In der Aprilausgabe des AOK-Datenschutz-Newsletters „Datenschutz im Blick“ wurden Deutschlands zehn beste Klinik-Webseiten einer Datenschutzüberprüfung unterzogen. Auch wenn die Kliniken zu den jeweiligen Ergebnissen nicht genannt wurden, so zeigt der Test eine klare Tendenz wo es oft noch hakt.
WER WURDE GETESTET?
Im Dezember letzten Jahres wurden zum 13. Mal bei Novartis Pharma in Nürnberg Deutschlands beste Klinik-Webseiten gekürt. Eine Jury aus Experten bewert dabei nach einem standardisierten Schema der Forschungsgruppe „Medizin & Wirtschaft“ unter der Leitung von Prof. Dr. Dr. Frank Elste, Professor am Campus Bad Mergentheim der Dualen Hochschule Baden-Württemberg. Die aktuellen TOP 10 sind:
- Klinik Hallerwiese/Cnopf‘sche Kinderklinik Nürnberg
- Klinikum Südstadt Rostock
- Kath. Marien-Krankenhaus Lübeck
- Stiftung Evangelisches Krankenhaus Unna
- Landkreis Schwäbisch Hall Klinikum
- Klinikum Stadt Soest
- Kreiskliniken Darmstadt-Dieburg
- Orthopädische Klinik Volmarstein
- St. Marien-Krankenhaus Siegen
- Oberschwabenklinik
Diese zehn Kliniken wurden nun also von der AOK auch noch in Sachen Datenschutz auf Herz und Nieren geprüft.
WAS WURDE ZUM DATENSCHUTZ GETESTET?
Überprüft wurden sechs wichtige Punkte des Datenschutze und der IT-Sicherheit. Diese waren:
- Können personenbezogene Daten eingegeben werden? Falls ja, verfügt die Website über eine Verschlüsselung mindestens der Stufe TLS 1.0?
- Wird der Nutzer über den Einsatz von Trackingtools informiert? Existiert eine Opt-Out-Möglichkeit? Funktioniert ein Opt-Out auch in der Mobilansicht auf dem Smartphone? Wird die IP-Adresse anonymisiert?
- Werden Social Plugins direkt eingebunden oder werden Lösungen wie „Zwei-Klick“ bzw. „Shariff“ genutzt?
- Werden Videoplayer datensparsam eingebunden?
- Verfügt die Website über eine Datenschutzerklärung, die zur Website passt?
- Ist die Datenschutzerklärung auch in der Mobilansicht noch hinreichend erkennbar und erreichbar?
SO SCHNITTEN DIE WEBSEITEN AB
Nur zwei der 10 Webseiten verfügten über eine TLS Verschlüsselung.
Acht der zehn Webseite verwenden Trackingsoftware. Sechs davon Google Analytics, eine nutzt Piwik und eine weitere Seite nutzt beide gleichzeitig. Das Ergebnis auch hier: „Lediglich eine dieser Websites erfüllte alle Anforderungen unserer Prüfung: Der Besucher wurde in der Datenschutzerklärung über die Verwendung der Trackingsoftware aufgeklärt. Zudem waren Widerspruchsmöglichkeiten vorgesehen, die sowohl auf herkömmlichen Clients als auch auf Smartphones und Tablets ausgeübt werden konnten. Darüber hinaus wurde eine Anonymisierungsfunktion für die IP-Adresse genutzt.“
Nur vier der zehn Seiten setzen Social Media Plugins wie den Facebook Like- oder den Twitter Share-Button ein. Aber nur drei davon auch datenschutzkonform über eine „Zwei-Klick“-Lösung.
Sieben der Kliniken setzen Youtube ein. Fünf davon betten die YouTube-Videos direkt in ihre Website ein – jedoch nicht im „erweiterten Datenschutzmodus„.
Über eine Datenschutzerklärung verfügen alle 1o getesteten Seiten. Hier klärte eine der Seiten über die Verwendung Google Analytics auf ohne dies überhaupt einzusetzen, eine weitere hatte eine standard Musterdatenschutzerklärung die nicht zur Seite passte.
In der Mobilansicht der Seiten konnte nur bei einer ein massiver Patzer gefunden werden: hier waren weder Impressum noch Datenschutzerklärung in der mobilen Ansicht auffindbar.