Die Online-Plattform Doctolib, die von vielen Ärzten für Terminvereinbarungen verwendet wird, hat wohl kürzlich ihre Datenschutzhinweise aktualisiert. Der Pferdefuß: Ab sofort sollen persönliche Gesundheitsdaten von Nutzern für die Entwicklung von Künstlicher Intelligenz (KI) genutzt werden. Ich greife das Thema mal auf, nachdem jemand aus dem Medizinbereich mich auf die Thematik aufmerksam gemacht hat.
Anzeige
Es war eine kurze E-Mail eines Arztes, die mich Ende Februar 2025 erreicht und darüber informierte, dass Doctolib künftig Patientendaten für KI-Training verwendet. Der Ärztenachrichtendienst (nicht öffentlich) und auch der WDR (Diese Daten nutzt die Patientenplattform Doctolib für KI-Modelle haben im Februar 2025 über den Fall berichtet.
Wer ist Doctolib?
Doctolib SAS ist ein französisches Technologieunternehmen mit Sitz in Paris, das eine Software anbietet, die unter anderem die Online-Buchung von Terminen bei Ärzten, das Terminmanagement in Praxen und Gesundheitseinrichtungen sowie telemedizinische Videosprechstunden und die Kommunikation zwischen Ärzten und Patienten ermöglicht.
Die Software kam zudem in Berlin und Frankreich bei der Koordination von Terminen für Impfungen gegen COVID-19 zum Einsatz. Die Doctolib GmbH (Sitz: Berlin), ein Tochterunternehmen der Doctolib SAS, ist in Deutschland für die E-Health-Angebote des Unternehmens verantwortlich.
Mir ist die Plattform vor allem durch Datenschutzverstöße und Kritik von Datenschützern bekannt. Im Oktober 2018 beschwerten sich (laut Wikipedia) einige französische Ärztevertreter, weil die Namen einiger Kollegen angezeigt würden, obgleich diese Doctolib nicht mehr einsetzen würden. Patienten seien zu Ärzten umgeleitet worden, die mit Doctolib arbeiteten.
Anzeige
Ende Dezember 2020 wurde auf dem Chaos Communication Congress bekannt, dass bei Doctolib Daten gehackt worden seien. Es habe sich nicht um Patientendaten gehandelt, sondern um Metadaten. Doch auch Name, Adresse und Fachrichtung einer Praxis sowie Patientenname, -alter und -geschlecht könnten missbräuchlich verwendet werden.
2021 erhielt das Unternehmen den Big Brother Award, weil es nach Ansicht des Vereins Digitalcourage die Vertraulichkeitspflicht missachte und Daten von Nutzern und Patienten aus Arztpraxen für Marketingzwecke nutze. Bis zum 21. Juni 2021 hat Doctolib Daten (z. B. Suchbegriffe) an Facebook und Outbrain weitergegeben. Nach bekannt werden teilte Doctolib mit, es habe alle Marketing-Cookies entfernt. Es unterstrich, dass keine Informationen zu gebuchten Terminen und keine Dokumente, Videokonsultationen oder andere medizinische Daten weitergegeben worden seien.
Anpassung der Datenschutzhinweise
Nun hat Doctolib seine Datenschutzhinweise angepasst. Das Unternehmen plant, anonymisierte Patientendaten zu verwenden, um KI-Modelle zu trainieren, die unter
anderem bei der Auswertung von Video-Sprechstunden und der Erstellung von Arztbriefen helfen sollen. Dies betrifft alle Personen, die der Nutzung zustimmen, titelt der Ärztenachrichtendienst, der auf den WDR-Artikel Diese Daten nutzt die Patientenplattform Doctolib für KI-Modelle verweist.
Ich habe in obigem Ausriss mal die Passage aus den Datenschutzhinweisen von Januar 2025 herausgezogen (gelten ab 22. Februar 2025). Der Anbieter möchte diese Daten nutzen, um KI-Modelle zu trainieren. Der Plan: Im Laufe des Jahres 2025 soll es einen digitalen Sprechstunden-Assistenten geben, der auf künstlicher Intelligenz beruht.
Der KI-Assistent kann zum Beispiel eine Video-Sprechstunde auswerten – ein vertrauliches Gespräch zwischen Arzt und Patient). Der Plan von Doctolib sei es, die Diagnose, Medikamente und Behandlungspläne standardisiert in einen Arztbrief zu übertragen, schreibt der WDR.
Die dystopische Zukunft ist KI
Außerdem soll es in Zukunft mehr personalisierte Dienste geben, schreibt der WDR: Patienten werden einsehen können, wann sie bei welchem Arzt waren. Ihre medizinische Geschichte soll gespeichert werden oder sie sollen erinnert werden, wenn ein neues Rezept fällig ist.
War da nicht was? Das soll doch durch die ePA im Gesundheitswesen abgedeckt werden. Aber jetzt will ein Unternehmen an diesen Datenschatz heran. Erinnert mich an den Mediatixx-Ansatz, die Ärzte überreden wollen, Patientendaten aus dem Praxis-Verwaltungssystem (PVS) für weitere Zwecke ausleiten zu dürfen. Ich hatte im Beitrag Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten berichtet.
Doctolib ist bereits heute bei vielen Ärzten zur Terminvereinbarung die einzige Möglichkeit, so dass der oben skizzierte Ansatz in meinen Augen eine riesige Sauerei ist. Patienten, die sich bei Doctolib anmelden und die Annahme der neuen Datenschutzvereinbarung mit Nein ablehnen, sollen von der Datennutzung ausgenommen werden. Auch für Patienten, die kein Konto bei Doctolib haben, aber mit ihren Daten zu Doctolib wandern, weil die Arztpraxis das Portal nutzt, dürfen nicht in diese neuen Auswertungen einbezogen werden. Hier können wir drei Kreuze machen, dass in Europa die DSGVO gilt. netzpolitik.org hat in diesem Beitrag ebenfalls über das Thema berichtet.
Wer die Doctolib-App nutzt, kann unter Konto" und Meine Präferenzen der Weitergabe seiner Daten widersprechen, heißt es beim WDR. Der Ratschlag von Datenschützern und Verbraucherschutzzentralen lautet, möglichst keine oder wenig Daten mit Doctolib zu teilen. Ich würde von der Nutzung gänzlich abraten – die Kassenärztliche Vereinigung bietet die Buchung von Terminen an – und die Krankenkassen haben auch einen solchen Dienst.
Warum es keine gute Idee ist, Gesundheitsdaten – auch nicht anonymisiert – zur Auswertung durch KI weiter zu geben, lässt sich im heise-Interview KI-Modelle: Datenschutz verhindert missbräuchliche Sekundärnutzung nicht nachlesen.
Ähnliche Artikel:
Gesundheitsgesetze I: EU-Parlament macht Weg für EU Health Data Space (EHDS) frei
Gesundheitsgesetze II: Bundestag beschließt Digitalisierung im Gesundheitswesen (GDNG, DigiG)
Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?
Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko?
gematik-Gesellschafter haben Opt-out für elektronische Patientenakte (ePA) beschlossen
Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022)
Neustart in 2023 für Elektronische Patientenakte (ePA) geplant
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen CyberangriffeEU Gesundheitsdatenraum (European Health Data Space, EHDS): Erste Pläne, offene Fragen
Europäischer Gesundheitsdatenraum (EHDS) beschlossen – die Haken für Patienten
Büchse der Pandora: Die Gesundheitsdaten, KI (Copilot, Adobe AI) und der Patienten-/Datenschutz
re:publica: Kontra Datenschutz; wo ist die Medizinethikerin Buyx "falsch abgebogen?
Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay
Desaster Cyberangriff auf Change Healthcare der UnitedHealth Group
Elektronische Patientenakte: Das Ende der ärztlichen Schweigepflicht?
News aus dem Gesundheitswesen: ePA, Widerspruch, Schwachstellen und Ärzteärger
Elektronischer Medikationsplan (eMP): Implementierung zum Scheitern verurteilt?
Elektronische Patientenakte (ePA) und das (zwingende) Opt-out
Elektronische Patientenakte (ePA): Opt-out jetzt! Erste Pläne für Begehrlichkeiten
Sicherheitsgutachten zur elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Hebt Lauterbach mit Meta, OpenAI und Google den "Datenschatz"
Status elektronische Patientenakte (ePA 3.0): Weg ins Desaster?
Elektronische Patientenakte (ePA): Vernichtende Kritik von CCC und Fachleuten
Ärzte raten vorerst zum Verzicht bei der elektronischen Patientenakte (ePA)
Elektronische Patientenakte (ePA): Chaos vor dem Start zum 15.1.2025
Elektronischen Patientenakte (ePA) kommt erst im April; und weitere News
Anzeige
"die Kassenärztliche Vereinigung bietet die Buchung von Terminen an – und die Krankenkassen haben auch einen solchen Dienst."
Das stimmt leider so nicht. Die Kassenärztlichen Vereinigungen bieten den 116117 Terminservice TSS, über den man Arzttermine online buchen kann. Die TSS vermittelt jedoch keine Wunschtermine bei einem bestimmten Arzt /Psychotherapeuten.
Bei den Krankenkassen ist es unübersichtlich. Ich vermute, dass es auch da keinen Terminservicedienst wie bei Doctolib gibt, bei dem ich als Patient beim meinem Arzt einen Termin buchen kann.
Mich wundert es schon, das ein solcher Terminservicedienst nicht von den Kassen, den Kassenärztlichen Vereinigungen oder vom Gesundheitsministerium eingerichtet worden ist, und man das Feld der "Freien Wirtschaft" i.e. Doctolib überlässt.
Es ist, wie Du schreibst: Sowohl der 116117 Terminservice der Kassenärztlichen Vereinigung als auch der Krankenkasse bieten nur an, Termine bei irgend einem Facharzt zu bekommen – nicht bei einem bestimmten.
Nutzer werden gesammelt, Daten werden gesammelt, und dann werden die Daten tatsächlich auch genutzt, Überraschung.
Background Doctolib: Bei Detailbetrachtungen fällt Doctolib fast immer durch. Seit 2018. Bis jetzt. Von folgenden Gutachten noch unabhängig sind mögliche Defizite bei Wartung, Pflege und Betrieb im Sinne von ITSM, Security oder IT Governance. Hier eine Event-Chronologie und Gutachten u.a. vom Netzwerk Netzwerk Datenschutzexpertise [Grüße :-) !] als PDF-Deep-Link:
Gerade mal unter Meine Präferenzen nachgeschaut und alles deaktiviert, dachte ich.
Wenn man unter " Meine Präferenzen" unten dann bei Cookie Einstellungen reingeht und alles abgewählt hat, sollte man ganz nach unten scrollen und da bei " Unsere Partner verwalten " auch alles deaktivieren !
Habe ich auch gemacht und gespeichert, aber dann nochmal geprüft ob alles übernommen wurde.
War aber nicht so.
"Google Advertising Products" hat sich immer wieder selber aktiviert.
Mußte dann die App komplett beenden, den Cash und alle Daten löschen und dann die App von vorne neu einrichten.
Und da dann nochmal alles abgelehnt und deaktiviert. Erst dann hat es geklappt das alles abgewählt und gespeichert werden konnte. Auch das Google Dings.
Google wird immer Asoz….. .
Aber das wissen ja mittlerweile fast alle.
Denkt aber daran: wenn ihr den Cache und die Daten löscht sind alle Einstellungen und Co. weg.
Sind doch nur Gesundheitsdaten, der Mehrheit wird es leider erneut am Allerwertesten vorbei gehen.
Es gibt leider keine Alternative. Termin per Telefon bei fast alles Ärzten Fehlanzeige. „Wir sind so überlastet, bitte buchen sie nur online übet DoctorLib. Was anderes bieten wir nicht an".
Was soll man als Patient da machen?
Neulich beim Radiologen am Tresen ein Schild: Hier keine Terminvergabe möglich, rufen Sie die Hotline an (Fun Fact: da bekommt man sogar Termine, die man bei Doctolib für diese Praxis nicht findet).
Gegenbeispiel:
Anderes Facharztzentrum im Nachbarort angerufen: "Sie sind nicht aus der Stadt, dann können wir Sie nicht behandeln."
Also dann: Den Laden in Doctolib gefunden, Termin gebucht (anderer Wohnort war dort kein Problem), keine 3 Stunden später im Behandlungszimmer gesessen ;-)
Es ist alles in der App deaktiviert, was deaktivierbar ist.
Nach Seitas gutem Tipp oben habe ich jetzt auch noch die Cookie-Einstellungen optimiert.
Docotib hat kein Monopol auf Online-Terminbuchungen bei Arztpraxen; man muss nicht immer auf den vermeintlichen Marktführer setzen, zumal die Performance der Kalender aus Sicht einer MFA, die den lieben, langen Tag damit arbeiten muss, auch unterirdisch ist.
Ich erinnere das doctolib von lokalen Medien in Berlin schwer empfohlen wurde wenn es darum gibt eine Covid-19 Impfung zu vereinbaren. Es war nicht einfach denen aus dem Weg zu gehen. (Ich glaube Berlin.de hatte auch auf die verwiesen.)
In der IT gibt es diesen uralten Spruch, der gleichzeitig ein leider gutes Generalargument gegen jedwede Digitalisierung darstellt. "Wo ein Trog ist, kommen die Schweine." Und Patientendaten sind ein sehr süss riechender Trog. Die Frage ist wieviele Unternehmen gerade ihre AGB ändern, das Problem ist nicht doctolib allein. Kurios ist das alle immer schon davor gewarnt haben, aber irgendwie scheint "KI" den Angreifern jetzt das Tool zur Hand zu geben die Daten zu missbrauchen – zumindest denken die das. Patientendaten waren schon vor doctolib da aber jetzt kann man sie mit "KI" gewinnenbringend absaugen – wir reden hier von Geschäftsmodellen. Der krebskranke Patient profitiert nicht von "KI" – wird er auch zu Lebzeiten von allem was gerade lebt auch nicht.
"Die Gesellschaft muss erst den falschen Umgang mit einer neuartigen Technologie machen bevor sie den richtigen Umgang damit lernt." – Hegel
Wobei KI keine neuartige Technologie ist, aber der Glaube an die technische Erlösung ist jetzt hoch genug wo man in einem öffentlichen Transportmittel niemand mehr nicht in sein Smartphone starren sieht. Man KI jetzt verkaufen -und es läuft super.
Wo DSGVO? Kann man eigentlich auch bereits sagen, dass das eine Totgeburt ist?
Mike Kuketz Datenschutz: Was Patienten zu Doctolib und ihren Rechten wissen müssen