Jede zweite getestete Versandapotheke hat der Studie zufolge keine intakte Verschlüsselung. Sobald in einem Online-Shop Kundendaten erfasst würden, sollten die Daten auf verschlüsseltem Weg an den Browser geschickt werden, heißt es in der Studie. Dadurch werde sichergestellt, dass Informationen wie Kontakt- und Zahlungsdaten nicht abgefangen werden könnten.

38 Prozent der verwendeten Software ist demnach veraltet und enthalte bereits bekannte Sicherheitslücken bei der Speicherung persönlicher Daten. Seien die verwendeten Programme älter als drei Jahre, könnten bekannte Sicherheitslücken ausgenutzt und beispielsweise auf Kundendaten zugegriffen werden.

Apotheken und insbesondere Versandapotheken sind laut Sparmedo schlecht auf das „Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ vorbereitet. Betroffene Anbieter sollten dringend ihre Datenschutzerklärungen prüfen, sagt ein Sprecher. Auch die Internet-Angebote von Vor-Ort-Apotheken sollten auf Datenschutzlücken untersucht werden, wenn personenbezogene Daten erfasst würden. Das sei häufig bei Reservierungen von Rx-Arzneimitteln sowie Beratungsanfragen der Fall.

Laut Sparmedo sollte generell nicht angezeigt werden, welcher Webserver benutzt werde. Einige Shops meldeten die Auslastung, wodurch potenzielle Angreifer ableiten könnten, wann der Server überlastet sei. Die Aktualität sei ein starkes Indiz, wie seriös die Online-Shops betrieben werden würden. Alles, was älter als ein bis zwei Jahre sei, sollte geprüft und aktualisiert werden.

Versandapotheken haben den Vorteil, dass sie über Analyseprogramme wie Google-Analytics Nutzerdaten erheben können. 89 der getesteten Versandapotheken nutzen diese Möglichkeit. Allerdings setzten davon 38 Versandapotheken die Programme nicht datenschutzkonform ein. Das Tracking müsse anonymisiert erfolgen. Beispielsweise dürfe nur eine verkürzte Nutzer-IP gespeichert werden.

130 Online-Shops geben Nutzerdaten an Drittanbieter weiter. Damit sind demnach beispielsweise Bewertungsplattformen, Preisvergleichsportale und Anbieter zur Zahlungsabwicklung gemeint. Mit jedem Aufruf eines fremden Inhalts über den Apotheken-Shop werde die IP-Adresse des Kunden weitergegeben. „Es ist nicht klar, ob die Anbieter diese Informationen anonymisieren, speichern und /oder auswerten.“ Mehr als zwei Drittel der Versandapotheken informierten die Nutzer nicht über die Weitergabe der Daten an Dritte.

Von den zehn reichweitenstärksten Versandapotheken hätten zwei massive Datenschutzprobleme. „Wir haben sie diesbezüglich kontaktiert und wollten sie über die Probleme aufklären – leider wurde das Thema nicht ernst genommen“, so der Sprecher. Größere Versandapotheken setzten, die auf ein selbst entwickeltes Shopsystem setzten, schnitten etwas besser ab. Dort sitze die IT im eigenen Haus und das System werde strenger überwacht.