Die kalifornische Online-Apotheke GoodRx hat sich am Mittwoch in einer erstmaligen Entscheidung bereit erklärt, 1,5 Millionen Dollar an zivilrechtlichen Strafen zu zahlen, nachdem eine Untersuchung der Federal Trade Commission (FTC) ergeben hatte, dass das Unternehmen Gesundheitsdaten seiner Nutzer an Big-Tech-Firmen wie Facebook und Google weitergibt.

Nach Angaben der New York Times beschuldigte die FTC die Muttergesellschaft von GoodRx, GoodRx Holdings, Informationen über verschreibungspflichtige Medikamente und Krankheiten von Millionen von Nutzern zu Werbe- und Marketingzwecken weitergegeben zu haben.

In der Beschwerde der FTC, die beim US-Bezirksgericht für den nördlichen Bezirk von Kalifornien eingereicht wurde, behauptet die Behörde auch, dass GoodRx die Verbraucher nicht darüber informiert hat, dass ihre persönlichen Gesundheitsdaten an Dritte weitergegeben werden, und dass es die Verbraucher in dem Glauben gelassen hat, ihre Daten seien geschützt.

Die FTC stellte fest, dass die Praktiken von GoodRx gegen die Health Breach Notification Rule der FTC verstoßen, die vorschreibt, dass Gesundheits-Apps und andere ähnliche Tools, einschließlich Fitness-Trackern, Verbraucher über Verletzungen der von ihnen gesammelten Daten informieren müssen.

In einer Erklärung sagte Samuel Levine, der Direktor für Verbraucherschutz bei der FTC, dazu:

“Digitale Gesundheitsunternehmen und mobile Apps sollten nicht mit den äußerst sensiblen und persönlich identifizierbaren Gesundheitsdaten der Verbraucher Geld verdienen. …

“Die FTC kündigt an, dass sie alle ihre rechtlichen Befugnisse nutzen wird, um die sensiblen Daten der amerikanischen Verbraucher vor Missbrauch und illegaler Ausbeutung zu schützen.”

Laut TechCrunch ist dies das erste Mal, dass die Regel umgesetzt wird, obwohl sie schon seit zehn Jahren gilt.

FTC: GoodRx gab persönliche Gesundheitsdaten von Nutzern “jahrelang” weiter

Die FTC stellte fest, dass GoodRx “seinen Nutzern in betrügerischer Weise versprochen hat, dass es niemals persönliche Gesundheitsdaten an Werbetreibende oder andere Dritte weitergeben würde”, dieses Versprechen aber “jahrelang wiederholt gebrochen hat”, wie TechCrunch berichtet.

Laut TechCrunch war GoodRx in mehrfacher Hinsicht an solchen Praktiken beteiligt. Eine davon war die Weitergabe der Namen von Medikamenten und der damit verbundenen Gesundheitszustände ihrer Nutzer an Werbeplattformen, die von Google, Facebook und anderen betrieben werden.

Ein FTC-Beamter erklärte gegenüber Reportern, dass einige dieser Informationen sensible Gesundheitsdaten der Nutzer enthielten.

Laut TechCrunch hat GoodRx die Daten dann durch gezielte gesundheits- und medikamentenspezifische Werbung zu Geld gemacht.

Die von GoodRx weitergegebenen persönlichen Daten, so die Times, “könnten die Nutzer mit chronischen physischen und psychischen Gesundheitsproblemen, einschließlich Drogenmissbrauch, in Verbindung bringen”.

Der Fall der FTC konzentrierte sich auf die Verwendung von Tracking-Tools, einschließlich “Pixel” und “Software Development Kits”, durch GoodRx, berichtete die Times. Facebook, Google und andere Technologieunternehmen haben solche Tools zur Verfügung gestellt, die die Verfolgung von Nutzeraktivitäten und die Weitergabe von Daten an Dritte zu Zwecken der gezielten Werbung und Nutzeranalyse ermöglichen.

Laut der Times hat GoodRx vor drei Jahren aufgehört, die “Pixel” von Facebook zu verwenden.

Zu diesen Daten gehörten die Vor- und Nachnamen der Nutzer, ihre E-Mail-Adressen und Mobiltelefonnummern, ihre IP-Adressen, ihr Standort, ihr Geschlecht und eindeutige Geräte-ID-Codes.

Aktionen wie das Anklicken eines Links, das Lesen von Informationen über bestimmte Medikamente oder Krankheiten oder das Öffnen einer bestimmten App könnten ebenfalls verfolgt werden, so die Times.

Die FTC sagte auch, dass GoodRx “die Kontaktinformationen von Nutzern, die bestimmte Medikamente, wie Geburtenkontrolle oder Pillen für erektile Dysfunktion, gekauft hatten, auf Facebook hochgeladen hat, so dass die Medikamenten-Rabatt-App die Social-Media-Profile ihrer Nutzer identifizieren konnte”, berichtete die Times.

Laut TechCrunch umfassten die Nutzerlisten von GoodRx auch Nutzer, die Medikamente gegen Blutdruck und Herzkrankheiten gekauft haben, wiederum mit dem Ziel, die Nutzer mit spezifischer gesundheitsbezogener Werbung anzusprechen.

Facebook und Instagram nutzten die Informationen, um Nutzern auf Facebook und Instagram gezielte Medikamentenwerbung zukommen zu lassen, so die FTC.

“GoodRx hat auch Nutzer, die auf HeyDoctor, dem telemedizinischen Dienst des Unternehmens, nach Informationen über sexuell übertragbare Krankheiten gesucht haben, mit Werbung für HeyDoctors S.T.D.-Testdienste angesprochen.”

Die FTC stellte außerdem fest, dass GoodRx die Verwendung der von den Nutzern des Unternehmens gesammelten Gesundheitsdaten durch Dritte nicht einschränkte, so dass diese die Daten für “interne Geschäftszwecke wie Forschung und Produktentwicklung” verwenden konnten, berichtet die Times.

Nach Angaben der FTC haben seit 2017 mehr als 55 Millionen Menschen die digitalen Plattformen von GoodRx genutzt oder besucht. Während dieses Zeitraums versprach GoodRx öffentlich, “niemals Informationen an Werbekunden weiterzugeben, die einen persönlichen Gesundheitszustand offenbaren”, gab aber tatsächlich “äußerst intime und sensible Details preis”, berichtete die Times.

GoodRx hat es außerdem “versäumt, die persönlichen Daten der Nutzer ausreichend zu schützen, wie z. B. durch angemessene formale, schriftliche Datenschutz- und Datenweitergabe-Richtlinien”, so die Times weiter.

TechCrunch berichtet, dass die FTC GoodRx vorwirft, den Nutzern “fälschlicherweise zu suggerieren”, dass das Unternehmen die Vorschriften der Europäischen Union wie das Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) aus dem Jahr 1996 einhält und ihnen vorgaukelte, dass ihre Daten gesetzlich geschützt seien, obwohl viele dieser Daten in Wirklichkeit nicht unter den HIPAA oder andere Gesetze fielen.

GoodRx darf bis zur endgültigen Genehmigung der FTC-Anordnung keine Nutzerdaten an Dritte weitergeben

Gemäß der Anordnung der FTC, die noch vom Bundesgericht in Kalifornien genehmigt werden muss, wird GoodRx dauerhaft untersagt, Gesundheitsdaten der Nutzer zu Werbezwecken an Dritte weiterzugeben, und muss sich an einen “Datenaufbewahrungsplan” halten, der die Dauer der Aufbewahrung der Gesundheits- und persönlichen Daten der Nutzer begrenzt, berichtet TechCrunch.

Das Unternehmen muss außerdem ein Datenschutzprogramm zum Schutz der Nutzerdaten einführen und den Nutzern mitteilen, welche Daten es zu welchen Zwecken sammelt.

GoodRx muss außerdem die Unternehmen, mit denen es Daten ausgetauscht hat, auffordern, die Daten zu löschen. Diese Unternehmen seien jedoch nicht an die Anordnung gebunden, so TechCrunch.

Die Anforderungen kommen zu der zivilrechtlichen Strafe in Höhe von 1,5 Millionen Dollar hinzu, die gegen GoodRx wegen des Verstoßes gegen die Health Breach Notification Rule verhängt wurde, berichtet die Times.

In einer Erklärung, die nach der Ankündigung der FTC veröffentlicht wurde, behauptete GoodRx, dass es die Privatsphäre der Nutzer schätzt:

“Bei GoodRx ist der Schutz der Privatsphäre unserer Nutzer eine unserer wichtigsten Prioritäten. Wir gehen sorgfältig und diszipliniert damit um, welche Informationen wir sammeln und wie und warum wir sie verwenden. Die Einigung mit der FTC konzentriert sich auf ein altes Problem, das bereits vor fast drei Jahren, also vor Beginn der FTC-Untersuchung, proaktiv angegangen wurde.

“Obwohl wir Anbietertechnologien verwendet haben, um auf eine Weise zu werben, die unserer Meinung nach mit allen geltenden Vorschriften konform war und die bei vielen Gesundheits-, Verbraucher- und Regierungswebsites gängige Praxis ist, sind wir stolz darauf, dass wir Maßnahmen ergriffen haben, um bei den Datenschutzpraktiken branchenführend zu sein.”

In derselben Erklärung behauptete GoodRx, dass es den Anschuldigungen der FTC nicht zustimmt und mit der Annahme des Vergleichs kein Fehlverhalten zugibt:

“Wir stimmen mit den Anschuldigungen der FTC nicht überein und geben kein Fehlverhalten zu. Durch den Abschluss des Vergleichs können wir die Zeit und die Kosten eines langwierigen Rechtsstreits vermeiden.

“Wir sind der Ansicht, dass die in der Einigung genannten Anforderungen keine wesentlichen Auswirkungen auf unser Geschäft oder unsere gegenwärtigen oder zukünftigen Aktivitäten haben werden.”

Die Health Breach Notification Rule der FTC verlangt von Gesundheits-Apps und anderen ähnlichen Tools, “dass sie Nutzer über Verstöße wie Cyberangriffe oder die unbefugte Weitergabe ihrer Gesundheitsdaten informieren”, berichtet die Times.

Obwohl die FTC diese Regel nie durchgesetzt hat, hat die Behörde dies in den letzten Jahren überdacht, berichtet TechCrunch. So hat die FTC 2021 und erneut 2022 klargestellt, dass die Regelung auch für App-Entwickler und Hersteller von Fitnessgeräten gilt, und gewarnt, dass sie gegen angebliche Verstöße vorgehen würde.

Nach Angaben der Times beschuldigte die FTC im Jahr 2021 den Entwickler von Flo, einer App zur Gesundheitsüberwachung, die von mehr als 100 Millionen Frauen genutzt wird, “die Nutzer über seine Datenverarbeitungspraktiken in die Irre zu führen, indem er intime Gesundheitsdaten über ihre Periode und Schwangerschaft an Google und Facebook weitergibt”. Die FTC und Flo haben die Klage im Juni 2021 beigelegt.

Der Times zufolge will die FTC-Vorsitzende Lina M. Khan “einige seit langem bestehende Datenpraktiken der Tech-Industrie verbieten” und bezeichnet sie als “aktivistische Vorsitzende” der Behörde.

Die Anordnung der FTC gegen GoodRx “könnte die weit verbreiteten Praktiken von Big Tech zur Erstellung von Nutzerprofilen und zur gezielten Ansprache von Werbekunden in Frage stellen”, so die Times weiter.

Der Trend zum “digitalen Gesundheitswesen” gibt Anlass zu Bedenken hinsichtlich des Datenschutzes

Laut TechCrunch ist “GoodRx ein Paradebeispiel dafür, wie die Regeln verletzt werden können. Aber aber mit der Verbreitung von Online-Gesundheitsdiensten in den letzten Jahren – die insbesondere durch die COVID-19-Pandemie eine rasanten Anstieg erlebte – es gibt Anzeichen zur Durchsetzung [FTC’s] der Vorschriften”.

Die FTC-Vorschriften könnten einige der Lücken im HIPAA und anderen Gesetzen schließen. Die Times berichtete, dass “im Gegensatz zu den Bluttestergebnissen einer Person und anderen von Ärzten und Krankenhäusern gesammelten Patientendaten … persönliche Gesundheitsdaten, die Millionen von Verbrauchern in Apps eingeben oder online suchen, wie die Namen von Medikamenten oder Krankheiten, nur durch wenige gesetzliche Bestimmungen geschützt sind.”

Die FTC-Regelung ist “besonders wichtig, da immer mehr Gesundheitsdienste online angeboten werden”, so TechCrunch, das Amazon als Paradebeispiel anführt.

Amazon ist am 24. Januar über Amazon Pharmacy in den Markt für verschreibungspflichtige Medikamente eingestiegen und hat RxPass auf den Markt gebracht. RxPass ist ein Zusatzangebot zu seinem Amazon Prime Service, bei dem die Nutzer eine monatliche Pauschalgebühr von 5 Dollar für unbegrenzte Nachfüllungen einer Reihe von Generika zahlen.

Laut Forbes sind mehr als 50 Generika, die 80 gängige Krankheiten abdecken, Teil des neuen Amazon RxPass-Dienstes. Dazu gehören Sertralin (die generische Version des Antidepressivums Zoloft) und Losartan (die generische Version des Bluthochdruckmittels Cozaar).

Die Medikamente werden mit einem gültigen Rezept kostenlos abgegeben.

Amazons RxPass ist laut Forbes nicht in allen Bundesstaaten verfügbar (Kalifornien, Louisiana, Maryland, Minnesota, New Hampshire, Pennsylvania, Texas und Washington sind ausgeschlossen).

Personen mit staatlich finanzierten Versicherungsprogrammen wie Medicare und Medicaid sind ebenfalls von der Teilnahme am RxPass-Programm ausgeschlossen.

Eine separate Transaktion von Amazon im Gesundheitsbereich, die derzeit noch von den Regulierungsbehörden genehmigt werden muss, würde es dem Big-Tech-Unternehmen jedoch ermöglichen, diese Lücke zu schließen.

Die anfänglichen 80 Bedingungen, die von den RxPass-Generika-Angeboten abgedeckt werden, wurden absichtlich ausgewählt, “um das Angebot für eine breite Basis potenzieller Kunden attraktiv zu machen”, so TechCrunch, das feststellte, dass bereits mehr als 150 Millionen Amerikaner eines oder mehrere der vom Programm angebotenen Medikamente einnehmen.

Im Juli 2022 kaufte Amazon One Medical, einen privaten Gesundheitsdienstleister, der 188 Hausarztpraxen und einen abonnementbasierten Telegesundheitsdienst betreibt, in einem 3,9 Milliarden Dollar schweren Deal.

Laut Forbes “verschafft die Übernahme von One Medical Amazon einen Einstieg in die Gesundheitsversorgung von Medicare-Patienten”.

Fierce Healthcare berichtete am 3. Januar, dass das Programm zur Überwachung des Gesundheitsmarktes der Gesundheitsbehörde von Oregon den Deal genehmigt hat und er damit der vollständigen behördlichen Genehmigung einen Schritt näher gekommen ist. Die FTC untersucht die Übernahme.

Zum Zeitpunkt der Ankündigung der Akquisition bezeichneten einige Politiker und Verbraucherschützer diese als “gefährlich” und äußerten Bedenken hinsichtlich des Datenschutzes und des Kartellrechts.

Trotz des Scheiterns seiner Amazon Care-Initiative versucht Amazon weiterhin, in den Gesundheitsmarkt vorzudringen, mit einem besonderen Fokus auf “speziell entwickelte KI-Dienste für den Gesundheitsbereich [artificial intelligence] “.

Einige Analysten behaupten, dass der Einsatz von KI im Gesundheitswesen “Diagnosen und die Verwaltung von Behandlungen revolutionieren könnte”, während andere argumentieren, dass angesichts der steigenden Kosten im Gesundheitswesen KI und andere digitale Optionen möglicherweise “die Gesundheitsversorgung zugänglicher und  [and] erschwinglicher machen können.”