Laut einer US-Analyse tracken fast alle Websites nichtstaatlicher Krankenhäuser in den USA ihre Besucher – und übermitteln so auch vertrauliche Gesundheitsinformationen von Patienten an Dritte.

„Krankenhäuser erleichtern die Profilerstellung ihrer Patienten durch Dritte“, schreiben die Autoren einer neuen US-Analyse und warnen, dabei würden sensible Gesundheitsinformationen weitergegeben, ohne dass die Menschen dieser Weitergabe aktiv widersprechen könnten. Fast alle der 3.700 untersuchten Organisationen setzten Tracking-Codes Dritter ein und „damit ihre Nutzer einem erhöhten Maß an Tracking“ aus. Das führe im Ergebnis dazu, dass Patienten zunehmend gezielte gesundheitsbezogene Werbung angezeigt bekämen.

Interessieren die Daten auch Versicherer?

So fanden die Forscher heraus, dass 69 Prozent der Krankenhaus-Homepages Daten an Domains Dritter übermittelten, bei denen die Muttergesellschaft nicht identifiziert werden konnte. „Da wenig über die genaue Art und Weise bekannt ist, wie Dritte Tracking-Daten verwenden, sind die Auswirkungen (…) möglicherweise weitreichend“, schreiben die Forscher.

Gesundheitsbezogene Informationen, die aus dem Surfverhalten abgeleitet werden können, könnten in Risikobewertungen etwa von Versicherungsunternehmen einbezogen werden – und Patienten, die Krankenhauswebsites besucht haben, mehr gezielter Online-Werbung für Arzneimittel, medizinische Nahrungsergänzungsmittel und Versicherungsprodukten ausgesetzt sein, „die möglicherweise im Widerspruch zu bewährten Praktiken oder dem Rat ihres Arztes stehen (…) oder wirksamere Heilmittel ersetzen.“

Bei der Untersuchung von mehr als 3.700 Krankenhaus-Homepages wurde bei 98,6 Prozent der Websites mindestens eine Datenübermittlung an Dritte sowie bei 94,3 Prozent mindestens ein Drittanbieter-Cookie festgestellt, schreiben die Wissenschaftler in der Fachzeitschrift Health Affairs.

Nutzer wehren sich jetzt gerichtlich

Die Ergebnisse kommen zu einem Zeitpunkt, an dem immer mehr verärgerte Patienten in den USA Einzel- und Sammelklagen gegen Anbieter einreichen, weil diese ihre personenbezogenen Daten über Website-Tracker weitergegeben haben.

Viele dieser Beschwerden beziehen sich auf den Pixel-Tracker der Facebook-Muttergesellschaft Meta, den eine das Rechercheportal The Markup im Juni 2022 auf etwa einem Drittel der Websites großer Krankenhäuser entdeckte. In diesem Bericht wurden Beweise dafür gefunden, dass die an Dritte weitergegebenen sensiblen Daten – darunter etwa Termindaten – in einigen Fällen die Kriterien für einen Verstoß gegen die US-Gesundheitsdatenschutzregeln HIPAA erfüllten.

„Unsere Analyse legt nahe, dass viele Patienten solchen Verstößen ausgesetzt sein könnten, wenn dieses Phänomen auch nur bei einem kleinen Teil der Datenübermittlungen Dritter auf Krankenhaus-Websites auftritt“, schreiben die Forscher in ihrer Analyse.

Forscher drängen auf ein Verbot der aktuellen Praxis

Dieser zufolge war Alphabet die mit Abstand am häufigsten entdeckte Tracking-Entität in der Stichprobe und war auf 98,5 Prozent der Krankenhaus-Websites präsent. Es folgten Tools der Unternehmen Meta (55,6 Prozent), Adobe Systems (31,4 Prozent) und AT&T (24,6 Prozent).

Die Wissenschaftler empfehlen den politischen Entscheidungsträgern, diese Tracker in der kommenden Datenschutzgesetzgebung gezielt anzugehen, „idealerweise durch ein Verbot dieser Praxis“. Vor dem Hintergrund der aktuellen Klagewelle seien Krankenhäuser „in der Zwischenzeit am besten beraten, wenn sie die Datenschutzrichtlinien aller installierten Tracker von Drittanbietern überprüfen, Website-Besuchern die Verwendung von Trackern offenlegen und einfache Methoden implementieren, mit denen Patienten sich dagegen entscheiden können.“

Ari B. Friedman, Raina M. Merchant, Amey Maley et al., Widespread Third-Party Tracking On Hospital Websites Poses Privacy Risks For Patients And Legal Liability For Hospitals, Health Affairs April 2023, https://doi.org/10.1377/hlthaff.2022.01205