Das Geschäftsmodell der vitabook GmbH: Mit zweifelhaften Versprechungen den Zugriff auf hunderttausende Behandlungs- und Gesundheitsdaten erhalten

Quelle: Homepage der vitabook GmbH

Unter dem Motto „Deine Gesundheitsdaten gehören Dir versucht die vitabook GmbH, die Verunsicherung um die Zukunft der elektronischen Gesundheitskarte (eGk) zu nutzen, um ihr Geschäftsmodell einer scheinbar selbst geführten und vor Zugriffen Dritter geschützten elektronischen Patientenakte zu verkaufen.

Auf seiner Facebook-Seite knüpft das Unternehmen an einer kürzlichen Äußerung des NRW-Gesundheitsministers Karl-Josef Laumann (CDU) gegenüber dem Kölner Stadtanzeiger an: „Die Versicherten müssen Herr über ihre eigenen Daten sein. Es muss zum Beispiel möglich sein, dass sie jederzeit ihre eigenen Daten einsehen können, auch ohne dass ein Arzt oder ein anderer Behandler dabei ist.“ Um dann festzustellen: „Dass der Patient Herr über seine Daten sein soll, ist unbestritten eine wichtige politische Aussage, leider möchte der NRW-Minister dies mit der eGk realisieren…“

Die vitabook GmbH preist ihr Produkt als Alternative zur eGk und zu den von den Krankenkassen AOK und TK geplanten elektronischen Patientenakten an: „Einzig das Unternehmen vitabook bietet mit dem Online-Gesundheitskonto eine Lösung, bei der tatsächlich der Patient Eigentümer seiner Daten ist. vitabook versteht sich als Service-Provider des Bürgers mit unterschiedlichen Schnittstellen für alle Akteure im System. Wer hier ein Gesundheitskonto eröffnet, kann sich fortan über besagte Schnittstellen Daten von Ärzten, Kliniken, Apotheken, Krankenkassen, Laboren, Abrechnern, Pflegediensten und Sanitätshäusern digital senden lassen und Daten online jedem Behandler jederzeit und überall zur Verfügung stellen. Die Sorge vieler Bürger, ihre auf der eGk gespeicherten Daten könnten ungefragt bei Krankenkassen landen, erübrigt sich mit dem Online-Gesundheitskonto. Hier bestimmt allein der Kontoinhaber, also der Patient, welche Daten wem offenbart werden. Mit derzeit 184.000 aktiven Patienten ist vitabook die größte Gesundheits-Cloud Deutschlands. Tendenz steigend…“

„Der Nutzer kann 3 Monate lang alle Funktionen kostenfrei testen, danach kostet das Konto 1,95 Euro/Monat.“ (Allgemeine Geschäftsbedingungen Punkt III. 5.) Ein Schnäppchen ?!?

Ein an seiner Gesundheit, aber auch an Patientenrechten und Datenschutz interessierter Mensch nahm die vollmundige Erklärung der vitabook GmbH zum Anlass, um sich auf deren Homepage näher zu informieren. Das erste was auffiel:  Die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung werden erst angezeigt, wenn man ein neues Kundenkonto anlegen möchte. Die nächste Überraschung: Die wenig präzisen, eher wolkigen (cloudigen !!!) Formulierungen in der Datenschutzerklärung.

Dies nahm der Mensch zum Anlass, sich an die für die vitabook GmbH zuständige Datenschutzaufsichtsbehörde zu wenden. Seine Anfrage und die Antwort aus dem Hause der Niedersächsischen Datenschutzbeauftragten stellte der Mensch der Redaktion dieser Homepage zur Veröffentlichung zur Verfügung.

Die Anfrage in Auszügen:

Ich interessiere mich für das vitabook Online-Gesundheitskonto (https://www.vitabook.de/index.php), habe aber bei Versuch der Anmeldung einige Regelungen in der Datenschutzerklärung der vitabook GmbH (https://www.vitabook.de/datenschutzerklaerung.php) gefunden, die mir nicht ausreichend präzise erscheinen. Ich habe daher die Anmeldung nicht getätigt und möchte Sie darum bitten zu prüfen, ob die Regelungen in der Datenschutzerklärung der vitabook GmbH geltenden deutschem Datenschutzrecht entsprechen und in ihrem Inhalt hinreichend bestimmt und eindeutig sind. Dies trifft insbesondere auf Punkt „3) Weitergabe Deiner persönlichen Daten“, unter dem ausgeführt ist: Es erfolgt keine Weitergabe von Daten an Dritte zu Werbezwecken. Eine Adressvermarktung durch die vitabook GmbH erfolgt zu keinem Zeitpunkt. Zum Zwecke der Durchführung und Abwicklung der Dienstleistung von vitabook ist die Erhebung personalisierter Daten und deren Weitergabe an Dritte erforderlich. Diese Daten werden nur im für die Auftragsabwicklung erforderlichen Maße gespeichert und nur an die vom Nutzer ausgewählte Apotheke bzw. den ausgewählten Arzt weitergegeben.“ Gleiches gilt für Punkt “7) Speicherung aller Daten in der Microsoft Cloud Deutschland”. Dort ist geregelt: Sämtliche Daten von vitabook werden ausschließlich in Deutschland, in der Microsoft Cloud Deutschland gespeichert. Die Kontrolle und Entscheidungsgewalt über die Daten obliegt ausschließlich vitabook. Die Tochtergesellschaft der Deutschen Telekom T-Systems – der Datentreuhänder – agiert unter deutschem Recht und überwacht den Zugriff auf die Kundendaten. Als Datentreuhänder überwacht und kontrolliert T-Systems jeden physischen und technischen Zugriff auf die Kundendaten, mit Ausnahme des Zugriffs durch vitabook selbst. Der Treuhänder hat sich direkt vitabook gegenüber verpflichtet und handelt nur in seinem Auftrag. Die Datenherausgabe an Drittparteien erfolgt nur, wenn vitabook oder das deutsche Recht es verlangen. Microsoft hat grundsätzlich keinen Zugriff auf die Daten, die in der Microsoft Cloud Deutschland gespeichert sind. Vor ‚Herausgabeverlangen ausländischer Behörden‘ oder richterlichen Anordnungen werden die Kundendaten zusätzlich durch ein Datentreuhändermodell geschützt. Mit der Microsoft Cloud Deutschland mit deutscher Datentreuhand wirkt Microsoft den Bedenken vieler Kunden gegenüber Cloud-Computing entgegen und schafft das Vertrauen, das das Arbeiten mit der Cloud verlangt.“ Vor allem die Aussage „Microsoft hat grundsätzlich keinen Zugriff auf die Daten, die in der Microsoft Cloud Deutschland gespeichert sind“ ist rechtlich völlig unbestimmt. Es wird nirgendwo erläutert, wann und unter welchen Bedingungen von diesem Grundsatz abgewichen wird.

Die Stellungnahme der  Niedersächsischen Datenschutzbeauftragten in Auszügen:

Meine Behörde ist die zuständige Aufsichtsbehörde für die Firma „vitabook GmbH“. Leider muss ich Ihnen mitteilen, dass es mir bislang noch nicht möglich gewesen ist, die o.g. Firma datenschutzrechtlich zu prüfen… Aus der Erfahrung kann ich Ihnen allgemein mitteilen, dass leider nicht immer alles, was in den AGB oder in einer Datenschutzerklärung geschrieben steht, auch tatsächlich durch die eingesetzte Technik umgesetzt wird. Hierbei muss es sich nicht einmal um absichtliche Falschaussagen handeln, vieles ist derart undurchsichtig verstrickt, dass es selbst der verantwortlichen Stelle nicht auffällt, wenn etwas falsch dargestellt wird. Dies ist auch der Grund, weshalb ich nur zu dem Text der Datenschutzerklärung keine Aussage abgebe ohne die dahinter befindliche Technik geprüft zu haben.

Zu der von vitabook angegebenen Speicherung der Daten in der Microsoft Cloud kann ich Ihnen mitteilen, dass dieses Produkt derzeit in verschiedenen bundesweiten Arbeitskreisen der Datenschutzaufsichtsbehörden des Bundes und der Länder geprüft wird. Diese Prüfung wird jedoch noch einige Zeit in Anspruch nehmen, da die Kooperation mit US-Unternehmen nie ganz unkompliziert ist. Nach dem derzeitigen Kenntnisstand wird der Einsatz der Microsoft Cloud im Schul-Bereich kritisch gesehen, in vielen Ländern ist der Einsatz der Microsoft Cloud im Krankenhausbereich aufgrund spezialgesetzlicher Regelungen in Krankenhausdatenschutzgesetzen nicht zulässig.

Für die Firma vitabook bestehen zwar keine der o.g. spezialgesetzlichen Einschränkungen, die allgemeinen Datenschutzgesetze sind jedoch zu beachten. Ob diese eingehalten werden, kann jedoch erst nach Abschluss der Prüfung verbindlich festgestellt werden. Zum aktuellen Zeitpunkt kann ich daher weder vor dem Produkt der Firma vitabook warnen, noch eine datenschutzrechtliche Unbedenklichkeit bescheinigen. Die von Ihnen beanstandeten „Unschärfen“ in der Datenschutzerklärung spiegeln somit auch den Kenntnisstand der Aufsichtsbehörden wider.

Eine Person, die viel Wert auf den Datenschutz legt, wird von derartigen Produkten vermutlich Abstand nehmen, jemand der sein gesamtes Leben auf Facebook teilt, wird mit den unklaren Datenschutzregelungen vermutlich keine großen Probleme haben

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*