Zahlreiche Gesundheitsportale geben Nutzerdaten an Dritte weiter, wie eine Studie zeigt. | Bildquelle: dpa

Studie zu 136 Webseiten Gesundheitsportale geben Userdaten preis

Stand: 04.09.2019 10:54 Uhr

Wer im Internet surft, hinterlässt Spuren - auch bei Portalen, die über psychische Erkrankungen informieren. Eine Studie hat Gesundheitsportale untersucht und zeigt, wie nachlässig einige dieser Seiten mit Nutzerdaten umgehen.

Von Svea Eckert und Jan Lukas Strozyk, NDR

Internetportale, auf denen Nutzer Informationen zu psychischen Erkrankungen finden, geben reihenweise Nutzerdaten an Drittunternehmen weiter. Davor warnt eine Studie der Nichtregierungsorganisation Privacy International, die NDR und "Süddeutscher Zeitung" exklusiv vorab vorliegt.

Für die Studie haben Forscher 136 Webseiten in deutscher, englischer und französischer Sprache analysiert. Auf 97 Prozent der Seiten haben sie Hinweise auf Drittanbieter gefunden - zum Beispiel sogenannte Tracker, mit denen Werbenetzwerke Profile von Nutzern erstellen können. Von den 44 in Deutschland untersuchten Seiten hatten fast zwei Drittel solche Werbetracker eingesetzt. Am stärksten sind Nutzer in Frankreich betroffen, dort wurden 41 Portale untersucht, mehr als 90 Prozent nutzten Tracker für Werbezwecke.

Svea Eckert, NDR, zu Nutzerprofile auf Gesundheitswebseiten
tagesschau24 17:00 Uhr, 03.09.2019

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Antworten aus Test zu Depressionen weitergegeben

Die Forscher konnten nachweisen, dass in mindestens einem Fall sogar Antworten von Onlinetests zum Thema Depressionen an Drittanbieter übermittelt worden sind. Damit ist es möglich, Informationen über mögliche Erkrankungen eines Nutzers zu speichern, ohne dass dieser einwilligt oder davon weiß. Auf keiner der getesteten Seiten haben die Forscher aktiv der Sammlung persönlicher Daten zugestimmt.

Dennoch wurden der Studie zufolge in vielen Fällen Drittanbieter-Cookies angelegt, kleine Datenpakete, mit denen etwa Werbenetzwerke personalisierte Nutzerprofile erstellen können. Außerdem wurden Drittanbieter-Dienste für das Einbinden von Schriftarten oder grafische Effekte genutzt. In diesen Fälle werden in denen in der Regel keine Nutzerdaten gesammel.

Rückschlüsse auf Nutzerverhalten

Frederike Kaltheuner, Leiterin der Abteilung Datenmissbrauch bei Privacy International, warnt davor, dass Nutzer dadurch die Kontrolle über die Informationen verlören. Auch wenn personalisierte Werbung zunächst ungefährlich klinge: "Das Ökosystem der Werbevermarkter ist so intransparent, da ist nicht klar, in welche Hände die Daten gelangen. Und wenn jemand weiß, wer depressiv ist, kann das gegen einen verwendet werden", sagte sie dem NDR. Nicht alle Anbieter im Markt hätten die besten Interessen. Bei den Datensammlern für Werbezwecke "geht es nicht nur darum, wer wir sind, was unsere Interessen sind, sondern auch, wo wir uns gerade aufhalten, wie wir uns gerade fühlen. Das kann auch zu anderen Zwecken genutzt werden", sagte Kaltheuner.

In Stichproben konnten Reporter von NDR und SZ bestätigen, dass die untersuchten Seiten Daten übermitteln, aus denen sich Rückschlüsse auf das Nutzerverhalten ziehen lassen. So können Drittanbieter beispielsweise anhand der Adresse der Unterseite erkennen, dass sich ein Nutzer über psychische Erkrankungen informiert hatte. Zum Teil wurde auch übermittelt, welche Fragen Nutzer in Selbsttests zur psychischen Verfassung beantwortet hatten. Eine Zustimmung zu dieser Datenübertragung gaben die Nutzer in der Stichprobe nicht. Antworten sind von den überprüften deutschsprachigen Portalen nicht übermittelt worden.

Apotheken-Umschau deaktiviert Tracking-Tools

Zu den untersuchten Seiten gehört in Deutschland unter anderem die Webseite der "Apotheken-Umschau". Wer sich dort über Depressionen erkundigte, übermittelte - ohne Zustimmung - persönliche Daten an die Server von Drittanbietern, darunter Vermarkter von Nutzerdaten zu Werbezwecken. Auf Anfrage erklärte der Verlag der "Apotheken-Umschau", man habe Daten nur "entsprechend des Datenschutzes" verwendet.

Zurzeit prüfe man allerdings, ob die Werbung wirklich datenschutzkonform sei. "Bis diese Prüfungen abgeschlossen sind, hat der Verlag vorsorglich entschieden, die Werbung von seiner Website zu nehmen und damit auch alle Werbetracking-Tools zu entfernen", hieß es auf Anfrage. Ob diese Deaktivierung mit der Anfrage von NDR und SZ im Zusammenhang steht, erklärte der Verlag nicht.

Recherche: Verstoßen Gesundheitswebseiten gegen den Datenschutz?
tagesschau 17:00 Uhr, 03.09.2019, Svea Eckert, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Datenschützer kritisieren Vorgehen

Auch das wohl größte deutsche Internetportal für Gesundheitsthemen, die Seite Netdoktor, gibt der Studie zufolge Daten an Drittanbieter weiter. Die Forscher fanden mehr als 120 Elemente von verschiedenen Drittanbietern auf der Webseite, darunter von Amazon, Google und Bertelsmann. Nutzer offenbaren mutmaßlich ungewollt neben technischen Daten wie der IP-Adresse - und damit verbunden einem groben Standort - auch die Tatsache, dass sie sich über psychische Erkrankungen informieren: Schlagwörter wie "Depression" sind theoretisch aus der URL, der Adresse der Webseite, auslesbar.

Eine Sprecherin sagte, eine Speicherung gesundheitsbezogener Daten finde nicht statt, Nutzer könnten lediglich anhand eines "abstrakten Identifiers, also eines Pseudonyms, erkannt (‚getrackt‘) werden". Dieses Vorgehen erfolge im Einklang mit geltenden Datenschutzregeln. "Es wird weder gespeichert, auf welcher konkreten Seite (…) ein Nutzer wie lange verweilt, noch wird festgehalten, welches Leseverhalten ein User in Bezug auf Gesundheitsinformationen hat", erklärte die Sprecherin. In den Datenschutz-Erklärungen, die Netdoktor selbst im Internet veröffentlich hat, heißt es hingegen, man nutze die Dienste eines Drittanbieters, um "Nutzerverhalten (z.B. Mausbewegungen, Klicks, Scrollhöhe) auf unseren Internetseiten erfassen und auswerten" zu können. Auf Nachfrage erklärte die Sprecherin, dass das auf der eigenen Seite beschriebene Auswertungs-Tool aktuell nicht aktiviert sei.

Netdoktor hat nach der Anfrage von NDR und SZ einen zusätzlichen Datenschutzhinweis auf der Seite angebracht, in dem es heißt: "Auf diesem Angebot werden Nutzungsdaten durch uns und eingebundene Dritte erfasst und ausgewertet (sg. Tracking), u.a. mittels Cookies. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung." Der stellvertretende Leiter der Hamburger Datenschutzbehörde, Ulrich Kühn, kritisiert dieses Vorgehen: "Die Tracking-Mechanismen sind längst aktiv, wenn ich diese Information sehe, das heißt, ich fälle gar keine Entscheidung", sagte Kühn dem NDR. Gerade im Umgang mit Gesundheitsdaten sei das nicht ausreichend und könne einen Verstoß gegen Datenschutzgesetze und damit eine rechtswidrige Datensammlung darstellen, die auch zu Sanktionen gegen die Webseiten-Betreiber führen könne.

Auch Kliniken geben Daten weiter

Informationsportale wie Netdoktor oder die "Apotheken-Umschau" sind in der Regel kostenlos und finanzieren sich über Werbeeinnahmen. Sie sind darauf angewiesen, Werbung auszuspielen und deren Erfolg mit Hilfe von Trackern zu untersuchen. Unter den analysierten Seiten, die Nutzerdaten an Drittanbieter weitergeben, finden sich aber auch die Internetauftritte mehrerer Kliniken. In deren Umsätzen dürften Werbeeinnahmen durch die eigene Webseite keine große Rolle spielen. Warum sie dennoch zum Teil zehn und mehr Tracker von Drittanbietern einbinden, ist unklar.

Ein Klinikbetreiber erklärte auf Anfrage, man wolle Besucher der Webseite in Zukunft explizit um eine Einwilligung der Datenerfassung bitten, bis dahin habe man die Programme abgeschaltet. Von einer anderen Klinik hieß es, man habe die Tracking-Funktionen nach der Anfrage überprüft und deaktiviert, auch wenn man sich an bestehende Datenschutzgesetze gehalten habe.

Hohe Strafen bei Verstoß gegen DSGVO

Die Leitung der Oberberg-Gruppe, ein großer Verbund privater Kliniken im Bereich Psychiatrie, Psychotherapie und Psychosomatik, appelliert an die Konkurrenz: "Nicht alles, was rechtmäßig ist, ist auch gut für die Menschen. Können (soziale Netzwerke) in absehbarer Zeit keine Transparenz herstellen, darf unsere Branche intransparente Online-Vermarktungsmethoden nicht nutzen", schreibt die Geschäftsführung auf NDR-Anfrage. Man nehme die Recherche zum Anlass und schalte die Werbe-Funktionen auf der eigenen Seite ab. Eine neue Webseite soll in Zukunft "auf dem neuesten Stand" sein. "Vertrauen und Verschwiegenheit im Kontakt muss an jeder Stelle zu jedem Zeitpunkt garantiert sein. Auch beim Marketing", so die Erklärung.

Die sogenannte Datenschutzgrundverordnung (DSGVO), die seit Mai des vergangenen Jahres in Kraft ist, soll Nutzer eigentlich davor schützen, dass persönliche Daten ohne Zustimmung bei Vermarktern landen. Inwiefern die untersuchten Seiten gegen die DSGVO verstoßen, muss im Einzelfall die zuständige Datenschutzbehörde ermitteln. Bei einem Verstoß gegen die DSGVO drohen Unternehmen hohe Strafen, in einem spektakulären Fall hat die französische Datenschutz-Behörde gegen Google vergangenes Jahr eine Strafzahlung von 50 Millionen Euro verhängt. Google geht gegen die Entscheidung juristisch vor.

Über dieses Thema berichtete die tagesschau24 am 03. September 2019 um 17:00 Uhr.

Korrespondentin

Svea Eckert Logo NDR

Svea Eckert, NDR

Korrespondent

Jan Strozyk, NDR | Bildquelle: NDR/Christian Spielmann Logo NDR

Jan Lukas Strozyk, NDR

Darstellung: