Bundesstaatliche Krankenversicherungsbörsen teilten sensible Daten mit Ad-Tech-Firmen, heißt es in einem Bericht

Regierungsseiten für die Krankenversicherungsanmeldung stehen wegen Tracking-Technologie erneut unter Beobachtung

Fast alle der 20 von den Bundesstaaten betriebenen Krankenversicherungsbörsen in den USA teilten Antragsinformationen von Einwohnern mit Werbe- und Technologieunternehmen, wie eine von TechCrunch zusammengefasste Bloomberg-Recherche ergab. Zu den genannten Unternehmen gehören Google, LinkedIn, Meta und Snap, und die berichtete Datenweitergabe bewegte sich in hochsensiblen Bereichen.

Im Kern ging es um den Einsatz von pixelbasierten Trackern, kleinen Code-Schnipseln, die häufig für Analysen, Debugging und Werbemessung eingesetzt werden. Solche Werkzeuge sind im Web allgegenwärtig. Werden sie jedoch auf Seiten eingesetzt, die sensible Informationen verarbeiten, kann eine schlechte Konfiguration sie zu Kanälen machen, über die Daten abfließen, die Nutzer vernünftigerweise für privat halten würden.

Was die Recherche ergab

Laut dem von TechCrunch zitierten Bericht teilte New Yorks Krankenversicherungsbörse mehreren Tech-Unternehmen Informationen über den Antrag einer Person mit, einschließlich der Frage, ob Angaben zu inhaftierten Familienmitgliedern gemacht wurden. Die Börse in Washington, D.C. fragte Nutzer nach Geschlecht und Rasse, und Bloomberg fand heraus, dass TikToks Pixel versuchte, einige Rassewerte zu maskieren, während andere offengelegt blieben. Ein Sprecher der D.C.-Börse sagte, dass auch E-Mail-Adressen, Telefonnummern und Länderkennungen von Einwohnern mit TikTok geteilt wurden.

Nachdem Bloomberg Fragen aufgeworfen hatte, setzte Washington, D.C. den Rollout seines TikTok-Trackers aus, und Virginia entfernte den Meta-Tracker aus seiner Börse, nachdem festgestellt worden war, dass er Postleitzahlen teilte. Diese Reaktionen sind wichtig, weil sie darauf hindeuten, dass zumindest einige Betreiber das gemeldete Verhalten als ernst genug ansahen, um es zu stoppen oder zurückzunehmen.

Auch der Umfang ist schwer kleinzureden. TechCrunch weist darauf hin, dass mehr als sieben Millionen Amerikaner in diesem Jahr über eine staatliche Krankenversicherungsbörse eine Krankenversicherung gekauft haben. Schon ein Konfigurationsproblem, das nur einen Teil dieser Nutzer betrifft, ist also in der Praxis nicht klein.

Das ist ein vertrautes Fehlermuster bei Gesundheitsdaten

Der Artikel betont, dass es sich hierbei nicht um eine neue Kategorie von Datenschutz handelt. Krankenhäuser, Telemedizin-Unternehmen und andere Gesundheitsfirmen mussten bereits öffentliche Gegenreaktionen und in einigen Fällen Meldepflichten hinnehmen, nachdem sie unbeabsichtigt gesundheitsbezogene Informationen an Werbeplattformen weitergegeben hatten. Was den Fall der Börsen besonders bemerkenswert macht, ist, dass es sich bei den betroffenen Seiten um staatlich betriebene Anmeldesysteme handelt, die mit essenziellen öffentlichen Dienstleistungen verbunden sind.

Das verändert die Lage. Verbraucher akzeptieren vielleicht, dass kommerzielle Websites Verhalten aggressiv tracken, auch wenn ihnen das nicht gefällt. Sie erwarten jedoch nicht, dass dieselben Normen gelten, wenn sie über eine öffentliche Börse eine Krankenversicherung beantragen. Die Vertrauensannahmen sind anders, und die Sensibilität der Daten ebenfalls.

Es gibt hier auch eine Lehre für die Governance. Das Problem ist nicht die bloße Existenz eines Pixel-Trackers. Es ist die Fehlanpassung zwischen generischen Wachstumstools für das Web und hochsensiblen Workflows. Werkzeuge, die für Conversion-Optimierung gebaut wurden, können sich schlecht verhalten, wenn sie in Systeme für Gesundheitsversorgung, Leistungen oder Prüfungen des Rechtsstatus eingebaut werden.

Warum die Details wichtig sind

Die Erwähnung von Rasse, Geschlecht, familienbezogenen Informationen zu Inhaftierung, E-Mail-Adressen, Telefonnummern und Länderkennungen ist bedeutsam, weil sie zeigt, wie schnell eine „Analyse“-Implementierung in regulierte oder ethisch heikle Bereiche abgleiten kann. Selbst wenn eine Plattform solche Felder nicht für Ad-Targeting nutzen will, kann schon die Weitergabe selbst rechtliche, politische und vertrauensbezogene Folgen haben.

Sie macht auch die öffentliche Erzählung komplizierter, die Technologieunternehmen oft über ihre Produkte erzählen. Pixel-Tracker werden als einfache, nützliche Werkzeuge für Website-Betreiber vermarktet. Der operative Aufwand, sie sicher zu nutzen, ist auf sensiblen Seiten jedoch weitaus höher, als dieses Bild nahelegt. Wenn der Seitenbetreiber nicht vollständig versteht, welche Datenfelder die Seite offenlegen kann, wird „einfache“ Instrumentierung zur Belastung.

Wie es weitergeht

Die unmittelbare Folge dürfte mehr Prüfungen staatlicher Börsen und anderer öffentlicher Websites sein. Die breitere Folge könnte eine härtere Linie bei der Frage sein, ob Werbe-Tracker überhaupt in die Nähe von Systemen gehören, die Gesundheits- und Berechtigungsdaten verarbeiten.

Der Bericht legt nicht nahe, dass sich alle Börsen gleich verhalten haben, und er beantwortet auch nicht jede rechtliche Frage. Aber er zeigt klar eine strukturelle Schwäche: Der Standard-Tracking-Stack des modernen Webs kann mit sensibler öffentlicher Infrastruktur fatal kollidieren.

Für Nutzer ist die Lehre unangenehm. Das Ausfüllen eines Antrags auf Krankenversicherung wirkt wie ein privater Verwaltungsakt. Auf zu vielen Seiten scheint es zugleich zu einem Datenaustausch-Ereignis geworden zu sein.

• Bloomberg fand laut TechCrunch eine weitverbreitete Weitergabe von Antragsdaten der Börsen an Ad-Tech-Firmen.
• Zu den berichteten Daten gehörten sensible Felder wie Rasse, Geschlecht und Kontaktdaten.
• Washington, D.C. setzte den TikTok-Tracker aus, und Virginia entfernte einen Meta-Tracker nach den Erkenntnissen.
• Mehr als sieben Millionen Amerikaner kauften laut TechCrunch ihren Versicherungsschutz für dieses Jahr über staatliche Börsen.

Dieser Artikel basiert auf der Berichterstattung von TechCrunch. Den Originalartikel lesen.