Art. 58 Abs. 2 lit. f DSGVO zu verhängen. Um ein entsprechendes Verbot zur unmittelbaren Wirkung zu bringen, sollte eine zeitnahe Vollziehbarkeit des Verbots angeordnet werden.
Angesichts der Rechtswidrigkeit ihres Vorgehens hat die Berliner Gesundheitsverwaltung die Beauftragung von Doctolib im Bereich der Corona-Impfversorgung zu beenden.
Gefordert ist auch die (Zahn-)Ärzteschaft. Die Ärzte verstoßen mit der Beauftragung von Doctolib gegen ihre berufsbedingte Vertraulichkeitsverpflichtung. Damit wird, dem Wortlaut des Gesetzes gemäß, der Straftatbestand des § 203 StGB erfüllt. Es wäre jedoch unangemessen, die Ärzte, die auf die Beteuerung der Rechtskonformität von Doctolib vertrauen, direkt zu sanktionieren. Um dieses unberechtigte Vertrauen zu beseitigen, sollten die (Zahn-)Ärztekammern ihre Mitglieder über deren rechtliche Bewertung informieren. Zudem stehen den Kammern weitergehende Sanktionsmöglichkeiten gegenüber ihren Mitgliedern zur Verfügung.
Sollte von Seiten der offiziell zuständigen Stellen kein wirksames Vorgehen erfolgen, so besteht für die Wettbewerber von Doctolib (§ 8 UWG) sowie für Verbraucherverbände nach § 2 UKlaG die Möglichkeit, wegen der Verletzung des Lauterkeitsrechts und des Datenschutzrechts Abmahnungen auszusprechen und gerichtlich eine Unterlassungsklage gegen Doctolib anzustrengen.