Internet-Portale, auf denen Nutzerinnen und Nutzer
Informationen zu psychischen Erkrankungen finden, geben deren Daten
offenbar an Drittunternehmen weiter. Davor warnt eine Studie der
Nichtregierungsorganisation Privacy International, die NDR und
"Süddeutscher Zeitung" exklusiv vorab auswerten konnten.
Für die Studie haben Forscherinnen und Forscher 136 Webseiten in
deutscher, englischer und französischer Sprache analysiert. Auf fast
allen Seiten haben sie Hinweise auf Drittanbieter gefunden - zum
Beispiel sogenannte Tracker, mit denen Werbe-Netzwerke Profile von
Nutzern erstellen können. Von den 44 in Deutschland untersuchten
Seiten hatten fast zwei Drittel solche Werbe-Tracker eingesetzt. Am
stärksten sind Nutzerinnen und Nutzer in Frankreich betroffen. Dort
wurden 41 Portale untersucht, mehr als 90 Prozent nutzten Tracker für
Werbezwecke.
Durch diese Werbe-Tracker ist es theoretisch möglich,
Informationen über mögliche Erkrankungen eines Nutzers zu speichern,
ohne dass dieser einwilligt oder davon weiß. Auf keiner der
untersuchten Seiten wurde im Test aktiv der Sammlung persönlicher
Daten zugestimmt. Dennoch wurden der Studie zufolge in vielen Fällen
Drittanbieter-Cookies angelegt, kleine Datenpakete, mit denen etwa
Werbe-Netzwerke personalisierte Nutzerprofile erstellen können.
Frederike Kaltenheuer, Leiterin der Abteilung Datenmissbrauch bei
Privacy International, warnt davor, dass Nutzer dadurch die Kontrolle
über die Informationen verlieren. Auch wenn personalisierte Werbung
zunächst ungefährlich klinge: "Das Ökosystem der Werbevermarkter ist
so intransparent, da ist nicht klar, in welche Hände die Daten
gelangen", sagte sie dem NDR. Beim Datensammeln für Werbezwecke "geht
es nicht nur darum, wer wir sind, was unsere Interessen sind, sondern
auch, wo wir uns gerade aufhalten, wie wir uns gerade fühlen. Das
kann auch zu anderen Zwecken genutzt werden", sagte Kaltenheuer.
In Stichproben konnten Reporterinnen und Reporter von NDR und SZ
bestätigen, dass die untersuchten Seiten Daten übermitteln, aus denen
sich Rückschlüsse auf das Nutzerverhalten ziehen lassen. So können
Drittanbieter beispielsweise anhand der Adresse der Unterseite
erkennen, dass sich ein Nutzer über psychische Erkrankungen
informiert hatte. Zum Teil wurde auch übermittelt, welche der Fragen
Nutzer in Selbst-Tests zur psychischen Verfassung beantwortet hatten.
Einer Zustimmung zu dieser Datenübertragung gaben die Nutzer in der
Stichprobe nicht. Antworten sind von den überprüften
deutschsprachigen Portalen nicht übermittelt worden.
Anders bei einem Fall aus Frankreich: Der Studie zufolge wurden
dort bei einem Selbst-Test zu psychischen Erkrankungen ohne
Zustimmung jede einzelne Antwort an Werbevermarkter übermittelt. Der
Anbieter platzierte gleichzeitig ein sogenanntes Cookie im Browser
des Nutzers und sammelt so weitere Erkenntnisse über das
Surf-Verhalten, die dann mit den Antworten des Depressionstests
verknüpft werden können.
Zu den untersuchten Seiten gehört in Deutschland unter anderem die
Webseite der Apotheken-Umschau. Wer sich dort über Depressionen
erkundigte, übermittelte - ohne Zustimmung - persönliche Daten an die
Server von Drittanbietern, darunter Vermarkter von Nutzerdaten zu
Werbezwecken. Auf Anfrage erklärte der Verlag der Apotheken-Umschau,
man habe Daten nur "entsprechend des Datenschutzes" verwendet.
Zurzeit prüfe man allerdings, ob die Werbung wirklich
datenschutzkonform sei. "Bis diese Prüfungen abgeschlossen sind, hat
der Verlag vorsorglich entschieden, die Werbung von seiner Website zu
nehmen und damit auch alle Werbetracking-Tools zu entfernen", hieß es
auf Anfrage.
Auch das Portal Netdoktor gibt der Studie zufolge Daten an
Drittanbieter weiter. Nutzer offenbaren mutmaßlich ungewollt neben
technischen Daten wie der IP-Adresse und damit verbunden einem groben
Standort auch die Tatsache, dass sie sich über psychische
Erkrankungen informieren: Schlagwörter wie "Depression" sind
theoretisch aus der Adresse der Webseite auslesbar.
Eine Sprecherin sagte, eine Speicherung gesundheitsbezogener Daten
finde nicht statt, Nutzer könnten lediglich anhand "eines Pseudonyms
erkannt (''getrackt'') werden". Dieses Vorgehen erfolge im Einklang mit
geltenden Datenschutzregeln. "Es wird weder gespeichert, auf welcher
konkreten Seite (...) ein Nutzer wie lange verweilt, noch wird
festgehalten, welches Leseverhalten ein User in Bezug auf
Gesundheitsinformationen hat", erklärte die Sprecherin. In den
Datenschutz-Erklärungen, die Netdoktor selbst im Internet
veröffentlich hat, heißt es hingegen, man nutze die Dienste eines
Drittanbieters, um "Nutzerverhalten (z. B. Mausbewegungen, Klicks,
Scrollhöhe) auf unseren Internetseiten erfassen und auswerten" zu
können. Auf Nachfrage erklärte die Sprecherin, dass das auf der
eigenen Seite beschriebene Auswertungstool aktuell nicht aktiviert
sei.
Netdoktor hat nach der Anfrage von NDR und SZ einen zusätzlichen
Datenschutzhinweis auf der Seite angebracht, in dem es heißt: "Auf
diesem Angebot werden Nutzungsdaten durch uns und eingebundene Dritte
erfasst und ausgewertet (sg. Tracking), u. a. mittels Cookies. Die
Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung."
Der stellvertretende Leiter der Hamburger Datenschutzbehörde,
Ulrich Kühn, kritisiert dieses Vorgehen: "Die Tracking-Mechanismen
sind längst aktiv, wenn ich diese Information sehe, das heißt, ich
fälle gar keine Entscheidung", sagte Kühn dem NDR. Gerade im Umgang
mit Gesundheitsdaten sei das nicht ausreichend und könne einen
Verstoß gegen Datenschutzgesetze und damit eine rechtswidrige
Datensammlung darstellen, die auch zu Sanktionen gegen die
Webseiten-Betreiber führen könne. Kühne fordert Unternehmen auf,
zuerst zu erklären, was mit den Daten geschieht, und dann die
ausdrückliche Zustimmung der Nutzer einzuholen, bevor Daten für
Marketing-Zwecke erhoben werden.
Auch die Internet-Auftritte mehrerer Kliniken hat die Studie
untersucht und dort Tracker gefunden. Ein Klinik-Betreiber erklärte
auf Anfrage, man wolle Besucher der Webseite in Zukunft explizit um
eine Einwilligung der Datenerfassung bitten, bis dahin habe man die
Programme abgeschaltet. Von einer anderen Klinik hieß es, man habe
die Tracking-Funktionen nach der Anfrage überprüft und deaktiviert,
auch wenn man sich an bestehende Datenschutzgesetze gehalten habe.
Die Leitung der Oberberg-Gruppe, nach eigenen Angaben der größte
Verbund privater Kliniken im Bereich Psychiatrie, Psychotherapie und
Psychosomatik im deutschsprachigen Raum, appelliert an die
Konkurrenz: "Nicht alles, was rechtmäßig ist, ist auch gut für die
Menschen. Können (soziale Netzwerke) in absehbarer Zeit keine
Transparenz herstellen, darf unsere Branche intransparente
Online-Vermarktungsmethoden nicht nutzen", schreibt die
Geschäftsführung auf NDR Anfrage. Man nehme die Recherche zum Anlass
und schalte die Werbe-Funktionen auf der eigenen Seite ab.
Die sogenannte Datenschutzgrundverordnung (DSVGO), die seit Mai
des vergangenen Jahres in Kraft ist, soll Nutzerinnen und Nutzer
eigentlich davor schützen, dass persönliche Daten ohne Zustimmung bei
Vermarktern landen. Bei einem Verstoß gegen die DSVGO drohen
Unternehmen hohe Strafen, in einem spektakulären Fall hat die
französische Datenschutz-Behörde gegen Google vergangenes Jahr eine
Strafzahlung von 50 Millionen Euro verhängt. Google geht gegen die
Entscheidung juristisch vor.
Pressekontakt:
Norddeutscher Rundfunk
Presse und Information
Iris Bents
Tel.: 040 / 4156-2304
Mail: i.bents@ndr.de
http://www.ndr.de
https://twitter.com/NDRpresse
Original-Content von: NDR Norddeutscher Rundfunk, übermittelt durch news aktuell
