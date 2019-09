Hamburg (ots) - Internet-Portale, auf denen Nutzerinnen und Nutzer Informationen zu psychischen Erkrankungen finden, geben deren Daten offenbar an Drittunternehmen weiter. Davor warnt eine Studie der Nichtregierungsorganisation Privacy International, die NDR und "Süddeutscher Zeitung" exklusiv vorab auswerten konnten.



Für die Studie haben Forscherinnen und Forscher 136 Webseiten in deutscher, englischer und französischer Sprache analysiert. Auf fast allen Seiten haben sie Hinweise auf Drittanbieter gefunden - zum Beispiel sogenannte Tracker, mit denen Werbe-Netzwerke Profile von Nutzern erstellen können. Von den 44 in Deutschland untersuchten Seiten hatten fast zwei Drittel solche Werbe-Tracker eingesetzt. Am stärksten sind Nutzerinnen und Nutzer in Frankreich betroffen. Dort wurden 41 Portale untersucht, mehr als 90 Prozent nutzten Tracker für Werbezwecke.



Durch diese Werbe-Tracker ist es theoretisch möglich, Informationen über mögliche Erkrankungen eines Nutzers zu speichern, ohne dass dieser einwilligt oder davon weiß. Auf keiner der untersuchten Seiten wurde im Test aktiv der Sammlung persönlicher Daten zugestimmt. Dennoch wurden der Studie zufolge in vielen Fällen Drittanbieter-Cookies angelegt, kleine Datenpakete, mit denen etwa Werbe-Netzwerke personalisierte Nutzerprofile erstellen können.



Frederike Kaltenheuer, Leiterin der Abteilung Datenmissbrauch bei Privacy International, warnt davor, dass Nutzer dadurch die Kontrolle über die Informationen verlieren. Auch wenn personalisierte Werbung zunächst ungefährlich klinge: "Das Ökosystem der Werbevermarkter ist so intransparent, da ist nicht klar, in welche Hände die Daten gelangen", sagte sie dem NDR. Beim Datensammeln für Werbezwecke "geht es nicht nur darum, wer wir sind, was unsere Interessen sind, sondern auch, wo wir uns gerade aufhalten, wie wir uns gerade fühlen. Das kann auch zu anderen Zwecken genutzt werden", sagte Kaltenheuer.



In Stichproben konnten Reporterinnen und Reporter von NDR und SZ bestätigen, dass die untersuchten Seiten Daten übermitteln, aus denen sich Rückschlüsse auf das Nutzerverhalten ziehen lassen. So können Drittanbieter beispielsweise anhand der Adresse der Unterseite erkennen, dass sich ein Nutzer über psychische Erkrankungen informiert hatte. Zum Teil wurde auch übermittelt, welche der Fragen Nutzer in Selbst-Tests zur psychischen Verfassung beantwortet hatten. Einer Zustimmung zu dieser Datenübertragung gaben die Nutzer in der Stichprobe nicht. Antworten sind von den überprüften deutschsprachigen Portalen nicht übermittelt worden.



Anders bei einem Fall aus Frankreich: Der Studie zufolge wurden dort bei einem Selbst-Test zu psychischen Erkrankungen ohne Zustimmung jede einzelne Antwort an Werbevermarkter übermittelt. Der Anbieter platzierte gleichzeitig ein sogenanntes Cookie im Browser des Nutzers und sammelt so weitere Erkenntnisse über das Surf-Verhalten, die dann mit den Antworten des Depressionstests verknüpft werden können.



Zu den untersuchten Seiten gehört in Deutschland unter anderem die Webseite der Apotheken-Umschau. Wer sich dort über Depressionen erkundigte, übermittelte - ohne Zustimmung - persönliche Daten an die Server von Drittanbietern, darunter Vermarkter von Nutzerdaten zu Werbezwecken. Auf Anfrage erklärte der Verlag der Apotheken-Umschau, man habe Daten nur "entsprechend des Datenschutzes" verwendet. Zurzeit prüfe man allerdings, ob die Werbung wirklich datenschutzkonform sei. "Bis diese Prüfungen abgeschlossen sind, hat der Verlag vorsorglich entschieden, die Werbung von seiner Website zu nehmen und damit auch alle Werbetracking-Tools zu entfernen", hieß es auf Anfrage.



Auch das Portal Netdoktor gibt der Studie zufolge Daten an Drittanbieter weiter. Nutzer offenbaren mutmaßlich ungewollt neben technischen Daten wie der IP-Adresse und damit verbunden einem groben Standort auch die Tatsache, dass sie sich über psychische Erkrankungen informieren: Schlagwörter wie "Depression" sind theoretisch aus der Adresse der Webseite auslesbar.



Eine Sprecherin sagte, eine Speicherung gesundheitsbezogener Daten finde nicht statt, Nutzer könnten lediglich anhand "eines Pseudonyms erkannt ('getrackt') werden". Dieses Vorgehen erfolge im Einklang mit geltenden Datenschutzregeln. "Es wird weder gespeichert, auf welcher konkreten Seite (...) ein Nutzer wie lange verweilt, noch wird festgehalten, welches Leseverhalten ein User in Bezug auf Gesundheitsinformationen hat", erklärte die Sprecherin. In den Datenschutz-Erklärungen, die Netdoktor selbst im Internet veröffentlich hat, heißt es hingegen, man nutze die Dienste eines Drittanbieters, um "Nutzerverhalten (z. B. Mausbewegungen, Klicks, Scrollhöhe) auf unseren Internetseiten erfassen und auswerten" zu können. Auf Nachfrage erklärte die Sprecherin, dass das auf der eigenen Seite beschriebene Auswertungstool aktuell nicht aktiviert sei.



Netdoktor hat nach der Anfrage von NDR und SZ einen zusätzlichen Datenschutzhinweis auf der Seite angebracht, in dem es heißt: "Auf diesem Angebot werden Nutzungsdaten durch uns und eingebundene Dritte erfasst und ausgewertet (sg. Tracking), u. a. mittels Cookies. Die Nutzung der Seite gilt als Zustimmung zur Cookie-Nutzung."



Der stellvertretende Leiter der Hamburger Datenschutzbehörde, Ulrich Kühn, kritisiert dieses Vorgehen: "Die Tracking-Mechanismen sind längst aktiv, wenn ich diese Information sehe, das heißt, ich fälle gar keine Entscheidung", sagte Kühn dem NDR. Gerade im Umgang mit Gesundheitsdaten sei das nicht ausreichend und könne einen Verstoß gegen Datenschutzgesetze und damit eine rechtswidrige Datensammlung darstellen, die auch zu Sanktionen gegen die Webseiten-Betreiber führen könne. Kühne fordert Unternehmen auf, zuerst zu erklären, was mit den Daten geschieht, und dann die ausdrückliche Zustimmung der Nutzer einzuholen, bevor Daten für Marketing-Zwecke erhoben werden.



Auch die Internet-Auftritte mehrerer Kliniken hat die Studie untersucht und dort Tracker gefunden. Ein Klinik-Betreiber erklärte auf Anfrage, man wolle Besucher der Webseite in Zukunft explizit um eine Einwilligung der Datenerfassung bitten, bis dahin habe man die Programme abgeschaltet. Von einer anderen Klinik hieß es, man habe die Tracking-Funktionen nach der Anfrage überprüft und deaktiviert, auch wenn man sich an bestehende Datenschutzgesetze gehalten habe.



Die Leitung der Oberberg-Gruppe, nach eigenen Angaben der größte Verbund privater Kliniken im Bereich Psychiatrie, Psychotherapie und Psychosomatik im deutschsprachigen Raum, appelliert an die Konkurrenz: "Nicht alles, was rechtmäßig ist, ist auch gut für die Menschen. Können (soziale Netzwerke) in absehbarer Zeit keine Transparenz herstellen, darf unsere Branche intransparente Online-Vermarktungsmethoden nicht nutzen", schreibt die Geschäftsführung auf NDR Anfrage. Man nehme die Recherche zum Anlass und schalte die Werbe-Funktionen auf der eigenen Seite ab.



Die sogenannte Datenschutzgrundverordnung (DSVGO), die seit Mai des vergangenen Jahres in Kraft ist, soll Nutzerinnen und Nutzer eigentlich davor schützen, dass persönliche Daten ohne Zustimmung bei Vermarktern landen. Bei einem Verstoß gegen die DSVGO drohen Unternehmen hohe Strafen, in einem spektakulären Fall hat die französische Datenschutz-Behörde gegen Google vergangenes Jahr eine Strafzahlung von 50 Millionen Euro verhängt. Google geht gegen die Entscheidung juristisch vor.



