Medikamenten-Apps

Sensible Nutzerdaten werden weitergegeben

Traunstein - 28.04.2022, 17:50 Uhr

Laut mobilsicher.de gibt DocMorris sämtliche Suchabfragen an Omikron Data Quality GmbH weiter, ein Unternehmen, das Datenverwaltung und Nutzungsanalyse anbietet. (c / Screenshot: appcheck.mobilsicher.de)

Laut mobilsicher.de gibt DocMorris sämtliche Suchabfragen an Omikron Data Quality GmbH weiter, ein Unternehmen, das Datenverwaltung und Nutzungsanalyse anbietet. (c / Screenshot: appcheck.mobilsicher.de)


Wer Medikamente per App nach Hause bestellt, sei es über einen Arzneimittelversender oder einen Lieferdienst, muss damit rechnen, dass sensible Daten wie die eingekauften Produkte sowie die Lieferadresse und Gerätedaten an Dritte weitergeleitet werden. Das zeigt eine Untersuchung von Mobilsicher, einem Infoportal zur sicheren Handynutzung.

Das Infoportal Mobilsicher hat es sich zur Aufgabe gemacht, Verbraucher über Privatsphäre, Datenschutz und Sicherheit in der Smartphone-Welt zu informieren. Dabei handelt es sich um ein Kooperationsprojekt der gemeinnützigen Vereine iRights e.V. und ITUJ e.V., gefördert wird es vom Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz.

Apps testen mit dem Appchecker

Ein Kernanliegen von Mobilsicher ist der Test von Apps. Dazu wurde ein AppChecker entwickelt, der laut Website sichtbar macht, was Apps im Verborgenen tun: „Dafür schaltet er sich zwischen App und Internet und zeichnet auf, welche Daten Apps erheben und weitergeben.“ Mit diesem AppChecker können Verbraucher Apps testen, bevor sie sie herunterladen.

Mobilsicher führt aber auch selbst Tests durch und hat sich aktuell die Apps von Arzneimittelversendern und Lieferdiensten vorgeknöpft. Dazu schreibt das Infoportal auf seiner Website: „Migränetabletten, Nikotinpflaster oder Schlafmittel lassen sich in der Apotheke an der Ecke anonym einkaufen. Um Medikamente online zu bestellen, muss man dagegen seinen Namen und die Lieferadresse angeben. Dabei erfahren Dienstleister, wofür man sich interessiert und was man wann bestellt.“

Untersucht wurden die Android-Apps von Shop Apotheke, DocMorris, Medpex, Cure und Mayd. Dazu wurde in jeder Apotheken-App ein Nutzerkonto mit Namen, Anschrift und Telefonnummer oder E-Mail-Adresse angelegt. Anschließend wurden zwei verschiedene Medikamente gesucht; Rezepte wurden nicht hochgeladen.

Am schlechtesten schnitten Shop Apotheke, DocMorris und Mayd ab

Das Ergebnis ist vernichtend. Am schlechtesten schnitten die beiden Versender Shop Apotheke und DocMorris sowie der Lieferdienst Mayd ab. „Die Shop Apotheke gab sämtliche Suchanfragen aus der App zusammen mit dem vollen Namen, der E-Mail-Adresse, dem Wohnort und der Werbe-ID an den US-amerikanischen Marketingdienst LeanPlum, Inc. weiter. Suchabfragen erhielt auch der Dienst Algolia Inc., der einen Suchmaschinen-Service und Nutzeranalyse anbietet. Insgesamt erhielten neun Drittfirmen Daten aus der Apotheken-App, zwei davon die Werbe-ID“, heißt es auf der Website.

Der Begriff Werbe-ID wird von Mobilsicher folgendermaßen erklärt: „Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Android-Gerät eindeutig ist. Analysedienste, die die Werbe-ID erhalten, erfahren den App-Namen und wann die App genutzt wird. Eigentlich dient die Nummer der Anonymisierung der Nutzer*innen: So kann personenbezogene Werbung geschaltet werden, ohne genau zu wissen, wer die App verwendet. In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch oft zusammen mit anderen Daten aus, sodass anschließend doch klar ist, zur welcher Person die Werbe-ID gehört.“

DocMorris gab laut Mobilsicher sämtliche Suchabfragen an Omikron Data Quality GmbH weiter, ein Unternehmen, das Datenverwaltung und Nutzungsanalyse anbietet. Insgesamt erhielten sechs Drittfirmen Daten aus der App, drei davon die Werbe-ID.

Auch der Lieferdienst Mayd zeigt sich großzügig bei der Weitergabe von Daten: Beim Test gab er sämtliche Suchwörter aus der App zusammen mit dem Straßennamen, der Hausnummer und der Postleitzahl an Google weiter. Vor- und Nachnamen, die Postleitzahl sowie die eingegebenen Kontaktdaten (Telefonnummer, E-Mail-Adresse) gingen an den Analysedienst Braze Inc. Das gesamte Datenpaket – Name, Adresse, Kontaktdaten und Suchhistorie – erhielt ein US-amerikanischer Dienst zur Nutzerdatenverwaltung und -analyse, Segment.io. Insgesamt erhielten sechs Drittfirmen Daten von Mayd.

Die Liefer-App Cure gab laut Mobilsicher Daten aus der App an drei andere Unternehmen weiter, allerdings keine Suchbegriffe. Facebook erhielt die Werbe-ID.

Abwahl der Nutzungsanalyse bei Medpex funktioniert nicht

Als vorteilhaft bewerteten die Tester, dass der Versender Medpex den Anwendern nach dem ersten Öffnen der App die Möglichkeit gibt, die Nutzungsanalyse komplett abzuwählen. Dazu muss man im ersten Fenster statt auf „Zustimmen“ auf „Einstellungen“ tippen, wodurch die Analysedienste von Google, Facebook und Adjust auf der Nutzeroberfläche deaktiviert werden. „Ärgerlich“ sei, so Mobilsicher, dass die App beim Test auch bei abgewählter Nutzeranalyse Kontakt zu den drei Firmen aufnahm und jeweils die Werbe-ID übermittelte. Auf Nachfrage der Tester teilte Medpex mit, dass dieses Verhalten der App so nicht beabsichtigt sei und dem Hinweis nachgegangen werde.

Auch mit den Datenschutzerklärungen der geprüften Apps ist Mobilsicher nicht zufrieden: Diese seien extrem lang und verwiesen wiederum auf die Datenschutzerklärungen von Drittfirmen. Bei einigen verlinkten Analysefirmen könne man der Datenverarbeitung über deren Webseiten widersprechen. Doch die genannten Drittfirmen entsprächen nur teilweise den Dienstleistern, die in den Tests identifiziert wurden.

„Analoge Apotheke“ als Vorbild

Das Fazit von Mobilsicher lautet: „Informationen darüber, für welche Medikamente man sich interessiert, lassen Rückschlüsse auf Erkrankungen und Behandlungsmethoden zu – insbesondere dann, wenn die gesamte Suchhistorie aus einer Apotheken-App, potenziell über Monate hinweg, zusammen mit dem Namen, Kontaktdaten oder aber eindeutigen Gerätedaten an Datensammler weitergegeben werden. Es ist daher für Verbraucher*innen nicht wünschenswert, dass Apps diese Daten an Dritte übermitteln.“ Shop Apotheke, DocMorris und Mayd könnten in der aktuellen Version aus diesem Grund nicht empfohlen werden. Da die Cure-App mit dem Facebook-Analysedienst einen der größten Datensammler überhaupt einbindet, wird auch von deren Verwendung abgeraten. Medpex wird mit der Einschränkung empfohlen, dass die angekündigte Überarbeitung tatsächlich umgesetzt wird. 

Wirklich verbraucherfreundlich wäre jedoch eine Apotheken-App, in der Analysedienste nicht erst abgewählt werden müssen, fordert Mobilsicher. Die Nutzer sollten davon ausgehen dürfen, dass ihr Verhalten beim Einkaufen von Medikamenten nicht verfolgt wird – „genau wie in der analogen Apotheke“.



Dr. Christine Ahlheim (cha), Chefredakteurin AZ
redaktion@deutsche-apotheker-zeitung.de


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.