Mobilsicher.de: Bestellapps geben Kundendaten weiter

Die Plattform hat die Apps von Shop Apotheke, DocMorris und Mepex sowie von Mayd und Cure getestet. Dazu wurde ein Nutzerkonto mit Namen, Anschrift und Telefonnummer oder E-Mail-Adresse angelegt. Die Cure-App fragte zusätzlich den Standort ab, der im Test entsprechend freigegeben wurde. Anschließend suchten die Tester nach zwei verschiedenen Medikamenten. Es wurden keine Rezepte hochgeladen.

Shop Apotheke

Am schlechtesten schnitten die beiden großen Versender ab: Shop Apotheke gab demnach sämtliche Suchanfragen aus der App zusammen mit dem vollen Namen, der E-Mail-Adresse, dem Wohnort und der Werbe-ID an den US-Marketingdienst LeanPlum weiter. Suchabfragen erhielt auch das Unternehmen Algolia, das einen Suchmaschinen-Service und Nutzeranalyse anbietet. „Insgesamt erhielten neun Drittfirmen Daten aus der Apotheken-App, zwei davon die Werbe-ID“, so Mobilsicher.de.

Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die jedem Android-Gerät zugewiesen wird. Dadurch soll eigentlich Anonymität bei der verhaltensspezifischen Werbung gewährleistet werden, doch laut Mobilsicher.de können die Daten auch realen Personen zugeordnet werden, wenn zusätzlich entsprechende Informationen weitergegeben werden.

DocMorris

DocMorris gab demnach sämtliche Suchabfragen an das Unternehmen Omikron Data Quality weiter, das Datenverwaltung und Nutzungsanalyse anbietet. Insgesamt erhielten hier sechs Drittfirmen Daten aus der App, drei davon die Werbe-ID.

Mayd

Doch auch der noch relativ junge Lieferdienst Mayd nutzt bereits die Daten seiner Kundinnen und Kunden. Das millionenschwere Start-up aus Berlin gab laut Test sämtliche Suchwörter aus der App zusammen mit dem Straßennamen, der Hausnummer und der Postleitzahl an Google weiter. Der Analysedienst Braze erhielt den Vor- und Nachnamen, die Postleitzahl sowie die eingegebenen Kontaktdaten (Telefonnummer, E-Mail-Adresse). Das gesamte Datenpaket mit Name, Adresse, Kontaktdaten und Suchhistorie erhielt Segment.io, ein US-Dienst zur Nutzerdatenverwaltung und -analyse. Insgesamt erhielten hier sechs Drittfirmen Daten von Mayd.

Cure

Konkurrent Cure gab Daten aus der App demnach an drei andere Unternehmen weiter, Facebook erhielt die Werbe-ID. Suchbegriffe wurden im Test nicht weitergegeben.

Medpex

Bei der DocMorris-Schwester Medpex haben Nutzer:innen zwar nach dem ersten Öffnen der App die Möglichkeit, die Nutzungsanalyse komplett abzuwählen: Tippt man im ersten Fenster statt auf „Zustimmen“ auf „Einstellungen“, werden die Analysedienste von Google, Facebook und Adjust auf der Nutzeroberfläche deaktiviert. Im Test übermittelte die App trotzdem die Werbe-ID an drei Firmen – auf Nachfrage der Tester war von einem Fehler die Rede, der geprüft werde. Davon abgesehen wurde die App als empfehlenswert eingestuft, da sie – bei entsprechender Einstellung und korrekter Funktion – keinerlei Daten ausliest oder versendet.

Datenschutzerklärungen mangelhaft

Abgesehen davon, dass die Datenschutzerklärungen extrem lang seien und auf die Drittfirmen verwiesen, wo man dann teilweise der Datenverarbeitung widersprechen könne, seien die Dokumente oft fehlerhaft: So würden die identifizierten Dienstleister teilweise nicht genannt, dafür aber andere, die man in den Tests nicht sehen konnte.

In der Cure-App war im Abschnitt zu den personenbezogenen Daten plötzlich Schluss, Links funktionierten zum Teil nicht richtig. Dagegen konnte auch hier laut Test wieder Medpex mit einer besonders übersichtlichen Darstellung überzeugen.

Drei Apps wiesen laut Mobilsicher.de darauf hin, dass bei einer Bestellung die Bonität geprüft werde: Medpex und DocMorris nannten den jeweiligen Dienstleister, Cure nicht. Shop Apotheke und Mayd machten dazu keine Angaben.

Fazit der Tester: „Informationen darüber, für welche Medikamente man sich interessiert, lassen Rückschlüsse auf Erkrankungen und Behandlungsmethoden zu – insbesondere dann, wenn die gesamte Suchhistorie aus einer Apotheken-App, potenziell über Monate hinweg, zusammen mit dem Namen, Kontaktdaten oder aber eindeutigen Gerätedaten an Datensammler weitergegeben werden. Es ist daher für Verbraucher:innen nicht wünschenswert, dass Apps diese Daten an Dritte übermitteln.“

Aus diesem Grund könne man abgesehen von Medpex keine der Apps empfehlen. „Wirklich verbraucher:innenfreundlich wäre jedoch eine Apotheken-App, in der Analysedienste nicht erst abgewählt werden müssen. Nutzer:innen sollten davon ausgehen dürfen, dass ihr Verhalten beim Einkaufen von Medikamenten nicht verfolgt wird – genau wie in der analogen Apotheke.“

Hinter Mobilsicher.de steht der Verein iRights.info, der sich aus Spenden, Zuwendungen und Auftragsarbeiten finanziert. Die Plattform wird aufgrund eines Bundestagsbeschlusses durch das Bundesverbraucherministerium gefördert. Für den Test schalteten die Prüfer ihren „Appchecker“ zwischen App und Internet und zeichneten so auf, welche Daten Apps erheben und weitergeben.