Verfügt Facebook über Ihre medizinischen Daten?

• Der Meta-Pixel von Facebook wurde auf 33 Krankenhaus-Websites gefunden und sendet Facebook Informationen, die mit einer IP-Adresse verknüpft sind, die einzelne Computer identifiziert und zu einer Person oder einem Haushalt zurückverfolgt werden kann
• Das Pixel verfolgt, nach welchen Ärzten gesucht wird und welche gesundheitsbezogenen Suchbegriffe in Suchfelder eingegeben oder aus Dropdown-Menüs ausgewählt werden
• Das Meta-Pixel wurde in Patientenportalen von sieben Gesundheitssystemen gefunden; zu den gesammelten Daten gehörten Namen von eingenommenen Medikamenten, Beschreibungen von allergischen Reaktionen und anstehende Arzttermine
• Mehr als 26 Millionen Patienteneinweisungen und ambulante Besuche wurden von den 33 Krankenhäusern, die Meta Pixels verwenden, weitergegeben, und das ist wahrscheinlich konservativ

Inzwischen wissen die meisten Menschen, dass sie, wenn sie eine bestimmte Seite auf Facebook “mögen”, dem Social-Media-Giganten Informationen über sie geben. Wenn Sie z. B. eine Seite über eine bestimmte Krankheit “mögen”, können Vermarkter beginnen, Sie mit entsprechenden Produkten und Dienstleistungen anzusprechen.

Facebook kann jedoch auch auf weitaus heimtückischere Weise sensible Gesundheitsdaten sammeln, z. B. indem es dich verfolgt, wenn du auf Krankenhaus-Websites bist und sogar, wenn du ein persönliches, passwortgeschütztes Gesundheitsinformationsportal wie MyChart aufrufst.

Dies geschieht über Pixel, die ohne Ihr Wissen auf von Ihnen besuchten Websites installiert werden können. Sie können Informationen über dich sammeln, während du im Internet surfst, auch wenn du kein Facebook-Konto hast.

Meta Pixel auf Krankenhaus-Websites

Der Meta-Pixel ist ein JavaScript-Code, den Entwickler in ihre Website einbauen können, um die Besucheraktivitäten zu verfolgen. Laut Meta:

Es lädt eine kleine Bibliothek von Funktionen, die Sie immer dann verwenden können, wenn ein Website-Besucher eine Aktion (ein sogenanntes Ereignis) ausführt, die Sie verfolgen möchten (eine sogenannte Conversion). Verfolgte Konversionen erscheinen im Anzeigenmanager, wo sie verwendet werden können, um die Effektivität Ihrer Anzeigen zu messen, um benutzerdefinierte Zielgruppen für das Anzeigen-Targeting zu definieren, für dynamische Anzeigenkampagnen, und um die Effektivität der Konversionstrichter Ihrer Website zu analysieren.

Sogar Krankenhäuser entscheiden sich für die Datentracker, wie eine Untersuchung von The Markup zeigt, die Websites der 100 besten US-Krankenhäuser von Newsweek getestet hat. Der Meta-Pixel von Facebook wurde auf 33 der Websites gefunden und sendet Facebook Informationen, die mit einer IP-Adresse verknüpft sind, die einzelne Computer identifiziert und zu einer Person oder einem Haushalt zurückverfolgt werden kann.

Das Pixel verfolgt nicht nur die IP-Adresse des verwendeten Computers, sondern auch, nach welchen Ärzten gesucht wird und welche Suchbegriffe in Suchfelder eingegeben oder aus Dropdown-Menüs ausgewählt werden. The Markup berichtet:

Auf der Website des University Hospitals Cleveland Medical Center beispielsweise führte ein Klick auf die Schaltfläche “Online-Termin vereinbaren” auf der Seite eines Arztes dazu, dass das Meta-Pixel den Text der Schaltfläche, den Namen des Arztes und den Suchbegriff, den wir verwendet haben, um sie zu finden, an Facebook sendete: “Schwangerschaftsabbruch”.

Ein Klick auf die Schaltfläche “Jetzt online einen Termin vereinbaren” für einen Arzt auf der Website des Froedtert-Krankenhauses in Wisconsin veranlasste das Meta Pixel, Facebook den Text der Schaltfläche, den Namen des Arztes und die von uns aus einem Dropdown-Menü ausgewählte Krankheit zu übermitteln: “Alzheimer”.

Meta Pixel auf Patientenportalen installiert

Die Gesundheitsfürsorge wird immer digitaler, wodurch der Datenschutz in Patientenportalen wie MyChart immer wichtiger wird. Im Jahr 2020 werden etwa 6 von 10 Amerikanern Zugang zu einem Online-Patientenportal haben – ein Anstieg von 17 % seit 2014 – und fast 40 % haben mindestens einmal auf ihre Online-Akten zugegriffen.

Insgesamt hat etwa ein Drittel der Nutzer von Patientenportalen im Jahr 2020 ihre Online-Krankenakten heruntergeladen, das ist fast doppelt so viel wie im Jahr 2017.

Die Daten, auf die Sie bei der Nutzung passwortgeschützter Patientenportale zugreifen, können jedoch auch über Pixel an Facebook gesendet werden. The Markup fand das Meta Pixel in Patientenportalen von sieben Gesundheitssystemen, darunter Edward-Elmhurst Health, FastMed, Novant Health und Community Health Network.

Zu den gesammelten Daten gehörten Namen von Medikamenten, die eingenommen werden, Beschreibungen von allergischen Reaktionen und anstehende Arzttermine. Novant Health, das den Pixel entfernte, nachdem es von The Markup kontaktiert worden war, erklärte: “Wir wissen es zu schätzen, dass Sie sich an uns gewandt und diese Informationen geteilt haben. Die Platzierung unseres Meta-Pixels wird von einem Drittanbieter gesteuert und wurde entfernt, während wir die Angelegenheit weiter untersuchen.

The Markup arbeitet nun mit Mozilla Rally zusammen und verwendet ein Browser-Add-on und Crowd-Sourcing, um Daten über den Meta-Pixel auf Websites zu senden, die von Studienteilnehmern besucht werden. Ziel der Studie, die bis zum 13. Juli 2022 läuft und als Facebook Pixel Hunt bezeichnet wird, ist es, das Pixel-Tracking-Netzwerk von Facebook zu kartieren, um besser zu verstehen, welche Arten von Informationen im Internet gesammelt werden.

Höchstwahrscheinlich ein Verstoß gegen HIPPA

Das Bundesgesetz über die Übertragbarkeit von Krankenversicherungen (Health Insurance Portability and Accountability Act, HIPAA) verbietet es Krankenhäusern, personenbezogene Gesundheitsdaten an Facebook und andere weiterzugeben, es sei denn, eine Person hat dem zugestimmt. Folglich ist es möglich, dass der Meta-Pixel von Facebook auf Krankenhausseiten illegal ist.

David Holtzman, ein ehemaliger leitender Berater für Datenschutz im Büro für Bürgerrechte des US-Gesundheitsministeriums, sagte gegenüber The Markup: “Ich bin zutiefst beunruhigt über das, was [die Krankenhäuser] mit der Erfassung ihrer Daten und der Weitergabe dieser Daten tun. Ich kann nicht sagen, dass [die Weitergabe dieser Daten] mit Sicherheit ein Verstoß gegen den HIPAA ist. Es ist sehr wahrscheinlich ein Verstoß gegen den HIPAA.

Bis zum 15. Juni 2022 hatten mindestens sieben der von The Markup kontaktierten Krankenhäuser Pixel von ihren Terminbuchungsseiten entfernt, während mindestens fünf der Gesundheitssysteme mit Meta-Pixeln auf ihren Patientenportalen die Pixel entfernt hatten.

Um jedoch eine Vorstellung vom Umfang der freigegebenen Daten zu bekommen, fand The Markup heraus, dass mehr als 26 Millionen Patientenaufnahmen und ambulante Besuche von den 33 Krankenhäusern, die Meta Pixels verwenden, geteilt wurden, und das ist wahrscheinlich konservativ.

“Unsere Untersuchung beschränkte sich auf etwas mehr als 100 Krankenhäuser; die gemeinsame Nutzung von Daten betrifft wahrscheinlich viel mehr Patienten und Einrichtungen, als wir identifiziert haben”, berichtet The Markup. Wenn Sie im Internet surfen, werden Sie wahrscheinlich auf ein Meta Pixel stoßen, da sie auf mehr als 30 % der beliebtesten Websites im Internet zu finden sind.

IP-Adressen werden als eine der Kennungen aufgeführt, die dazu führen können, dass Daten als geschützte Gesundheitsinformationen gemäß HIPPA gelten. Wenn man bei Facebook angemeldet ist, wenn man eine Krankenhaus-Website mit einem Meta-Pixel besucht, können sogar noch mehr Nachverfolgungsmechanismen, wie Cookies von Drittanbietern, hinzugefügt werden, sodass die Daten des Pixels mit Facebook-Konten verknüpft werden können. Laut The Markup:12

In mehreren Fällen haben wir anhand von Dummy-Konten, die von unseren Reportern erstellt wurden, und Daten von freiwilligen Teilnehmern der Mozilla Rally festgestellt, dass der Meta-Pixel die Identifizierung von Patienten noch einfacher macht.

Als The Markup auf der Seite eines Arztes des Scripps Memorial Hospital auf die Schaltfläche “Buchung abschließen” klickte, übermittelte das Pixel Facebook nicht nur den Namen des Arztes und sein Fachgebiet, sondern auch den Vor- und Nachnamen, die E-Mail-Adresse, die Telefonnummer, die Postleitzahl und den Wohnort, die wir in das Buchungsformular eingegeben hatten.

Patienten wären ‘schockiert’

Es ist durchaus möglich, dass das, was Facebook mit sensiblen Gesundheitsdaten von Patienten macht, illegal ist. Aber selbst wenn es nicht so wäre, wären die meisten Menschen schockiert, wenn sie herausfinden würden, welche Art von Daten Facebook online über sie sammelt, während sie vermeintlich private, geschützte Gesundheitswebseiten und Patientenportale nutzen.

Im Gespräch mit The Markup erklärte Glenn Cohen, Fakultätsleiter des Petrie-Flom Center for Health Law Policy, Biotechnology, and Bioethics der Harvard Law School:

Fast jeder Patient wäre schockiert, wenn er herausfinden würde, dass Facebook eine einfache Möglichkeit bietet, seine Rezepte mit seinem Namen zu verknüpfen. Selbst wenn es vielleicht etwas in der rechtlichen Architektur gibt, das dies erlaubt, ist es völlig außerhalb der Erwartungen der Patienten, was die Datenschutzgesetze für sie tun.

Facebook behauptet zwar, dass es maschinelle Lernsysteme einsetzt, um sensible Gesundheitsdaten zu erkennen und deren Erfassung zu verhindern, aber es wurde festgestellt, dass Hunderte von Websites von Schwangerschaftskrisenzentren Besucherdaten an den Social-Media-Riesen weitergeben, darunter auch Informationen darüber, ob der Besucher Schwangerschaftstests, Notfallverhütungsmittel oder eine Abtreibung gesucht hat.

Die Daten könnten für gezielte Werbung oder im schlimmsten Fall sogar für Gerichtsverfahren verwendet werden.

Albert Fox Cahn, Gründer und Geschäftsführer des Surveillance Technology Oversight Project, sagte gegenüber The Markup: “Ich denke, dies wird ein Weckruf für Millionen von Amerikanern sein, der ihnen zeigt, in welche Gefahr sie sich durch die Überwachung begeben, wenn sich die Gesetze ändern und Menschen diese Systeme auf eine Art und Weise als Waffe einsetzen können, die früher unmöglich schien.

Google verfolgt auch Gesundheitsdaten

Im Jahr 2019 ging Google eine Partnerschaft mit dem University of Chicago Medial Center ein, um medizinische Daten zu sammeln und mithilfe künstlicher Intelligenz medizinische Ereignisse vorherzusagen. Die Aufzeichnungen sollten anonym sein, enthielten aber Datumsstempel und ärztliche Notizen, die Google laut der Klage mit Geolokalisierungsdaten kombinieren konnte, um Patienten zu identifizieren.

In der Klage heißt es: “Die von Google erlangten persönlichen medizinischen Daten sind die sensibelsten und intimsten Informationen im Leben einer Person, und ihre unbefugte Offenlegung ist für die Privatsphäre einer Person weitaus schädlicher” als Daten, die typischerweise bei Hacks offengelegt werden, z. B. Kreditkartennummern.

Vier Generalstaatsanwälte haben Google wegen seiner betrügerischen Praktiken bei der Sammlung von Standortdaten der Öffentlichkeit verklagt. In den separaten Klagen wird behauptet, dass Google die Standortdaten seiner Nutzer auch dann noch verfolgt, wenn diese die Standortverfolgung deaktiviert haben.

Karl A. Racine, Generalstaatsanwalt des District of Columbia, leitete eine Untersuchung gegen Google ein, nachdem ein AP News-Bericht aus dem Jahr 2018 aufgedeckt hatte, dass Google die Bewegungen von Nutzern verfolgte, selbst wenn diese sich gegen eine solche Verfolgung entschieden hatten. Googles irreführende Behauptungen gegenüber Nutzern bezüglich des Datenschutzes, der in ihren Kontoeinstellungen verfügbar ist, bestehen seit mindestens 2014, wie Racines Untersuchung ergab.

Abgesehen davon, dass Google die Standortverfolgung unter Einstellungen versteckt, die Nutzer nicht erwarten würden, wie z. B. Web- und App-Aktivität – die standardmäßig aktiviert ist -, wird Google beschuldigt, Standortinformationen über Google-Dienste, Wi-Fi-Daten und Marketingpartner zu sammeln und zu speichern, auch nachdem die Geräte- oder Kontoeinstellungen geändert wurden, um die Standortverfolgung zu unterbinden.

Neben dem District of Columbia haben auch die Generalstaatsanwälte von Texas, Washington und Indiana Klage gegen Google wegen seiner betrügerischen Datenerfassungspraktiken eingereicht. In den Klagen wird behauptet, dass Google die Nutzer dazu gedrängt hat, die Standortverfolgung häufiger zu verwenden, weil es – fälschlicherweise – behauptet hat, dass seine Produkte ohne diese Funktion nicht richtig funktionieren würden.

Standortdaten können unterdessen dazu verwendet werden, intime Details über Ihr Leben preiszugeben, von Ihren Mitgliedschaften im Fitnessstudio, Ihren Arztbesuchen, den Geschäften und Restaurants, die Sie häufig besuchen, bis hin zu Ihrem Kirchgang. Sie können auch verwendet werden, um personalisierte Werbung auf digitalen Plakatwänden zu schalten, während Sie vorbeigehen, und Google verfolgt und stellt seinen Kunden Informationen darüber zur Verfügung, wie gut Online-Anzeigen funktionieren, um Menschen in stationäre Geschäfte zu locken.

Schützen Sie Ihre Privatsphäre online

Wenn Sie einmal erkannt haben, dass Sie online verfolgt werden, ist es ratsam, sich so weit wie möglich bewusst dagegen zu wehren. Dr. Robert Epstein, leitender Forschungspsychologe am American Institute for Behavioral Research and Technology (AIBRT), erinnert daran, dass kostenlose Online-Dienste wie Facebook und Google nicht wirklich kostenlos sind, da Sie dafür mit Ihrer Freiheit bezahlen. Um einen Teil Ihrer Online-Privatsphäre zurückzugewinnen, sowohl für sich selbst als auch für Ihre Kinder, empfiehlt er:

• Schaffen Sie Gmail ab. Wenn Sie ein Gmail-Konto haben, versuchen Sie es stattdessen mit einem Nicht-Google-E-Mail-Dienst wie ProtonMail, einem verschlüsselten E-Mail-Dienst mit Sitz in der Schweiz.
• Deinstallieren Sie Google Chrome und verwenden Sie stattdessen den Browser Brave, der für alle Computer und Mobilgeräte verfügbar ist. Er blockiert Werbung und schützt Ihre Privatsphäre.
• Wechseln Sie die Suchmaschine. Versuchen Sie stattdessen die Suchmaschine Brave.
• Vermeiden Sie Android. Google-Telefone und Telefone, die Android verwenden, verfolgen praktisch alles, was Sie tun, und schützen Ihre Privatsphäre nicht. Es ist möglich, Ihr Handy zu entgoogeln, indem Sie sich ein Android-Handy ohne Google-Betriebssystem zulegen, aber Sie müssen einen erfahrenen IT-Spezialisten finden, der die Festplatte Ihres Handys neu formatieren kann.
• Vermeiden Sie Google Home-Geräte. Wenn Sie einen intelligenten Google Home-Lautsprecher oder die Smartphone-App Google Assistant besitzen, besteht die Möglichkeit, dass andere Personen Ihre Anfragen abhören, und zwar auch dann, wenn Sie es nicht erwarten.
• Löschen Sie Cache und Cookies. So können Sie sich von invasiven Computercodes befreien, die verfolgen, was Sie online tun.
• Verwenden Sie einen Proxy oder ein VPN (Virtual Private Network). Dieser Dienst schafft eine Pufferzone zwischen Ihnen und dem Internet und “täuscht viele Überwachungsfirmen darüber hinweg, dass Sie nicht Sie selbst sind”.

Quellen:

• ^{1, 4, 6, 7, 9, 10, 11, 12, 13} The Markup June 16, 2022
• ^2, 3 Meta for Developers, Meta Pixel
• ⁵ HealthIT.gov September 2021
• ⁸ Mozilla Rally, Facebook Pixel Hunt
• ¹⁴ The Markup June 15, 2022
• ^15, 16 CNET June 26, 2019
• ¹⁷ AP News August 13, 2018
• ^18, 19, 20 The New York Times January 24, 2022
• ²¹ Consumer Reports May 28, 2020
• ²² The Epoch Times, American Thought Leaders April 7, 2022
• ²³ Medium March 17, 2017