Die niederländische Suizidpräventionsorganisation 113 Zelfmoordpreventie geriet in Beschuss, nachdem Forscher entdeckt hatten, dass ihre Website sensible Besucherdaten mit Google und Microsoft teilte, was möglicherweise gegen europäische Datenschutzgesetze verstößt.
Das Problem wurde von einem ethischen Hacker Mick Beer from Hackedemia.nl aufgedeckt, der herausfand, dass Besucher der Suizidpräventions-Website über Analysen und Überwachungstools verfolgt wurden, selbst wenn sie Cookies nicht zugestimmt hatten. Laut der Untersuchung umfassten die geteilten Informationen die Standorte der Besucher, Browser- und Gerätedetails, zuvor besuchte Webseiten sowie Bildschirmaufnahmen von Aktivitäten auf der Plattform.
Forscher warnten, dass der bloße Besuch einer Suizidpräventions-Website bereits hochsensible gesundheitsbezogene Informationen im Rahmen des europäischen DSGVO-Datenschutzrahmens darstellt. Die Sorge besteht darin, dass Technologieunternehmen, die diese Metadaten erhalten, sie potenziell nutzen könnten, um Werbung oder Verhaltensprofile zu bereichern, die mit Nutzern verknüpft sind.
“Wenn jemand die Seite 113 öffnet oder auf das Chat- oder Anrufmenü klickt, ist das an sich schon sensible Information”, sagte Beer gegenüber niederländischen Medien.
Die Untersuchung ergab, dass einige Informationen an Google übermittelt wurden, unabhängig davon, ob die Nutzer Tracking-Cookies akzeptiert haben. Daten wurden Berichten zufolge auch über weitere Analysesysteme mit Microsoft geteilt, als Cookies akzeptiert wurden.
Obwohl die Organisation angab, dass keine Chatnachrichten oder direkte Gesprächsinhalte geteilt wurden, sagen Datenschutzexperten, dass Metadaten allein äußerst persönliche Informationen über schutzbedürftige Nutzer offenbaren können, die psychische Unterstützung suchen. Der Besuch einer Suizidpräventionsseite, das Öffnen eines Krisenchats oder der Zugang zu Notfallunterstützungsressourcen kann bereits darauf hindeuten, dass eine Person psychisch belastet ist.
Nach der Offenlegung deaktivierte Stichting 113 vorübergehend alle Analyse- und Messwerkzeuge auf ihrer Website, während sie den Umfang des Problems untersuchte. Die Organisation räumte Bedenken hinsichtlich der Privatsphäre der Nutzer ein und erklärte, sie prüfe, wie die Tracking-Systeme implementiert wurden.
“Wir erkennen, dass Besucher darauf vertrauen können, dass ihre Privatsphäre geschützt wird”, sagte ein Sprecher, nachdem die Ergebnisse öffentlich wurden.
Der Vorfall hat größere Bedenken hinsichtlich von Tracking-Technologien aufgeworfen, die in Gesundheits-, Therapie- und psychischen Gesundheitswebsites eingebettet sind. Datenschutzforscher haben wiederholt gewarnt, dass Analyseskripte, Werbepixel und Sitzungsaufzeichnungstools unbeabsichtigt sensible medizinische oder psychologische Informationen an Dritte weitergeben können.
Nach den DSGVO-Regeln sind Organisationen, die mit gesundheitsbezogenen Daten arbeiten, verpflichtet, strengere Datenschutzmaßnahmen anzuwenden und eine ausdrückliche Zustimmung einzuholen, bevor sie sensible Informationen verarbeiten. Regulierungsbehörden könnten nun untersuchen, ob die Suizidpräventionsorganisation gegen europäische Datenschutzgesetze verstoßen hat, indem sie Drittanbieter-Tracking-Systemen erlaubte, Besucher-Metadaten zu sammeln.