Facebook erhält sensible medizinische Informationen
3 min
Facebook erhält sensible medizinische Informationen von Krankenhaus-Websites
Experten sagen, dass die Verwendung eines Tools zur Anzeigenverfolgung durch einige Krankenhäuser gegen ein Bundesgesetz zum Schutz von Gesundheitsinformationen verstossen könnte.
Ein Tracking-Tool, das auf den Websites vieler Krankenhäuser installiert ist, sammelt sensible Gesundheitsdaten von Patienten - einschliesslich Details über deren Gesundheitszustand, Rezepte und Arzttermine - und sendet sie an Facebook.
The Markup hat die Websites der 100 besten Krankenhäuser Amerikas von Newsweek getestet. Auf 33 von ihnen fanden wir den Tracker, den so genannten Meta Pixel, der immer dann ein Datenpaket an Facebook sendet, wenn eine Person auf eine Schaltfläche zur Planung eines Arzttermins klickt. Die Daten werden mit einer IP-Adresse verknüpft - einer Kennung, die mit der Postadresse eines Computers vergleichbar ist und in der Regel mit einer bestimmten Person oder einem Haushalt in Verbindung gebracht werden kann -, so dass Facebook einen genauen Einblick in die Terminanfrage erhält.
Auf der Website des University Hospitals Cleveland Medical Center beispielsweise führte ein Klick auf die Schaltfläche "Online-Termin vereinbaren" auf der Seite eines Arztes dazu, dass das Meta Pixel den Text der Schaltfläche, den Namen des Arztes und den Suchbegriff, mit dem wir sie gefunden haben, an Facebook sendete: "Schwangerschaftsabbruch".
Ein Klick auf die Schaltfläche "Jetzt online einen Termin vereinbaren" für einen Arzt auf der Website des Froedtert-Krankenhauses in Wisconsin veranlasste das Meta Pixel dazu, Facebook den Text der Schaltfläche, den Namen des Arztes und die von uns aus einem Dropdown-Menü ausgewählte Krankheit zu übermitteln: "Alzheimer".
The Markup fand das Meta Pixel auch in den passwortgeschützten Patientenportalen von sieben Gesundheitssystemen. Auf fünf Seiten dieser Systeme haben wir dokumentiert, dass das Pixel Facebook-Daten über echte Patienten sendet, die sich freiwillig zur Teilnahme am Pixel Hunt-Projekt gemeldet haben, einer Zusammenarbeit zwischen The Markup und Mozilla Rally. Bei dem Projekt handelt es sich um ein Crowd-Sourcing-Projekt, bei dem jeder das Rally-Browser-Add-on von Mozilla installieren kann, um The Markup Daten über den Meta-Pixel zu senden, der auf den von ihm besuchten Websites erscheint. Zu den Daten, die an Krankenhäuser gesendet wurden, gehörten die Namen der Medikamente von Patienten, Beschreibungen ihrer allergischen Reaktionen und Details über ihre bevorstehenden Arzttermine.
Ehemalige Aufsichtsbehörden, Experten für die Sicherheit von Gesundheitsdaten und Verfechter des Datenschutzes, die die Ergebnisse von The Markup überprüft haben, sind der Ansicht, dass die fraglichen Krankenhäuser möglicherweise gegen den Health Insurance Portability and Accountability Act (HIPAA) des Bundes verstossen haben. Das Gesetz verbietet es betroffenen Einrichtungen wie Krankenhäusern, personenbezogene Gesundheitsdaten an Dritte wie Facebook weiterzugeben, es sei denn, die betroffene Person hat vorher ausdrücklich zugestimmt oder es liegen bestimmte Verträge vor.
Weder die Krankenhäuser noch Meta gaben an, solche Verträge abgeschlossen zu haben, und The Markup fand keine Hinweise darauf, dass die Krankenhäuser oder Meta auf andere Weise die ausdrückliche Zustimmung der Patienten einholten.
"Ich bin zutiefst beunruhigt über das, was [die Krankenhäuser] mit der Erfassung ihrer Daten und deren Weitergabe tun", sagte David Holtzman, ein Berater für Datenschutz im Gesundheitswesen, der zuvor als leitender Berater für Datenschutz im Büro für Bürgerrechte des US-Gesundheitsministeriums tätig war, das den HIPAA durchsetzt. "Ich kann nicht sagen, dass [die Weitergabe dieser Daten] mit Sicherheit ein Verstoß gegen den HIPAA ist. Es ist aber sehr wahrscheinlich ein Verstoss gegen den HIPAA.
Der Sprecher des University Hospitals Cleveland Medical Center, George Stamatis, antwortete nicht auf die Fragen von The Markup, sagte aber in einer kurzen Erklärung, dass das Krankenhaus "alle geltenden Bundes- und Landesgesetze und regulatorischen Anforderungen erfüllt".
Nachdem das Froedtert Hospital die Ergebnisse von The Markup überprüft hatte, entfernte es das Meta Pixel von seiner Website "aus reiner Vorsicht", schrieb Steve Schooff, ein Sprecher des Krankenhauses, in einer Erklärung.
Mit Stand vom 15. Juni hatten sechs weitere Krankenhäuser ebenfalls Pixel von ihren Terminbuchungsseiten entfernt, und mindestens fünf der sieben Gesundheitssysteme, die Meta-Pixel in ihren Patientenportalen installiert hatten, hatten diese Pixel entfernt.
Die 33 Krankenhäuser, bei denen The Markup herausfand, dass sie Patiententerminangaben an Facebook senden, meldeten 2020 zusammen mehr als 26 Millionen Patientenaufnahmen und ambulante Besuche, wie aus den jüngsten Daten der American Hospital Association hervorgeht. Unsere Untersuchung beschränkte sich auf etwas mehr als 100 Krankenhäuser; die Weitergabe von Daten betrifft wahrscheinlich viel mehr Patienten und Einrichtungen, als wir ermittelt haben.
Facebook selbst unterliegt nicht dem HIPAA, aber die für diesen Artikel befragten Experten äußerten Bedenken darüber, wie der Werberiese die von ihm gesammelten persönlichen Gesundheitsdaten für seinen eigenen Profit nutzen könnte.
"Dies ist ein extremes Beispiel dafür, wie weit die Tentakel von Big Tech in das hineinreichen, was wir für einen geschützten Datenraum halten", sagte Nicholson Price, ein Rechtsprofessor der University of Michigan, der sich mit Big Data und dem Gesundheitswesen beschäftigt.