Ursprünglich veröffentlicht: https://www.kuketz-blog.de/doctolib-kritisiert-meinen-artikel-thilo-weichert-klaert-auf/
Doctolib hat meinen Blog-Beitrag gelesen und sich daraufhin mit mir in Verbindung gesetzt. In der E-Mail vom 06.11.2024 wurden verschiedene Punkte thematisiert, wobei Doctolib nach eigenen Angaben »einige Falschbehauptungen« in meinem Text entdeckt haben will. Um die Vorwürfe zu klären, habe ich Thilo Weichert um eine Einschätzung gebeten, und er hat bereits eine Rückmeldung gegeben. Die von Doctolib als zitierfähig bezeichneten Passagen sowie die Einschätzung von Herrn Weichert findet ihr im Folgenden. Übermittlung von Patientendaten Doctolib: Zum Punkt »Eine Vielzahl von Daten [müssen] an Doctolib übermittelt werden«: Doctolib fordert keine Daten. Die Praxen entscheiden, welche Daten mit dem Doctolib verarbeitet…
Krasse Nummer…
Die sitzen ja in Frankreich wie es aussieht.
Wenn die hier was machen gilt ja Europarecht.
Sind da die Genehmigungen vollständig ?
Vieleicht haben die was vergessen…erstmal machen.
Nur weil man was macht heißt ja nicht das man das darf.
Wenn ich hier in Deutschland ein Gewerbe anmelde und was ganz anderes mache darf ich das nicht.
Oder der Genehmigungsgrund ist nicht mehr vorhanden…
Wer Haftet bei Fehlern ?
Nur soon paar einfache Ideen…hat Kopfschmerzenpotential…
Doctolib hakt bei Einigem genau dort ein, wo auch ich Kritik am Ursprungsbeitrag habe - natürlich jeweils aus ganz anderen Gründen.
Ich finde es nicht richtig, die Arztpraxen teilweise aus ihrer tatsächlich bestehenden Verantwortung für diesen klandestinen, mutmaßlich vielleicht sogar strafwürdigen Umgang mit den Daten ihrer Patienten zu entlassen, nur weil sie etwa überlastet sein könnten - wie es im Ursprungsbeitrag den Anschein erweckt.
Immerhin vertraue ich, wenn ich eine Praxis als Patient betrete oder mich sie wende, darauf, dass nicht a prori meine Daten aus dieser dann an wen auch immer geleakt werden. Das wäre u.a. ein schwerer Vertrauensbruch, bevor ich überhaupt einen Mediziner zu Gesicht bekommen habe.
Für diesen schweren Vertrauensbruch jedoch sind die Arztpraxen, die Ärztinnen und Ärzte dort, selbst verantwortlich, niemand sonst. Es ist ihre Entscheidung, ob sie mit einem zwielichtigen Unternehmen zusammen arbeiten oder eben nicht.
Das war keinesfalls meine Intention. Ich habe daher eine weitere Ziffer im ursprünglichen Beitrag ergänzt:
5. Praxen in der Verantwortung
Trotz der Kritik an Doctolib sollte nicht außer Acht gelassen werden, dass Ärztinnen und Ärzte nicht gezwungen sind, diesen Dienstleister zu nutzen. Es ist kurzsichtig, die Verantwortung für den Umgang mit Patientendaten allein auf Doctolib abzuwälzen. Das Vertrauen, das Patienten in ihre Ärzte setzen, basiert auf der Erwartung, dass ihre Daten sicher behandelt werden – eine Verantwortung, die letztlich bei den Praxen liegt.
Ärztinnen und Ärzte entscheiden bewusst, mit wem sie zusammenarbeiten und ob sie ihre Patienten potenziellen Datenschutzrisiken aussetzen. Es ist ihre Verantwortung, datenschutzkonforme Lösungen zu wählen und den Schutz ihrer Patienten zu gewährleisten. Daher sollten wir als Patienten den Dialog mit unseren Ärztinnen und Ärzten suchen und sie darauf ansprechen, ob es nicht bessere und datenschutzfreundlichere Alternativen zu Doctolib gibt. Letztlich haben auch wir Einfluss auf die Entscheidungen, die den Schutz unserer Daten betreffen. Es liegt im Interesse aller, dass die Privatsphäre nicht durch fragwürdige Lösungen gefährdet wird.
Das übliche Dilemma, wenn ein Dienst nicht nur reiner Auftragsverarbeiter ist, sondern auch Verantwortlicher sein möchte. Das lässt sich oft nicht deutlich trennen. Unbefriedigend für die Auftraggeber; und für die betroffenen Personen sowieso.
Im vorliegenden Fall bestehen Auftragsverarbeitungsverhältnisse mit den verantwortlichen Praxen. Für diese ist Doctolib wie eine zuständige interne Stelle zu betrachten. Weil der Dienst sich verpflichtet, die Daten nur im beauftragten Rahmen zu verarbeiten, wie es auch die Praxis selbst dürfte. Z. B. indem Doctolib Terminmitteilungen versendet, die direkt mit der Praxis vereinbart wurden. (Und natürlich welche, die man innerhalb der Patientenbeziehung mit der Praxis über Doctolib auswählt.)
Die Schweigepflicht wäre theoretisch kein Problem, weil „berufsmäßig tätige Gehilfen“ und Personen, „die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken“ dem Geheimnisträger zuzurechnen sind, solange sie unter seiner Kontrolle stehen. (Kontrolle durch Auswahl geeigneter Dienstleister, die Verpflichtung im Auftragsverarbeitungsvertrag, Prüfen der Einhaltung. Machen Ärzte bestimmt…)
Daneben (und in den Vordergrund gedrängelt) hat Doctolib aber auch eigene Beziehungen zu den Betroffenen. Sobald man ein „Nutzerkonto“ anlegt. Wahrscheinlich auch, wenn man die App installiert. Denn damit könnte man ja mit verschiedenen Praxen kommunizieren. Diese Daten hängen also primär direkt an den einzelnen Personen als Doctolib-Kunden; doch nicht (nur) an ihrer Arztpraxis.
Dieser Verantwortungsübergang scheint sehr leicht möglich zu sein, weil es einem in verschiedenen Situationen angeboten wird. Den Betroffenen wird nicht sicher bewusst sein, an welchen Stellen sie den durch das Berufsgeheimnis der Behandler geschützten Bereeich verlassen.
Durch diese eigenen Begehrlichkeiten des Auftragsverarbeiters wird fraglich, ob er als solcher geeignet ist. Das müsste man speziell betrachten und zuverlässiger trennen. Wie? (Eher das Gegenteil ist erkennbar, dass eher Daten schnell in die Doctolib-Verantwortung rüber geschaufelt werden als dass zusätzliche Schutzschichten zum Aufrechterhalten der Schweigepflicht eingezogen wären.)
Als eigene Auftragsverarbeiter führt Doctolib u. a. die „üblichen Verdächtigen“ auf. (Google, AWS, Microsoft, Cloudflare, Salesforce, Braze, Sentry…) Ich weiß nicht, ob die auch als Unter-Auftragsverarbeiter der Arztpraxen zum Einsatz kommen. (Ob immer, bzw. nur wenn bewusst oder unbewusst bestimmte zusätzliche Leistungen wie Umfragen o. ä. beauftragt werden.) Ich würde besonderen Wert darauf legen, dass diese Stellen so wenig wie möglich von den Patienten erfahren; z. B. Pseudonymisierung, Proxy, Segmentierung. Bei direktem Kontakt (IP-Adresse etc.) werden sie die Identität anderweitig aufdecken können. In dieser Branche würde ich lieber ganz die Finger davon lassen.
D., der zusätzlich zu den Punkten im ursprünglichen Beitrag empfehlen würde, kein persönliches Konto bei Doctolib anzulegen und die App nicht zu installieren. Für Verarbeitungen, die von Praxen initiiert wurden, kann man einstweilen nur hoffen. (Dass die nicht zu viel darüber laufen lassen und dass ihre beauftragten Verarbeitungen wirklich von Doctolib-eigenen Zwecken und von problematischen Sub-Diensten getrennt sind.)
Vielen Dank für die inhaltlich konsequente Ergänzung - so wird schon eher ein sprichwörtlicher Schuh daraus.