bedeckt München 20°

Depression:Wie Hilfesuchende im Netz erfasst werden

Smart Phone Health Data german Flat Design PUBLICATIONxINxGERxSUIxAUTxONLY Copyright xkeportx P
(Foto: imago; Bearbeitung SZ)
  • Webseiten, auf denen Nutzer Informationen zu psychischen Erkrankungen finden können, geben reihenweise Nutzer-Daten zu Werbezwecken an Drittunternehmen weiter. Davor warnt eine Analyse der Nichtregierungsorganisation Privacy International.
  • Das ist fragwürdig, weil Drittanbieter anhand der weitergegebenen Daten erkennen könnten, dass sich ein Besucher über psychische Erkrankungen informiert hat oder gar einen Depressions-Selbsttest gemacht hat.

Wer fürchtet, an einer Depression zu leiden und im Internet Hilfe sucht, wird dabei in vielen Fällen beobachtet. Ein Großteil beliebter Webseiten, auf denen sich Besucher über psychische Krankheiten informieren können, leitet Nutzungsdaten an andere Unternehmen weiter, die augenscheinlich gar nichts mit den Gesundheits-Webseiten zu tun haben. Unter den Unternehmen sind große Werbenetzwerke und Unternehmen wie Google, Amazon und Facebook. Drittanbieter könnten anhand der weitergegeben Daten erkennen, dass sich ein Besucher über psychische Erkrankungen informiert hat oder gar einen Depressions-Selbsttest gemacht hat. Das zeigt eine Analyse der Organisation Privacy International (PI), die Süddeutscher Zeitung und NDR exklusiv vorlag. In vielen Fällen werden diese Daten ohne die Zustimmung des Nutzers weitergegeben.

Heikel ist das vor allem, weil wenige Themen so schambesetzt sind wie psychische Krankheiten. Daten, die Rückschlüsse auf die Gesundheit Einzelner zulassen können, sollten deshalb nicht nur in der Krankenakte beim Arzt, sondern auch im Netz besonders geschützt sein.

Für ihre Analyse untersuchte PI, eine in London ansässige Organisation, 136 beliebte Webseiten für psychische Gesundheit in Deutschland, Frankreich und Großbritannien. Webseiten bestehen aus verschiedenen Software-Bausteinen. Nicht über alle davon hat der Betreiber der Seite die volle Kontrolle. Mehr als 97 Prozent der untersuchten Seiten enthielten Elemente von Drittanbietern. Diese können harmlos ein und zum Beispiel nur visuelle Effekte auf der Seite steuern. Andere werden aber eingesetzt, um Besuchern Werbung anzuzeigen, Daten über ihr Verhalten zu erfassen und an andere Firmen weiterzuleiten.

Die 44 untersuchten deutschen Seiten enthielten im Schnitt mehr als acht Elemente von Drittanbietern und übermittelten in mehr als sieben Fällen Tracking-Cookies solcher Firmen. Cookies sind Daten, die auf dem Gerät eines Internetnutzers gespeichert werden, wenn er eine Webseite besucht. Anhand einer eindeutigen Identitätsnummer können Cookies von Drittanbietern Nutzer über verschiedene Webseiten verfolgen. Ziel ist, ihm passgenau maßgeschneiderte Werbung anhand seiner vermuteten Interessen anzeigen zu können.

In eigener Sache:

Auch die SZ setzt Tracking-Technologie ein. SZ.de erklärt auf dieser Seite, welche Tracker auf unseren Seiten eingesetzt werden und wie sie deaktiviert werden können.

Viele Anbieter fragen nicht einmal um Erlaubnis, ob sie Daten speichern dürfen

Fast zwei Drittel der Elemente, die PI entdeckte, wurden von den Gesundheits-Webseiten für Werbung eingesetzt. Die Seiten ermöglichen es Werbenetzwerken, ihre ohnehin große Datensammlung um intime Details zu ergänzen. Vier von neun näher untersuchten Seiten fragen der Studie zufolge nicht um Erlaubnis, bevor sie einen Cookie beim Besucher hinterlegen. Ulrich Kühn, als stellvertretender Leiter der Hamburger Datenschutzbehörde unter anderem für die Aufsicht über Facebook zuständig, sagt: Ohne Einwilligung gebe es "keine Rechtsgrundlage" für die Datenweitergabe. Das sei "ein klarer Verstoß gegen die Datenschutz-Grundverordnung". Die DSGVO stellt Gesundheitsdaten auf eine Stufe mit Informationen über sexuelle Orientierung, genetische und biometrische Merkmale, sowie Informationen über "rassische und ethnische Herkunft", Religion und Weltanschauung.

PI empfiehlt, dass gerade Seiten, die sensible Themen wie psychische Gesundheit behandeln, komplett auf verhaltensorientierte Anzeigen verzichten. Die Organisation nahm auch Webseiten unter die Lupe, die Depressions-Selbsttests anbieten. In diesen Fällen wird auch die Adresse der Webseite an Werbetreibende weitergeleitet, wie etwa netdoktor.de/selbsttests/depressionstest-nach-goldberg oder nie-mehr-depressiv.de/depressionstest/. Anhand der Adresse könnten Werbetreibende den Inhalt der Webseite herausfinden und ihn Besuchern zuordnen - was viele Hilfesuchende sicher nicht möchten. Einige Selbsttests erwecken den Eindruck, man könne sie komplett anonym nutzen. Dem ist nicht so: Um die untersuchten Tests herum identifizierte Privacy International jeweils Dutzende Tracker, die Informationen speichern und diese wiederum mit Informationen anderer Webseiten verknüpfen können. Dadurch können personenbezogene Profile entstehen.

Immerhin: Die Antworten werden in den untersuchten deutschen Fällen nicht übertragen. Die Drittanbieter wissen im Zweifel nur, dass ein Nutzer einen Depressionstest gemacht hat und bis zu welcher Frage geklickt wurde. Für welche Antwortmöglichkeit sich der Nutzer entschieden hat, welche Symptome er also bei sich selbst beobachtet, kann aus den übertragenen Daten nicht geschlossen werden. Allerdings teilen mehrere französisch- und englischsprachige Webseiten die Antworten des Nutzers mit Drittanbietern, wie PI in der Analyse schreibt.

Whistleblowing Sie haben Informationen, die Sie uns anvertrauen möchten?

Kontakt

Sie haben Informationen, die Sie uns anvertrauen möchten?

Hier erreichen Sie das Investigativ-Team der Süddeutschen Zeitung.

Die Webseite Netdoktor.de ist eine der beliebtesten digitalen Anlaufstellen für Gesundheitsfragen der Deutschen. Sie setzt Privacy International zufolge die meisten Drittanbieter-Elemente aller untersuchten deutschen Webseiten ein. Darunter ist etwa ein Cookie der französischen Werbefirma Criteo, die eigenen Angaben zufolge Daten zum Besucherverhalten auf mehreren Webseiten sammelt, um "relevantere" Werbung zu präsentieren. Laut PI hat ein Drittanbieter wie Criteo dadurch auch Zugriff auf die Adresse der Webseite und damit auf die Information, dass der Besucher einen Test aufgerufen hat. Netdoktor erklärt, dass keine Speicherung gesundheitsbezogener Daten stattfinde. Genauso wenig würden entsprechende Daten an Dritte weitergegeben oder gar veräußert. Man halte sich an geltendes Datenschutzrecht.

Auch deutsche Kliniken nutzen im Netz problematische Marketing-Werkzeuge

Allerdings kann beim Besuch der Webseite die IP-Adresse des Nutzers und der Inhalt seitenübergreifender Cookies an eine Vielzahl von Drittanbietern übermittelt werden. Die IP-Adresse gilt unter Datenschützern als personenbezogen. In Kombination mit anderen Daten wie besuchten Webseiten ist sie besonders wertvoll für Werber. Frederike Kaltheuner von PI sagt: "Das Problem bei diesen Webseiten ist, dass schon die Adresse der Webseite sehr viel über uns preis gibt: Test, Symptome, bin ich depressiv - das sagt das schon sehr viel über mich aus."

Auch die Internetseiten mehrerer deutscher Kliniken gehen laut der Untersuchung nicht sensibel genug mit den Daten ihrer Besucher um. Nach Anfragen von SZ und NDR erklärten mehrere der Kliniken, einzelne Marketing-Werkzeuge von Drittanbietern auf ihren Webseiten vorerst abzuschalten.

Erst vergangene Woche hatte eine Recherche der SZ gezeigt, wie problematisch Nachlässigkeit beim Umgang mit Informationen über die Gesundheit von Menschen im Internet sein kann. Die Webseite vom Blutspendedienst des Bayerischen Roten Kreuzes bietet eine Umfrage für potentielle Blutspender an, in der unter anderem nach HIV- und Hepatitis-Infektionen oder Schwangerschaftsabbrüchen gefragt wurde. Durch eine Fehlkonfiguration übertrug die Webseite wochenlang die Antworten an Facebook. Der Blutspendedienst hat diese Übertragung nun abgestellt. Das Bayerische Landesamt für Datenschutzaufsicht untersucht den Fall.

Digitale Privatsphäre Blutspendedienst übermittelte heikle Daten an Facebook

Bayerisches Rotes Kreuz

Blutspendedienst übermittelte heikle Daten an Facebook

"Konsumieren Sie Drogen?" "HIV-positiv?" Der Blutspendedienst des BRK gab persönliche Informationen an Facebook. Ein kleiner Fehler auf einer Webseite war die Ursache.   Von Matthias Eberl