US-Krankenversicherungsbörsen teilten Staatsbürgerschafts- und Rassendaten mit Ad-Tech-Giganten

 (techcrunch.com)
1 Punkte von GN⁺ 3 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Laut einer neuen Untersuchung von Bloomberg haben fast alle 20 von US-Bundesstaaten betriebenen Krankenversicherungsbörsen Antragsinformationen von Einwohnern mit Werbe- und Tech-Giganten wie Google, LinkedIn, Meta und Snap geteilt
  • Pixelgroße Tracker wurden auf sensiblen Websites für medizinische Anträge eingesetzt und erhöhten durch das Sammeln von Informationen über Website-Besucher die Datenschutzrisiken
  • Die Krankenversicherungsbörse von New York teilte Antragsinformationen mit mehreren Tech-Unternehmen, darunter auch, ob Antragsteller Angaben zu inhaftierten Familienmitgliedern gemacht hatten
  • Die Krankenversicherungsbörse von Washington, D.C. fragte Antragsteller nach Geschlecht und ethnischer Zugehörigkeit; ein TikTok-Pixel-Tracker verbarg nur einen Teil der Angaben, während E-Mail-Adressen, Telefonnummern und nationale Identifikatoren ebenfalls mit TikTok geteilt wurden
  • Washington, D.C. stellte den Einsatz des TikTok-Trackers ein, und Virginia entfernte den Meta-Tracker von seiner Website, nachdem bestätigt worden war, dass die ZIP-Codes von Einwohnern mit Meta geteilt wurden

Problematische Tracking-Pixel auf staatlichen Krankenversicherungsbörsen

  • Laut einer neuen Untersuchung von Bloomberg haben fast alle 20 von US-Bundesstaaten betriebenen Krankenversicherungsbörsen Antragsinformationen von Einwohnern mit Werbe- und Tech-Giganten wie Google, LinkedIn, Meta und Snap geteilt
  • Im Zentrum des Problems stehen pixelgroße Tracker, die Informationen über Website-Besucher sammeln
    • Diese Tracker werden normalerweise für Webanalyse und zur Fehlererkennung eingesetzt, können aber bei falscher Konfiguration auf Websites mit sensiblen Gesundheitsdaten zur Erfassung personenbezogener Daten führen
    • Es handelt sich um Werkzeuge, die in der digitalen Werbung weit verbreitet sind, aber in sensiblen Kontexten wie medizinischen Antragsdaten steigt das Datenschutzrisiko deutlich
  • Die Krankenversicherungsbörse von New York teilte Antragsinformationen mit mehreren Tech-Unternehmen, darunter auch, ob Antragsteller Angaben zu inhaftierten Familienmitgliedern gemacht hatten
  • Die Krankenversicherungsbörse von Washington, D.C. fragte Antragsteller außerdem nach Geschlecht und ethnischer Zugehörigkeit, und der Pixel-Tracker von TikTok versuchte, einen Teil der Informationen zu maskieren
    • Laut Bloomberg wurden einige Angaben zur ethnischen Zugehörigkeit maskiert, andere jedoch nicht
    • Ein Sprecher der Börse von Washington, D.C. erklärte, dass auch E-Mail-Adressen, Telefonnummern und nationale Identifikatoren von Einwohnern mit TikTok geteilt wurden
  • Washington, D.C. stellte den Einsatz des TikTok-Trackers ein, und Virginia entfernte den Meta-Tracker von seiner Website, nachdem Bloomberg bestätigt hatte, dass die ZIP-Codes von Einwohnern mit Meta geteilt wurden

Wiederkehrendes Risiko beim Teilen medizinischer Daten

  • Solche Probleme traten bereits zuvor bei Telemedizin-Startups und großen Gesundheitsunternehmen auf
  • Mehrere Unternehmen und große Gesundheitskonzerne mussten Millionen von Menschen darüber informieren, dass Gesundheitsdaten unbeabsichtigt erfasst und mit Tech-Giganten geteilt wurden
  • Die Einnahmen dieser Tech-Giganten stammen daraus, Verbraucherdaten für Werbung zu nutzen
  • Die Bloomberg-Untersuchung zeigt, dass Tracking-Pixel auf Regierungswebsites eine deutlich breitere Bevölkerungsgruppe betreffen können
  • Bloomberg zufolge haben in diesem Jahr mehr als 7 Millionen Menschen in den USA ihre Krankenversicherung über staatliche Krankenversicherungsbörsen abgeschlossen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 3 시간 전
Hacker-News-Kommentare

  • Ich habe während einiger Monate zwischen zwei Jobs die Website des Krankenversicherungs-Marktplatzes des Bundesstaats Colorado genutzt, um mich auszuruhen, und der ganze Prozess fühlte sich massiv übergriffig an.
    Ich habe viele Informationen eingegeben, um ein Angebot zu erhalten, und ich hatte erwartet, dass diese Daten zur Erstellung des Angebots weitergegeben werden könnten, bekam aber am Ende gar kein Angebot.
    Es wirkte nicht so, als seien die Informationen nur zwischen Systemen ausgetauscht worden, sondern als seien sie direkt an viele einzelne Personen gegangen; statt auf der Website ein brauchbares Ergebnis zu erhalten, bekam ich nur zu hören, dass sich ein Berater melden werde, und erhielt danach wochenlang Tag und Nacht Anrufe und SMS von Hunderten Beratern.
    Als ich einen fragte, wie ich das stoppen könne, antwortete er, das sei wegen des Government Shutdowns nicht möglich.

    • Du bist möglicherweise auf eine private Lead-Sammel-Website hereingefallen, die das erste gesponserte Google-Suchergebnis gekauft hat und sich wie die offizielle Colorado-Seite ausgab.
      https://i.imgur.com/d2fZlTc.png
    • Genau das ist die Realität, dass die US-Bundesregierung nicht einmal versucht, etwas wie die DSGVO einzuführen.

  • Das eigentliche „Teilen“ bestand darin, den Meta-Pixel und ein entsprechendes Tracking-Tool von TikTok zu verwenden, wahrscheinlich weil der Krankenversicherungs-Marktplatz Menschen durch Retargeting oder Lookalike-Audience-Marketing zum Abschluss einer Versicherung bewegen wollte.
    Eng betrachtet mag das vernünftig erscheinen, aber in dem Moment, in dem man den Pixel verwendet, werden die Daten automatisch mit Meta, ByteDance und anderen „geteilt“, sodass sie sie für alle möglichen böswilligen Zwecke nutzen können.

    • Selbst wenn ein staatlicher Krankenversicherungs-Marktplatz damit die Zahl der subventionierten Krankenversicherungsabschlüsse erhöhen will, kann man es schon als unangemessen ansehen, überhaupt irgendeine Form von Targeting oder Marketing zu betreiben.
      Ich kann mich irren, aber ich glaube nicht, dass der Auftrag nach dem ACA auch vorsieht, sich selbst zu targeten oder zu vermarkten.
      Dass stillschweigend vorausgesetzt wird, man werde so etwas natürlich tun, ist selbst schon Teil des Problems.
    • Wirklich bösartig.
      Sobald man die Identität kennt, kann man sie mit Datenbanken der Versicherungsbranche abgleichen und daraus verschiedene Gesundheitszustände und andere Informationen ableiten.
      Wenn man weiß, ob eine Frau rechtzeitig ihre Vorsorgeuntersuchungen in der Schwangerschaft wahrnimmt, kann ein Marketer mit ziemlich hoher Zuverlässigkeit den Geburtstermin auf etwa eine Woche genau vorhersagen.

  • Sowohl das Senden als auch das Empfangen der Daten sollte illegal sein.
    Man muss beide Seiten dieser Brücke niederbrennen.

    • Für alle gesammelten Daten sollte sowohl für die erstmalige Erhebung als auch für die Weitergabe an Dritte eine ausdrückliche Einwilligung erforderlich sein.
      Es sollte erklärt werden, warum die Daten erhoben werden und welche Funktionen ohne sie nicht möglich sind, und es sollte gesetzeswidrig sein, Funktionen zu sperren, nur weil jemand einer Datenkategorie nicht zugestimmt hat, die für diese Funktion nicht absolut notwendig ist.
    • Das Recht, zur ethnischen Zugehörigkeit falsche Angaben zu machen, sollte in jedem Kontext ausdrücklich geschützt sein.
      Einen Datensatz kaputtzumachen ist sehr viel einfacher, als sich in ihm zu verstecken.
    • Das ist ein Tracking-Pixel, also eine Konstruktion, bei der der Nutzer dazu gebracht wird, die Daten selbst zu senden.
    • Es würde mich nicht überraschen, wenn beides bereits illegal wäre.
      Nur ist die Korrelation zwischen „X ist illegal“ und „große Organisationen tun X nicht“ heutzutage wohl nicht mehr so stark wie früher.
    • Es ist sehr gut möglich, dass Tech-Unternehmen und offensive Vertragsdienstleister diese Daten nutzen, um die Aktivitäten des Kriegsministeriums zu verstärken.
      Ich frage mich, warum sie Daten zu ethnischer Zugehörigkeit und Staatsbürgerschaft wollen, ach so …

  • Die reichsten Tech-Unternehmen und Reichen der Welt wurden reich, indem sie die Privatsphäre der Menschen verletzten und invasive Werbung verkauften.

    • Mit „invasive Werbung verkaufen“ ist eher gemeint, dass sie Content-Algorithmen manipulieren, damit sie ihrer Sichtweise nützen, und Einzelpersonen so targeten, dass die Wirkung maximal ist.
    • Wenn man sich die 15 reichsten Menschen der Welt ansieht, sind 11 davon nicht auf diese Weise reich geworden.
    • Du hast zum Beispiel die offene Form von Vetternwirtschaftskapitalismus in Russland seit 1991 sowie wirklich reiche Leute ausgelassen, die seit Langem immer wieder in profitable Unternehmen investiert haben.
      Wie Charlie Munger und Warren Buffett, also nicht Börsen-Timing, sondern langfristige Investments.
    • Sie wurden reich, weil die Leute dumm genug waren zu glauben, kostenlose Dienste hätten keinen Preis.
    • Aber wer klickt denn eigentlich auf diese Werbung?

  • Bei öffentlichen Diensten ist es besonders schlimm, weil das Vertrauen dort ohnehin fragil ist.
    Man sollte sich bei der Beantragung einer Krankenversicherung nicht auch noch Sorgen machen müssen, in einem Tracking-Graphen registriert zu werden.

    • Ist es wirklich so schwer nachzuvollziehen, dass man den Bezug von Krankenversicherung auf rechtmäßig aufhältige Personen beschränken wollen könnte?
      Oder dass es nicht völlig unplausibel ist, Metadaten darüber zu verfolgen, ob ein Dienst so betrieben wird, unabhängig davon, welche Maßnahmen die Regierung wählt?

  • Aus Sicht von jemandem, der das US-Rechtssystem nicht gut kennt, verstehe ich das nicht.
    Wenn es sich um Meta/Facebook-Tracking über Pixel handelt, warum kann man dann nicht gegen sie klagen?
    Oder falls dieses Tracking in diesem konkreten Fall legal ist: Warum um alles in der Welt ist es legal?

  • Bloomberg-Recherche: https://www.bloomberg.com/features/2026-healthcare-advertisi...

  • Ich wünschte, jemand aus den USA würde erklären, was race in diesem Kontext eigentlich bedeutet und wie das bestimmt wird.

    • Es wird nach den vom US-Zensus anerkannten Kategorien selbst angegeben.
      Weiß, Schwarz, Asiatisch, American Indian/Alaska Native, Native Hawaiian oder Pacific Islander, Sonstige oder zwei oder mehr Kategorien.
      Die hispanische/lateinamerikanische Identität ist ein eigenes Kästchen, aus Gründen, die sich kaum erklären lassen, ohne Jahrzehnte bürokratischer Entscheidungen nachzuzeichnen.
    • Im gesamten US-Bildungssystem wird zumindest derzeit gelehrt, dass race ein soziales Konstrukt ist.
      Konzepte der Populationsgenetik kommen erst viel später im naturwissenschaftlichen Unterricht vor.
    • Das ist eine häufige Quelle von Verwirrung, wenn Europäer mit Amerikanern über race sprechen.
      Im US-Kontext bezieht sich race auf Hintergrund, Herkunft und Abstammung, und auf staatlichen Formularen steht dann etwa: „Was ist Ihre race? Weiß, Schwarz, Hispanic usw.“
      Das unterscheidet sich von vornherein grundlegend von europäischen Verwendungen, bei denen es um die menschliche Rasse im Sinne von la race humaine geht.
      Diese feine Unterscheidung ist in Diskussionen wichtig. Als ich mit Schweizern über rassische Unterschiede gesprochen habe, dachten sie, ich rede von Nazi-Propaganda.
      Wir gehören alle zur menschlichen Spezies, und innerhalb der menschlichen Spezies gibt es verschiedene races, und alle sind gleich.
    • Es gibt je nach race-Gruppe unterschiedliche Risikofaktoren und einige abweichende Referenzwerte bei Tests.
      Zum Beispiel gibt es in meinen Laborwerten mindestens zwei Einträge, bei denen unterschiedliche Referenzbereiche für „African-American“-Patienten und „non-AA“-Patienten angegeben sind.
      https://en.wikipedia.org/wiki/Sickle_cell_disease#United_Sta...
    • Ich denke, es ist etwas, das man selbst angibt.

  • Es ist erstaunlich, dass noch immer viele Webentwickler nicht verstehen, dass fremdes JavaScript auf der eigenen Website einzubinden bedeutet, der anderen Seite vollständigen Zugriff auf alles auf der Seite zu geben, einschließlich der von Kunden eingereichten Daten.

  • „Ob Angaben dazu gemacht wurden, ob man ein inhaftiertes Familienmitglied hat“
    Das scheint mir gar kein so starkes Signal zu sein, eher ein Detail auf Metadaten-Niveau.