In einer einzigartigen Durchsetzung hat die Federal Trade Commission eine Strafe in Höhe von 1,5 Millionen US-Dollar gegen GoodRx Holdings Inc., einen Anbieter von Telemedizin und verschreibungspflichtigen Medikamenten, verhängt, weil dieser die persönlichen Gesundheitsdaten von Benutzern ohne deren Zustimmung an Facebook, Google und andere Dritte weitergegeben hat .
Im Rahmen eines Vergleichs akzeptierte das in Kalifornien ansässige Unternehmen GoodRx auch, dass es in Zukunft verboten sein wird, Gesundheitsdaten von Benutzern zu Werbezwecken an Dritte weiterzugeben, sagte die FTC. GoodRx gab kein Fehlverhalten zu und sagte in einem Blogbeitrag dass es beigelegt wurde, „um die Zeit und die Kosten langwieriger Rechtsstreitigkeiten zu vermeiden“. Die Zustimmung des Bundesgerichts steht noch aus.
Verbraucherschützer begrüßten die Ankündigung vom Mittwoch als potenziellen Wendepunkt, der ein wenig bekanntes Phänomen ernsthaft eindämmen könnte: den Handel mit sensiblen Gesundheitsdaten durch Unternehmen, die nicht streng als Gesundheitsdienstleister eingestuft werden.
„Digitale Gesundheitsunternehmen und mobile Apps sollten nicht mit den äußerst sensiblen und persönlich identifizierbaren Gesundheitsinformationen der Verbraucher Geld verdienen“, sagte Samuel Levine, Leiter des Verbraucherschutzbüros der FTC, sagte in einer Erklärung. „Die FTC kündigt an, dass sie ihre gesamte gesetzliche Befugnis einsetzen wird, um die sensiblen Daten der amerikanischen Verbraucher vor Missbrauch und illegaler Ausbeutung zu schützen.“
Die Durchsetzung ist die erste nach einem Gesetz von 2009, der Health Breach Notification Rule, die für Anbieter von persönlichen Patientenakten und verwandte Anbieter gilt, die nicht unter HIPAA fallen, die Bundesdatenschutzbestimmungen, die die Gesundheitsbranche regeln.
Es kommt drei Jahre nachdem Consumer Reports entdeckt hatte, dass GoodRx teilte die persönlichen Gesundheitsinformationen von Menschen mit mehr als 20 Unternehmen. „Die Leute sagten uns, dass sie nie damit gerechnet hätten, dass ihre vertraulichen Informationen mit Unternehmen wie Google und Facebook geteilt würden“, sagte Marta Tellado, Präsidentin und CEO von Consumer Reports, in einer Erklärung am Mittwoch. „Dies ist ein Gewinn für die Verbraucher und könnte einen tiefgreifenden Einfluss darauf haben, wie unsere Gesundheitsinformationen in Zukunft privat gehalten werden.“
In einer im Namen der FTC eingereichten Klage sagten die Anwälte des Justizministeriums, dass die Handlungen von GoodRx das Unternehmen auf Kosten der Nutzer – viele Menschen mit chronischen Gesundheitsproblemen – „ungerechtfertigterweise bereichert“ hätten, die mit „Stigmatisierung, Verlegenheit oder emotionalem Stress“ konfrontiert werden könnten Diskriminierung, wenn von ihm geteilte Tatsachen offengelegt wurden.
GoodRx sagte, der Schwerpunkt der Bedenken der FTC sei vor fast drei Jahren „proaktiv angegangen“ worden, bevor die FTC-Untersuchung begann.
Justin Brookman, Direktor für Technologiepolitik bei Consumer Reports, sagte, er glaube, dass die FTC-Untersuchung nach dem Bericht seiner Organisation vom 25. Februar 2020 begonnen habe. Zuvor sagte die Regierung: „Bei GoodRx gab es keine ausreichenden formellen, schriftlichen oder standardmäßigen Datenschutz- oder Datenfreigaberichtlinien oder Compliance-Programme. Und selbst nachdem die Praktiken von GoodRx ans Licht gekommen waren, hat es die Benutzer nicht darüber informiert, dass ihre Gesundheitsinformationen ohne ihre Genehmigung offengelegt wurden.“
Die Sprecherin des Unternehmens, Lauren Casparis, sagte per E-Mail, dass GoodRx „Technologien von Anbietern verwendet hat, um auf eine Weise zu werben, von der wir glauben, dass sie mit allen geltenden Vorschriften konform ist und die auf vielen Websites nach wie vor üblich ist“.
Zu diesen Technologien gehörten eingebettete Web-Beacons, die als „Pixel“ bekannt sind, und andere Tracking- und Datenerfassungstools von Unternehmen wie Google und Facebook, sagte die Regierung.
„Sie setzen Pixel auf ihre Website“, sagte Brookman von Consumer Reports telefonisch. „Das müssen sie nicht.“
In einer Erklärung sagte Brookman: „Gesundheits-Apps und -Websites geben unsere persönlichen Daten seit Jahren ohne Konsequenzen weiter. Dieser Fall sollte ein Wendepunkt sein – jetzt müssen Unternehmen verstehen, dass die Weitergabe von Kundendaten ohne klare Erlaubnis zu Ermittlungen und Bußgeldern führen wird.“
Auf seiner Website sagt GoodRx, dass es den Verbrauchern geholfen hat, seit 2011 mehr als 45 Milliarden Dollar zu sparen.
Laut FTC haben seit Januar 2017 mehr als 55 Millionen Verbraucher die Website oder die mobilen Apps von GoodRx besucht. Das Unternehmen sammelt persönliche und gesundheitliche Informationen von seinen Benutzern und von Apothekennutzenmanagern – den Unternehmen, die Leistungen für verschreibungspflichtige Medikamente verwalten – die bestätigen, wann einer von ihnen ist seine Coupons wurden für einen Kauf verwendet.
Die FTC sagte in einer Pressemitteilung, dass GoodRx „seinen Nutzern täuschend versprach, niemals persönliche Gesundheitsinformationen mit Werbetreibenden oder anderen Dritten zu teilen“, während es Informationen über ihre Rezepte und Gesundheitszustände mit Werbeunternehmen und Plattformen von Drittanbietern wie Facebook und Google teilte und Criteo. Dieser Prozess half GoodRx, personalisierte Anzeigen auf Facebook und Instagram und anderen Plattformen auszurichten, sagte die FTC.
Andere Bestimmungen des vorgeschlagenen Bundesgerichtsbeschlusses verpflichten GoodRx, Dritte, mit denen es Gesundheitsdaten von Verbrauchern geteilt hat, anzuweisen, diese zu löschen und die Verbraucher zu informieren.
Die Sprecherin von GoodRX, Casparis, sagte, das Unternehmen sei der Ansicht, dass „die in der Einigung aufgeführten Anforderungen keine wesentlichen Auswirkungen auf unser Geschäft oder auf unsere gegenwärtigen oder zukünftigen Aktivitäten haben werden“.