Es ist ein Mittwochnachmittag in Berlin, Knut Harnisch sitzt in seinem Wohnzimmer am Schreibtisch, umgeben von offenen Aktenordnern, in denen Arbeitsblätter zu Informatik und Grundlagen der Geometrie abgeheftet sind. Auf seinem Mac gibt er seine Telefonnummer, E-Mail-Adresse und ein neues Passwort ein. Fertig ist sein neues Kundenkonto bei Doctolib. „Ihre Daten sind bei Doctolib sicher“, wird ihm angezeigt.
Spätestens seit Ende Dezember 2020 haben, wie Harnisch, viele Berliner:innen ein Konto bei Doctolib. Auch sie saßen vor ihren Computerbildschirmen, entschieden sich für einen Impfstoff, wählten einen Impftermin und hofften, dass es klappt. Oft mussten sie es mehrmals versuchen, um über die offizielle Impfterminvergabe-Software einen Termin für die langersehnte Impfung zu bekommen. Für alle, bei denen es in einem Impfzentrum klappte, war Doctolib ab dann ihr neuer Begleiter – ob sie wollten oder nicht.
Harnisch sah zunächst kein Problem mit Doctolib. „Alle Zwecke, für die meine Daten verwendet werden, waren angegeben“, sagt er. Er stimmte allem zu und buchte über Doctolib einen Arzttermin, im April 2021 dann auch seine Impftermine.
Das französische Startup ist der offizielle Partner der Berliner Landesregierung bei der Impfkampagne. Die Firma hat seit ihrer Gründung nach eigenen Angaben Gesundheitsdaten von vier Millionen Deutschen verarbeitet.
Dabei hat Doctolib Gesundheitsdaten seiner Nutzer:innen verloren. In Fachkreisen von Datenschützer:innen des Chaos Computer Clubs (CCC) kursiert ein Datensatz, mit dem sich klar zuordnen lasse, welche Patient:innen wann welchen Arzt besucht haben. Gleichzeitig erheben Recherchen von Zeit Online den Vorwurf: Doctolib reiche sensible Daten weiter an Google – und habe solche in der Vergangenheit auch an Facebook weitergegeben. Der Verein Digitalcourage hat Doctolib mit dem Negativ-Überwachungspreis „Big Brother Award“ in der Kategorie Gesundheit ausgezeichnet.
Den Vorwürfen gegenüber steht die Erfolgsgeschichte des jungen Unternehmens: Schon im Jahr 2019 war Doctolib mehr als eine Milliarde Euro wert, schreibt die Wirtschaftswoche. Es sei damit ein sogenanntes Einhorn, ein Superstar unter den Tech-Startups – von denen es gerade in Europa nicht sehr viele gibt. Die Digitalisierung von Medizin ist eines der großen noch weitgehend unerschlossenen Zukunftsfelder. Ein Unternehmen, das sich heute Marktanteile sichert, kann in ein paar Jahren sehr gute Gewinne einfahren. Die Frage ist: Auf wessen Kosten?
Weniger Termine fallen aus, Wartezeiten werden verkürzt
2013 gründete der Franzose Stanislas Niox-Château mit zwei weiteren Partnern Doctolib. Ihr Ziel: den Praxisalltag einfach zu gestalten. Weniger ausgefallene Termine, kürze Wartezeiten, weniger Telefonstress fürs Personal, nur um Termine zu vereinbaren. Die Idee der drei Gründer: eine Software, die die Terminvergabe zentral und online steuert.
Seit 2016 ist Doctolib nicht nur in Frankreich, sondern auch in Deutschland vertreten. Dilek Kalayci, Senatorin für Gesundheit, Pflege und Gleichstellung in Berlin, sagte in einer Pressemitteilung zur Zusammenarbeit, dass Doctolib „ein bewährtes und belastbares System für die digitale Terminabwicklung“ habe und dadurch ideal geeignet sei, als Anbieter für die Terminvergabe zu fungieren.
Dadurch hat Doctolib eine der wichtigsten Aufgaben in der Bekämpfung der Corona-Pandemie in Berlin übernommen: nämlich dafür zu sorgen, dass die Impfungen so schnell und reibungslos wie möglich ablaufen.
Ärzt:innen und Krankenhäuser können für 129 Euro im Monat pro verwendetem Kalender Doctolib als Online-Buchungsplattform für Termine nutzen. Das ist die Haupteinnahmequelle des Start-ups. Dafür können Patient:innen den Service komplett kostenlos nutzen, heißt: Auch sie können über Doctolib Termine in Praxen buchen. Außerdem können Praxen über Doctolib Videosprechstunden anbieten und medizinische Dokumente hochladen, damit Patient:innen diese verfügbar haben. Europaweit nutzen circa 150.000 Arztpraxen den Service von Doctolib, 14.000 von ihnen in Deutschland.
Unter den Investoren von Doctolib finden sich mehrere große Risikokapital-Firmen. In Deutschland war Ludwig Klitzsch, Inhaber und Geschäftsführer der bayerischen Gesundheitsgruppe Ideamed, schon früh dabei.
Theresa Willem ist Vorstand beim Innovationsverbund Öffentliche Gesundheit. Die Frage nach dem Erfolgsmodell von Doctolib beantwortet sie so: „Die haben ihre Hausaufgaben gemacht!“ Die Hausaufgaben seien in diesem Fall: sehr viel Forschung betreiben, besonders im Bereich Nutzererfahrung. „Wo gehört der Button hin, was genau brauchen die Nutzer an welcher Stelle?“
Und es funktioniere quasi ganz unauffällig. „Als Nutzer wird das Produkt in dem Moment zu mir gebracht, in dem ich es benutzen möchte“, nämlich dann, wenn ich einen Termin buche. Hinzu komme auch, dass sich Doctolib in einem Bereich etabliert habe, der nicht so sehr reguliert sei wie andere Bereiche im digitalen Gesundheitssektor.
Sicherheitslücken bei Doctolib
Im vergangenen Jahr allerdings wurde Mitgliedern des CCC nach deren Aussagen anonym ein Datensatz von Doctolib zugespielt. Dieser enthalte E-Mail-Adressen und Telefonnummern von Patienten, die in der Terminkalender-Software der Praxen hinterlegt waren. Die Daten sollen stellenweise bis zum Jahr 1990 zurückreichen. Mehrere Mitglieder vom CCC konnten verifizieren, dass es sich um Daten von Doctolib handelte, die Informationen seien 2019 abgerufen worden.
Martin Tschirsich vom CCC ist Experte für Datenschutz im Gesundheitssektor und hat sich mit diesem Datensatz beschäftigt. Er sagt: „Anhand der Vornamen, Nachnamen und Telefonnummern kann ich diese Datensätze auch verknüpfen.“ Das heißt, dass dadurch die ganze Behandlungsgeschichte einer Person rekonstruiert werden kann, auch ohne Einblick in konkrete medizinische Dokumente. Menschen, die lange Zeit in psychiatrischer Behandlung sind oder oft in ein Kinderwunschzentrum gehen, können damit schon angreifbar sein.
Das größte Problem sieht Tschirsich darin, dass Doctolib riesige Mengen an Daten zentral speichere. Doch Informationen bis in die 1990er zurück zu speichern, sei überhaupt nicht legitimiert, sagt Tschirsich. „Doctolib macht ja Terminvergaben in der Zukunft, nicht in der Vergangenheit.“ Tschirsich sagt: „Der Anbieter selber mag damit gar nichts Böses vorhaben. Aber er kann diese Daten gar nicht schützen.“ Solche Daten zentral zu speichern, wirke wie ein Magnet für Hacker. „Allein die Tatsache, dass die Daten unverschlüsselt abgerufen werden können, bedeutet, dass es irgendwann auch jemand tut.“
Beim Datenleck aus dem Jahr 2019 habe Doctolib zunächst gar nichts davon mitbekommen, so Tschirsich. Im Juli 2020 wurde Doctolib auf die Sicherheitslücke aufmerksam, behob das Problem und machte es auf der Internetseite öffentlich. Es hätte „illegalen Zugriff auf einige administrative Informationen von 6.128 Terminen“ gegeben. Von 45 Patient:innen in Deutschland seien terminbezogene Daten betroffen gewesen. Zudem hat die Firma laut eigener Aussage sofort Gesundheitseinrichtungen, Polizei und die Presse in Frankreich benachrichtigt. Außerdem seien externe Partner einbezogen worden, um den Vorfall zu klären. Noch am Tag, an dem der Angriff entdeckt wurde, sei die Sicherheitslücke geschlossen worden.
Laut einer Recherche von Zeit Online habe Doctolib die betroffenen Praxen nicht informiert. Ob deren Patient:innen wissen, dass ihre Gesundheitsdaten geleakt wurden, ist nicht klar.
In der Recherche von Zeit Online heißt es zudem, dass nicht nur 6.128, sondern 150 Millionen Terminvereinbarungen durch das Datenleck abgeflossen seien. Doctolib dementiert das. „Die Anschuldigung über ein Leck von einer Million Terminen oder 150 Millionen Terminen ist falsch“, schreibt eine Pressesprecherin auf Nachfrage.
Auf die Frage, mit welcher Begründung Daten bis in die 1990er gespeichert werden, schreibt Doctolib, dass die Entscheidung bei den Ärzt:innen selbst liege, welche Daten bis zu welchem Zeitpunkt gespeichert werden. In diesem Zuge können sie auch entscheiden, welche Termine aus der Vergangenheit mit einbezogen werden.
Hat Doctolib sensible Daten an Google weitergegeben?
Ein Zahnarzt und ein Psychotherapeut, die in der Zeit-Online-Recherche von ihren Erfahrungen mit Doctolib berichten, geben jedoch an, dass die Konfiguration von Doctolib in ihrer Praxis von einem Doctolib-Mitarbeiter durchgeführt wurde. Sie seien nicht darüber aufgeklärt worden, dass auch historische Daten aus ihrem Terminkalender bei Doctolib hochgeladen wurden.
Von Doctolib heißt es auf Nachfrage: „Unmittelbar nachdem wir den Angriff entdeckten, haben wir aufgrund unserer Sicherheitsvorkehrungen sofort alle betroffenen Ärzt:innen, aber auch die zuständigen Behörden kontaktiert.“
Aber nicht nur das Datenleck wirft Fragen auf. Denn die Kolleg:innen der Zeit schauten sich mit einer speziellen Testmethode auch an, welche Daten Doctolib standardmäßig an Google weitergibt.
Wenn eine Person ein Konto bei Doctolib erstellt und nach einem Facharzt sucht, werde die IP-Adresse an Google weitergegeben. Sobald diese Person dann einen vorgeschlagenen Facharzt anklickt, werde wiederum die IP-Adresse plus Adresse der Praxis an Google übermittelt. Damit weiß Google, wann Nutzer:innen von Doctolib einen Psychiater besuchen, sich bei der Krebsspezialistin behandeln lassen oder welchen Schönheitschirurgen sie regelmäßig besuchen.
All dies geschehe, so Zeit Online, auch, wenn Nutzer:innen Cookies ablehnen. Cookies sind kleine Informationen im Browser, die solche Datenübertragungen ermöglichen. Wer sie ablehnt, lehnt eigentlich auch die Datenweitergabe ab.
Konfrontiert mit den Vorwürfen gibt Doctolib an, seine zwei Marketing-Cookies von Outbrain und Facebook nach Absprache mit Mobilsicher abgestellt zu haben. Davor „wurden Informationen über die besuchten URLs, also Seiten, nach denen während eines Suchprozesses gesucht wurde, mit den externen Partnern geteilt.“ Dies passierte, laut Doctolib, jedoch nicht, wenn Nutzer:innen Cookies nicht akzeptierten. Man sei aber inzwischen zu dem Schluss gekommen, dass „die Verwendung dieser Cookies für Doctolib-Nutzer:innen von unserer Seite noch deutlicher hätte gemacht werden können.“
Die Weitergabe von Gesundheitsdaten an Google habe nie stattgefunden, sagt Doctolib. Es heißt: „Der von Zeit Online erwähnte Code, der einen Austausch mit dem Anzeigenservice von Google zeigte, war nicht mit einer Marketingkampagne verbunden (inaktiver Code). Es wurden keine Daten von Google erfasst oder verarbeitet.“ Google habe das inzwischen auch bestätigt. Der Code sei „aus Gründen der Übersichtlichkeit“ inzwischen entfernt worden.
Doctolib hat schon über drei Millionen Impftermine vermittelt
Trotz allem ist Doctolib die Software, die seit Dezember 2020 die Impfterminvergabe in Berlin koordiniert. „Inklusive des Impfmanagements in den Berliner Impfzentren, Arztpraxen und Kliniken konnte Doctolib bisher über drei Millionen Impftermine vermitteln“, heißt es vom Unternehmen. Als offizieller Partner vom Berliner Senat für Gesundheit, Pflege und Gleichstellung berechnet das Startup dem Senat aber nichts, außer die Kosten für die Erinnerungs-SMS. Bei etwa 0,16 Cent pro SMS rechnete der Tagesspiegel aus, dass sich diese insgesamt auf ungefähr 9.600 Euro belaufen.
Doctolib selbst schreibt dazu, dass sie das Terminmanagement als eine ihrer Kernkompetenzen sehen. Dass sie diese zur Verfügung stellen und an Millionen Berliner:innen Impftermine vergeben, sei der Beitrag, den Doctolib in dieser Krise leisten möchte.
Ohne Eigennutz machen Unternehmen so etwas aber nicht, sagt die Expertin für die Gesundheitsbranche, Theresa Willem: „Das ist vielleicht kein sofortiger finanzieller Anreiz, sondern ein langfristig ausgelegter.“ Der Mehrwert liege in einem höheren Bekanntheitsgrad, denn „so eine breite neue Nutzergemeinschaft, wie man sich da erhofft, ist ja etwas ganz besonderes“.
Doctolib setzt also darauf, dass die Millionen Menschen, die sich gerade ein Konto anlegen mussten, um einen Impftermin zu bekommen, auch in Zukunft den Service nutzen. Unterm Strich vermutlich ein famoses Geschäft für die Franzosen. Denn Menschen dazu zu bringen, sich bei einem neuen Online-Dienst anzumelden, ist teuer. Viel Geld, viel Werbung, viel Überzeugungsarbeit ist dafür eigentlich nötig – gerade, wenn es um sensible Gesundheitsdaten geht. Die Neu-Kunden aus Berlin hat Doctolib aber de facto geschenkt bekommen.
Pragmatische Lösung in einer Notsituation
Florian Kluckert ist der gesundheitspolitische Experte der Berliner FDP-Fraktion. Er sagt, dass ein privater Anbieter für die Impfterminkoordinierung an sich nicht schlecht sei, aber auch, dass „Sicherheitslücken bei privaten Anbietern immer ein Problem darstellen können und der Schutz personengebundener Daten schlechter überprüft werden kann.“ Er bemängelt, dass der Senat bei der Digitalisierung hinterherhinke und dadurch auch keine eigene unabhängige Plattform aufbauen konnte.
Stefan Ziller, Sprecher für Verwaltungsmodernisierung und Digitales bei den Grünen, geht noch weiter und bezeichnet die Auswahl von Doctolib vom Senat als „pragmatische Erwägung in einer Notsituation“ ohne Alternative, bei der „erwartbare Sicherheitslücken verschiedener Anbieter in Kauf genommen“ wurden. „Zentral ist jedoch, dass bekannte Sicherheitslücken umgehend geschlossen werden“, so Ziller, denn „die Berichte über mögliche Datenlecks“ seien besorgniserregend. Von den Unternehmen fordert er „absolute Transparenz und ein schnelles Abstellen der Mängel.“
Doctolib-Nutzer Harnisch findet die Vorwürfe beunruhigend. „Mir wird komisch, wenn ich daran denke, dass die so viele Daten von mir haben.“ Damit könne eine ganze Krankheitsgeschichte rekonstruiert werden. Außerdem: „Das bedeutet natürlich, dass das, was sie mir versichert haben, nicht stimmt. Sie nehmen die Daten nicht nur zum Buchen und für bestimmte Zugriffe. Furchtbar.“ Sinn der Sache von Doctolib sei das nicht, sagt er.
Redaktion: Rico Grimm; Schlussredaktion: Susan Mücke; Bildredaktion: Till Rimmele, Audioversion: Christian Melchert