Diese Woche verhängte die Federal Trade Commission gegen das virtuelle Start-up für psychische Gesundheit Cerebral eine Geldstrafe von 7 Millionen US-Dollar und wirft dem Unternehmen vor, die sensiblen Gesundheitsdaten der Nutzer missbräuchlich zu handhaben und Verbraucher über Stornierungsbedingungen in die Irre zu führen.
Cerebral erklärte sich bereit, die Geldstrafe zu zahlen und sich an ein „einmaliges Verbot seiner Art“ zu halten, das dem Startup verbietet, Gesundheitsdaten „für die meisten Werbezwecke“ zu verwenden.
Die nicht gerade herausragende Erfolgsbilanz von Cerebral im Datenschutz
Das Startup ist eine Plattform für psychische Gesundheit, die sich auf die virtuelle Behandlung von psychischen Erkrankungen – hauptsächlich ADHS, Angstzuständen und Depressionen – spezialisiert hat. Das Startup sah sich jahrelanger Kritik an seinen Datenschutzpraktiken ausgesetzt und hatte in jüngster Zeit auch einige rechtliche Probleme.
Im Jahr 2022 verklagte einer der ehemaligen Führungskräfte des Unternehmens das Startup mit der Begründung, es habe ihn entlassen, weil er die Verschreibungspraktiken des Unternehmens anprangerte. Matthew Truebe, ehemaliger Vizepräsident für Produkt und Technik bei Cerebral, hatte das Unternehmen dafür kritisiert, dass es zu voreilig vorgehe, wenn es jungen Menschen süchtig machende Stimulanzien wie Adderall verschreibe. Seine Klage kam kurz nachdem einige Mitarbeiter von Cerebral den Medien mitgeteilt hatten, dass das Startup die Verschreibungsvorschriften der Pandemie-Ära ausnutzte, die es Anbietern erlaubten, Suchtmittel zu verschreiben, ohne dass eine persönliche Untersuchung erforderlich war.
Und im März letzten Jahres gab das Startup öffentlich zu, dass es die Daten von 3,1 Millionen Nutzern unrechtmäßig weitergegeben hatte.
Cerebral benachrichtigte seine Nutzer und teilte ihnen mit, dass es seit der Betriebsaufnahme im Oktober 2019 Pixel-Tracking-Technologien eingesetzt habe. Nach einer Überprüfung der Nutzung dieser Tools stellte das Startup fest, dass es die geschützten Gesundheitsinformationen seiner Patienten an Dritte weitergegeben hatte, ohne diese erhalten zu haben Cerebral sagte in seiner Mitteilung an die Benutzer, dass die erforderlichen Zusicherungen gemäß HIPAA erforderlich seien.
Die folgenden Arten von Informationen wurden im Rahmen des Verstoßes offengelegt: klinische Daten über Patientenbesuche und Behandlungen, Antworten zur Selbsteinschätzung der psychischen Gesundheit, Termine von Terminen, Informationen zu Krankenversicherungs-/Apothekenleistungen, Zuzahlungsbeträge der Versicherung, Name, Telefonnummer, E-Mail-Adresse , Geburtsdatum, IP-Adresse, Cerebral-Kunden-ID-Nummer und demografische Daten.
In seinem Brief an die Benutzer versicherte Cerebral ihnen, dass es seine Tracking-Technologien „umgehend deaktiviert, neu konfiguriert und/oder entfernt“ habe. Das Unternehmen teilte außerdem mit, dass es den Datenaustausch mit Dritten eingestellt habe, die nicht alle HIPAA-Anforderungen erfüllen könnten, und dass es seine Informationssicherheitspraktiken und Technologieüberprüfungsprozesse verbessert habe.
Wie die FTC hart durchgegriffen hat
In der Beschwerde der FTC, die diese Woche eingereicht wurde, erklärte die Behörde, dass Cerebral die Privatsphäre seiner Nutzer verletzt habe, indem es zuließ, dass deren empfindlichste psychische Erkrankungen im Internet offengelegt würden. In der Beschwerde wurde auch behauptet, dass Cerebral die psychischen Diagnosen der Patienten auch per Post offengelegt habe, weil das Startup den Nutzern unbedeckte Werbepostkarten mit Informationen zu ihrem Gesundheitszustand und ihren Behandlungen geschickt habe.
Um Abhilfe zu schaffen, ordnete die FTC Cerebral an, vor der Weitergabe ihrer Daten die Zustimmung der Patienten einzuholen, und verhängte außerdem eine einzigartige Einschränkung, die dem Unternehmen die Verwendung von Gesundheitsdaten für die meisten Werbezwecke verbietet.
In der Beschwerde der FTC wurde Cerebral außerdem vorgeworfen, seine Stornierungsrichtlinien falsch dargestellt zu haben und es versäumt zu haben, die ausdrückliche Einverständniserklärung der Nutzer einzuholen, bevor ihnen Gebühren berechnet wurden. Um ihr Abonnement zu kündigen, mussten Benutzer „einen mühsamen, komplexen, langwierigen, mehrstufigen und häufigen Weg gehen.“
„Mehrtägiger Prozess“, heißt es in der Beschwerde.
In einer am Montag veröffentlichten Erklärung sagte Cerebral, es sei „erfreut, mitteilen zu können“, dass es eine Vergleichsvereinbarung mit der FTC getroffen habe. Cerebral gab in der Stellungnahme kein ausdrückliches Fehlverhalten zu, als es um die Vorwürfe betrügerischer Stornierungspraktiken ging.
„Im Rahmen der Resolution hat Cerebral zugestimmt, verbesserte Verbraucherschutz-, Datenschutz- und Compliance-Maßnahmen zu implementieren, um die persönlichen Daten unserer Kunden weiter zu schützen, die Transparenz unserer Datenpraktiken zu erhöhen und verbesserte Datensicherheitsprotokolle und -tools zu implementieren, um unseren Kunden dies zu ermöglichen Kontrolle über ihre Datenschutzeinstellungen“, heißt es in der Erklärung des Startups.
Gemäß der vorgeschlagenen Anordnung der FTC – die vom Bezirksgericht Florida, bei dem sie eingereicht wurde, genehmigt werden muss – muss Cerebral fast 5,1 Millionen US-Dollar für teilweise Rückerstattungen an Verbraucher zahlen, die von den Stornierungsrichtlinien negativ betroffen waren. Das Unternehmen muss außerdem eine Zivilstrafe in Höhe von 10 Millionen US-Dollar zahlen, die die FTC aussetzt, nachdem Cerebral 2 Millionen US-Dollar gezahlt hat, „weil das Unternehmen nicht in der Lage ist, den gesamten Betrag zu zahlen“.
Was bedeutet das für die Branche?
Ray Mina, Vizepräsident für Marketing bei Freshpaint, einer Plattform für Datenschutz im Gesundheitswesen, sagte, was ihn an der Anordnung der FTC am meisten überrascht habe, sei die Tatsache, dass sie ein dauerhaftes Verbot der Verwendung von Verbraucherdaten für die meisten Marketingbemühungen vorsehe.
„Moderne Marketing- und Werbestrategien in Verbraucherkanälen erfordern Daten zur Messung und Optimierung von Kampagnen. Ohne eine Datenrückkopplungsschleife funktionieren sie einfach nicht. „Die Möglichkeit, aus den Verbraucherkanälen ausgeschlossen zu werden, ist ein existenzielles Risiko für alle Vermarkter im Gesundheitswesen“, sagte er.
Mina fügte hinzu, dass Cerebral kein Ausreißer sei – er sagte, dass die meisten Marketingteams im Gesundheitswesen „hart mit internen Rechts- und Compliance-Teams zusammenarbeiten“, um Lösungen zu finden, um Sammelklagen und Strafen durch Aufsichtsbehörden zu vermeiden.
Eine andere Führungskraft im Gesundheitswesen – Cecily Harris, ehemalige General Counsel bei Wheel und aktuelle General Counsel bei Atropos Health – sagte, dass die Neuigkeiten von Cerebral nicht unbedingt überraschend seien.
Seit dem Bulletin des HHS Office for Civil Rights vom Dezember 2022 über den Einsatz von Online-Tracking-Technologien durch HIPAA-regulierte Unternehmen wurden viele Telegesundheitsunternehmen Compliance-Überprüfungen und Untersuchungen unterzogen. Die Position der OCR und die verstärkte Kontrolle dieser Praktiken haben einige Gesundheitsunternehmen in Aufruhr versetzt, erklärte Harris.
„Das Vorgehen der FTC hier und auch gegenüber den Gesundheitssystemen zeigt, wie ernst es ihr mit der Durchsetzung der Regeln ist, wenn es um die Erhebung von Gesundheitsdaten der Verbraucher geht.“ Diese Aktion deutet auch darauf hin, dass sie die Ermittlungen fortsetzen werden“, sagte sie. „Falls noch nicht geschehen, sollten Telemedizinanbieter mit Gesundheitsbehörden zusammenarbeiten, um eine gründliche Analyse ihrer Praktiken rund um die Erhebung und Nutzung von Gesundheitsdaten durchzuführen.“
Foto: gustavofrazao, Getty Images
