Update zur #Doctolib-Recherche: Ich habe eine lange Antwort der Berliner Datenschutzbeauftragten bekommen – unter anderem zur Frage, wieso Doctolib scheinbar damit durchkommt, 45 anstatt mehrere Millionen geleakter Datensätze zu melden. Darüber schreibe ich noch was. Eins vorab:
Die Behörde stehe oft vor dem Problem, dass ethische Hacker:innen zwar technische Dokumentationen von Sicherheitslücken ins Internet stellen, die Lücken selbst aber oft schon geschlossen seien, schreibt mir die Berliner Datenschutzbeauftragte. 2/
"Zudem genügt die technische Dokumentation allein regelmäßig nicht den gesetzlichen Anforderungen an Beweismaterial, sodass sie nur sehr eingeschränkt von der Aufsichtsbehörde verwendet werden kann." (mehr dazu wie gesagt bald) 3/
Wenn der Behörde weder die geleakten Daten vorliegen noch sie selbst die Schwachstelle dokumentieren könne, helfe eine detaillierte Dokumentation, wenn die Entdecker:innen bereit seien, ggf. als Zeug:innen aufzutreten. #Doctolib hat allerdings Verfahren gegen diese angestrengt.
Von #Doctolib selbst habe ich – nachdem am Abend vor der Veröffentlichung noch großer Gesprächsbedarf bestand von höchster Ebene – nichts mehr gehört auf meine Bitte nach einem Statement zur Datenweitergabe an Google. Diese wurde geleugnet, bis ich sie mit Screenshots belegte. 5/
Da #Doctolib alles leugnet, was man nicht direkt belegt, war die Recherche aufwendig. Mir war es wichtig, nicht wie so oft Aussage gegen Aussage zu stellen, sondern die Vorwürfe selbst zu verifizieren. Ich finde, die Öffentlichkeit hat ein Recht darauf, zu erfahren, was ist. 6/
Auf meinem eigenen Rechner mit meinen eigenen Daten nachzuvollziehen, wie umfangreich und leichtfertig #Doctolib privateste Informationen an Google und Facebook weitergibt – teils noch vor der Cookie-Einwilligung – hat mich bestürzt. 7/
Fremde Ärzte anzurufen aus dem riesigen geleakten Datensatz - den es laut #Doctolib gar nicht gibt - und sie zu bitten, für meine Recherche gegen die Schweigepflicht zu verstoßen und die mir vorliegenden Patientendaten zu bestätigen, war nicht einfach. 8/
Selbst als sich diese Ärzte an Doctolib wandten und nach der Sicherheitslücke fragten und wieso sie nicht informiert worden seien, leugnete #Doctolib die Lücke und drohte mir mit rechtlichen Schritten – anstatt die Lücke den Aufsichtsbehörden zu melden. 9/
Es bleibt spannend, welche Konsequenzen unter anderem die Berliner Senatsverwaltung für Gesundheit sowie die Aufsichtsbehörden aus dem verantwortungslosen Umgang von #Doctolib mit Patientendaten ziehen. (Bei ersterer läuft noch eine Anfrage von mir dazu.)
Vorerst danke ich allen, die mich unterstützt haben, allen voran @digitalcourage und Thilo Weichert, deren Big-Brother-Award meine Recherchen ins Rollen brachte, sowie den befragten Ärzt:innen und den anonymen Entdeckern der Sicherheitslücke für ihr Vertrauen und ihre Zeit. 12/12
• • •
Missing some Tweet in this thread? You can try to
force a refresh
