Doctolib

Ein Arzttermin-Portal mit großem Datenhunger

09:13 Minuten
Eine Hand hält ein Smartphone, auf dem das Logo von Doctolib zu sehen ist.
"Privacy by Design" scheint bei Doctolib ein Fremdwort zu sein, kritisiert die Journalistin Eva Wolfangel. © picture alliance / PHOTOPQR / Le Parisien / MAXPPP / Arnaud Journois
Eva Wolfangel im Gespräch mit Jenny Genzmer und Martin Böttcher |
Audio herunterladen
Bequem Arzttermine online selber buchen: In Berlin kennen viele die Software Doctolib von der Terminvergabe in den Corona-Impfzentren. Das Unternehmen steht wegen seines Umgangs mit Daten schon länger in der Kritik – und nun auch das Land Berlin.
Doctolib ist eine Plattform, mit der Patientinnen und Patienten sich online einen Überblick über freie Praxistermine verschaffen und diese selbst buchen können. Wenn sie wollen, bekommen sie dann von Doctolib sogar eine Terminerinnerung per SMS.
Wer in Berlin lebt, kennt Doctolib möglicherweise, weil der Service genutzt wurde, um Corona-Impftermine zu vergeben. In diesem Zusammenhang gibt es nun Vorwürfe der Organisation Algorithm Watch: Das Land Berlin hat die Dienstleistung von Doctolib offenbar geschenkt bekommen.

„Gefährliches Denken der Verwaltung“

„Bei einem Angebot von null Euro, da müssen Alarmglocken anspringen“, sagt dazu die Technikjournalistin Eva Wolfangel und spricht von einem „falschen und gefährlichen Denken der Verwaltung“. Das Interesse von Doctolib bei einem derartigen Vorgehen sei einfach zu erkennen.
Das Unternehmen ist zwar schon 2013 in Frankreich gegründet worden, war aber in Deutschland bis vor der Pandemie eigentlich wenig bekannt. Es will in Deutschland massiv wachsen, erklärt Wolfangel.

Wohl zehn Millionen Deutsche nutzen inzwischen Doctolib, um Termine zu buchen. Wohl sieben Millionen kamen über die Impftermine, das heißt, teilweise gezwungen vom Berliner Senat. Das sind keine freiwilligen Nutzerinnen und Nutzer dieses Angebots.

Eva Wolfangel, Technikjournalistin

Die so erweiterte Patientenbasis könne Doctolib bei der Investorensuche nutzen, meint Wolfangel: „Die haben jetzt erst eine große Zahlungsrunde abgeschlossen.“
Die gleiche Strategie hat aus ihrer Sicht auch die Luca-App verfolgt, die teilweise staatlicherseits gefördert und auch zur Kontaktnachfolge in Restaurants verordnet wurde, sagt die Journalistin. „Die machen jetzt eine Zahlungs-App“, wobei sie dank des Staates über eine riesige Nutzerbasis verfügten.

Große Probleme mit der Datensicherheit

„Wir müssen weg von dieser Feuerwehrpolitik“, fordert Eva Wolfangel. „Dass man sagt: Jetzt brennt es, jetzt schnell ein Unternehmen her!“ Denn im Fall von Doctolib gebe es zum Beispiel große Probleme mit der Datensicherheit.
Laut Chaos Computer Club waren 150 Millionen Termine bis Mitte 2020 mit wenigen einfachen Tricks im Internet frei einzusehen. Doctolib hingegen leugnet dies: Nur 45 Termine in Deutschland seien davon betroffen gewesen. Das sei nach ihren Recherchen so aber nicht richtig, sagt Eva Wolfangel.

Ich habe den Datensatz einsehen können, der da freigesetzt wurde, oder Teile davon, und habe einzelne Daten verifizieren können. Es waren auf jeden Fall mehr, als Doctolib jetzt offiziell bestätigt hat.

Eva Wolfangel

„Was sie machen, ist: Den Praxiskalender komplett zu ersetzen“, erklärt die Journalistin das Vorgehen von Doctolib. Also: Voller Service, aber intransparent den Ärzten gegenüber, kritisiert sie, weil diese offenbar nicht genau wüssten, was da an ihren Computern passiert.
Außerdem habe Doctolib von ihr kontaktierte Ärztinnen und Ärzte, die nach den ihr vorliegenden Daten betroffen waren, nicht über die Sicherheitslücken informiert, obwohl das Unternehmen laut Datenschutzgrundverordnung dazu verpflichtet wäre.

„Privacy by Design“ – für Doctolib ein Fremdwort

Die Technikjournalistin kritisiert außerdem, wie Doctolib mit Daten von Userinnen und Usern in Bezug auf die großen Plattformen Google und Facebook umgeht. Sie selbst habe die Datenweitergabe durch Doctolib nachvollziehen können. Dazu buchte sie probehalber Termine, während sie mit ihren Accounts bei den beiden großen Plattformen eingeloggt war.
Auch nach einer Zusicherung von Doctolib, dass eine derartige Weitergabe inzwischen abgestellt sei, habe sie erneut die Datenweitergabe an Google beobachten können.
„Privacy by Design“ scheint für Doctolib ein Fremdwort zu sein, lautet das Fazit von Eva Wolfangel und meint damit die Designgrundlagen für sichere und privatsphärenfreundliche Systeme.
Mehr zum Thema