Datenschutzmängel bei Versandapotheken

Die Versandapotheken in Rheinland-Pfalz weisen offenbar Sicherheitsdefizite bei ihren Online-Zugängen auf. Bei nahezu allen Versandapotheken sei der Einsatz von Passwörtern mangelhaft und der Anmeldevorgang deshalb nicht sicher, teilte der rheinland-pfälzische Landesbeauftragte für den Datenschutz, Edgar Wagner, mit. Das Ergebnis entsprechender Kontrollen lasse vermuten, dass es möglicherweise in anderen Bundesländern nicht viel besser um den Datenschutz bestellt sei.

Die Datenschützer hatten rund 30 Apotheken in ihrem Aufsichtsgebiet Rheinland-Pfalz kontrolliert, darunter auch überregional tätige Anbieter. Getestet wurde unter anderem, ob die Anbieter eine Mindestlänge für das zum Login zu verwenden Passwort vorschreiben, ob Benutzerkennung und Passwort unterschiedlich sein müssen und ob die Zahl der fehlerhaften Anmeldeversuche begrenzt war.

„Mit Ausnahme von drei Apotheken wiesen alle Apotheken Mängel bei mindestens einem Kriterium auf, viele sogar bei allen“, sagte ein Sprecher des Datenschutzbeauftragten gegenüber APOTHEKE ADHOC. Besonders erschreckend: In mehreren Fällen gelang den Testern bei probeweisen Anmeldeversuchen ein Zugriff auf fremde Kundendaten. Neben den bestellten Arzneimitteln konnten auch die Adresse und die Bankverbindung eingesehen werden.

Lediglich drei Apotheken haben dem Sprecher zufolge ihre Kunden darauf hingewiesen, wie ein Passwort hinreichend sicher gestaltet sein sollte. Laut den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik sollten Passwörter mindestens fünf Stellen lang sein und sich aus Klein- und Großbuchstaben sowie Ziffern und Sonderzeichen zusammensetzen. Um automatische Angriffsprozesse zu verhindern, sollte das Anmelden nach fünf bis zehn Fehlversuchen unterbunden werden.

„Angesichts der Sensibilität der Daten muss eine angemessene Sicherheit gewährleistet sein“, sagte Wagner. Der Wettbewerb bei Kundenakquise- und Kundenbindung dürfe nicht auf Kosten des Sicherheitsniveaus ausgetragen werden.

Die Datenschützer gehen jedoch davon aus, dass den meisten Anbietern die Defizite nicht bewusst sind. In einem Brief hat Wagner deshalb die Landesapothekerkammer Rheinland-Pfalz auf die entdeckten Mängel hingewiesen und Vorschläge unterbreitet, wie die Sicherheit verbessert werden kann.

Bei der Apothekerkammer sind einem Sprecher zufolge bislang keine Beschwerden von Kunden wegen Datenmissbrauchs eingegangen. Die Empfehlungen des Datenschutzbeauftragten hält man dennoch für vernünftig. Da der Kammer jedoch nicht bekannt ist, welche Apotheke eine Versandhandelserlaubnis besitzt, wurde die Angelegenheit an den zuständigen Pharmaziedirektor im Landesamt für Soziales, Jugend und Versorgung weitergegeben. Dieser soll die Versandapotheken nun informieren. Auch die Kammer wird eigenen Angaben zufolge im nächsten Rundschreiben auf die Problematik hinweisen.

Die Datenschützer gehen davon aus, dass bei den Apotheken die Sensibilität für das Thema vorhanden ist und dass sie ihre Anmeldeverfahren überarbeiten werden. Ein erneuter Test soll in einigen Monaten kontrollieren, ob die Anbieter ihre Seiten tatsächlich verändert haben.