Eine App, auf die mehr als fünf Millionen Menschen bauen, kann nicht schlecht sein? Im Fall einer weit verbreiteten Anwendung ist dies leider keineswegs der Fall. Der Doctolib-App, die zur ärztlichen Terminvergabe dient, konnte zumindest ein massiver Verstoß im Umgang mit Userdaten nachgewiesen werden.

Doctolib-App: Ein Klick löst Datentransfer aus

Expert:innen des Portals mobilsicher haben die Doctolib-App genauer untersucht und fassen ihre Erkenntnisse in einem sehr markanten Satz zusammen: „Sie haben Hodenkrebs? Dann weiß Facebook das jetzt auch.“ Der Analyse zufolge hat die Anwendung Daten von Nutzer:innen an große werbetreibende Unternehmen weitergegeben, wie das soziale Netzwerk und Outbrain. Der Datenverkehr präsentierte sich dabei als so „verstörend“, dass selbst mobilsicher nicht viel Vergleichbares daneben legen konnte.

Beim Test der aktuellen Version 3.2.26 der Doctolib-App am 18. Juni 2021 stellte sich heraus, dass der Klick auf das Feld „Erlauben“ des Datenschutz-Disclaimers beim ersten Starten schon problematisch ist: „(…) von diesem Augenblick an versendet die App regelmäßige GET-Requests an die Server von Facebook und Outbrain. Diese Anfragen enthalten Informationen über die Aktivitäten, die Nutzer*innen in der App vorgenommen haben“, erklärt mobilsicher.

Suchanfrage und persönliche Daten gingen direkt an Facebook

Zum Prüfen suchten die Expertinnen und Experten nach dem Einloggen nach Urologen mit dem Buchungsgrund „Beratungsgespräch Vasektomie Sterilisation Mann“. Dazu wählten sie einen Arzt aus, fragten einen Termin an und nannten als Versicherungsstatus „privat versichert“. Genau diese Information fanden anschließend ihren Weg auf die Server von Facebook und Outbrain, in beiden Fällen inklusive der verwendeten IP-Adresse. An Outbrain übermittelte die Doctolib-App zudem eine einmalige Identifikationsnummer.

Fragwürdig ist in diesem Zusammenhang, dass Nutzer:innen der Datenverarbeitung zwar aktiv zustimmen müssen, aus der schlecht erklärten Einwilligung jedoch nicht eindeutig entnehmen könnten, was genau damit passiert. „Wenn das die einzige Einwilligung ist, deckt das natürlich nicht die Übermittlung von Inhalten und Schlüsselworten ab“, erklärte der Jurist und Politiker Patrick Breyer (Vertreter der Piratenpartei im Europäischen Parlament) auf Anfrage von mobilsicher, wie die Plattform berichtet.

Doctolib-App umgehend angepasst

Als positiv bewertet mobilsicher immerhin die prompte Reaktion des Unternehmens hinter der Doctolib-App. Nachdem man dieses am 18. Juni über die Datenschutz-Problematik informiert hatte, wurden „die kritisierten Cookies in Rekordzeit von der Webseite entfernt. Bei einem erneuten Test am Montag, 21.06.2021, wurden weder Facebook noch Outbrain kontaktiert“.

Statement von Facebook

Auch das soziale Netzwerk hat sich inzwischen zu dem bekannt gewordenen Vorfall geäußert. In einem offiziellen Statement an futurezone.de erklärt ein Facebook-Sprecher dazu:

„Nutzer*innen unserer Business-Tools dürfen keine persönlichen Gesundheitsdaten mit uns teilen. Sollten Unternehmen irrtümlich diese Daten mit uns teilen, sind unsere Filtermechanismen so gestaltet, dass sie gesundheitsbezogene Informationen erkennen können und die erkannten Daten entfernen, bevor diese in unseren Anzeigensystemen gespeichert werden. Wir sind mit Doctolib in Kontakt, um die korrekte Implementierung unserer Tools in Zukunft sicherzustellen.“

Die entsprechenden sensiblen Informationen wurden abgefangen und herausgefiltert, noch bevor erste Berichte dazu veröffentlicht wurden, heißt es weiter.

Die Doctolib-App ist nicht die einzige weit verbreitete Anwendung, die problematische Züge zeigt. Eine populäre Apotheken-App stand erst kürzlich in der Kritik. Auf der anderen Seite kritisiert Mozilla den Chrome-Browser, weil Google damit eine neue Tracking-Methode testet.

Quelle: mobilsicher.de, Facebook