Von Mike Capuzzo
Google, Microsoft, Facebook, TikTok und die meisten medizinischen und gesundheitspolitischen Websites sammeln und verkaufen illegal private Gesundheitsdaten, obwohl die Bundesbehörden gegen diese Praxis vorgehen, so ein neuer Cybersecurity-Bericht von Feroot Security.
Google, Microsoft, Facebook, TikTok und die meisten Websites im Bereich Medizin und Gesundheit sammeln und verkaufen illegal private Gesundheitsdaten, obwohl der Bund gegen diese Praxis vorgeht, so ein neuer Bericht zur Cybersicherheit.
Der Bericht des in Toronto ansässigen Cybersicherheitsunternehmens Feroot Security analysierte Hunderte von Websites im Gesundheitswesen und stellte fest, dass mehr als 86 % der Websites private Daten sammeln und diese ohne Zustimmung der Nutzer und unter Verletzung der Datenschutzgesetze an Werbetreibende, Vermarkter und Big-Tech-Unternehmen der sozialen Medien weitergeben.
Wenn Patienten oder Verbraucher auf ihren bevorzugten oder vertrauenswürdigen medizinischen Websites surfen oder sich bei Krankenhausportalen anmelden, um auf ihre privaten Gesundheitsdaten zuzugreifen, sammeln unsichtbare, in die Websites eingebettete HTML-Codes – so genannte “Tracking-Pixel” – private Informationen, z. B. ob Patienten an Krebs oder erektiler Dysfunktion leiden oder mit ihrer Krankenhausrechnung im Rückstand sind.
Die Informationen werden neu verpackt und für eine Vielzahl von Zwecken verkauft, unter anderem an Unternehmen, die einzelne Nutzer mit Internetwerbung ansprechen, so der Bericht.
Das Risiko, dass persönliche Daten abgegriffen werden, ist auf Anmelde- und Registrierungsseiten besonders hoch, wo Internetnutzer eine Fülle von Informationen eingeben, ohne zu wissen, dass diese abgegriffen und verkauft werden. Mehr als 73 % der Anmelde- und Registrierungsseiten enthalten unsichtbare Tracker, die persönliche Gesundheitsdaten ausspähen, so die Studie.
Etwa 15 % der von Feroot analysierten Tracking-Pixel zeichnen die Tastatureingaben der Nutzer auf und sammeln Sozialversicherungsnummern, Benutzernamen und Passwörter, Kreditkarten- und Bankdaten sowie eine unendliche Vielfalt an persönlichen Gesundheitsdaten, einschließlich medizinischer Diagnosen und Behandlungen.
Die Studie hat gezeigt, dass Google der absolut dominierende Datensammler ist”. Zweiundneunzig Prozent der Websites, die über die Google-Suchmaschine geladen wurden, enthielten Technologien zum Sammeln von Daten in weiten Bereichen der US-Wirtschaft, darunter Gesundheitswesen und Telemedizin, Bank- und Finanzdienstleistungen, Fluggesellschaften, elektronischer Handel sowie die Bundes- und Landesregierungen.
An zweiter Stelle steht Microsoft mit 50,4 % der Websites auf seiner Plattform, die Tracking-Tools verstecken, gefolgt von Facebook mit 50,2 % und TikTok mit 7,41 %, Tendenz stark steigend.
Google, als Motor seiner Muttergesellschaft Alphabet, dem viertgrößten Unternehmen der Welt, wird oft als “das mächtigste Unternehmen der Welt” bezeichnet. Das Unternehmen erzielt 80 % seines Umsatzes mit Werbung, dem Lebenselixier der globalen digitalen Wirtschaft.
Microsoft und Facebook “runden die Top 3” der Unternehmen ab, die systematisch Daten verletzen, so der Bericht.
Vertreter von Google, Microsoft und Facebook bestritten, dass ihre Unternehmen Zählpixel zum Sammeln persönlicher Daten verwenden.
Ein Google-Sprecher sagte, dass die Eigentümer von Websites für die Kontrolle der Datenerfassung verantwortlich seien. Die Google-Richtlinien verbieten es Google Analytics und Werbekunden, wie z. B. Krankenhäusern oder Telemedizin-Websites, Gesundheitsdaten zu sammeln und damit gegen das US-Gesundheitsversicherungsgesetz (Health Insurance Portability and Accountability Act, HIPAA) zu verstoßen. Es obliegt den Websites zu bestimmen, ob sie HIPAA-regulierte Einrichtungen sind und welche Verpflichtungen sie gemäß HIPAA haben”, so die Google-Richtlinie.
Persönliche Gesundheitsdaten, die von einem Tracker oder einer dritten Partei ohne die Zustimmung des Nutzers gesammelt werden, stellen einen Verstoß gegen den HIPAA dar, so Ivan Tsarynny, CEO von Feroot.
Große Technologieunternehmen haben Richtlinien, die über den Schutz von Gesundheitsdaten sprechen”, sagte Tsarynny. Aber “die reale Anwendung dieser Richtlinien ist eine andere Geschichte”.
Die Studie von Feroot kommt zu einem Zeitpunkt, an dem “die Besorgnis über Data-Mining-Unternehmen wächst, die Pixel/Tracker verwenden, die von Websites in den Browser geladen werden, um private und sensible Nutzerdaten zu sammeln”, so der Bericht.
“Aufsichtsbehörden und Regierungsbehörden schreiten zunehmend mit Verboten, Beschränkungen und Durchführungsverordnungen ein, um sie einzudämmen.
Laut Becker’s Hospital Review wurden in diesem Jahr achtzehn große Krankenhäuser verklagt, weil sie sensible Gesundheitsdaten von Patienten unter Verstoß gegen Datenschutzgesetze an Google, Facebook und andere Tech-Giganten weitergegeben haben.
Darunter befinden sich bekannte akademische medizinische Zentren wie das University of Pittsburgh Medical Center, das University of Chicago Medical Center, das University of Iowa Medical Center, das Northwestern Memorial Hospital in Chicago und das University of California San Francisco Medical Center.
Ausgelöst durch die wachsende Besorgnis über Datendiebstahl und den Artikel “‘Out of Control’: Dutzende von Telehealth-Startups senden sensible Gesundheitsdaten an große Tech-Unternehmen”, hat Feroot eine Untersuchung eingeleitet, um das genaue Ausmaß und die Verbreitung von Social Media Pixeln/Trackern zu ermitteln, die persönliche, sensible und private Daten mit Hilfe von Pixeln oder Trackern sammeln und übertragen.
Die Sicherheitsplattform, die Feroot an Unternehmen verkauft, “ermöglichte es, detaillierte Fakten über aktives clientseitiges E-Skimming zu erhalten”, so das Unternehmen.
Feroot sammelte während eines achtwöchigen Zeitraums im Januar und Februar Daten über Pixel/Tracker.
Das Unternehmen gab an, es habe mehr als 3.675 Organisationen mit einzigartigen Websites in sieben Wirtschaftssektoren untersucht. Es untersuchte 108.836 einzelne Webseiten, darunter besonders gefährdete Seiten für die Anmeldung, Registrierung und Kreditkartenverarbeitung, 227 Tracker und 7 Millionen Datenübertragungen.
Die wichtigsten Ergebnisse von “Vorsicht vor Pixeln und Trackern”:
- Pixel-Tracker sind “weit verbreitet und zahlreich” – durchschnittlich wurden 13,16 Pixel/Tracker pro Website gefunden, “wobei Google, Microsoft, Meta (Eigentümer von Facebook), ByteDance (Eigentümer von TikTok) und Adobe zu den häufigsten gehören”.
- “Unternehmenskritische” Webseiten, wie z. B. Anmelde- oder Registrierungsseiten, erhöhen das Risiko, private Informationen preiszugeben. Durchschnittlich 5,96 % der Websites hatten Pixel/Tracker auf Webseiten, die Benutzereingabeformulare mit privaten oder sensiblen Daten lesen.
- Pixel-Tracker übertragen Daten an ausländische Standorte rund um den Globus – “etwa 5 % der Daten, die von Pixeln/Trackern übertragen werden, die von Websites mit Sitz in den USA geladen werden, werden außerhalb der USA gesendet.”
- Pixel-Tracker sammeln und übertragen Daten, ohne zuvor die ausdrückliche Zustimmung der Besucher einzuholen.
- Pixel und Tracker werden von Domains geladen, die von der US-Regierung und verschiedenen US-Bundesstaaten verboten sind, und sogar von einigen dieser Regierungen, darunter Russland und China. Daten, die von russischen und chinesischen Websites stammen, stellen ein Sicherheitsrisiko durch Überwachung und Spionage dar.
- Meta (Eigentümer von Facebook und Instagram) und TikTok, das dem chinesischen Unternehmen ByteDance gehört, waren besonders besorgniserregend”, weil sie die Privatsphäre verletzen und ein Überwachungsrisiko darstellen. Vierunddreißig US-Bundesstaaten, die sowohl von Republikanern als auch von Demokraten kontrolliert werden, haben die Nutzung von TikTok auf Regierungsgeräten verboten. Montana verbot die App im Mai auf allen privaten Geräten.
- TikTok ist häufig präsent, unabhängig davon, ob die TikTok-App gelöscht wird oder nicht. TikTok-Pixel/Tracker können immer noch “in Webseiten geladen werden, auf denen geschäftskritische Nutzerdaten verarbeitet werden, und können diese sammeln und übertragen”.
Der Fall GoodRX verdeutlicht die Täuschung von Unternehmen im Zusammenhang mit der Weitergabe von Daten
Während Unternehmen aufgrund von Datenschutzverletzungen mit Gewinn- und Reputationsverlusten oder Geldstrafen für deren Verursachung rechnen müssen, droht Einzelpersonen ein potenziell katastrophaler Verlust ihrer Privatsphäre, wenn große Gesundheitswebsites ihre Daten sammeln und verkaufen, so die Federal Trade Commission (FTC).
Im Februar verhängte die FTC eine Geldstrafe gegen den beliebten Anbieter von Rabattarzneimitteln und Telemedizin GoodRx, weil er es versäumt hatte, seine unbefugte Weitergabe von Gesundheitsdaten an Facebook, Google und andere Unternehmen zu melden.
Die Maßnahme, mit der GoodRx untersagt wurde, sensible Gesundheitsdaten von Verbrauchern zu Werbezwecken weiterzugeben, war die erste Durchsetzungsmaßnahme der FTC im Rahmen ihrer Health Breach Notification Rule.
“Unternehmen im Bereich der digitalen Gesundheit und mobile Apps sollten nicht mit den äußerst sensiblen und persönlich identifizierbaren Gesundheitsdaten der Verbraucher Geld verdienen”, sagte Samuel Levine, Direktor des FTC Bureau of Consumer Protection, in einer Pressemitteilung nach der Einigung. “Die FTC kündigt an, dass sie alle ihre rechtlichen Befugnisse nutzen wird, um die sensiblen Daten der amerikanischen Verbraucher vor Missbrauch und illegaler Ausbeutung zu schützen.”
Die Vollstreckung der FTC gegen GoodRx zeige ein besonders ungeheuerliches, aber nicht ungewöhnliches Beispiel dafür, wie Gesundheits- und Medizin-Websites von Unternehmen das Vertrauen der Patienten missbrauchen und Patientendaten manipulieren, so die FTC.
Laut der FTC-Beschwerde hat GoodRx gegen das Gesetz verstoßen, indem es mindestens seit 2017 sensible persönliche Gesundheitsdaten unrechtmäßig weitergegeben hat, obwohl es das Gegenteil versprochen hatte.
Das Unternehmen “versprach seinen Nutzern in irreführender Weise, dass es niemals personenbezogene Gesundheitsdaten an Werbetreibende oder andere Dritte weitergeben würde”, so der Vorwurf der FTC, und zeigte am unteren Rand seiner Homepage für Telegesundheitsdienste in irreführender Weise ein Siegel an, “das den Verbrauchern fälschlicherweise suggeriert, dass es den HIPAA einhält.”
In Wirklichkeit, so die FTC-Beschwerde, habe GoodRx “die persönlichen Gesundheitsinformationen seiner Nutzer zu Geld gemacht und die mit Facebook geteilten Daten verwendet, um die eigenen Nutzer von GoodRx mit personalisierter gesundheits- und medikamentenspezifischer Werbung auf Facebook und Instagram anzusprechen.”
So erstellte GoodRx im August 2019 Listen seiner Nutzer, “die bestimmte Medikamente gekauft hatten, z. B. zur Behandlung von Herzkrankheiten und Blutdruck, und lud ihre E-Mail-Adressen, Telefonnummern und mobilen Werbe-IDs auf Facebook hoch, um ihre Profile zu identifizieren”, heißt es in der Beschwerde.
“GoodRx hat diese Informationen dann genutzt, um diese Nutzer mit gesundheitsbezogener Werbung anzusprechen.”
Personen, die auf GoodRx-Gutscheine zugriffen, um beispielsweise Viagra zu kaufen, sahen auf ihren Facebook- oder Instagram-Seiten Anzeigen für das Medikament gegen erektile Dysfunktion, so die FTC.
“In ähnlicher Weise bekamen Personen, die die telemedizinischen Dienste von GoodRx genutzt hatten, um sich gegen sexuell übertragbare Krankheiten behandeln zu lassen, Werbung für STD-Tests angezeigt.”
GoodRx hat Facebook die Daten über den Kauf von Medikamenten, die es von Apothekenverwaltern erhält, zur Verfügung gestellt und diese Daten auch für gezielte Werbung verwendet.
Durch die Nutzung der Werbeplattform von Facebook, so die FTC, entwarf GoodRx Kampagnen, in denen Kunden auf der Grundlage ihrer Gesundheitsinformationen mit Werbung angesprochen wurden. Hätte ein Kunde GoodRx beispielsweise ein mögliches Problem mit erektiler Dysfunktion mitgeteilt, hätte er möglicherweise eine Anzeige auf Facebook gesehen, wie sie in der FTC-Beschwerde als Beweisstück A aufgeführt ist.
Im Februar zahlte das in Kalifornien ansässige Unternehmen GoodRx, ein 2,1-Milliarden-Dollar-Unternehmen, eine Zivilstrafe in Höhe von 1,5 Millionen Dollar an die FTC, um die Beschwerde beizulegen, und bestritt jegliches Fehlverhalten.
Howard Danzig, Gründer und Präsident von Employers Committed to Control Health Insurance Costs (Arbeitgeber, die sich für die Kontrolle der Krankenversicherungskosten einsetzen), sagte: “Die Geldstrafe von GoodRx in Höhe von 1,5 Millionen Dollar ist nicht einmal ein Klaps auf die Hand. Während viele Arbeitgeber die Richtlinien der HIPAA-Datenschutzgesetze sehr genau einhalten, kommen große Tech-Unternehmen im Grunde genommen ungeschoren davon.”
“Wie wäre es mit hohen Strafen für Facebook, Google und alle anderen, die Nutznießer dieser Informationen waren?”, schrieb er auf seiner LinkedIn-Seite mit fast 9.000 Followern.
“Wie wäre es, wenn man feststellt, ob es irgendwelche strafrechtlichen Verstöße gibt, die gegen die Personen verfolgt werden sollten, die tatsächlich daran mitgewirkt haben, dies zu tun? Wie wäre es mit ‘REPARATIONS’ von den beteiligten Unternehmen an die Menschen und Kunden, deren Privatsphäre verletzt wurde?”
Der Datenschutzverstoß erfolgte zu “Werbezwecken”, stellte er fest. “Wie weit kann man das wirklich treiben und wie weit ist es schon getrieben worden?”
