Cerebral 'Verletzung der Privatsphäre', da die FTC gegen die gemeinsame Nutzung von Daten vorgeht
Telehealth-Firma Cerebral räumt "Datenschutzverletzung" ein, während die FTC gegen die gemeinsame Nutzung von Daten vorgeht
Das in den USA ansässige Online-Therapieunternehmen Cerebral hat zugegeben, unrechtmäßig sensible Gesundheitsdaten mit Google, TikTok, Meta und anderen Plattformen geteilt zu haben. Das Unternehmen informierte seine Nutzer am 15. März auf seiner Website über einen Verstoß gegen den Health Insurance Portability and Accountability Act (HIPAA).
Das Eingeständnis von Cerebral kommt zu einem Zeitpunkt, an dem die US-amerikanische Federal Trade Commission (FTC) ihren Griff auf Online-Werbung verschärft, insbesondere bei Anbietern von Fernbehandlungen.
Die jüngsten FTC-Sanktionen gegen die Telemedizin-Unternehmen GoodRX und BetterHelp deuten auf ein Durchsetzungsmuster hin, das sich auch auf Cerebral auswirken könnte. In diesem Artikel wird untersucht, was Cerebral falsch gemacht hat und warum dies im derzeitigen Klima, in dem der Datenschutz im Vordergrund steht, so wichtig ist.
Was ist passiert?
Die [Mitteilung] (https://cerebral.com/static/hippa_privacy_breach-4000c6eb21449c2ecd8bd13706750cc2.pdf) von Cerebral warnt die Nutzer vor einem "kürzlich entdeckten Problem", das die "versehentliche" Weitergabe von Daten betrifft. Die Mitteilung ist das Ergebnis einer internen Überprüfung der Datenweitergabepraxis von Cerebral, die am 3. Januar 2023 abgeschlossen wurde.
Cerebral sagt, dass es "wie andere in vielen Branchen" Online-Tracking-Technologien wie Pixel verwendet, um persönliche Informationen zu Werbezwecken weiterzugeben. Das Unternehmen nennt Meta, TikTok und Google als drei Beispiele für Drittanbieter-Plattformen, mit denen Cerebral Daten geteilt hat.
In Anbetracht der sensiblen Informationen, die die Nutzer Cerebral zur Verfügung stellen, ist jeder Verstoß gegen das Datenschutzrecht potenziell sehr schwerwiegend.
Welche Daten wurden weitergegeben?
Nach Angaben von Cerebral wurden unter anderem folgende Daten unrechtmäßig weitergegeben:
- Name
- Telefonnummer
- E-Mail Adresse
- Geburtsdatum
- IP-Adresse
- ID-Nummer des Cerebral-Kunden
- Andere demografische Informationen
- Informationen, die Cerebral während des Selbstbewertungsprozesses zur Verfügung gestellt wurden
- Details zum Abonnement
- Details zum Termin
- Angaben zur Behandlung
- Angaben zur Krankenkasse
Einige dieser Informationen sind besonders sensibel. Wenn ein Nutzer sich selbst für eine Therapie einschreibt, kann er Einzelheiten über seine Medikamente, Symptome und seinen psychischen Zustand preisgeben.
Auch andere Informationen, wie der Name oder die E-Mail-Adresse eines Nutzers, können verraten, dass eine Person eine Therapie anstrebt. Daher könnten alle Informationen, die mit dem Konto eines Cerebral-Nutzers verbunden sind, als "Gesundheitsdaten" oder "geschützte Gesundheitsinformationen" betrachtet werden.
Hat Cerebral gegen das Gesetz verstoßen?
In der Mitteilung von Cerebral an die Nutzer heißt es, dass das Unternehmen einen "Verstoß gegen den HIPAA-Datenschutz" begangen hat, indem es geschützte Gesundheitsinformationen (PHI) an Dritte weitergegeben hat, ohne die "nach dem HIPAA erforderlichen Zusicherungen" einzuholen.
In den [Datenschutzrichtlinien] von Cerebral (https://cerebral.com/privacy-policy) heißt es, dass Cerebral keine vom HIPAA abgedeckte Einrichtung ist, dass es jedoch manchmal als "Geschäftspartner" einiger Unternehmen fungiert, die vom HIPAA abgedeckt sind.
Geschäftspartner können geschützte Gesundheitsdaten von HIPAA-Einheiten (wie Gesundheitsplänen, Clearingstellen für das Gesundheitswesen und einigen Gesundheitsdienstleistern) erhalten, die einem Vertrag unterliegen, der die Verwendung der Daten einschränkt.
Es ist nicht klar, ob Cerebral diese Offenlegung als Geschäftspartner vornimmt oder ob das Unternehmen seine Aktivitäten jetzt als direkt im Geltungsbereich des HIPAA liegend betrachtet.
In jedem Fall gibt es andere US-Gesetze, die es dem Unternehmen verbieten würden, personenbezogene Daten ohne Benachrichtigung oder Zustimmung weiterzugeben.
Warum hat Cerebral diese Daten offengelegt?
Cerebral weist darauf hin, dass viele andere Unternehmen personenbezogene Daten auf diese Weise an Werbetreibende weitergeben. Dies mag nicht als Entschuldigung für einen Verstoß gegen den HIPAA gelten. Aber es stimmt, dass solche Praktiken relativ weit verbreitet sind.
Plattformen geben Daten an soziale Mediennetzwerke weiter, um Wachstum und Umsatz zu steigern. So helfen beispielsweise Informationen über die demografischen Daten bestehender Cerebral-Nutzer Plattformen wie Meta dabei, Anzeigen gezielt an ähnliche Personen (d. h. potenzielle Kunden) zu richten.
Angesichts der aktuellen Durchsetzungstrends könnte diese allzu gängige Praxis jedoch bald seltener werden.
FTC-Sanktionen für die gemeinsame Nutzung von Daten
Es gibt zwei sehr aktuelle Beispiele für Durchsetzungsmaßnahmen gegen Unternehmen, die Cerebral ähneln. Diese Fälle deuten darauf hin, dass die FTC die leichtfertige Weitergabe personenbezogener Daten an Werbetreibende ernst nimmt.
GoodRx-Vergleich
Im Februar 2023 schloss die FTC [einen Vergleich mit GoodRx] (https://www.ftc.gov/news-events/news/press-releases/2023/02/ftc-enforcement-action-bar-goodrx-sharing-consumers-sensitive-health-info-advertising), einem Telemedizin-Unternehmen, das preisgünstige verschreibungspflichtige Medikamente anbietet.
Wie Cerebral hat auch GoodRx zugegeben, Nutzerdaten an Drittplattformen wie Meta, Google und Criteo weiterzugeben.
Hier ist ein Beispiel für einen der Verstöße von GoodRx.
- GoodRx erstellte Listen von Personen, die Medikamente gegen Herzkrankheiten und Blutdruck gekauft hatten.
- Es gab Daten über diese Nutzer an Meta weiter, einschließlich ihrer E-Mail-Adressen, Telefonnummern und Werbe-IDs.
- Meta glich diese Daten mit den Facebook-Profilen der Nutzer ab.
- GoodRx schaltete für die Nutzer "relevante" Werbung auf Facebook.
All dies geschah trotz der zahlreichen Datenschutzzusagen von GoodRx gegenüber den Nutzern.
GoodRx hat sich mit der FTC im Rahmen der Health Breach Notification Rule geeinigt. Das Unternehmen stimmte zu, eine Zivilstrafe in Höhe von 1,5 Millionen Dollar zu zahlen und darf keine Daten zu Werbezwecken weitergeben.
BetterHelp-Vergleich
[BetterHelp] (https://www.ftc.gov/system/files/ftc_gov/pdf/202_3169-betterhelp-consent.pdf) ist wie Cerebral ein Anbieter von Ferntherapie. Im März stimmte das Unternehmen nach einer FTC-Untersuchung seiner Datenweitergabepraktiken der Zahlung einer Zivilstrafe in Höhe von 7,8 Millionen Dollar zu.
BetterHelp hat ähnliche Verstöße wie GoodRx und Cerebral begangen: die Weitergabe von Nutzerdaten an Plattformen Dritter. In dem Fall werden Meta (natürlich) sowie Snapchat und Pintrest genannt.
BetterHelp hat wiederholt versprochen, die persönlichen Daten seiner Nutzer nicht weiterzugeben, aber es wurde festgestellt, dass das Unternehmen Informationen über die Medikamente und Behandlungen seiner Nutzer zu Werbezwecken weitergegeben hat.
Die FTC war besonders darüber besorgt, wie BetterHelp die E-Mail-Adressen seiner Nutzer an Facebook weitergab. Diese E-Mail-Adressen hatten zwar ein als "Hashing" bekanntes Sicherheitsverfahren durchlaufen, doch war die Identität der Nutzer dadurch nicht geschützt, da Facebook die einzelnen Nutzer immer noch identifizieren konnte.
BetterHelp einigte sich auf der Grundlage des FTC Act, eines Verbraucherschutzgesetzes, das "betrügerische oder irreführende Geschäftspraktiken" verbietet. Der Fall drehte sich um die gebrochenen Versprechen von BetterHelp und die fehlende Zustimmung.
Wie geht es für Cerebral weiter?
Cerebral sagt, dass es die Tracking-Technologien auf seiner Website und in seiner App umgehend deaktiviert, neu konfiguriert und/oder entfernt hat.
Das Unternehmen rät den Nutzern, ihre Privatsphäre-Einstellungen auf Social-Media-Plattformen anzupassen, den "Inkognito-Modus" zu verwenden, um Tracker zu vermeiden, und alle Mitteilungen von Krankenversicherern zu überwachen.
Dies ist die Art von Benachrichtigung, die normalerweise nach einer Sicherheitsverletzung erfolgt, etwa wenn ein böswilliger Akteur Zugang zu den Systemen eines Unternehmens erhält und Daten stiehlt. In der Tat haben Sicherheitsverletzungen viele Merkmale mit der unrechtmäßigen Weitergabe von personenbezogenen Daten an Werbetreibende gemeinsam.
In beiden Fällen haben die Nutzer möglicherweise nicht gewusst, dass ein Unternehmen ihre personenbezogenen Daten an Dritte weitergibt. Die betroffenen Nutzer haben die Weitergabe nicht autorisiert. Und die Nutzer haben wenig Kontrolle darüber, was mit ihren Daten geschieht, sobald sie weitergegeben wurden.
Cerebral hat nicht bekannt gegeben, dass es von der FTC untersucht wird. Das Unternehmen hat mehr als zwei Monate gewartet, um seine Nutzer über den Verstoß zu informieren, versucht aber möglicherweise, eine mögliche Untersuchung abzuschwächen, die stattfinden könnte.
Diese Art der proaktiven Benachrichtigung über einen möglichen Verstoß gegen das Datenschutzrecht ist ein weiteres Zeichen dafür, dass Unternehmen weltweit den Datenschutz ernster nehmen.