Das Geschäftsmodell der vitabook GmbH: Mit zweifelhaften Versprechungen den Zugriff auf hunderttausende Behandlungs- und Gesundheitsdaten erhalten

Quelle: Homepage der vitabook GmbH

Unter dem Motto „Deine Gesundheitsdaten gehören Dir versucht die vitabook GmbH, die Verunsicherung um die Zukunft der elektronischen Gesundheitskarte (eGk) zu nutzen, um ihr Geschäftsmodell einer scheinbar selbst geführten und vor Zugriffen Dritter geschützten elektronischen Patientenakte zu verkaufen.

Auf seiner Facebook-Seite knüpft das Unternehmen an einer kürzlichen Äußerung des NRW-Gesundheitsministers Karl-Josef Laumann (CDU) gegenüber dem Kölner Stadtanzeiger an: „Die Versicherten müssen Herr über ihre eigenen Daten sein. Es muss zum Beispiel möglich sein, dass sie jederzeit ihre eigenen Daten einsehen können, auch ohne dass ein Arzt oder ein anderer Behandler dabei ist.“ Um dann festzustellen: „Dass der Patient Herr über seine Daten sein soll, ist unbestritten eine wichtige politische Aussage, leider möchte der NRW-Minister dies mit der eGk realisieren…“

Die vitabook GmbH preist ihr Produkt als Alternative zur eGk und zu den von den Krankenkassen AOK und TK geplanten elektronischen Patientenakten an: „Einzig das Unternehmen vitabook bietet mit dem Online-Gesundheitskonto eine Lösung, bei der tatsächlich der Patient Eigentümer seiner Daten ist. vitabook versteht sich als Service-Provider des Bürgers mit unterschiedlichen Schnittstellen für alle Akteure im System. Wer hier ein Gesundheitskonto eröffnet, kann sich fortan über besagte Schnittstellen Daten von Ärzten, Kliniken, Apotheken, Krankenkassen, Laboren, Abrechnern, Pflegediensten und Sanitätshäusern digital senden lassen und Daten online jedem Behandler jederzeit und überall zur Verfügung stellen. Die Sorge vieler Bürger, ihre auf der eGk gespeicherten Daten könnten ungefragt bei Krankenkassen landen, erübrigt sich mit dem Online-Gesundheitskonto. Hier bestimmt allein der Kontoinhaber, also der Patient, welche Daten wem offenbart werden. Mit derzeit 184.000 aktiven Patienten ist vitabook die größte Gesundheits-Cloud Deutschlands. Tendenz steigend…“

„Der Nutzer kann 3 Monate lang alle Funktionen kostenfrei testen, danach kostet das Konto 1,95 Euro/Monat.“ (Allgemeine Geschäftsbedingungen Punkt III. 5.) Ein Schnäppchen ?!?

Ein an seiner Gesundheit, aber auch an Patientenrechten und Datenschutz interessierter Mensch nahm die vollmundige Erklärung der vitabook GmbH zum Anlass, um sich auf deren Homepage näher zu informieren. Das erste was auffiel:  Die Allgemeinen Geschäftsbedingungen und die Datenschutzerklärung werden erst angezeigt, wenn man ein neues Kundenkonto anlegen möchte. Die nächste Überraschung: Die wenig präzisen, eher wolkigen (cloudigen !!!) Formulierungen in der Datenschutzerklärung.

Dies nahm der Mensch zum Anlass, sich an die für die vitabook GmbH zuständige Datenschutzaufsichtsbehörde zu wenden. Seine Anfrage und die Antwort aus dem Hause der Niedersächsischen Datenschutzbeauftragten stellte der Mensch der Redaktion dieser Homepage zur Veröffentlichung zur Verfügung.

Die Anfrage in Auszügen:

Ich interessiere mich für das vitabook Online-Gesundheitskonto (https://www.vitabook.de/index.php), habe aber bei Versuch der Anmeldung einige Regelungen in der Datenschutzerklärung der vitabook GmbH (https://www.vitabook.de/datenschutzerklaerung.php) gefunden, die mir nicht ausreichend präzise erscheinen. Ich habe daher die Anmeldung nicht getätigt und möchte Sie darum bitten zu prüfen, ob die Regelungen in der Datenschutzerklärung der vitabook GmbH geltenden deutschem Datenschutzrecht entsprechen und in ihrem Inhalt hinreichend bestimmt und eindeutig sind. Dies trifft insbesondere auf Punkt „3) Weitergabe Deiner persönlichen Daten“, unter dem ausgeführt ist: Es erfolgt keine Weitergabe von Daten an Dritte zu Werbezwecken. Eine Adressvermarktung durch die vitabook GmbH erfolgt zu keinem Zeitpunkt. Zum Zwecke der Durchführung und Abwicklung der Dienstleistung von vitabook ist die Erhebung personalisierter Daten und deren Weitergabe an Dritte erforderlich. Diese Daten werden nur im für die Auftragsabwicklung erforderlichen Maße gespeichert und nur an die vom Nutzer ausgewählte Apotheke bzw. den ausgewählten Arzt weitergegeben.“ Gleiches gilt für Punkt “7) Speicherung aller Daten in der Microsoft Cloud Deutschland”. Dort ist geregelt: Sämtliche Daten von vitabook werden ausschließlich in Deutschland, in der Microsoft Cloud Deutschland gespeichert. Die Kontrolle und Entscheidungsgewalt über die Daten obliegt ausschließlich vitabook. Die Tochtergesellschaft der Deutschen Telekom T-Systems – der Datentreuhänder – agiert unter deutschem Recht und überwacht den Zugriff auf die Kundendaten. Als Datentreuhänder überwacht und kontrolliert T-Systems jeden physischen und technischen Zugriff auf die Kundendaten, mit Ausnahme des Zugriffs durch vitabook selbst. Der Treuhänder hat sich direkt vitabook gegenüber verpflichtet und handelt nur in seinem Auftrag. Die Datenherausgabe an Drittparteien erfolgt nur, wenn vitabook oder das deutsche Recht es verlangen. Microsoft hat grundsätzlich keinen Zugriff auf die Daten, die in der Microsoft Cloud Deutschland gespeichert sind. Vor ‚Herausgabeverlangen ausländischer Behörden‘ oder richterlichen Anordnungen werden die Kundendaten zusätzlich durch ein Datentreuhändermodell geschützt. Mit der Microsoft Cloud Deutschland mit deutscher Datentreuhand wirkt Microsoft den Bedenken vieler Kunden gegenüber Cloud-Computing entgegen und schafft das Vertrauen, das das Arbeiten mit der Cloud verlangt.“ Vor allem die Aussage „Microsoft hat grundsätzlich keinen Zugriff auf die Daten, die in der Microsoft Cloud Deutschland gespeichert sind“ ist rechtlich völlig unbestimmt. Es wird nirgendwo erläutert, wann und unter welchen Bedingungen von diesem Grundsatz abgewichen wird.

Die Stellungnahme der  Niedersächsischen Datenschutzbeauftragten in Auszügen:

Meine Behörde ist die zuständige Aufsichtsbehörde für die Firma „vitabook GmbH“. Leider muss ich Ihnen mitteilen, dass es mir bislang noch nicht möglich gewesen ist, die o.g. Firma datenschutzrechtlich zu prüfen… Aus der Erfahrung kann ich Ihnen allgemein mitteilen, dass leider nicht immer alles, was in den AGB oder in einer Datenschutzerklärung geschrieben steht, auch tatsächlich durch die eingesetzte Technik umgesetzt wird. Hierbei muss es sich nicht einmal um absichtliche Falschaussagen handeln, vieles ist derart undurchsichtig verstrickt, dass es selbst der verantwortlichen Stelle nicht auffällt, wenn etwas falsch dargestellt wird. Dies ist auch der Grund, weshalb ich nur zu dem Text der Datenschutzerklärung keine Aussage abgebe ohne die dahinter befindliche Technik geprüft zu haben.

Zu der von vitabook angegebenen Speicherung der Daten in der Microsoft Cloud kann ich Ihnen mitteilen, dass dieses Produkt derzeit in verschiedenen bundesweiten Arbeitskreisen der Datenschutzaufsichtsbehörden des Bundes und der Länder geprüft wird. Diese Prüfung wird jedoch noch einige Zeit in Anspruch nehmen, da die Kooperation mit US-Unternehmen nie ganz unkompliziert ist. Nach dem derzeitigen Kenntnisstand wird der Einsatz der Microsoft Cloud im Schul-Bereich kritisch gesehen, in vielen Ländern ist der Einsatz der Microsoft Cloud im Krankenhausbereich aufgrund spezialgesetzlicher Regelungen in Krankenhausdatenschutzgesetzen nicht zulässig.

Für die Firma vitabook bestehen zwar keine der o.g. spezialgesetzlichen Einschränkungen, die allgemeinen Datenschutzgesetze sind jedoch zu beachten. Ob diese eingehalten werden, kann jedoch erst nach Abschluss der Prüfung verbindlich festgestellt werden. Zum aktuellen Zeitpunkt kann ich daher weder vor dem Produkt der Firma vitabook warnen, noch eine datenschutzrechtliche Unbedenklichkeit bescheinigen. Die von Ihnen beanstandeten „Unschärfen“ in der Datenschutzerklärung spiegeln somit auch den Kenntnisstand der Aufsichtsbehörden wider.

Eine Person, die viel Wert auf den Datenschutz legt, wird von derartigen Produkten vermutlich Abstand nehmen, jemand der sein gesamtes Leben auf Facebook teilt, wird mit den unklaren Datenschutzregelungen vermutlich keine großen Probleme haben


Update 25.08.2018

Die Redaktion dieser Homepage erhielt vor wenigen Tagen zu diesem Beitrag eine Zuschrift aus dem Unternehmen vitabook GmbH. Wir veröffentlichen sie nachstehend – ohne Anerkennung einer Rechtspflicht – anonymisiert, aber ansonsten im Wortlaut, da wir in Sachen Patientenrechte und Datenschutz zum Dialog und zur inhaltlichen Auseinandersetzung „mit Gott und der Welt“ bereit sind.

———- Original Nachricht ———-
Betreff: Bitte um Korrektur zu Inhalten von vitabook
Datum: Thu, 23 Aug 2018 13:27:38 +0000
Von: …@vitabook.de>
An: …@patientenrechte-datenschutz.de

Sehr geehrter Herr …,
Sie hatten Online-Artikel mit Bezug auf vitabook veröffentlicht.
https://patientenrechte-datenschutz.de/2017/11/10/das-geschaeftsmodell-der-vitabook-gmbh-mit-zweifelhaften-versprechungen-den-zugriff-auf-hunderttausende-behandlungs-und-gesundheitsdaten-erhalten/ < https://patientenrechte-datenschutz.de/2017/11/10/das-geschaeftsmodell-der-vitabook-gmbh-mit-zweifelhaften-versprechungen-den-zugriff-auf-hunderttausende-behandlungs-und-gesundheitsdaten-erhalten/>
https://ddrm.de/das-geschaeftsmodell-der-vitabook-gmbh-mit-zweifelhaften-versprechungen-den-zugriff-auf-hunderttausende-behandlungs-und-gesundheitsdaten-erhalten/ < https://ddrm.de/das-geschaeftsmodell-der-vitabook-gmbh-mit-zweifelhaften-versprechungen-den-zugriff-auf-hunderttausende-behandlungs-und-gesundheitsdaten-erhalten/>
Eine Formulierung in diesen Beiträgen ist wettbewerbsrechtlich unzulässig.
Wir möchten Sie daher bitten, folgendes Wort zu streichen bzw. wie folgt zu ersetzen:
„einzig“ (Bitte Wort streichen)
„tatsächlich“ (Bitte Wort streichen
„die größte“ -> Bitte Wort ersetze durch „eine“
Es tut uns leid, dass diese Anpassungen mit Aufwand für Sie verbunden sind. Dafür möchten wir uns entschuldigen.
Wir bedanken uns herzlich für Ihre Unterstützung!
Viele Grüße und Gesundheit!
Gerontologin (M.A.) & Leiterin Unternehmenskommunikation
vitabook GmbH Alsterdorfer Markt 6 22297 Hamburg
T. +49 40 53798 …  
F. +49 40 53798 …   M. +49 171 …

www.vitabook.de < http://www.vitabook.de/>
Sitz der Gesellschaft: 21266 Jesteburg Amtsgericht Tostedt HRB 203082 Geschäftsführer: …
Link zu gesellschaftsrechtlichen Pflichtangaben und Vertraulichkeitshinweis / Link to corporate information and confidentiality notice https://www.vitabook.de/e-mail-signatur.php < https://www.vitabook.de/e-mail-signatur.php>

Nach Lektüre der Zuschrift aus dem Unternehmen vitabook GmbH und dem ursprünglichen Beitrag auf dieser Homepage stellt sich die Situation für die Redaktion von https://patientenrechte-datenschutz.de/ wie folgt dar:

Die Änderungswünsche des Unternehmens beziehen sich mit hoher Wahrscheinlichkeit auf ein Zitat aus der facebook-Präsentation des Unternehmens, das im o. g.. Beitrag wiedergegeben ist: Einzig das Unternehmen vitabook bietet mit dem Online-Gesundheitskonto eine Lösung, bei der tatsächlich der Patient Eigentümer seiner Daten ist. vitabook versteht sich als Service-Provider des Bürgers mit unterschiedlichen Schnittstellen für alle Akteure im System. Wer hier ein Gesundheitskonto eröffnet, kann sich fortan über besagte Schnittstellen Daten von Ärzten, Kliniken, Apotheken, Krankenkassen, Laboren, Abrechnern, Pflegediensten und Sanitätshäusern digital senden lassen und Daten online jedem Behandler jederzeit und überall zur Verfügung stellen. Die Sorge vieler Bürger, ihre auf der eGk gespeicherten Daten könnten ungefragt bei Krankenkassen landen, erübrigt sich mit dem Online-Gesundheitskonto. Hier bestimmt allein der Kontoinhaber, also der Patient, welche Daten wem offenbart werden. Mit derzeit 184.000 aktiven Patienten ist vitabook die größte [eine] Gesundheits-Cloud Deutschlands. Tendenz steigend…”

Der Hinweis in der Zuschrift der vitabook GmbH Eine Formulierung in diesen Beiträgen ist wettbewerbsrechtlich unzulässig. Wir möchten Sie daher bitten, folgendes Wort zu streichen bzw. wie folgt zu ersetzen…” wird von der Redaktion dieser Homepage so bewertet, dass die vitabook GmbH vermutlich von einem Konkurrenz-Unternehmen wg. der genannten Formulierungen erfolgreich abgemahnt wurde und deshalb darum bittet, das Zitat zu korrigieren. Dieser Bitte kommen wir mit dieser Veröffentlichung gerne nach.

Auch wenn der obige Beitrag zeit- und wortgleich auch auf der Homepage der Bürgerrechtsgruppe dieDatenschützer Rhein Main veröffentlicht wurde, sieht sich die Redaktion dieser Homepage aus rechtlichen und tatsächlichen Gründen außer Stande, auch auf https://ddrm.de/ eine vergleichbare Information zu veröffentlichen.

3 Gedanken zu „Das Geschäftsmodell der vitabook GmbH: Mit zweifelhaften Versprechungen den Zugriff auf hunderttausende Behandlungs- und Gesundheitsdaten erhalten“

  1. Danke für Dein Feedback! Melde Dich doch bitte telefonisch bei uns im Kundencenter, damit wir Dir sofort weiterhelfen können. Wir sind von Montag bis Freitag in der Zeit von 8:00 – 18:00 Uhr telefonisch unter 040-537981 599 erreichbar. Viele Grüße!

  2. Die Wünsche der Anpassungen seitens Vitabook sind wahrscheinlich auf ein Gerichtsverfahren zurückzuführen. Dort wurde festgestellt, dass es Anbieter gibt, die deutlich mehr aktive Patientenakten habe, die nicht in einer Microsoft Cloud oder Amazon Cloud liegen, sondern in Rechenzentren in Frankfurt. Dabei sind diese nach einem patentierten “Beschlagnahmungsschutz” verschlüsselt. Selbst als Administrator gibt es keinerlei Möglichkeiten, auf diese Daten zuzugreifen. Das Passwort der Nutzer kann von dem Anbieter nicht mehr hergestellt werden. Diese Aktenlösung ist zudem frei erhältlich. Bzw. wird mit größerem Funktionsumfang von diversen Privatversicherungen ihren Kunden angeboten.

Schreibe einen Kommentar zu Gudella Antworten abbrechen

*