Gesundheitsdaten: CNIL verhängt Geldstrafe gegen Website

Die französische Datenschutzaufsicht CNIL hat gegen die Betreiber der Website Doctissimo.fr eine Geldstrafe in Höhe von 380.000 Euro verhängt. Grund: Das Medienunternehmen holte keine Einwilligung zur Erhebung und Verwendung von Gesundheitsdaten ein. Außerdem verstieß es gegen Vorschriften, die das Setzen von Cookies betreffen. Die Behörde hatte aufgrund einer Beschwerde der Bürgerrechtsorganisation Privacy International vier Untersuchungen gegen das Gesundheitsportal durchgeführt, das auf seiner Website Artikel, Tests, Quizfragen und Diskussionsforen zum Thema Gesundheit anbietet.

Vier Rechtsverstöße

Die CNIL stellte vier Rechtsverstöße fest: So hatte das Unternehmen die Daten aus Gesundheitstests über 24 Monate gespeichert, was als zu lang beurteilt wurde. Es hatte obendrein die Daten von Nutzern, deren Konto schon länger als drei Jahre nicht mehr aktiv war, gespeichert, ohne diese zu anonymisieren. Überdies hatte es versäumt, eine Einwilligung von fünf Prozent der Betroffenen zur Erhebung ihrer als "besonders sensitiven" eingestuften Gesundheitsdaten einzuholen. Eine Geldstrafe in Höhe von 280.000 Euro bezieht sich auf Verstöße gegen die Datenschutzgrundverordnung (DSGVO), ein weiteres Bußgeld in Höhe von 100.000 Euro wurde aufgrund der rechtswidrigen Verwendung von Cookies verhängt.

Europäische Datenschutzaufsichtsbehörden gehen nur selten gegen Medienunternehmen vor, kommentierte der österreichische Datenschutzexperte Wolfie Christl auf Mastodon den Fall. Er weist darauf hin, dass es nicht genüge, ein Bußgeld zu verhängen und auf getroffene Maßnahmen zu verweisen. Noch immer verlange das Unternehmen die Einwilligung der User, um deren Daten an über 700 Datenbroker zu vermitteln. Das grundlegende Problem eines weithin undurchsichtigen Datenhandels werde von der CNIL nicht adressiert, kritisiert Christl.

(mack)