Termin-App Doctolib teilte Daten mit Facebook

Über die Termin-App Doctolib können Kunden schon länger Termine bei Ärzten buchen. Größere Bekanntheit erreichte Doctolib, weil zum Beispiel die Berliner Senatsverwaltung Impftermine über Doctolib koordiniert. Doch die App sorgt auch für Kritik. Das Portal Mobilsicher hat sich Doctolib näher angeschaut und dabei große Probleme zutage gefördert.

Schon wenn Nutzer zum Start der App ihre Datenschutzeinwilligung geben, wird es schwierig. Vom Start weg verschickt die App sogenannte GET-Requests an Facebook und die Online-Werbefirma Outbrain. „Diese Anfragen enthalten Informationen über die Aktivitäten, die Nutzer*innen in der App vorgenommen haben“, so Mobilsicher. Für den Test suchte das Portal nach einem Urologen, wählte einen Arzt aus und erfragte einen Termin.

Sensible Informationen landen bei Facebook

Über den Anfrage-Link werden Daten in verschiedenen Links an Facebook und Outbrain gesendet. Diese Links enthalten eine Menge Informationen, etwa dass der Link von Doctolib kommt, dass der Nutzer privat versichert ist, dass es um eine Anfrage für eine Vasektomie geht und die eigene IP-Adresse – anonymisiert seien die Daten spätestens damit nicht, so Mobilsicher. Das Portal hat dies mit mehreren Anfragen durchgespielt, immer waren die Informationen leicht aus dem Link herauszulesen.

Doctolib reagiert auf die Kritik

Mittlerweile ist die Datenübermittlung in dieser Form offenbar gestoppt. Auf eine Anfrage von Mobilsicher habe der Anbieter umgehend reagiert. Die kritisierten Cookies wurden von der Webseite entfernt, bei einem erneuten Test wurden keine Daten mehr an Facebook und Outbrain weitergegeben.

„Die beiden Cookies dienten dazu, den Erfolg unserer Marketing-Kampagnen zu messen“, erklärte Dr. Ilias Tsimpoulis gegenüber Mobilsicher. Doctolib bindet nun keinerlei Tracking-Cookies mehr ein. Zudem habe das Unternehmen bei Facebook und Outbrain veranlasst, „dass alle über die Cookies erfassten Daten aus der Vergangenheit gelöscht werden“.