Datenschutz bei Versendern und Lieferdiensten in der Kritik |
 |  | Cornelia Dölger |
 |
27.04.2022 13:30 Uhr |
Wer Medikamente über die Apps von Apothekenlieferdiensten wie etwa Mayd (im Bild) oder von Versendern bestellt, muss damit rechnen, dass seine Kundendaten an Dritte übermittelt werden. / Foto: Mayd
In einer aktuellen Testreihe zum Datenschutz hat das Portal Mobilsicher.de fünf Android-Apps von Versandapotheken beziehungsweise externen Apotheken-Lieferdiensten in ihren neuesten Versionen untersucht: Shop Apotheke (hat vor Kurzem den Apothekenlieferdienst First A übernommen), Doc Morris, Medpex, Cure sowie Mayd. Bei dem Test legten die Rechercheure des Infoportals, das sich nach eigenen Angaben auf die sichere Handynutzung spezialisiert hat, jeweils ein Nutzerkonto mit Namen, Anschrift und Telefonnummer oder E-Mail-Adresse an. Anschließend suchten sie zwei verschiedene Medikamente. Ein Rezept luden sie nicht hoch.
Als ein Fazit sei festzuhalten, dass die Anbieter von Online-Services diese persönlichen Informationen nicht für sich behalten. »Drei von fünf analysierten Apps gaben in unserem Test sämtliche Suchabfragen an andere Unternehmen weiter«, schreibt das Magazin. Außerdem übermittelten sie demnach Namen, Kontaktdaten, Angaben zum Wohnort und eindeutige Gerätedaten. Die Datenschutzerklärungen aller geprüften Apps seien zudem extrem lang und verwiesen irritierenderweise teils auf die Datenschutzerklärungen von Drittfirmen.
Am schlechtesten schnitten laut der Datenschutz-Analyse die beiden Versandapotheken Shop Apotheke und DocMorris sowie der Lieferdienst Mayd ab, denn diese Anbieter übermittelten auch besonders sensible Kundendaten an Drittfirmen. Shop Apotheke etwa kontaktierte laut Analyse den US-amerikanischen Marketingdienst Leanplum Inc. und übertrug zudem die Namen der Medikamente, nach denen die Tester in der App gesucht hatten.
Außerdem wurden der eingegebene Vor- und Nachname, die Postleitzahl und der Ort an Leanplum Inc. übermittelt. »Somit könnten die gesammelten Informationen auch einer Person zugeordnet werden«, schreibt das Portal. Zusätzlich wurde die E-Mail-Adresse weitergegeben. Damit sei es dem Drittanbieter möglich, auch außerhalb der App Kontakt zu den Kunden aufzunehmen, etwa zu Werbezwecken – diese sensiblen Daten weiterzugeben, sei ein No-Go aus Datenschutzsicht.
Da zudem die Drittanbieter im Test auch eine eindeutige Kennnummer aus dem Gerät (hier: Werbe-ID) erfassten, könnten die gesammelten Informationen einem bestehenden Personenprofil zugeordnet werden. Daraus könnten wiederum Interessen und Vorlieben abgeleitet werden, warnt das Magazin. Für die Shop Apotheke vergibt Mobilsicher.de den »Privacy Score« 5, die schlechteste Note im Test, und bilanziert: »Bei dieser App schätzen wir das Risiko für Ihre Privatsphäre als sehr hoch ein.«
Dieselbe schlechte Bewertung sowie ein eindeutiges Abraten von einer Nutzung erhielt demnach Doc Morris. Der Versender gab demnach sämtliche Suchanfragen an das Unternehmen Omikron Data Quality GmbH weiter. Insgesamt erhielten sechs Drittfirmen Daten aus der App, drei davon die Werbe-ID, mit der die Daten einem Profil zuordnet werden können.
Auch der Berliner Apothekenlieferdienst Mayd, der millionenschwere Investoren im Rücken hat und derzeit in mehr und mehr deutschen Großstädten unterwegs ist, bekommt von den Testern in Sachen Datenschutz die schlechteste Note. Die App baute demnach eine Internetverbindung zu fünf bekannten Drittanbietern auf, die alle im Bereich Werbung, Marketing oder Nutzeranalyse tätig seien. So wurden persönliche Daten sowie Suchanfragen zu Medikamenten unter anderem an den Internetriesen Google übermittelt. Insgesamt erhielten sechs Drittfirmen Daten von Mayd. Das Unternehmen teilte der PZ im Nachgang mit, es sei »korrekt, dass Adressinformationen an Google übergeben werden«. Dies sei zum aktuellen Zeitpunkt aber nötig, um den Zustellort von Lieferungen für die Boten anzuzeigen. Mayd arbeite daran, »dass eine Weitergabe spezifischer Informationen zeitnah nicht mehr für die Funktionalität des Services nötig sein wird«. Die Umsetzung sei in einem der nächsten Releases angepeilt.
Auch die Liefer-App von Cure gab demnach Daten aus der App an drei andere Unternehmen weiter, Facebook bekam die begehrte Werbe-ID übermittelt. Suchbegriffe wurden im Test allerdings nicht weitergegeben. Cure erhielt von den Testern deshalb den Privacy Score 3 («mittleres Risiko für Ihre Privatsphäre«). Allerdings heißt es: »Da die Cure-App mit dem Facebook-Analysedienst einen der größten Datensammler überhaupt einbindet, raten wir auch von ihrer Verwendung ab.«
Ebenfalls einen Privacy Score von 3 verpassten die Tester der App der Versandapotheke Medpex. Insgesamt kam Medpex bei den Testern am besten an, weil sie es ihren Kundinnen und Kunden ermöglicht, die Nutzungsanalyse, über die die begehrten Daten übermittelt werden, komplett abzuwählen. So könnten etwa die Analysedienste von Google, Facebook und Adjust auf der Nutzeroberfläche deaktiviert werden – zumindest theoretisch. Zudem sei die Datenschutzerklärung recht übersichtlich.
In der Praxis zeigte sich allerdings, dass die App auch bei abgewählter Nutzeranalyse Kontakt zu den drei Firmen aufnahm und jeweils die Werbe-ID übermittelte. Der Anbieter sei kontaktiert worden und habe angekündigt, dem Hinweis nachzugehen, schreiben die Tester. (Anm. der Redaktion: Am 18. Mai teilte mobilsicher.de mit, dass Medpex seine Ankündigung in die Tat umgesetzt und bei der Abwahloption des Tracking-Dienstes nachgebessert habe. Die App verfüge nun über eine »funktionierende und leicht auffindbare Möglichkeit, das Tracking beim Start der App abzuwählen«, so die Tester. Damit erhielt sie den Privacy Score 2 und wurde als empfehlenswert eingestuft.)
Wirklich verbraucherfreundlich wäre jedoch eine Apotheken-App, in der Analysedienste nicht erst abgewählt werden müssten, so mobilsicher.de. »Nutzerinnen und Nutzer sollten davon ausgehen dürfen, dass ihr Verhalten beim Einkaufen von Medikamenten nicht verfolgt wird – genau wie in der analogen Apotheke.«
