Login
Google, Microsoft, Facebook, TikTok und die meisten Websites im Bereich Medizin und Gesundheitswesen sammeln und verkaufen illegal private Gesundheitsdaten, obwohl die US-Bundesregierung gegen diese Praxis vorgeht, so ein neuer Bericht von Feroot Security.
Der Bericht des in Toronto ansässigen Cybersicherheitsunternehmens Feroot Security analysierte Hunderte von Websites im Gesundheitswesen und fand heraus, dass mehr als 86 % der Websites private Daten sammeln und diese ohne Zustimmung der Nutzer und unter Verletzung der Datenschutzgesetze an Werbetreibende, Vermarkter und Big-Tech-Unternehmen der sozialen Medien weitergeben.
Wenn Patienten oder Verbraucher auf ihren bevorzugten oder vertrauenswürdigen medizinischen Websites surfen oder sich bei Krankenhausportalen anmelden, um auf ihre privaten Gesundheitsdaten zuzugreifen, sammeln unsichtbare HTML-Codes – so genannte „Tracking-Pixel“ -, die in die Websites eingebettet sind, private Informationen, z. B. ob Patienten an Krebs oder erektiler Dysfunktion leiden oder mit ihrer Krankenhausrechnung im Rückstand sind.
Die Informationen werden aufbereitet und für verschiedene Zwecke verkauft, unter anderem an Unternehmen, die einzelne Nutzer mit Internetwerbung ansprechen, heißt es in dem Bericht.
Das Risiko, dass persönliche Daten abgegriffen werden, ist besonders hoch auf Anmelde- und Registrierungsseiten, auf denen Internetnutzer eine Fülle von Informationen eingeben, ohne zu wissen, dass diese gekapert und verkauft werden. Mehr als 73 % der Anmelde- und Registrierungsseiten enthalten unsichtbare Tracker, die persönliche Gesundheitsdaten erbeuten, so die Studie.
Etwa 15 % der von Feroot analysierten Tracking-Pixel zeichnen die Tastatureingaben der Nutzer auf und sammeln Sozialversicherungsnummern, Benutzernamen und Passwörter, Kreditkarten- und Bankdaten sowie eine unendliche Vielfalt an persönlichen Gesundheitsdaten, einschließlich medizinischer Diagnosen und Behandlungen.
Die Studie hat gezeigt, dass „Google der absolut dominierende Datensammler ist”. Zweiundneunzig Prozent der Websites, die von der Google-Suchmaschine geladen wurden, enthielten Technologien zur Datenerfassung in weiten Bereichen der US-Wirtschaft, darunter Gesundheitswesen und Telemedizin, Banken und Finanzdienstleistungen, Fluggesellschaften, elektronischer Handel sowie Bundes- und Landesregierungen.
An zweiter Stelle steht Microsoft mit 50,4 % der Websites auf seiner Plattform, die Tracking-Tools verstecken, gefolgt von Facebook mit 50,2 % und TikTok mit 7,41 %, Tendenz stark steigend.
Google wird als Motor seiner Muttergesellschaft Alphabet, dem viertgrößten Unternehmen der Welt, oft als „das mächtigste Unternehmen der Welt” bezeichnet. Das Unternehmen erzielt 80 % seiner Einnahmen aus der Werbung, dem Lebenselixier der globalen digitalen Wirtschaft.
Microsoft und Facebook „runden die Top 3″ der Unternehmen ab, die systematisch Daten missbrauchen, so der Bericht.
Vertreter von Google, Microsoft und Facebook bestritten, dass ihre Unternehmen Tracking-Pixel zum Sammeln persönlicher Daten verwenden.
Die Eigentümer von Websites sind für die Kontrolle der Datenerfassung verantwortlich, sagte ein Google-Sprecher. Die Google-Richtlinie verbietet es Google Analytics und Werbekunden, einschließlich beispielsweise Krankenhaus- oder Telemedizin-Websites, Gesundheitsdaten zu sammeln, die gegen das US-Gesundheitsversicherungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) verstoßen. Es liegt an den Websites zu entscheiden, „ob sie nach den HIPAA-Regeln arbeiten und welche Verpflichtungen sie gemäß HIPAA haben”, so die Google-Richtlinie.
Persönliche Gesundheitsdaten, die von einem Tracker oder einer dritten Partei ohne die Zustimmung des Nutzers gesammelt werden, stellen einen Verstoß gegen das HIPAA-Gesetz dar, sagte Ivan Tsarynny, CEO von Feroot.
Große Technologieunternehmen „haben Richtlinien, die über den Schutz von Gesundheitsdaten informieren”, so Tsarynny. Aber „die tatsächliche Anwendung dieser Richtlinien ist eine andere Geschichte”.
Die Studie von Feroot kommt zu einem Zeitpunkt, an dem „die Besorgnis über Datensammel-Unternehmen wächst, die Pixel/Tracker verwenden, die von Websites in Browser geladen werden, um private und sensible Nutzerdaten zu sammeln”, so der Bericht.
„Aufsichtsbehörden und Regierungsstellen greifen zunehmend mit Verboten, Beschränkungen und Durchführungsverordnungen ein, um sie im Zaum zu halten.”
Laut Becker’s Hospital Review wurden in diesem Jahr achtzehn große Krankenhäuser verklagt, weil sie sensible Gesundheitsdaten von Patienten unter Verletzung der Datenschutzgesetze an Google, Facebook und andere Tech-Giganten weitergegeben haben.
Dazu gehören bekannte akademische medizinische Zentren wie das University of Pittsburgh Medical Center, das University of Chicago Medical Center, das University of Iowa Medical Center, das Northwestern Memorial Hospital in Chicago und das University of California San Francisco Medical Center.
Ausgelöst durch die wachsende Besorgnis über Datendiebstahl und den Artikel „,Out of Control’: Dozens of Telehealth Startups Sent Sensitive Health Information to Big Tech Companies” (,Außer Kontrolle’: Dutzende von Telehealth-Startups haben sensible Gesundheitsdaten an große Tech-Unternehmen gesendet), hat Feroot eine Untersuchung eingeleitet, um das genaue Ausmaß und die Verbreitung von Social Media Pixeln/Trackern zu ermitteln, die persönliche, sensible und private Daten mit Hilfe von Pixeln oder Trackern sammeln und weitergeben”.
Die Sicherheitsplattform, die Feroot an Unternehmen verkauft, „ermöglichte es, detaillierte Fakten über aktives clientseitiges E-Skimming zu erhalten”, so das Unternehmen.
Feroot sammelte während eines achtwöchigen Zeitraums im Januar und Februar Daten über Pixel/Tracker.
Das Unternehmen gab an, es habe mehr als 3.675 Organisationen mit individuellen Websites in sieben Wirtschaftssektoren überprüft. Untersucht wurden 108.836 einzelne Webseiten, darunter besonders gefährdete Seiten zur Anmeldung, Registrierung und Kreditkartenverarbeitung, 227 Tracker und 7 Millionen Datentransfers.
Die wichtigsten Ergebnisse von „Beware of Pixels & Trackers“:
- Pixel-Tracker sind „weit verbreitet und zahlreich“ – durchschnittlich wurden 13,16 Pixel/Tracker pro Website gefunden, „wobei Google, Microsoft, Meta (Eigentümer von Facebook), ByteDance (Eigentümer von TikTok) und Adobe zu den häufigsten gehören”.
- Bei „für einen Auftrag entscheidende“ Webseiten, wie z. B. Anmelde- oder Registrierungsseiten, besteht ein erhöhtes Risiko der Preisgabe privater Informationen. Durchschnittlich 5,96 % der Websites hatten Pixel/Tracker auf Webseiten, die Eingabeformulare für die Benutzer mit privaten oder sensiblen Daten lesen.
- Pixel-Tracker übertragen Daten an ausländische Standorte rund um den Globus – „etwa 5 % der Daten, die von Pixeln/Trackern weitergegeben werden, die von Websites mit Sitz in den USA geladen werden, werden an Empfänger außerhalb der USA gesendet”.
- Pixel-Tracker sammeln und übertragen Daten, ohne zuvor die ausdrückliche Zustimmung der Besucher einzuholen.
- Pixel und Tracker werden von Domains geladen, die von der US-Regierung und verschiedenen US-Bundesstaaten verboten sind, und sogar von einigen dieser Regierungen, darunter Russland und China. Daten, die von russischen und chinesischen Websites stammen, stellen ein Sicherheitsrisiko durch Überwachung und Spionage dar.
- Meta (Eigentümer von Facebook und Instagram) und TikTok, das sich im Besitz des chinesischen Unternehmens ByteDance befindet, waren „besonders beunruhigend”, weil sie die Privatsphäre verletzen und ein Überwachungsrisiko darstellen. Vierunddreißig US-Bundesstaaten, die sowohl von den Republikanern als auch von den Demokraten regiert werden, haben die Nutzung von TikTok auf Regierungsgeräten verboten. Montana hat im Mai die App auf allen privaten Geräten verboten.
- TikTok ist häufig präsent, unabhängig davon, ob die TikTok-App gelöscht wird oder nicht. TikTok-Pixel/Tracker können immer noch „in Webseiten geladen werden, auf denen für die Abwicklung von Geschäften entscheidende Nutzerdaten verarbeitet werden, und können diese sammeln und weitergeben”.
GoodRX-Fall wirft ein Schlaglicht auf die Täuschung von Unternehmen bei der Weitergabe von Daten
Während Unternehmen aufgrund von Datenschutzverletzungen mit Gewinn- und Reputationsverlusten oder mit Geldstrafen für deren Verursachung rechnen müssen, droht Einzelpersonen ein potenziell katastrophaler Verlust ihrer Privatsphäre, wenn große Gesundheitswebsites ihre Daten sammeln und verkaufen, so die Federal Trade Commission (FTC).
Im Februar verhängte die FTC eine Geldstrafe gegen die beliebte Website GoodRx, weil sie es versäumt hatte, die unbefugte Weitergabe von Gesundheitsdaten an Facebook, Google und andere Unternehmen zu melden.
Die Klage, mit der GoodRx untersagt wird, sensible Gesundheitsdaten von Verbrauchern zu Werbezwecken weiterzugeben, war die erste Durchsetzungsmaßnahme der FTC im Rahmen ihrer Health Breach Notification Rule.
„Unternehmen im Bereich der digitalen Gesundheit und mobile Apps sollten nicht mit den äußerst sensiblen und persönlich identifizierbaren Gesundheitsdaten der Verbraucher Geld verdienen“, sagte Samuel Levine, Direktor des FTC Bureau of Consumer Protection, in einer Pressemitteilung nach der Entscheidung. „Die FTC kündigt an, dass sie alle ihre rechtlichen Befugnisse nutzen wird, um die sensiblen Daten der amerikanischen Verbraucher vor Missbrauch und illegaler Ausbeutung zu schützen.”
Die Maßnahme der FTC gegen GoodRx zeige ein besonders ungeheuerliches, aber nicht ungewöhnliches Beispiel dafür, wie Websites von Unternehmen im Bereich Gesundheit und Medizin das Vertrauen der Patienten missbrauchen und Patientendaten manipulieren, so die FTC.
Laut der FTC-Beschwerde hat GoodRx gegen das Gesetz verstoßen, indem es mindestens seit 2017 sensible persönliche Gesundheitsdaten unzulässigerweise weitergegeben hat, obwohl es etwas anderes versprochen hatte.
Das Unternehmen „versprach seinen Nutzern in irreführender Weise, dass es niemals persönliche Gesundheitsdaten an Werbetreibende oder andere Dritte weitergeben würde”, so der Vorwurf der FTC, und zeigte in irreführender Weise ein Siegel am unteren Rand seiner Homepage für telemedizinische Dienste an, „das den Verbrauchern fälschlicherweise suggerierte, dass es den HIPAA einhalte”.
In Wirklichkeit, so heißt es in der FTC-Beschwerde, hat GoodRx „die persönlichen Gesundheitsinformationen seiner Nutzer zu Geld gemacht und die mit Facebook geteilten Daten verwendet, um die eigenen Nutzer von GoodRx mit personalisierter gesundheits- und medikamentenspezifischer Werbung auf Facebook und Instagram anzusprechen”.
So erstellte GoodRx im August 2019 Listen seiner Nutzer, „die bestimmte Medikamente gekauft hatten, z. B. zur Behandlung von Herzkrankheiten und Blutdruck, und lud ihre E-Mail-Adressen, Telefonnummern und mobilen Werbe-IDs auf Facebook hoch, um ihre Profile zu identifizieren”, heißt es in der Beschwerde.
„GoodRx hat diese Informationen dann genutzt, um diese Nutzer mit gesundheitsbezogener Werbung anzusprechen.”
Personen, die GoodRx-Gutscheine nutzten, um beispielsweise Viagra zu kaufen, bekamen auf ihrer Facebook- oder Instagram-Seite Werbung für das Medikament gegen Erektionsstörungen angezeigt, so die FTC.
„In ähnlicher Weise erhielten Menschen, die die telemedizinischen Dienste von GoodRx zur Behandlung von sexuell übertragbaren Krankheiten genutzt hatten, Werbung für STD-Tests.”
GoodRx hat Facebook die Daten über den Kauf von Medikamenten offengelegt, die es von Apothekenverwaltern erhält, und hat diese Daten auch für gezielte Werbung verwendet.
Durch die Nutzung der Werbeplattform von Facebook, so die FTC, „entwarf GoodRx Kampagnen, in denen Kunden auf der Grundlage ihrer Gesundheitsinformationen gezielt mit Werbung angesprochen wurden. Hätte ein Kunde GoodRx beispielsweise über ein mögliches Problem mit erektiler Dysfunktion informiert, hätte er möglicherweise eine Werbeanzeige auf Facebook gesehen, wie sie in der FTC-Beschwerde als Beweisstück A aufgeführt ist.”
Im Februar zahlte das in Kalifornien ansässige Unternehmen GoodRx, ein 2,1-Milliarden-Dollar-Unternehmen, eine Zivilstrafe in Höhe von 1,5 Millionen Dollar an die FTC, um die Anzeige beizulegen, und bestritt jegliches Fehlverhalten.
Howard Danzig, Gründer und Präsident von Employers Committed to Control Health Insurance Costs (Arbeitgeber, die sich für die Kontrolle der Krankenversicherungskosten einsetzen), sagte: „Die Geldstrafe von GoodRx in Höhe von 1,5 Millionen Dollar ist keine nennenswerte Strafe. Während viele Arbeitgeber die Richtlinien der HIPAA-Datenschutzgesetze sehr genau einhalten, kommen große Technologieunternehmen im Grunde genommen ungeschoren davon.”
„Wie wäre es mit hohen Strafen für Facebook, Google und alle anderen, die von diesen Informationen profitiert haben?”, schrieb er auf seiner LinkedIn-Seite mit fast 9.000 Followern.
„Wie wäre es, wenn man ermitteln würde, ob es irgendwelche strafrechtlichen Verstöße gibt, für die man die Personen verfolgen würde, die tatsächlich daran mitgewirkt haben, dies zu tun? Wie wäre es mit ,ENTSCHÄDIGUNGZAHLUNGEN’ von den beteiligten Unternehmen an die Menschen und Kunden, deren Privatsphäre verletzt wurde?“
Der Datenmissbrauch erfolgte zu „Werbezwecken”, wie er feststellte. „Wie weit kann man das wirklich treiben und wie weit wurde es schon getrieben?”