Experteninterview mit Miriam Ruhenstroth (Mobilsicher.de)

Datenhandel bei DocMorris und Shop Apotheke

, Uhr
Mobilsicher.de hat verschiedene Apps von Versandapotheken und Lieferdiensten getestet.Foto: mobilsicher.de
Berlin -

Die Apps von Versandapotheken und Lieferdiensten geben die Daten über gesuchte Medikamente an Drittanbieter weiter. Miriam Ruhenstroth und das Team von Mobilsicher.de haben den zweifelhaften Datenverkehr analysiert. Im Gespräch mit APOTHEKE ADHOC berichtet Ruhenstroth, weshalb sie Shop Apotheke und DocMorris dabei Absicht unterstellt und warum sich Apotheken ihre Verträge mit Lieferdiensten lieber ganz genau ansehen sollten.

Mobilsicher.de hat die Software „App-Checker“ entwickelt, mit der Android-Apps systematisch analysiert werden können. Im Apothekentest wurden die Versender Shop Apotheke, DocMorris und Medpex sowie die Lieferdienste Mayd und Cure unter die Lupe genommen. Die fünf Apps wurden dazu auf dem präparierten Smartphone installiert, so dass der erzeugte Datenverkehr über einen angeschlossenen Computer ausgelesen werden konnte. „Wir analysieren nicht nur, wohin gesendet wird, sondern auch was, das heißt, wir gucken in die Datenpakete rein“, erklärt Ruhenstroth.

Der entscheidende Unterschied zu anderen Shopping-Apps: Wenn man in einer Apotheken-App nach Medikamenten sucht, sagt das auch etwas aus über den eigenen Gesundheitszustand. „Deswegen haben wir insbesondere darauf geguckt, wie mit den eingegebenen Suchbegriffen umgegangen wurde. Und da waren wir wirklich schon sehr überrascht und auch ein bisschen schockiert, dass drei dieser getesteten Apps die Suchbegriffe nicht nur selbst speichern, sondern auch an Drittfirmen weitergeben. Das hätten wir so nicht erwartet, dass da so locker mit umgegangen wird. Denn das fällt nach unserer Auffassung unter den Tatbestand Gesundheitsdaten, die besonders geschützt sind.“

DocMorris und Shop Apotheke ignorieren Kritik

Shop Apotheke und DocMorris sowie Mayd waren besonders freigiebig mit den gesammelten Daten – und bei den Versendern glaubt Ruhenstroht nicht an ein Versehen. Denn die seien schon vor einem halben Jahr mit den Erkenntnissen von Mobilsicher.de konfrontiert worden. „Die wissen von dieser Kritik – und interessieren sich gar nicht dafür. Das ist Absicht.” Solche Unternehmen würden sich nur bewegen, wenn sie vom Gesetz dazu gezwungen würden. Also wäre es vielleicht in diesen Fällen angebracht, die Datenschutzbehörden einzuschalten.

Mayd dagegen habe sich nach dem Test gemeldet und die Kritik durchaus zur Kenntnis genommen, dass zum Beispiel Medikamentennamen eigentlich nicht an Drittanbieter übertragen werden sollen, berichtet Ruhenstroth. Durch mehr Transparenz auf ein verändertes Verhalten bei den App-Anbietern hinzuwirken, das ist die Hoffnung von Mobilsicher.de.

Gerade die Geschäftsmodelle der Lieferdienste fußen auf einer Zusammenarbeit mit Apotheken vor Ort. Und die könnten je nach Vertrag mit dem App-Anbieter durchaus mit in der Haftung sein, was die Verarbeitung dieser Daten betrifft. „Es kann sein, dass der Lieferdienst ein reiner Auftragnehmer ist, dann wäre tatsächlich die Apotheke selbst in der Haftung und dafür zuständig, was mit den Daten passiert, es kann aber auch andere Vertragsstrukturen geben. Ich kann alle teilnehmenden Apotheken nur auffordern, das zu prüfen, ob sie mit dem Datenverarbeitungsverhalten ihrer Dienstleister einverstanden und als Daten-Controller mit in der Haftung sind“, so Ruhenstroth.

Verbraucher:innen würden bei der Nutzung der App davon ausgehen, dass sie beispielsweise mit Shop Apotheke im Geschäft seien – und nicht mit einem amerikanischen Marketingdienstleister. Letzterer erfahre damit, dass die Person beispielsweise nach einem Krebsmedikament gesucht habe und könne das auch zuordnen. Denn zusammen mit dem Medikamentennamen würden Kennnummern erfasst, was Rückschlüsse ermögliche. „Es gibt einen Grund, warum der Gesundheitszustand eine besonders geschützte Information ist, weil das für alles Mögliche genutzt werden kann“, so Rohenstroth.

Und was passiert mit den Daten? Die US-Firmen, an die bei der Untersuchung die Daten weitergegeben werden, bieten den App-Betreibern beispielsweise an, die übermittelten Nutzerdaten mit Künstlicher Intelligenz (KI) zu analysieren und teilen wiederum dem App-Betreiber mit, welche anderen Produkte dieser Nutzer auch noch kaufen würde.

Missbrauch nicht ausgeschlossen

„Aber diese Drittfirma könnte mit den Daten natürlich auch noch ganz andere Sachen machen“, erklärt Ruhenstroth. Das reiche vom Weiterverkauf an Firmen, die ihrerseits gezielt Werbung machen möchten, bis hin zu Arbeitgebern, Recruitern, Kreditdienstleistern oder Versicherungen. „Da gibt es durchaus Begehrlichkeiten.“ Zwar versuche der Gesetzgeber, Grenzen zu ziehen, das sei aber gar nicht so leicht, zumal wenn die Daten – wie im Fall der Apotheken-Apps – Europa verlassen.

Zusammen mit dem Medikamentennamen wurde im Test häufig die sogenannte Werbe-ID übermittelt. Dabei handelt es sich um eine eindeutige Kennnummer für jedes Android-Gerät, die bei Erstellen eines Google-Kontos automatisch angelegt wird. Mobilsicher.de bietet auf der eigenen Seite detaillierte Informationen zur Werbe-ID und wie man sie löscht.

In den Datenschutzbestimmungen der Apps werden die Empfänger der Daten nicht immer namentlich genannt. Und auch welche Daten genau erfasst und weitergegeben werden, sei ohne technischen Aufwand nicht ersichtlich. „Das Problem ist, und deswegen haben wir den App-Checker gebaut, dass man als Nutzerin oder Nutzer diesen Datentransfer nicht sieht.“

Hinter Mobilsicher.de steht der Verein iRights.info, der sich aus Spenden, Zuwendungen und Auftragsarbeiten finanziert. Die Plattform wird aufgrund eines Bundestagsbeschlusses durch das Bundesverbraucherministerium gefördert.

Versand/Pickup Warenwirtschaft/EDV E-Rezept Apothekenrecht Testurteile
Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Lesen Sie auch
Mobilsicher.de: Bestellapps geben Kundendaten weiter
Kritik an Versandapotheken und Lieferdiensten
Mobilsicher.de: Bestellapps geben Kundendaten weiter
First A: Shop Apotheke zahlt zweistelligen Millionenbetrag
Tief in der Verlustzone
First A: Shop Apotheke zahlt zweistelligen Millionenbetrag
Lieferdienst Kurando: Kein Web-Shop, kein Düsseldorf
Bestellungen nur per App
Lieferdienst Kurando: Kein Web-Shop, kein Düsseldorf
Mayd unter Beschuss
Kammer prüft Lieferkonzept
Mayd unter Beschuss
First A erklärt Shop Apotheke-Deal
Schnelllieferdienst
First A erklärt Shop Apotheke-Deal
Neuere Artikel zum Thema
Shop Apotheke gewinnt im Test-Streit
BGH sieht keine Irreführung
Shop Apotheke gewinnt im Test-Streit
Rx-Boni: Zweiter Angriff auf Shop Apotheke
Abmahnung von der Wettbewerbszentrale
Rx-Boni: Zweiter Angriff auf Shop Apotheke
Mit Karl im Strandkorb
ApoRetrO – der satirische Wochenrückblick
Mit Karl im Strandkorb
Eine revolutionäre Luftnummer – geliefert in 10 Minuten
Kommentar
Eine revolutionäre Luftnummer – geliefert in 10 Minuten
Unsichere Versender-Apps / Shop Apotheke in Verlustzone / Cyber-Angriff kostet CGM Millionen
adhoc24 vom 05.05.2022
Unsichere Versender-Apps / Shop Apotheke in Verlustzone / Cyber-Angriff kostet CGM Millionen
Mehr zum Thema
„Überragende marktübergreifende Bedeutung“
BGH bestätigt Extrakontrolle für Amazon
Gematik lässt Shop Apotheke nachziehen
CardLink-Zulassung für Redcare
PTA erlebt „Beratungsdiebstahl“
E-Rezept für Jauch: Kundin wollte Hilfe vor Ort
Mehr aus Ressort
Praxen und Apotheken verärgert
Ärztin über Medisign: „Mehr Dilettantismus geht nicht!“
Softwarefehler trifft mehrere Apotheken
E-Rezept-Retax: Image fehlt
Nicht so simpel wie beworben
CardLink: DocMorris kämpft mit Negativ-Kommentaren

APOTHEKE ADHOC Debatte

Newsletter

Hinweis zum Newsletter & Datenschutz