Mike Kuketz
24. August 2022 | 17:15 Uhr

E-Rezept: Website trackt mit Google Analytics – Widerspruch wirkungslos

Wegen Datenschutzproblemen steigt die Kassenärztliche Vereinigung in der Testregion Schleswig-Holstein aus der geplanten Einführung des E-Rezepts aus.

Das ist der Untertitel eines Beitrags zu eHealth bzw. dem E-Rezept von heise – 22.08.2022. Da dachte ich mir: Schaue ich mir doch mal die offizielle Website an, nachdem ich im Oktober 2021 bereits die E-Rezept-App der Gematik analysiert habe (inklusive Reaktion).

Technischer Murks beim Consent-Banner

Nach dem Aufruf der Website erscheint ein Cookie-Consent-Banner:

Einwilligungsbanner E-Rezept

Noch während der Cookie-Banner geladen bzw. dargestellt wird, baut der Browser im Hintergrund Verbindungen zu Google auf:

  • Google Tag Manager (www.googletagmanager.com)
  • Google Analytics (www.google-analytics.com)

Es bleibt aber nicht nur beim Verbindungsaufbau, sondern es wird auch gleich fleißig via Google Analytics getrackt:

https://www.google-analytics.com/collect?v=1&_v=j96&aip=1&a=850862286&t=pageview&_s=1&dl=https://www.das-e-rezept-fuer-deutschland.de/&ul=en-us&de=UTF-8&dt=Home | E-Rezept&sd=24-bit&sr=1600x600&vp=1588x600&je=0&_u=YAgAAAAB~&cid=344874098.1661335498&tid=UA-198571413-1&_gid=1766725805.1661335499&gtm=2wg8m0P7FT669&gcs=G100&z=1808828481

Die notwendigen Cookies lassen sich beim Consent-Banner nicht abwählen. Also tippe ich anschließend auf den Button Auswahl erlauben (die Minimalauswahl) und klicke danach auf den Menüpunkt APP in der Navigation der Seite.

Was danach passiert, ist überraschend. Das Tracking via Google Analytics geht weiter:

https://www.google-analytics.com/collect?v=1&_v=j96&aip=1&a=86293072&t=pageview&_s=1&dl=https%3A%2F%2Fwww.das-e-rezept-fuer-deutschland.de%2Fapp&ul=en-us&de=UTF-8&dt=App%20%7C%20E-Rezept&sd=24-bit&sr=1600x600&vp=1588x600&je=0&_u=YAgAAAAB~&cid=1651295648.1661336150&tid=UA-198571413-1&_gid=2103201833.1661336150&gtm=2wg8m0P7FT669&gcs=G100&z=1294161777

Da muss man sich (erneut) die Frage stellen, wer sich da eigentlich im Datenschutz-Tiefschlaf befindet. Wir erinnern uns: Diverse Datenschutzaufsichtsbehörden hegen erhebliche Zweifel, ob sich Google Analytics rechtskonform einsetzen lässt. Die Datenschutzbehörden der Länder Frankreich und Österreich (weitere werden vermutlich folgen) bewerten den Einsatz von Google Analytics in der EU sogar als nicht vereinbar mit der DSGVO – der Einsatz ist demnach rechtswidrig. Allein schon vor diesem Hintergrund in der Einsatz von Google Analytics höchst fragwürdig. Auf einer Website, zu dessen Gesellschaftern unter anderem das Bundesministerium für Gesundheit (BMG) zählt und die im Kern die Aufgabe hat, für Vertrauen und Sicherheit zu sorgen, ist dies schlichtweg indiskutabel.

Datenschutzerklärung

Werfen wir nun mal einen Blick in die Datenschutzerklärung. In der Cookie-Erklär-Tabelle werden bei notwendigen Cookies insgesamt 17 Angaben gemacht. Google Analytics gehört nicht dazu. Google Analytics taucht erst weiter unten bei Statistiken (12) auf. Demnach liegt offenbar ein technischer Fehler vor, der das Tracken via Google Analytics trotz Auswahl Notwendig nicht unterbindet.

Auf einer solchen Website hat Google Analytics allerdings überhaupt nichts verloren – auch dann nicht, wenn die Einwilligung technisch korrekt umgesetzt wird. Wenn wir dann noch etwas weiter runterscrollen, findet man sogar Marketing-Cookies von Meta (Facebook). Der Zweck:

Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.

Ja, da fällt man doch komplett vom Glauben ab. Man sollte sich vor Augen führen: Wir befinden uns auf einer Website, die Informationen zum E-Rezept bereithält, das am 1. September 2022 offiziell starten soll. Und dort liest man gleich zu Beginn der Datenschutzerklärung:

Der Schutz Ihrer personenbezogenen Daten genießt bei der gematik hohe Priorität. Personenbezogene Daten werden auf dieser Webseite nur im technisch notwendigen Umfang erhoben und verarbeitet. Selbstverständlich werden dabei die Vorschriften der Datenschutzgesetze eingehalten. Mit diesen Datenschutzbestimmungen werden Sie über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit der Nutzung dieser Webseite informiert.

Vollkommener Quatsch, wie die kurze Analyse zeigt.

Fazit

Fehler können passieren, keine Frage. Aber solche Fehler sind wirklich einfach vermeidbar und zeigen exemplarisch, wie dilettantisch das Vorgehen bei der Umsetzung solcher Projekte offenbar ist. Ich hätte die gematik GmbH bzw. die Verantwortlichen der Website im Vorfeld auch direkt kontaktieren können – aber ganz ehrlich: Dazu habe ich überhaupt keine Lust mehr. Für so einen offensichtlichen Murks und Verantwortungslosigkeit fehlt mir jegliches Verständnis, weshalb ich auch direkt den Weg über die Öffentlichkeit wähle.

Ich frage mich, wann der Tag kommt, an dem Verantwortliche begreifen, wie wichtig es gerade bei solchen Projekten ist, Vertrauen zu schaffen. Mit der Einbindung von Google (Analytics), Facebook und Co. wird genau das Gegenteil bewirkt.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡
Ähnliche Beiträge
E-Rezept-Root
12. Oktober 2021

E-Rezept-App Gematik: SafetyNet-Checks und Tracking via Google Firebase Analytics

Der vierte Test der App-Aktionswochen befasst sich mit der Android- und iOS-App E-Rezept (Version 1.0.11/1.0.12). Die App kann in Kombination…
TC-String
26. April 2022

Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

Der TC-String des Interactive Advertising Bureau ist als personenbezogenes Datum einzuordnen.
eBay Kleinanzeigen
24. Oktober 2022

eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3

Der Datenschutz verkommt bei eBay Kleinanzeigen zur Ramschware. Am Ende heißt es »Datenschutz: Was letzte Preis?«.
Post & DHL App
20. Juni 2022

Post & DHL: Datenschutz unbekannt verzogen – App-Check Teil2

Der Datenschutz ist bei der Post-&-DHL-App offensichtlich unbekannt verzogen.
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.