Direkt zum Inhalt

Ungefragte Datenweitergabe durch den Arzt an Doctolib

Posted in Datenschutz, and Nachdenkliches

Inhalte

Verwunderung über die E-Mail

Verwundert las ich die E-Mail, in der ich auf den Termin meiner Hautärztin aufmerksam gemacht wurde und mir die Möglichkeit gab, diesen ggf. mit Klick abzusagen. 
Bisher wurde ich immer von der netten Sprechstundenhilfe zur Erinnerung angerufen. Wie bei jedem Anruf erklärte ich, dass ich diese Erinnerungen nicht benötigen würde, ich hätte meine Termine noch ganz gut im Griff.
Ein Grund, warum ich mit dieser E-Mail nicht gerechnet hatte.

Meine Daten wurden weitergegeben

Ich schaute mir die E-Mail genauer an.
Diese Mail kam von Doctolib, scheinbar einem Dienst, der für den Arzt die Patienten an ihre Termine erinnerte.
Da ist erst einmal nichts gegen zu sagen, wenn der Patient vorher gefragt worden ist, ob er das möchte.
Ich wurde nicht gefragt und mich ärgert die Weitergabe meiner E-Mail-Adressse, die Grundlage dieser Benachrichtigung ist. 

Ich wäre auch nicht die erste Person, die aufgrund der E-Mail-Adresse identifiziert worden ist und weitere Daten über sie eingeholt worden sind. Obwohl dies meine Allerweltsadresse ist, privat habe ich noch eine andere, sind schon einige Infos über mich recherchierbar. 

Meine Erlaubnis zur Datenweitergabe an Doctolib lag nicht vor

Welche Daten sonst noch weitergegeben worden sind, entzieht sich meiner Kenntnis, denn auf eine E-Mail an meine Ärztin, sie möge meine Daten löschen lassen und mir dies schriftlich bestätigen, habe ich bisher keine Reaktion erhalten.
(Inzwischen sind meine Daten gelöscht und ich werde bei meiner Ärztin außerhalb der Doctolib-Terminverwaltung geführt.)

Schade, denn sie ist eine gute Ärztin, die aber gerade mein Vertrauen verspielt.
Zwar habe ich in der Praxis unterschrieben, dass meine Daten an andere Ärzte und an einen Abrechnungsdienst weitergegeben werden dürfen, was meines Erachtens sinnvoll ist.
Daraus kann man aber nicht ableiten, dass die Datenfreigabe für einen solchen Dienst implementiert ist.

Muss das sein?

Sie mögen denken, was macht der eigentlich für einen Aufstand, ist doch eine nette Geste. 
Ja, das mag so gemeint sein, aber nicht alles was gut gemeint ist, ist auch gut gemacht. 
Mein Einverständnis oder meine Ablehnung hätte sie beim nächsten Termin in der nächsten Woche erfragen und bis dahin einfach noch einmal anrufen können.

Profil der Arztbesuche

Stellen Sie sich einfach vor, dass mehrere Ärzte, die man konsultiert, diesen Dienst nutzen.
Die Daten über die Besuche bei diesen Ärzten werden dann an Doctolib übermittelt, dort in die Datenbank eingepflegt, denn anders ist die automatisierte Verarbeitung /Erinnerung nicht möglich. 

Im Grunde ist nun ein Profil meiner Arztbesuche erstellbar.
Nicht nur wann, sondern auch welchen Arzt mit welcher Fachrichtung ich besucht habe. Daraus sind weiter Rückschlüsse möglich. Bei häufigen Besuchen kann man von einer Krankheit ausgehen.

Die Daten sind sensibler als mein Arzt

Diese Daten sind sensibel und gehören nicht in eine Datenbank bei einem Anbieter, den ich weder kenne noch autorisiert habe. Schon gar nicht, wenn man nicht weiß, welche Daten übermittelt wurden. 
Im Minimum den Termin und meine E-MailAdresse.
Es mag für den Arzt einfacher sein, auch ressourcenschonender, aber für mich als Patient ist es ein Eingriff in meinen persönlichen Bereich. 

Ein Dienst, der schnell wächst

Schaue ich mich auf der Webseite von Doctolib um, so ist von vernetztem Arbeiten mit Kollegen, einfacher Überweisung durch den Arzt, Erhöhung der Patientenzahl usw. die Rede. 
Es ist nicht nur die Erinnerung der Patienten, die dieses System für den Arzt „sinnvoll“ macht, sondern das ganze Drum und Dran, die wirtschaftliche Interessen einschließen.

Datenschutz?

Für mich als Patient sieht die Sache etwas anders aus.
Zwar gibt es auch bei Doctolib Datenschutzbestimmungen (dazu hier ein Beitrag zum Thema Weitergabe von Patientendaten).
Ob diese Datenschutzbestimmungen meine Daten genug schützen, kann ich nicht beurteilen. Ein gutes Gefühl habe ich dabei allerdings nicht!

Ich weiß nicht einmal, welche Daten dort zur Verfügung gestellt worden sind.
Zwar kann ich sie löschen lassen, wenn ich eine Kopie meines Personalausweises zur Identifikation vorlege, aber, was ist das für ein Aufwand für eine Datenweitergabe, der ich nicht zugestimmt habe, nun aber die Auswirkungen zu spüren bekomme. 

Wie kann man sich schützen?

65.000 Ärzte und Behandler in Deutschland nutzen laut Doctolib inzwischen dieses Angebot. Dazu kommen noch 1300 Gesundheitseinrichtungen. Eine große Anzahl, sodass man diesem System kaum noch entgehen kann.
Kaum Vorstellbar, wenn diese Datenbank gehackt würde und die Daten in den falschen Händen wären. Spam, Werbemüll im Briefkasten, Bloßstellung, Erpressung, alles ist vollstellbar
Auf jeden Fall sollte man bei einem Arztbesuch darauf hinweisen, dass eine Datenweitergabe an Dienste wie Doctolib nicht statthaft ist.
Ich werde ein Schreiben vorbereiten, dem Arzt geben und mir den Erhalt bestätigen lassen, dass ich die Weitergabe meiner Daten an solche Dienste untersage. Vielleicht auch faxen, dann habe ich die Empfangsbestätigung durchs Sendeprotokoll.

Datenschutzbeauftragter und Ärztekammer

Die ungefragte Weitergabe meiner Daten werde ich nicht einfach hinnehmen, sondern um eine Stellungnahme beim Datenschutzbeauftragten des Landes NRW und der zuständigen Ärztekammer bitten. 

Was Sie selbst tun können

Achten Sie auf Ihre Daten, denn ein Profil, das man allein über ihre Arztbesuche erstellen kann, weckt Begehrlichkeiten. Ein Arbeitgeber kann so zum Beispiel eine Einschätzung Ihres Gesundheitszustandes vornehmen und Sie nicht einstellen oder bei nächster Gelegenheit entlassen. 

Links

Datenschutz.orgschreibt u.a. dazu:

  • Die Übermittlung der Patientendatenan Dritte ist nur in wenigen Ausnahmefällen zulässig und bedarf entweder der expliziten Einwilligung des Betroffenen oder einer gesetzlich bestimmten Erlaubnis.

    Heise meldet, dass Doctolib gegen Datenschutz verstößt und Daten weitergeben hat und sich mit einem Zertikat Vertrauen erschleichen will.. 

  • Das unter Datenschützern umstrittene Terminservice-Portal im Gesundheitsbereich Doctolib rühmt sich mit einem neuen Datenschutzzertifikat der BSI-Group. BSI steht jedoch nicht – wie man vermuten könnte – für das Bundesamt für Sicherheit in der Informationstechnik (BSI), …