Doctolib SAS ist ein französisches Technologieunternehmen. Es bietet eine Software an, die unter anderem die Online-Buchung von Terminen bei Ärzt*innen und Psychtherapeut*innen und die Kommunikation zwischen Ärzt*innen und Patient*innen ermöglicht. Die Doctolib GmbH mit Sitz in Berlin ist ein deutsches Tochterunternehmen der Doctolib SAS.

Eigenwerbung der Doctolib GmbH 

In Kürze will Doctolib mit anonymisierten Patientendaten KI-Modelle trainieren. Dafür hat das Unternehmen im Januar 2025 Änderungen an seiner Datenschutzerklärung vorgenommen. Darauf wurde erstmals in einem Beitrag von Netzpolitik.org vom 24.01.2025 hingewiesen.

Quelle: Datenschutzerklärung der Doctolib GmbH (Stand Januar 2025)

Dem Bericht von Netzpolitik.org zufolge sollen neben Suchdaten, Terminhistorie, Dokumenten, medizinische Notizen und vom Nutzer auf der Plattform eingegebenen medizinischen Informationen auch Sprachaufzeichnungen für das Training von KI-Modellen zur Verfügung stehen. Eine ausdrückliche Einwilligung des Nutzers soll lt. Datenschutzerklärung der Doctolib GmbH jedoch nur bei der Verwendung personenbezogener Gesundheitsdaten erforderlich sein, wie aus der Datenschutzerklärung hervorgeht. Sofern „keine Gesundheitsdaten betroffen sind“, führt die Doctolib GmbH „berechtigtes Interesse“ als Rechtsgrundlage für die Datenverarbeitung an.

Doctolib ist mit seiner Gier nach Gesundheits- und Behandlungsdaten nicht allein. Medatixx bietet Ärzt*innen und Psychotherapeut*innen dafür sogar einen Preisnachlass, wenn sie Daten aus ihrem jeweiligen Praxisverwaltungssystem bereitstellen.

Was Patienten zu Doctolib und ihren Rechten wissen müssen…

…darüber informiert Mike Kuketz, freiberuflich tätig als Pentester und Sicherheitsforscher und Betreiber eines Blogs zu datenschutzrechtlichen Themen in einem ausführlichen Beitrag. Nachdem sich das Unternehmen mit einer Stellungnahme zu angeblichen Fehlinformationen bei Kuketz meldete, lies dieser seinen Beitrag und die Stellungnahme der Doctolib GmbH von Thilo Weichert (Netzwerk Datenschutzexpertise) überprüfen. Mit dem Ergebnis, dass dieser nichts fand, was zu beanstanden wäre. Der Beitrag von Kuketz ist weiter frei zugänglich.

Die Doctolib GmbH wird von Datenschützer*innen bereits seit Jahren kritisch beobachtet. Am 11.06.2021 erhielt das Unternehmen den BigBrotherAward in der Kategorie Gesundheit dafür, dass es mit seiner Plattform bei der Vermittlung von Arztterminen die heilberufliche Vertraulichkeitsverpflichtung verletzt. Kurz vorher hatte das Netzwerk Datenschutzexpertise ein Gutachten zum Thema „Arztterminvermittlung über Doctolib Datenschutz-Anspruch und Wirklichkeit“ veröffentlicht, in dem im Detail dargestellt wurde, wie das Unternehmen gegen Regelungen zur ärztlichen Schweigepflicht und zum Datenschutz verstieß und Gesundheitseinrichtungen zu solchen Verstößen animierte.

Bleibt zu hoffen, dass sich die zuständige Datenschutzaufsichtsbehörde in Berlin mit der geänderten Datenschutzerklärung und der künftigen Praxis der Doctolib GmbH im Umgang mit den personenbezogenen Daten von Patient*innen beschäftigt. Auf einen ersten Hinweis eines Versicherten regierte die Behörde leider etwas zurückhaltend: „Sie teilen mit, Doctolib würde zukünftig auf Patent:innendaten zugreifen, um ihre KI zu trainieren… Wir überprüfen die von Ihnen geschilderte Angelegenheit im Rahmen unserer Kapazitäten… Aufgrund der Vielzahl von Hinweisen, die in unserer Dienststelle eingehen, kann es unter Umständen einige Zeit dauern, bis wir Ihrem Hinweis nachgehen können…“