Im digitalen Zeitalter ist der Umgang mit persönlichen Daten zu einer der größten Herausforderungen im Bereich Datenschutz und Datensicherheit geworden. Insbesondere bei sensiblen Gesundheitsinformationen erwarten Nutzer einen besonders strengen Schutz, um ihre Privatsphäre zu wahren. Der jüngst aufgedeckte Fall in Kalifornien, bei dem persönliche Gesundheitsdaten von Bewohnern ungewollt an das soziale Netzwerk LinkedIn weitergeleitet wurden, zeigt, wie schnell grundlegende Datenschutzprinzipien verletzt werden können – und welche Auswirkungen dies auf die Bevölkerung und Politik haben kann. Die Plattform Covered California ist die staatliche Website, auf der Einwohner Kaliforniens ihre Krankenversicherung unter dem Affordable Care Act abschließen können. Als unabhängige Organisation arbeitet sie innerhalb der kalifornischen Regierung und ermöglicht Bürgern eine unkomplizierte Suche nach passenden Versicherungspolicen.
Unabhängig von ihrem Erfolg bei der Senkung der Krankenversicherungsquote wurde die Plattform jüngst kritisiert, weil sie trotz der sensiblen Natur der angebotenen Dienste Werbe-Tracker von LinkedIn auf ihrer Website integrierte. Forensische Untersuchungen ergaben, dass diese Tracker sensible Angaben der Nutzer an LinkedIn übermittelten. Dabei handelte es sich um Daten, die Betroffene im Rahmen der Antragstellung eingetragen hatten, zum Beispiel, ob sie schwanger waren, als Opfer häuslicher Gewalt galten, Transgender waren oder eine hohe Anzahl an verschreibungspflichtigen Medikamenten einnahmen. Auch Details wie Blindheit wurden weitergegeben. Die Übertragung geschah über den sogenannten LinkedIn Insight Tag, ein Tracking-Tool, das normalerweise zu Werbezwecken eingesetzt wird, um Nutzerverhalten auf Webseiten zu beobachten und maßgeschneiderte Anzeigen anzubieten.
Der Skandal wurde durch die investigative Arbeit von The Markup in Zusammenarbeit mit CalMatters aufgedeckt, die mit speziellen Werkzeugen, darunter das von The Markup entwickelte Tool Blacklight, hunderte staatliche Websites auf die Verwendung solcher Tracker hin untersuchten. Covered California hatte dabei deutlich mehr als 60 Tracker aktiv – weit mehr als der Durchschnitt vergleichbarer Seiten. Neben LinkedIn waren auch Tracker von Meta, LiveIntent und anderen Unternehmen integriert. Besonders beunruhigend war, dass die Menge der getrackten Informationen über die üblichen demografischen Daten hinausging. Besucher, die auf der Plattform nach bestimmten Ärzten oder Krankenhäusern suchten, sahen auch diese Suchanfragen und Vorlieben an LinkedIn und anderen Unternehmen weitergeleitet.
Sogar Angaben zu ethnischer Zugehörigkeit, Geschlecht, Familienstand und Häufigkeit von Arztbesuchen wurden übermittelt. Covered California reagierte zunächst mit der Behauptung, die Tracker seien aufgrund eines Wechsels der Marketingagentur Anfang April entfernt worden. Später bestätigte die Sprecherin der Organisation, Kelly Donohue, dass die Datenübermittlung tatsächlich seit Februar 2024 im Rahmen einer Werbekampagne stattgefunden hatte. Seitdem seien alle aktiven werbebezogenen Tags vorsorglich deaktiviert worden. Gleichzeitig kündigte Covered California an, die Website sowie die Datenschutz- und Sicherheitsprotokolle eingehend zu überprüfen und erforderlichenfalls weitere Maßnahmen zum Schutz der Daten einzuleiten.
Die Reaktionen auf den Vorfall gingen über die Organisation hinaus. Insbesondere Politiker wie der kalifornische Kongressabgeordnete Kevin Kiley äußerten Besorgnis. Er nannte die Weitergabe „unglaublich beunruhigend“ und forderte eine Untersuchung durch das Gesundheitsministerium der Vereinigten Staaten, ob hier möglicherweise gegen den Health Insurance Portability and Accountability Act (HIPAA) verstoßen wurde. HIPAA schützt die Privatsphäre von Gesundheitsdaten in den USA und stellt klare Vorschriften über deren Umgang auf. Expertinnen und Experten im Datenschutz unterstreichen die besondere Sensibilität solcher Fälle.
Sara Geoghegan, Senior Counsel beim Electronic Privacy Information Center, bezeichnete die Übermittlung der Gesundheitsdaten an ein Unternehmen wie LinkedIn als „besorgniserregend und invasiv“. Die Nutzung dieser für Werbezwecke irrelevanten Informationen verletze die grundlegende Erwartung der Verbraucher, dass Gesundheitsdaten streng vertraulich behandelt werden. Die Gefahr liegt nicht nur in einer einmaligen Datenweitergabe. Laut den Ermittlungen könnten Patientinnen und Patienten über mehr als ein Jahr hinweg mit diesen Trackern überwacht worden sein. Für Menschen, die besonders schutzbedürftig sind oder sich in schwierigen Lebenslagen befinden, bedeutet dies eine gravierende Gefährdung ihrer Privatsphäre.
Hintergrund dieser Problematik ist der Einsatz von sogenannten Web-Trackern, die auf millionenfachem Einsatz im Internet basieren. Große Social-Media-Plattformen wie LinkedIn, Meta und andere bieten diese Tools an, weil sie wertvolle Einblicke in das Verhalten der Nutzer liefern, die für gezielte Werbekampagnen unerlässlich sind. Problematisch wird es jedoch, wenn diese Tracker auf Seiten platziert werden, die sensible Informationen sammeln, ohne die Zustimmung der Nutzer dafür einzuholen. LinkedIn selbst weist in seiner Dokumentation darauf hin, dass der Insight Tag „nicht auf Seiten installiert werden sollte, die sensible Daten enthalten“, etwa Gesundheits- oder Finanzseiten. Zugleich versichert das Unternehmen, keine Werbung basierend auf sensiblen Daten zu erlauben.
Der skandalöse Fall in Kalifornien zeigt jedoch, dass das für Unternehmen und Behörden offenbar keine ausreichend eindeutige Regelung oder Kontrollmechanismus ist. In der Vergangenheit hat die Weitergabe sensibler Informationen durch Web-Tracker bereits mehrfach zu rechtlichen Auseinandersetzungen geführt. Unter anderem führte die Offenlegung eines ähnlichen Datenschutzverstoßes auf der Bundesebene zu Untersuchungen und Klagen gegen beteiligte Firmen. Gesundheitsbehörden, Bildungseinrichtungen und Telemedizinstartups haben mit erheblichen Konsequenzen rechnen müssen, weil sie Nutzerdaten ohne ausreichenden Schutz teils an Facebook, Google oder andere weitergaben. Gesetzlich sind vor allem in Kalifornien der California Confidentiality of Medical Information Act und die bundesweite HIPAA-Verordnung relevant.
Diese schränken die unerlaubte Weitergabe von Gesundheitsdaten stark ein, verlangen explizite Einwilligung und sehen Sanktionen bei Verstößen vor. Dennoch sehen Datenschützer die aktuellen gesetzlichen Rahmenbedingungen als unzureichend an, weil sie meist an technischen Neuerungen und Praktiken im Online-Tracking nicht adäquat angepasst sind. Der Fall Covered California zeigt, wie wichtig es ist, nicht nur technisch, sondern auch organisatorisch konsequente Datensicherheitskonzepte einzuführen, die insbesondere bei öffentlichen Websites und diensteanbietenden Institutionen höchste Priorität haben müssen. Nutzer sollten sich bewusst sein, welche Informationen sie preisgeben und wie diese verarbeitet werden. Transparenz, Aufklärung und ein effektives Kontrollsystem bei eingesetzten Web-Trackern sind unerlässlich, um erneute Datenschutzvorfälle zu verhindern.
