Mehr als 86 Prozent der Websites im Gesundheitswesen sammelten private Daten. Diese würden dann ohne Zustimmung der Nutzer und unter Verletzung der Datenschutzgesetze an Werbetreibende, Vermarkter und Big-Tech-Unternehmen der sozialen Medien weitergegeben. Zu diesem Ergebnis kommt ein Bericht des kanadischen Unternehmens Feroot Security, wie The Defender berichtet.
Woher kommen die Daten?
Wenn Patienten oder Verbraucher auf medizinischen Websites surften, würden durch unsichtbare, in die Webseiten eingebettete HTML-Codes – sogenannte «Tracking-Pixel» – private Informationen gesammelt. Das gleiche gelte für die Anmeldung bei Krankenhausportalen, auf denen Menschen auf ihre privaten Gesundheitsdaten zugreifen.
Solche Tracking-Methoden ermöglichen es Fachleuten, das Nutzerverhalten auf detaillierte Art und Weise zu verfolgen. Zu den illegal verwendeten Informationen zählten gemäss dem Bericht zum Beispiel, ob Patienten an Krebs oder erektiler Dysfunktion leiden oder mit ihrer Krankenhausrechnung im Rückstand sind.
Das Risiko, dass persönliche Daten abgegriffen werden, sei auf Anmelde- und Registrierungsseiten besonders hoch. Dort würden Internetnutzer eine Fülle von Informationen eingeben, ohne zu wissen, dass diese gekapert und verkauft würden. Mehr als 73 Prozent der Anmelde- und Registrierungsseiten enthielten unsichtbare Tracker, mittels derer persönliche Gesundheitsdaten abgegriffen werden könnten, so die Studie laut dem Defender.
Tastatureingaben der Nutzer würden durch etwa 15 Prozent der von Feroot analysierten Tracking-Pixel übermittelt. So sammelten sie Sozialversicherungsnummern, Benutzernamen und Passwörter, Kreditkarten- und Bankdaten sowie eine unendliche Vielfalt an persönlichen Gesundheitsdaten, einschliesslich medizinischer Diagnosen und Behandlungen.
Die Informationen würden neu verpackt und für eine Vielzahl von Zwecken verkauft, unter anderem an Unternehmen, die einzelne Nutzer mit Internetwerbung ansprechen, so der Bericht weiter.
Systematische Rechtsverletzer
«Google ist der absolut dominierende Datensammler». Dies würde die Studie zeigen, so der Defender. 92 Prozent der Websites, die über die Google-Suchmaschine geladen worden seien, hätten Technologien zum Sammeln von Daten enthalten. Und es sind viele Bereiche der US-Wirtschaft betroffen, darunter Gesundheitswesen und Telemedizin, Bank- und Finanzdienstleistungen, Fluggesellschaften, elektronischer Handel sowie die Bundes- und Landesregierungen. Google erziele 80 Prozent seines Umsatzes mit Werbung, dem Lebenselixier der globalen digitalen Wirtschaft.
An zweiter Stelle der systematischen Datenverletzer stehe Microsoft mit 50,4 Prozent der Websites auf seiner Plattform, die Tracking-Tools verstecken, gefolgt von Facebook mit 50,2 Prozent und TikTok mit 7,41 Prozent. Die Tendenz sei stark steigend, so der Bericht.
Vertreter von Google, Microsoft und Facebook hätten bestritten, dass ihre Unternehmen Zählpixel zum Sammeln persönlicher Daten verwenden würden. Ein Google-Sprecher habe gesagt, dass die Eigentümer der Websites für die Kontrolle der Datenerfassung verantwortlich seien.
Die Google-Richtlinien verböten es Google Analytics und Werbekunden wie Krankenhäusern oder Telemedizin-Websites Gesundheitsdaten zu sammeln und damit gegen das US-Gesundheitsversicherungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) zu verstossen, so das Unternehmen. Es obliege den Websites zu bestimmen, ob sie HIPAA-regulierte Einrichtungen seien und welche Verpflichtungen sie gemäss HIPAA hätten.
Vorgehensweise und Ergebnisse des Berichts
Wenn persönliche Gesundheitsdaten von einem Tracker oder einer dritten Partei ohne die Zustimmung des Nutzers gesammelt würden, dann stelle dies einen Verstoss gegen den HIPAA dar. Dies habe Ivan Tsarynny, der CEO von Feroot, klargestellt. Grosse Technologieunternehmen hätten Richtlinien zum Schutz von Gesundheitsdaten, aber die reale Anwendung dieser Richtlinien sei eine andere Geschichte.
Aufgrund wachsender Besorgnis über Datendiebstahl habe Feroot seine Untersuchung eingeleitet, fährt The Defender fort. Man habe das genaue Ausmass und die Verbreitung von Social Media Pixeln und Trackern ermitteln wollen, die persönliche, sensible und private Daten sammeln und übertragen.
Im Januar und Februar, also über einen achtwöchigen Zeitraum sei die Studie gelaufen. Dabei habe das Unternehmen mehr als 3675 Organisationen in sieben Wirtschaftssektoren untersucht. Es habe 108’836 einzelne Webseiten analysiert, darunter besonders kritische Seiten für die Anmeldung, Registrierung und Kreditkartenabwicklung sowie 227 Tracker und 7 Millionen Datenübertragungen.
Die wichtigsten Ergebnisse von «Beware of Pixels & Trackers» seien:
- Pixel-Tracker seien weit verbreitet und zahlreich, «wobei Google, Microsoft, Meta (Eigentümer von Facebook und Instagram), ByteDance (Eigentümer von TikTok) und Adobe zu den häufigsten gehören».
- Meta und TikTok seien «besonders besorgniserregend» wegen der Verletzung der Privatsphäre und der Überwachungsrisiken.
- «Unternehmenskritische» Webseiten wie Anmelde- oder Registrierungsseiten erhöhten das Risiko, private Informationen preiszugeben.
- Pixel-Tracker sammelten und übertrügen Daten, ohne zuvor die ausdrückliche Zustimmung der Besucher einzuholen.
- Pixel-Tracker übertrügen Daten an ausländische Standorte rund um den Globus.
Auch aktive Weitergabe
Achtzehn grosse Krankenhäuser seien in diesem Jahr verklagt worden, weil sie sensible Gesundheitsdaten von Patienten unter Verstoss gegen Datenschutzgesetze an Google, Facebook und andere Tech-Giganten weitergegeben hätten. Auch bekannte akademische medizinische Zentren wie das University of Pittsburgh Medical Center und das University of California San Francisco Medical Center hätten sich darunter befunden.
Ein Schlaglicht auf den Betrug von Unternehmen bei der Weitergabe von Daten werfe der Fall von GoodRx, urteilt der Defender. Im Februar hatte die Federal Trade Commission (FTC) eine Geldstrafe gegen den Anbieter von Rabattarzneimitteln und Telemedizin GoodRx verhängt. Begründung: Er habe es «versäumt, seine unbefugte Weitergabe von Gesundheitsdaten an Facebook, Google und andere Unternehmen zu melden».
GoodRx habe «die persönlichen Gesundheitsinformationen seiner Nutzer zu Geld gemacht», so die FTC. Das Unternehmen habe gegen das Gesetz verstossen, indem es mindestens seit 2017 sensible persönliche Gesundheitsdaten unrechtmässig weitergegeben habe, obwohl es das Gegenteil versprochen hätte.
Der Datenschutzverstoss sei zu Werbezwecken erfolgt, habe Howard Danzig festgestellt. Der Gründer und Präsident von Employers Committed to Control Health Insurance Costs (Arbeitgeber, die sich für die Kontrolle der Krankenversicherungskosten einsetzen) habe kommentiert:
«Die Geldstrafe für GoodRx in Höhe von 1,5 Millionen Dollar ist nicht einmal ein kleiner Denkzettel. Während viele Arbeitgeber die Richtlinien der HIPAA-Datenschutzgesetze sehr genau einhalten, kommen grosse Tech-Unternehmen im Grunde genommen ungeschoren davon ... Wie weit kann man das wirklich treiben und wie weit ist es schon getrieben worden?»
**********************
Unterstützen Sie uns mit einem individuellen Betrag oder einem Spenden-Abo. Damit leisten Sie einen wichtigen Beitrag für unsere journalistische Unabhängigkeit. Wir existieren als Medium nur dank Ihnen, liebe Leserinnen und Leser. Vielen Dank!
Oder kaufen Sie unser Jahrbuch 2022 (mehr Infos hier) mit unseren besten Texten im Webshop:
Kommentare